为改变网络空间中易攻难守的局面，限制网络攻防不对称性对防御者的不利影响，动态目标防御(moving target defense, MTD)^[1]作为“改变游戏规则”的革命性技术之一于2011年被美国国土安全部赛博安全研发中心提出。MTD期望不断改变被保护系统的攻击面，使得攻击者获取的攻击面是随机的、动态的、不可预测的。这种不断变化的思路可以增加攻击者的攻击难度及代价，有效限制系统中脆弱性的暴露，减少漏洞被利用的机会，提高系统的弹性和安全性^[2]。随着MTD技术的研究不断深入^[3-4]，大量的动态目标(moving target, MT)技术被提出，这些技术从部署层次上主要可以分为3类^[5]：网络层MT技术，以网络参数变换为基础，如随机主机参数变换^[6]等；主机层MT技术，以平台变换，运行时环境参数变换为基础，如云平台变换^[7]等；数据存储层MT技术，以存储多样性为基础，如数据随机化。

虽然MT技术日益成熟，部分防御手段已经成功应用到实际系统安全防护中，但是针对MTD有效性评估问题仍是需要解决的重点之一。因此，如何更为全面、直观和准确地评估MTD效能是当前研究的热点^[8]。目前，已有学者将概率模型^[9]、博弈论模型^[10]、Markov模型^[11]、信息熵模型^[12]和攻击图模型^[13]应用于MT技术有效性评估。这些方法针对单一层次的MT技术，在较小的网络拓扑中具有一定的适用性，但是针对多层次、较大网络拓扑结构系统中的MT技术有效性评估问题，还需要进一步研究。

攻击面模型^[14]是评估操作系统和软件安全性的一种重要方法，针对MTD攻防环境，通过扩展其定义，可以将攻击面模型扩展到云平台^[7]和攻防关系^[15]中。但这些研究仍将攻击面局限于单个节点，缺少了从系统层面对攻击面的分析，使其无法分析较大规模信息系统的安全性。

本文通过对现有的MTD有效性评估方法进行分析，从系统角度扩展了攻击面定义，建立了系统攻击面及其变化参数模型；并提出了基于系统攻击面变化参数序列的MTD评估方法，解决了多层次MT技术在较大规模网络拓扑环境下的评估问题；最后采用该评估方法，以典型的信息系统为例，针对高级持续威胁(advanced persistent threats, APT)和网络杀伤链(cyber kill chain, CKC)攻击^[16]，利用公共漏洞和暴露(common vulnerabilities & exposures, CVE)数据库和通用漏洞评分系统(common vulnerability scoring system, CVSS)等漏洞分析结果，生成了攻击状态序列并从中分析了多层次MTD技术的有效性。

1 系统攻击面与变化参数 1.1 系统攻击面模型

系统攻击面(system attack surface, SAS)是指网络攻防环境中受保护的系统资源可被攻击者利用并造成潜在威胁的资源集合，包括系统的软、硬件配置，网络属性和系统漏洞。以典型的信息系统拓扑为例，如图 1所示，其系统资源可以通过一个有向图来表示。

本文定义系统攻击面(system attack surface, SAS)是对系统资源进行分析与抽象后得到的子集，可以表示为一个有向加权图G_sas(t)：

$ {G_{{\rm{sas}}}} = \left\langle {{N_{{\rm{sas}}}}\left( t \right),{E_{{\rm{sas}}}}\left( t \right),{W_{{\rm{sas}}}}\left( t \right)} \right\rangle . $

(1)

其中：N_sas(t)为节点集合在t时刻的攻击面，E_sas(t)为节点之间在t时刻的连接关系，权值W_sas(t)表示节点间在t时刻连接的属性。而系统中节点集合的攻击面N_sas(t) = {N_as(d, t)，d = 1, 2, …，N}由每个节点自身的攻击面N_as(d, t)组成，表示如下：

$ {N_{{\rm{as}}}}\left( {d,t} \right) = \left\langle {P_d^t,V_d^t} \right\rangle . $

(2)

其中：P_d^t为在t时刻第d个节点的攻击面参数，V_d^t为该参数对应的值域。

因为攻击者和防御者对系统攻击面分析能力的不同，引入了内、外攻击面概念^[17]。外部系统攻击面(ESAS)是以攻击者视角所分析抽象出的系统攻击面，内部系统攻击面(ISAS)是以防御者视角所分析抽象出的系统攻击面。

定义1  系统中零日(zero-day, 0-day)资源是指系统资源中可被ESAS抽象出来而不能被ISAS所抽象的资源，表示如下：

$ {N_{{\rm{zd}}}} = \left\{ {\forall n \subset {G_{{\rm{sys}}}},n \in {G_{{\rm{esas}}}} \cap n \notin {G_{{\rm{isas}}}}} \right\}. $

(3)

定义2  系统攻击面变化是指系统资源在攻防过程中的变化。一个系统在t时刻的系统攻击面记为G_sas(t)，在t+Δt时刻的系统攻击面记为G_sas(t+Δt)。若系统攻击面变化，则其系统资源必须满足以下3个条件之一：

1) $\exists $r∈G_sas(t)，但是r∉G_sas(t+Δt)；

2) $\exists $r∈G_sas(t)∩$\exists $r∈G_sas(t+Δt)，但是r(t+Δt)≠r(t)；

3) $\exists $r₁, r₂∈G_sas(t)∩$\exists $r₁, r₂∈G_sas(t+Δt)，但是W_sas(r₁, r₂, t)≠W_sas(r₁, r₂, t+Δt)。

以上3个条件分别描述了MTD技术对系统资源变换的3种方法，资源替换、配置改变和连接关系改变。

1.2 攻击面变化参数

以往通过攻击面评估静态防御技术有效性的方法需要根据MTD的特点，引入系统攻击面变化参数(SAS shifting parameters，SASSP)来表征动态变化的防御过程，因此本文需要建立攻击面变换参数指标。为了量化攻击面变化的程度，本文定义攻击面变化参数为一个五元组：

$ {M_{{\rm{sas}}}}\left( t \right) = \left\langle {L\left( t \right),\mathit{\Omega }\left( t \right),S\left( t \right),\mathit{\Psi }\left( t \right),\mathit{\Phi }\left( t \right)} \right\rangle . $

(4)

其中：L为攻击面变化中的位置，Ω为攻击面变化中的形状，S为攻击面变化中的大小，Ψ为攻击面变化中的强度，Φ为攻击面变化中的连接关系。

系统攻击面变化中的位置是指攻击者侵入系统的入口，包括网络位置L_np(t)和物理位置L_pp(t)，定义为

$ L\left( t \right) = \left\langle {{L_{{\rm{np}}}}\left( t \right),{L_{{\rm{pp}}}}\left( t \right)} \right\rangle . $

(5)

其中：系统网络位置又包括可被攻击者探测的IP地址L_sip、端口号L_spn和通信协议L_spt集合，L_np = 〈L_sip(t), L_spn(t), L_spt(t)〉；而系统物理位置描述了系统中漏洞被利用时的内存地址集合，L_pp(t) = {L_npp^d(t), d = 1, 2, …，N}。

系统攻击面变化中的形状是指可被攻击者利用的“服务”集合，这些“服务”中包含着可被利用的漏洞或配置，可表示为

$ \mathit{\Omega }\left( t \right) = \left\{ {\omega _d^t,d \in \left( {1,N} \right),t \in \left( {0,T} \right)} \right\}. $

(6)

其中：每个节点的攻击面变化形状参数是节点服务集合ω_d^t = ω_os(t)⊗ω_t(t)⊗ω_s(t)，包括操作系统类型，服务平台类型和支撑服务环境。

系统攻击面变化中的大小描述了系统中可被利用的资源数量S_n(t)，攻击者利用难度S_i(t)和系统中“0-day”漏洞的存在性S_zd(t)，可表示为

$ S\left( t \right) = \left\langle {{S_n}\left( t \right),{S_i}\left( t \right),{S_{{\rm{zd}}}}\left( t \right)} \right\rangle . $

(7)

其中：系统中可被利用的资源数量由各个节点自身的漏洞S_nn^d(t)和连接关系共同决定；攻击者利用难度由系统中各节点漏洞利用难度S_ni^d(t)和节点连接关系共同决定；系统“0-day”漏洞存在性，由系统各节点“0-day”漏洞存在性S_nzd^d(t)和节点连接关系共同决定。

系统攻击面变化中的强度包括系统中潜在漏洞被利用时所造成的破坏程度Ψ_e(t)和系统中漏洞被利用所需的最低权限Ψ_v(t)，可表示为

$ \mathit{\Psi }\left( t \right) = \left\langle {{\mathit{\Psi }_e}\left( t \right),{\mathit{\Psi }_v}\left( t \right)} \right\rangle . $

(8)

其中：系统潜在漏洞的破坏程度由各个节点中漏洞的破坏程度Ψ_ne^d(t)和节点连接关系决定；系统漏洞利用所需最低权限，由每个节点漏洞利用所需的最低权限Ψ_nv^d(t)和节点连接关系决定。

系统攻击面变化中的连接关系不仅包含了节点间的拓扑连接Φ_w(t)，也将节点的工作状态Φ_s(t)纳入了连接关系变化中，可表示为

$ \mathit{\Phi }\left( t \right) = \left\langle {{\mathit{\Phi }_w}\left( t \right),{\mathit{\Phi }_s}\left( t \right)} \right\rangle . $

(9)

节点的工作状态集合由各个节点的工作状态决定，Φ_s(t) = {Φ_ns^d(t), d = 1, 2, …，N}，并对每一个节点工作状态Φ_ns^d(t)都有：

$ \mathit{\Phi }_{{\rm{ns}}}^d\left( t \right) = \left\{ {\begin{array}{*{20}{c}} {0,}&{服务停止;}\\ {1,}&{正常服务.} \end{array}} \right. $

(10)

通过对系统攻击面的定义和系统攻击面变化参数的细化，可以建立起攻击面变化与其变化参数之间的联系，从而为MTD有效性量化评估提供支撑。

推论1  系统攻击面发生变化的充要条件是系统攻击面变化参数发生了变化。

证明：

首先证明充分性。在MTD环境中，∀t∈(0, T), $\exists $Δt，使得M_sas(t)≠M_sas(t+Δt)。有$\exists $m∈M_sas(t), $\exists $m′∈M_sas(t+Δt)，并且m和m′的类型一致，使得m≠m′。由于攻击面变化参数由具体的攻击面/系统资源分析得来，所以通过统一的攻击面变化参数生成函数f_s(r, τ)可以生成对应的参数。$\exists $r∈G_sas(t), $\exists $r′∈G_sas(t+Δt)，并且r和r′可以生成对应的攻击面参数，m = f_s(r, τ), m′ = f_s(r′, t+Δt)。因为m≠m′，所以r≠r′，通过定义2可知攻击面在t+Δt时刻发生了变化。

其次证明必要性。在MTD环境中，∀t∈(0, T), $\exists $Δt，使得G_sas(t)≠G_sas(t+Δt)。由定义2可知，$\exists $r∈G_sas(t), $\exists $r′∈G_sas(t+Δt)，并且类型一致，使得r′ = Ø∪r≠r′∪W_sas(*, r, t)≠W_sas(*, r′, t+Δt)。同时，在f_s(r, τ)下有$\exists $m∈M_sas(t), $\exists $m′∈M_sas(t+Δt)，使得m = f_s(r, t), m′ = f_s(r′, t+Δt)。因为r与r′必然满足定义2，所以m′ = Ø∪m≠m′。由系统攻击面变化参数的定义可知，该元组中某个参数在(t+Δt)时刻发生了变化。

1.3 攻击面变化参数获取

系统攻击面变化参数的获取主要有2种途径，一是对系统资源自身属性参数进行提取，如网络配置参数、操作系统运行参数、服务平台配置与运行参数等等，这些参数主要涉及系统自身配置与运行，可以直接获取；二是利用其他安全相关服务，如漏洞扫描、威胁分析、CVSS评估和CVE漏洞数据库等等，这些参数主要涉及系统中潜在的漏洞和威胁，需要通过特定软件分析得来。

本文以图 1所示的信息网络拓扑结构为例，利用CVE和CVSS分析结果^[18]，对攻击面变化参数获取方法进行介绍，具体参数结果将在案例评估与分析中给出。

根据表 1中所示的系统基本参数，并结合MTD技术中具体变换的版本信息，本文采用CVE和CVSS作为系统漏洞与威胁分析的数据源。通过对CVE中漏洞信息的分析与提取，获取系统基本参数有关的漏洞信息，然后利用CVSS的评估结果，生成相应的威胁分析结果。该结果中主要包括，漏洞数量、利用难度、破坏程度、所需权限和触发方式等等。

综合系统基本参数和漏洞分析结果，可以生成攻击面变化参数并依据MT技术变化生成攻击面变化参数序列(queue of SAS shifting parameters, QSASSP)，既Q_sas = {M_sas(t), t = 0, 1, …，T}。

2 基于QSASSP的有效性评估模型 2.1 攻击知识获取模型

当目标系统部署MTD技术时，攻击者对目标的探测与分析会随着MT变换而失效，因而需要建立一种攻击知识获取模型(attacking knowledge acquirement model, AKAM)来描述攻击者对目标系统信息掌握程度。MTD的随机性、动态性和不可预测性使得攻击者需要根据不同的变换方法，调整其自身的策略从而尽可能的达成攻击目标。在这种攻防环境中，攻击者可用的策略主要分为以静制动、逐步排除和概率探测3种。

采用以静制动策略时，攻击者以不变的攻击知识集来对抗MTD变化，期望MT技术的变换能与其知识集相匹配从而达成攻击目标。这类策略可以对抗高频率和小范围变化的MT技术。采用逐步排除策略时，攻击者循序渐进，在MT变化空间内逐步排除不准确的目标信息构建攻击知识集。并当MT技术使系统资源发生变化后，以前收集的所有知识都失效，从零开始进行排除，这类策略可以在较小的变化空间对抗低频率的MT技术。采用概率探测策略时，攻击者依概率在可能的变化空间内生成攻击知识集，并逐渐消除MTD带来的不确定性。该策略可以在较大的变换空间内对抗较高频率的MT技术。

由于以静制动和概率探测都可以看成一定条件下的逐步排除策略，所以本文仅以逐步排除策略来研究AKAM，并给出在G_sys系统资源下t时刻的攻击者知识集合：

$ {K_{{\rm{att}}}}\left( {{G_{{\rm{sys}}}},t} \right) = \sum\limits_{t = 0}^t {\sum\limits_{d = 1}^{{N_0}} {{R_{{\rm{ast}}}}\left( {k_d^t,t} \right)} } . $

(11)

其中：R_ast(k, t)为攻击者采用逐步排除策略获取目标知识的算法，k_d^t是第d个节点在t时刻的攻击知识，N₀是攻击者可以连接到的最大节点数。

2.2 系统外攻击面变化序列生成

通过对系统内攻击面变化参数和MT技术配置参数的获取，利用AKAM模型可以得到系统外攻击面变化参数的序列：

$ {Q_{{\rm{esas}}}} = {G_{{\rm{qis}}}}\left( {{M_{{\rm{isas}}}},\tau ,\omega } \right) $

(12)

其中：G_qis(M_isas, τ, ω)为基于逐步排除策略的AKAM的序列生成算法，τ和ω分别为MT技术变化的时间周期和空间范围。

本文以系统外攻击面变化参数序列中网络位置为例，通过伪代码来描述该算法过程，如图 2所示。序列中其他的参数生成方法同理，本文不再赘述。

2.3 系统外攻击面变化序列与MTD有效性评估

在分析系统外攻击面变化序列与MTD有效性时，通过引入APT和CKC，本文以攻击者可能的处于的攻击状态为评估基础，通过建立系统外攻击面变化序列与攻击状态的映射关系，分析MT技术在打断网络攻击链，迫使其攻击状态退回的能力，并给出攻击状态转换、攻击所需时间与MT技术之间的关系，从而得到MTD有效性的评估结果。

在网络杀伤链模型中，攻击者需要顺序地完成攻击步骤才能最终达成目标，如图 3所示。这些步骤之间是相互依存的，攻击者不能跳过某一个步骤而简化其攻击过程^[16]。本文将攻击者处于的攻击步骤作为攻击状态，这些攻击状态可以退回，自转移和单步前进。

在一个CKC完整攻击过程中，攻击者总是从侦查目标(reconnaissance，R)开始，历经制作工具(weaponization，W)、传送工具(delivery，D)、触发工具(exploitation，E)、安装木马(installation，I)和建立连接(command & control，C & C)等步骤，最后按照攻击者意图进入执行攻击(attack on objective，AoO)，如机密信息窃取，关键服务瘫痪和僵尸网络控制等。表 2中列出了以上各个状态与系统攻击面变化参数之间的联系。

从表 2中可以得出，不同的攻击状态之间的差异性可以通过对系统攻击面变化参数的分析获得。所以本文通过系统攻击面变化参数，生成了攻击状态序列。该生成算法以系统内、外攻击面变化参数为基础，对每个攻击状态所需先验条件参数进行分析，并结合系统内、外攻击面变化参数时间序列差异，给出攻击状态转移判断条件，从而生成攻击状态序列。由于各个攻击状态其影响的攻击面变化参数有所重叠，造成了攻击状态序列存在多个攻击状态重叠的问题。本文基于网络杀伤链步骤，采用前后状态相关性分析的方法，并结合MT技术配置参数，优化了攻击状态转移条件，解决了攻击状态重叠的问题。

优化后的攻击状态转移条件需要按顺序检查3组子条件：1)攻击状态转移需要的先验条件；2)前一时刻攻击状态和当前时刻攻击状态的匹配条件；3)攻击状态转移时MT的变化条件。当且仅当攻击状态同时满足先验条件和匹配条件后，才能顺利向下一个状态单步转移；只要攻击状态满足了MT变化条件，攻击状态就需要退回；3个子条件都不满足时，攻击状态进行自转移。

3 案例评估与分析

在MTD案例评估中，本文以图 1中典型信息网络拓扑结构为基础；防御者根据表 1列举出的系统配置信息合理地部署MTD技术，案例中详细的配置参数和版本信息如表 3和4所示；同时，根据表 3可以利用CVE和CVSS得到该系统中Web服务器节点有关的漏洞和威胁信息，如表 5所示；攻击者以外部用户身份侵入该系统，其需要收集Web服务器有关信息，利用该服务器中的漏洞对该服务器进行攻击，获取该服务器权限，并以该服务器为跳板建立一条在外部用户和内部数据服务器之间的可靠连接，最终获取由内防火墙保护的数据服务器内机密数据。该案例可作为其他更为复杂网络拓扑下的分析模板，为分析其他场景提供了基础。

在利用本文提出的模型展开对MTD有效性评估前，需要对模型中时间划分、攻击者和防御者能力进行一定的假设。模型中利用逻辑时间进行序列生成和有效性评估，在其每一个时间片t的划分中，攻击者和防御者可以完成一个原子动作，即攻击者可以进行一次探测，防御者可以进行一次参数变换。模型中攻击者可以感知到MT技术使系统参数发生了改变，并放弃当前已完成的攻击步骤，从零开始；攻击者在获取漏洞信息制作攻击工具时，可根据其攻击能力和漏洞利用难度提升每次获取的数量，即攻击者获取的漏洞信息可以表示为V_att(t) = V_att(t-1)+V_exp·Att_abi；并且，攻击者需要与目标节点建立链接持续至少τ_att个逻辑时间来达成其获取机密数据的目标。模型中防御者根据配置信息部署MTD技术，并且假设在每一次参数变换时不会导致节点的工作状态发生改变。

本文分别以无MTD环境、仅有网络层MTD环境和多层次(网络层和主机层)MTD环境为例，对其系统内外攻击面和变化参数序列进行了分析，并生成了攻击状态序列，分别如图 4-6所示。

图 4中攻击状态序列变换在无MTD环境中，攻击者可以根据攻击需要获取目标知识，由于没有部署MT技术，已经获取的攻击知识不会失效，并且攻击者不会因为系统中配置参数改变而被迫转换攻击状态，并且其攻击能力越强所需的时间越短；以图 4为MTD有效性评估基础，从图 5和6可以看出：MTD对系统攻击面进行了操作，其系统攻击面变换参数发生了改变，从而打断了攻击状态的前向转移，在每次变化后都迫使攻击状态退回，并且从攻击所需逻辑时间角度增加了攻击所需的成本；对比图 5和6，单层的MT技术提供了一定的防御效能，但是将多层次MT技术进行融合后，可以在多个阶段打断原有攻击步骤，从而增加攻击者达成目标所需的逻辑时间，以提高安全性。

本文提出的评估模型，不仅直观地描述了MT技术对攻击状态转移的影响，也可以通过攻击所需逻辑时间具体量化评估不同MT技术所带来的安全性提升，并且可以扩展到较大规模网络拓扑环境中多层次MT技术融合防护的能力评估。利用该评估结果，在MTD效能优化时应该在满足系统用户需求的前提下，尽可能的部署多层次防御技术，从而尽可能地提升系统安全性。

4 结论

本文通过对现有的MTD有效性评估方法进行分析，针对目前研究在较大规模网络拓扑中无法对多层次融合的MTD技术有效性进行评估的问题，从系统角度扩展了攻击面定义，建立了系统攻击面及其变化参数模型，引入了系统内外攻击面概念；分析了攻击者知识获取的不同策略，提出了基于系统攻击面变化参数序列的MTD评估方法，将系统外攻击面变化参数序列和高级持续威胁中网络杀伤链攻击步骤联系起来，采用优化后的攻击状态转移条件生成了攻击状态序列，利用攻击状态序列转移变化解决了多层次MT技术在较大规模网络拓扑环境下的评估问题；最后采用本文模型和评估方法，以典型的信息系统为案例，评估无MTD、单层MTD和多层MTD环境下攻击状态序列，得到了不同层次MTD技术的有效性评估结果。