刘 杰，刘建国，朱春祥

(1.武警某部信息通信局， 北京 100036； 2.国防信息学院， 武汉 430010)



一种基于主动防御技术的跳扩混合Web应用系统设计

刘 杰1，刘建国2，朱春祥2

(1.武警某部信息通信局， 北京 100036； 2.国防信息学院， 武汉 430010)

由于网络信息系统的静态性、相似性和确定性，使传统的被动防御已无法应对当前自动化、复杂化、大规模化的网络攻击。运用主动防御技术构建网络安全防御体系，是提高网络抗攻击性能的有效解决办法。基于主动防御技术，设计了一种由Web服务器、可信客户端、同步模块组成的跳扩混合Web应用系统。明确了系统在多种工作模式下获取Web服务的工作过程和需要进一步研究的关键技术。

网络安全；主动防御；跳变技术；Web服务

主动防御技术是近年发展起来的一种网络安全防护新技术，该技术不同于以往的网络安全研究思路，并不追求完善无暇的系统对抗攻击，而是通过不断变化(或跳变)被保护对象来增加攻击的难度和代价，以达到防护目标的目的。目前，国内外网络安全主动防御的理论和技术研究取得了很大进展。美国针对网络攻防的不对称性，提出了移动目标防御思路：致力构建一种动态的、异构的、不确定的网络，通过增加系统的随机性或减少系统的可预见性达到防护目的，通过不断的变化(或跳变)来增加攻击的难度和代价[1-3]。美陆军还授予雷声公司“限制敌方侦察的变形网络设施(MORPHINATOR)”项目，研制具有“变形”能力的计算机网络原型机[4]。在国内，电子科技大学提出了基于服务多态的IP网络生存模型[5]，国防科技大学提出了信息系统防护体系多样化动态漂移技术框架[6]，解放军信息工程大学提出了基于多穴跳变的IPv6主动防护模型[7]，信息工程大学运用基于拟态计算的主动认知可重构体系结构网络安全技术研制出了拟态计算机，以降低病毒、木马等恶意程序和后门漏洞带来的危害[8-9]。总体上讲，这些研究成果还处在理论研究和探索阶段，还没有成熟的产品和完整的技术解决方案。本系统基本设计思路：构建可信任的内部网络环境，采取端口、地址、路由、服务等多要素的综合跳变技术，通过网络架构、软件、数据的动态变迁，从多层面斩断攻击链条，实现安全效能倍增。该系统与传统信息安全系统互补增强，共同形成面向风险管控的主动安全防御体系。

1 系统架构

系统运用端信息跳变技术，使通信双方地址和端口等端信息在通信过程中不断进行跳变和扩展，并不断在新的地址和端口之间建立连接，保证通信过程中的端信息动态变化，这样攻击者就无法得到通信主机的真实信息，攻击也就无从下手，可以从根源上阻断攻击的发生，从而实现对主机系统的主动安全防御。

1.1 系统逻辑结构

系统主要由Web服务器、可信客户端、同步模块三大功能模块组成，如图1所示。其中：Web服务器主要由跳变模块和服务提供模块组成，除完成端信息随机跳变和用户身份认证过程中的端信息扩展应用外，主要为用户提供正常、端信息跳变、跳扩混合3种服务模式。将端信息随机跳变与端信息扩展两部分结合，是系统实现主动防御功能的核心技术。可信客户端是已取得Web服务认证和跳扩同步的客户端，由服务请求模块和服务提供模块组成，对于Web服务器上的内容具有访问获取的权限。同步模块是位于网络中一种独立的服务模块，由精准时间跳变同步、UDP发言人时间戳同步、跳扩混合同步3部分组成，采用两层设计：第1层是作为可信客户端获取Web服务器工作模式；第2层是各个模块对UDP发言人服务以同步方式引入。为使系统提供稳定可靠服务，必须攻克的关键技术有：① 动态服务跳变适配技术，研究服务数据同步共享机制，实现服务在异构平台上高速随机切换，并通过服务跳变代理为用户提供统一服务，实现业务的“透明”访问；② 跳变图案生成技术，研究动态跳变图案生成技术(如改良的混沌算法生成跳变图案)，在保证系统服务跳变、网络跳变和路由跳变高速协同工作时提升跳变图案的健壮性和抗破解性；③ 网络动态切换技术，研究动态路由和动态地址双重切换的网络动态切换技术，实现对网络流量的灵活控制[10]；④ 全局时钟同步技术，研究基于北斗的时钟同步技术，解决全网分布式时钟同步问题(基于动态防护网络本身的时钟同步机制无法实现全局全网且满足高速跳变的时钟同步[11-12])。

1.2 系统网络架构

跳扩混合Web应用系统各功能模块部署在广域网环境中，通过综合运用端信息跳变和端信息扩展，并通过UDP发言人完成高速率跳变的端信息同步，如图2所示。系统由分布在不同物理位置的2个通信子系统，通过内部防火墙、外部防火墙连接外部网络而成一个大的信息通信网络。外部防火墙和内部防火墙为通信子系统提供两层安全防护。跳扩混合的Web应用防护模块部署在外部防火墙的DMZ区域，不受外墙保护，面临截获攻击、拒绝服务攻击等安全威胁高。Web服务器通过自身的跳扩混合技术和可信客户端插件方式，实现Web应用的安全防护。可信客户端发起服务请求时首先向UDP发言人发起询问当前Web服务器的跳变状态，UDP发言人通过轻量级的UDP服务告知可信客户端。可信客户端通过对状态的解析确定采用何种跳变策略与服务器进行同步，并发起服务请求，服务器端接受并验证可信客户端的服务请求，为其提供所请求的服务。

图1 跳扩混合Web应用系统功能模块

图2 跳扩混合Web应用系统网络架构

2 同步方式

系统服务器提供正常、端信息跳变、跳扩混合3种工作模式。对无安全需求的服务，按传统正常模式提供服务；对有安全需求的服务，服务器按端信息跳变或跳扩混合工作模式提供服务。各种服务工作模式由服务提供者根据服务安全等级选择。在端信息跳变和跳扩混合工作模式下，系统是否能正常工作，取决于通信双方是否能保持同步。针对不同的安全需求，系统采取不同的同步策略，包括精准时间同步、UDP发言人时间戳同步、跳扩混合同步。系统工作模式和同步方式选择均由管理者在Web服务器管理界面上进行设置。

2.1 精准时钟同步

利用精准的时钟同步使Web服务器及可信客户端两部分同步跳变，使客户端能够精准地知晓服务器端当前提供服务的端信息的信息。其特点是简单实用、复杂度低，但易遭受攻击而发生时钟漂移。当发生时钟漂移时会导致同步失效，Web服务器与可信客户端之间的通信不能正确地继续进行。此方法不支持高速跳变，当跳变速度过快时，发生时钟漂移的概率会大大增加，因此仅适于受攻击程度较低的网络。利用精准时钟同步的方式能够满足低速率、低代价的端信息跳变服务功能，达到服务器与客户端高效连接的目的。

2.2 UDP发言人时间戳同步

UDP发言人时间戳同步是一种适于远程应用的UDP 代言人服务同步方法。UDP发言人服务将生成端信息的时间戳通过轻量级UDP服务告知来访者。UDP发言人服务同步方式无需的严格时钟同步，同步过程中以公众服务的方式传递时间戳而不是端信息。攻击者由于没有跳变算法，即便获得了时间戳也无法计算出服务端信息，无法完成有效攻击。与TCP数据服务相比，UDP 发言人服务提供了极轻量的时间戳应答服务，代价极低且抗攻击性好，具有较好的实用意义。UDP发言人时间戳同步使用NTP服务器提供的高精准度时间进行校正(LAN与标准时间差小于1 ms，WAN与标准时间差几十毫秒)，NTP高精准度时间从“北斗”上获取。NTP适用于在一个无序的网络环境下提供精确和健壮的时间服务，使Web服务器及可信客户端两部分同步跳变，使客户端能够精准地知晓服务器端当前提供服务的端信息，从而能够向Web服务器发起安全连接。对于客户端，当其要访问Web服务器或有数据要发送时，首先获取本地的当前时间戳，通过私密算法，确定当前服务器提供服务的地址和端口号，接着向服务器发起连接请求，完成一次数据包的发送，然后按照该流程循环发送数据，直到通信过程结束。对于服务器，当其开启服务时，首先获取本地的当前时间戳，然后确定当前有效的地址和端口号，接着在所有有效的地址和端口号上启动网络监听，循环判断是否有数据连接请求，如果有就接受其连接，完成数据的接收。

2.3 跳扩混合同步

跳扩混合同步是利用端信息跳变与端信息扩展相结合，实现在端信息高速动态变化的过程中进行准确身份认证与通信同步的同步方式。端信息跳变和扩展均采用伪随机跳扩方式，能够有效地迷惑攻击者，使攻击者难以实施对系统的攻击。端信息跳扩混合技术是实现在端信息高速跳变的情况下进行可信客户端认证的一种创新方法，它能够保证系统的安全性及机密性，对于DoS攻击，截获攻击等具有很强的防御能力。跳扩混合同步方式的最大优点是能够支持高速跳变服务，适于攻击程度高环境下的可靠网络通信，满足高速跳变时通信双方建立连接的功能需求。其缺点是过程比较复杂，开销大，因而数据传输速率受到影响，但不存在时钟漂移问题。

3 跳扩插件

跳扩插件是针对Web服务系统的专用插件，包括IE浏览器插件和Firefox插件。跳扩插件对端信息跳扩Web服务系统进行身份认证，拥有跳扩插件的客户端即视为可信客户端，可通过认证访问并获取Web服务的内容，完成客户端对服务器的访问。可信客户端以插件的形式安装并运行在浏览器中，可信客户通过向UDP发言人请求当前Web服务器的工作模式来确定服务请求同步方式。

3.1 IE浏览器插件

IE浏览器插件安装在可信客户端的IE浏览器上，实现用户对Web服务的访问。该插件设计三个基本功能模块：一是传统正常访问服务器模块；二是端信息跳变下的访问模块；三是跳扩方式下的访问模块。为了更方便快捷地知晓当前服务器的状态，在本系统设计中，客户端和服务器之间设置了一个UDP发言人服务器，当客户端想要向服务器请求服务时，需事先知晓服务器处于正常、端信息跳变、跳扩混合三种状态的哪一种状态，以此来决定插件的工作方式。其工作流程是：服务器向UDP发言人服务器报告自己的当前状态，当客户端想要请求访问服务器时，首先向UDP发言人服务器询问请求，UDP发言人服务器将服务器当前服务状态告知客户端，客户端据此选择自身工作方式。

3.2 Firefox插件

Firefox插件主要完成火狐浏览器在任意时刻能获取Web服务器所用的IP和所开放的端口，保障火狐浏览器正确访问该Web服务器。该插件主要分为三个模块：第一个模块实现在Web服务器不进行跳变时的正常访问；第二个模块是在Web服务器端口和IP地址通过时间戳不断跳变时，保证用户能访问到正确的端口和IP，从而完成访问连接；第三个模块是针对跳扩的情形，Web服务器根据客户端发送的端信息来选择开放的IP和端口，此时需扩展要访问的IP和端口来完成正常访问。在对服务器访问之前，首先对服务器状态进行判断，来确定客户端的工作模式。其工作流程是：浏览器向UDP发言人发出请求，UDP发言人返回服务器当前同步状态，浏览器对同步状态进行解析。

4 Web服务

系统提供基础的Web服务，能够在系统端信息跳变与不跳变的情况下正常提供服务。Web服务器是一种被动的程序，只有当客户端发出的请求时，服务器才会响应。因此无论何种同步策略，都能以无状态、无连接的方式通过获得同步信息请求服务得到服务器的响应。Web服务功能分为时间模块、监听套接字模块、请求应答模块、关闭连接模块4个模块。

4.1 时间模块

用于获取当前服务器时间。Web服务器响应请求时，Web服务器应答消息报头中包含服务器消息发出的时间。

4.2 侦听套接字模块

用于倾听和接收客户端进程的连接请求。使用socket函数创建套接字描述符，bind函数将套接口和机器上的一定的端口号绑定在一起，在跳变过程中，bind函数改变跳变的端信息，然后使用listen函数将一个套接字转换为被动侦听套接字(listening socket)，并在套接字指定的端口上开始侦听。

4.3 请求应答模块

请求模块：客户端主动发起请求时，通过TCP三次握手和服务端建立连接。侦听套接字先接收客户端进程的连接请求，完成连接建立后再进行HTTP请求。

应答模块：由状态行、消息报头、响应正文组成HTTP响应，给出Web服务器返回资源的内容，即一个静态网页的内容。

4.4 关闭连接模块

在每次Web服务器响应完成后，关闭客户端和服务端之间的连接。不同于传统的TCP连接过程，由于Web服务器在跳变过程中，采用了无状态、无连接的方式对请求服务的可信客户端提供服务，因此服务完成后，需关闭二者的连接。

5 结束语

目前一些被动防御手段仅仅在攻击发生时或发生后对数据和系统进行安全防御，并不能从根源上阻止攻击的发生。本设计系统则不针对特定攻击技术、模式和特征采取针对性防御，而是破坏攻击者的攻击依赖环境，阻断攻击链条，通过服务跳变、地址跳变和路由跳变三重动态主动防护措施，在“基于认知的主动决策”的控制下有序协调工作，形成动态的、非确定的网络空间，极大地增加了攻击难度，提高了信息通信系统的可信服务性能。

[1] JAJODIA S,GHOSH A K,SWARUP V,et al.Moving target defense:creating asymmetric uncertainty for cyber threats[M].[S.l.]:Springer Science & Business Media,2011.

[2] CUI A,STOLFO S J.Symbiotes and defensive Mutualism:Moving Target Defense[M]//Moving Target Defense.New York:Springer,2011.

[3] ALBANESE M,DE BENEDICTIS A,JAJODIA S,et al.A moving target defense mechanism for manets based on identity virtualization[C]//Communications and Network Security (CNS),2013 IEEE Conference on.[S.l.]:IEEE,2013.

[4] 卢青.美国国防部加强网络安全的新举措[J].外军军事学术，2014(7)：39-41.

[5] 吴雄飚.基于服务多态的网络生存模型及漂移算法[D].成都：电子科技大学，2009.

[6] 黄遵国，卢锡城，胡华世.生存能力技术及其案例研究[J].通信学报,2004，25(7)：137-145.

[7] 刘慧生，王振兴，郭毅.一种基于多穴跳变的IPv6主动防御模型[J].电子与信息学报,2012，34(7):1715-1720.

[8] 邬江兴.网络空间拟态安全防御[J].保密科学技术,2014，5(10)：4-9.

[9] 邬江兴.拟态计算与拟态安全防御的原意和愿景[J].电信科学,2014，59(7)：1-7.

[10]高诚，陈世康，王宏.基于SDN架构的地址跳变技术研究[J].通信技术,2015,48(4)：430-434.

[11]FU Z,PAPATRIANTAFILOU M,TSIGAS P.Mitigating distributed denial of service attacks in multiparty applications in the presence of clock drifts[J].IEEE Transactions on Dependable and Secure Computing,2012,9(3):401-413.

[12]ATIGHETCHI M,PAL P,WEBBER F,et al..Adaptive use of network-centric mechanisms in cyber-defense[C]//roceedings of the 6th IEEE International Symposium on Object-Oriented Real-Time Distributed Computing.Hokkaido:IEEE,2003:183-192.

(责任编辑 刘 舸)

Design of Web Application System with Hopping and Spreading Mixed Characteristics Based on Active Defense Technique

LIU Jie1, LIU Jian-guo2， ZHU Chun-xiang2

(1. Information Communications Agency of a Department in the Armed Police Force, Beijing 100036，China; 2.PLA Academy of National Defense Information, Wuhan 430010, China)

Traditional passive network defense technique could not cope with nowadays automatic, complex and large scale network attacks, due to the static, similar and certain properties. It is an effective method to enhance network anti-attack ability by applying active network defense techniques (ANDT) in constructing network security defense system. The paper designed a web application system with hopping and spreading (HAS) mixed characteristics based on ANDT, which consists of web servers, trust-able clients and synchronization modules. Furthermore, we described the process for accessing web service when the system operated under various modes, and pointed out the key techniques that needed further research.

network security; active defense; hopping techniques; web service

2017-03-15

刘杰(1971—)，男，博士研究生，高级工程师，主要从事信息安全研究；通讯作者 朱春祥(1965—)，男，教授，主要从事通信与信息系统研究，E-mail:wuhanzcx@126.com。

刘杰，刘建国，朱春祥.一种基于主动防御技术的跳扩混合Web应用系统设计[J].重庆理工大学学报(自然科学)，2017(6):134-139.

format：LIU Jie, LIU Jian-guo，ZHU Chun-xiang.Design of Web Application System with Hopping and Spreading Mixed Characteristics Based on Active Defense Technique[J].Journal of Chongqing University of Technology(Natural Science)，2017(6):134-139.

10.3969/j.issn.1674-8425(z).2017.06.020

TP393

A

1674-8425(2017)06-0134-06