移动目标防御的策略选择
前 言
移动目标防御(Moving Target Defense,MTD)技术是近年来网络空间中“改变游戏规则”的革命性技术之一。它与以往的网络安全技术不同,变被动防御为主动防御,其系统和网络状态随着时间、空间以及物理环境等多个维度的变化而不断改变,从而增加入侵者的入侵难度,能够有效限制己方漏洞暴露的概率。
然而移动目标防御技术在带来安全性提升的同时不可避免的也有相应的代价,因此在实际的防御中,通过策略选择来提升移动目标防御的有效性十分重要。
背 景
互联网在给人们带来了便利和好处的同时,也带来了诸多网络安全威胁。蠕虫、木马、拒绝服务攻击以及近年来兴起的高级持续性威胁(APT)攻击等,让人们不得不去面对互联网安全问题的严峻现实,而近年来爆发的各类安全事件(Stuxnet病毒、“棱镜门”事件、heartbleed漏洞、WannaCry勒索病毒等),也使得人们感受到各行各业中潜伏的网络安全威胁无处不在。
虽然攻击有许多变化和风格,但大多数都是通过终端开始,特别是用户终端,然后通过系统横向扩展,寻求更多目标。攻击者还经常尝试对发现的设备(如DNS服务器,Web服务器和其他关键系统)进行远程攻击。然后,他们直接从设备窃取数据和凭据,并将其用作跳板在网络中横向扩展。
根据SANS 2017年的“Threat Landscape Survey.”,网络钓鱼和基于电子邮件的社会工程是攻击组织的首要手段,在调查中,75%的受访者发现最具影响力的威胁最初是通过电子邮件附件进行的,而46%是通过点击电子邮件链接进行的。
为了攻击用户的系统,对手必须获得用户的密码或利用漏洞或风险,例如缺少对错误的检查、过时的服务或应用程序漏洞。系统入侵后,对手通常会进一步横向移动,同时针对网络上的其他关键资产,以映射网络,并找到最丰富的目标,例如Microsoft Exchange或数据库服务器。
针对上述问题,移动目标防御技术能够通过周期性重置系统的某些方面来动态更改系统攻击面,使得传统的静态网络具有动态性和随机性,提升系统被预测和攻击的难度,从而削弱攻击者在传统网络攻防对抗中的固有优势。该技术能够让攻击者收集到的信息快速失效,从而延长攻击者的攻击时间,增加其攻击成本。
由于系统可用资源有限,虽然移动目标防御技术能够有效改善系统的静态特性,但这也将增加系统的运行负担,影响为用户提供的服务质量。因此,在防御过程中如何有效的进行策略选择非常重要。
分 类
1.基于信息熵的移动目标防御技术
信息熵常被用来作为一个系统的信息含量的量化指标,从而可以进一步用来作为系统方程优化的目标或者参数选择的判据,可以通过信息熵的方式统计当前流量的分布情况,来对攻击者目前所处的阶段进行建模,并根据所处的阶段采用对应的策略进行防护。研究人员通过采用包括条件熵[2]、交叉熵[3]、Sibson熵[4]的方式对当前网络威胁情况进行度量。
然而采用信息熵的方式需要对攻击者的行为模式以防守方的视角进行详细的定义,对攻防双方的建模过于理想化,缺乏一定的说服力。
2.基于机器学习的移动目标防御技术
机器学习是当下研究领域较热的点,已被运用在网络安全中的多个方面,如攻击检测、身份认证、隐私分析等。同样,机器学习也被应用在了移动目标防御的策略选择上,常用的算法包括遗传算法[5]、强化学习算法[6]。
基于遗传算法的移动目标防御策略选择:将不同动作作为遗传算法中的染色体,并对染色体进行选择、交叉和突变操作,从而得到满足条件的染色体,得到一个较优的结果。在遗传算法中,使用适应度来评估不同的染色体,现有的文献中研究人员对适应度做了不同的定义,如防御者的防御回报,攻击成功率等。
基于强化学习的移动目标防御策略选择:防御者不断更新采取动作的回报值,从而建立一个将系统状态和回报值相结合的Q值表,再根据Q值表选取动作以获得最大的回报。
编辑搜图
图 1 强化学习示意图
3.基于博弈论的移动目标防御技术
由于网络攻防中防御方进行有效防御的关键是选择最佳的行动策略,且攻防双方的目标相互冲突,是非合作关系,恰好与博弈论的基本特征相吻合。
对博弈论与移动目标防御结合的研究,从一开始定义顺序的斯塔克尔伯格博弈模型,到实证博弈分析模型,后续的研究通常与强化学习中的马尔科夫决策过程结合,包括利用多目标马尔可夫决策过程建模[7],再到最新的将攻防对抗视为连续过程,再结合马尔科夫决策过程的微分方程博弈模型[8],在近几年研究人员们对该领域进行了不断的探索与完善。
4.基于攻击图的移动目标防御技术
在攻击者对网络进行渗透的过程中,特定的连续攻击行为可称为一条由攻击者节点到目标节点的攻击路径。攻击图是一种基于模型的网络安全评估技术,它从攻击者的角度出发,在综合分析多种网络配置和脆弱性信息的基础上,找出所有可能的攻击路径。根据攻击者当前所处节点,结合其他节点上的漏洞情况,以及节点的价值对其攻击行为进行预测,并提前对后续路径上的节点实施移动目标防御以应对攻击者的进攻[9]。
编辑搜图
图 2 攻击图示意图
小 结
文章展示了目前在应用于移动目标防御的几种策略选择方法,经过数年的发展,该领域已经越来越成熟,但这些研究大部分都是在单种攻击的场景下实现的,无法同时防御多种攻击,此外现有的移动目标防御技术或是基于随机,或是基于安全事件的被动触发机制,较为依赖系统中的异常检测,仍有较大的研究空间。
参考文献
[1] Clark A, Sun K, Bushnell L, et al. A game-theoretic approach to ip address randomization in decoy-based cyber defense [J]. Springer International Publishing, 2015.
[2] 田俊峰, 齐鎏岭. SDN 中基于条件熵和 GHSOM 的 DDoS 攻击检测方法 [J]. 通信学报,2018, 39(8): 10.
[3] 刘涛, 尹胜. SDN 环境中基于交叉熵的分阶段 DDoS 攻击检测与识别 [J]. 计算机应用与软件, 2021, 38(2): 6.
[4]雷程, 马多贺, 张红旗,等. 基于网络攻击面自适应转换的移动目标防御技术[J]. 计算机学报, 2018, 041(005):1109-1131.
[5]Kelly J, Delaus M, Hemberg E, et al. Adversarially adapting deceptive views and reconnais-sance scans on a software defined network [J]. IEEE.
[6] Tozer B , Mazzuchi T , Sarkani S . Optimizing Attack Surface and Configuration Diversity Using Multi-objective Reinforcement Learning[C]// IEEE International Conference on Machine Learning & Applications. IEEE, 2016.
[7] Zhou Y, Guang C. A cost-effective shuffling method against ddos attacks using moving target defense [C]//2019.
[8] Zhang H, Jinglei T, Liu X, et al. Moving target defense decision-making method: A dynamic markov differential game model [C]//CCS ’20: 2020 ACM SIGSAC Conference on Computer and Communications Security. 2020.
[9] Yoon S, Cho J H, Dong S K, et al. Attack graph-based moving target defense in software-
defined networks [J]. IEEE Transactions on Network and Service Management, 2020, PP(99):
我有话说: