移动目标防御技术作为一项改变攻防不对称局面的主动防御技术,近年来受到了学界与工业界广泛关注。基于网络攻击面的移动目标防御技术旨在不断变换网络攻击面的外显特性,增加攻击者对攻击目标的不确定性,使其获取的攻击面信息失效,从而挫败网络攻击。然而,当前研究主要存在以下三个方面不足:（1）攻击面动态转移方式单一,导致防御机制存在被识别并绕过的可能性;（2）动态防御策略制定方式简单,没有充分考虑何时转移、转移哪些资源的问题;（3）缺乏统一的效能评估方法,难以评估不同攻防环境中各类移动目标防御机制的优劣情况。针对攻击者侦查目标、锁定目标、打击目标的三个阶段,本文基于网络攻击面分别研究了移动目标防御变换机制、移动目标防御策略优化以及移动目标防御效能评估三个层面问题,主要研究内容和创新点包括:（1）针对现有端址跳变研究中配置管理复杂、跳变周期固定、防御效能不足等问题,提出了一种基于动态端址跳变的网络侦查主动防御方法。该方法首先采用启发式的特征选择与集成分类结合的方式,大幅提升威胁识别效率与识别效果,快速形成威胁预警指导制定端址跳变策略;基于周期与威胁事件形成混合驱动的端址跳变机制,并针对跳变空间、周期进行自适应调整,以及采用半端址跳变减少非必要的防御开销。实验结果表明该方法能够有效限制扫描攻击成功率,并且维持了较低的系统性能开销。（2）针对客户端被攻击者劫持导致而发生的网络核心资产暴露与防御机制失效等问题,提出了一种基于虚实节点动态伪装的网络资产混淆方法。首先,融合移动目标防御与蜜罐技术构建混合式主动防御机制,向攻击者传递虚实相间的端节点信息,使其对真实网络资产的判定产生混淆。其次,引入了多阶段信号博弈模型对攻防交互过程进行刻画,综合分析攻防双方的行为与效用情况。最后,基于动态分析结果及博弈均衡点的求解,动态优化混淆策略,从而进一步提升防御效能,保护了网络核心资产的安全性。（3）针对传统DDoS检测方法防御滞后与现有基于移动目标防御的防御方法对服务性能影响过大等问题,提出了一种基于动态准入与服务迁移的DDo S攻击防御方法。该方法设计并实现了基于动态准入与轻量服务迁移的移动目标防御架构,达到了部署灵活、节约开销等目的。此外,还引入了约束马尔可夫决策过程辅助防御策略的求解,在兼顾防御效能与用户方服务质量的前提下,指导防御者优化防御决策。（4）针对已有研究中对移动目标防御技术的效能评估缺乏通用性测度的问题,提出了一种基于贝叶斯攻击图的移动目标防御效能评估方法。首先,结合概率模型与图安全模型构建贝叶斯攻击图,并融合通用脆弱性评分系统与资源依赖关系量化漏洞利用的难易程度。其次,提出一种基于反向推导的攻击路径预测算法,直观反应攻击者的潜在行为与攻击目标。最后,分别从防御开销、有效性以及实施效率三方面构建了面向网络攻击面动态转移技术的效能评估测度,从而系统性地分析各类防御机制的效能情况。