易攻难守是当前网络安全普遍面临的问题之一,移动目标防御(MTD)为解决这一问题提供了一种全新思路,其核心思想是通过内部可管理的方式对被保护目标的攻击面实施持续性的动态变换以迷惑攻击者,从而增加攻击者实施成功攻击的代价和复杂度,降低其攻击成功的概率,提高系统弹性和安全性。移动目标防御是当前一个热点方向,取得了一定的研究进展,但仍存在若干关键问题有待解决。本文选取了其中的四个关键问题,MTD特征及安全模型研究、MTD防御机理分析、适应性移动目标防御策略的设计、以及MTD系统性能评估,开展了深入细致的研究。本文的贡献主要体现在以下四个方面:1、研究了MTD机制特征,提出了MTD安全模型MP2R为了帮助后续研究者们理解MTD的本质和运行原理,我们对MTD机制所应具备的特征进行了研究,并提出了一个新的安全模型MP2R来描述移动目标防御机制的通用防御流程。我们首先对MTD机制的静态特征进行研究,刻画了创建一个MTD所应具备的四个主要特征和一个次要特征,提出了一个系统模型_M~∑来描述一个具体MTD机制与这些静态特征之间的对应关系,并对大量典型MTD机制进行静态特征分析从而验证了这种对应关系。然后,我们对MTD机制的运行特征也进行了研究,刻画了已有MTD在运行过程中体现出来的两个主要运行模式和一个辅助模式,分析了已有MTD机制与这些运行特征之间的对应关系,并以五个已有的MTD机制为例来分析验证了这种对应关系。而后,我们提出了一个新的以MTD准则为指导的安全模型MP2R来描述MTD机制的通用防御过程。通过将MP2R模型与传统防御过程所对应的PPDRR模型进行对比,可帮助后续研究者深刻地理解移动目标防御与传统防御之间的区别以及MTD的主动性所在。2、研究了移动目标防御技术的防御机理防御机理是对防御技术的本质认识,而当前虽然已有大量的MTD相关研究,但是尚无研究对移动目标防御技术的防御机理进行分析。针对这一问题,我们使用博弈论方法对其防御机理进行了研究和分析。文中所考虑的博弈场景中包括两个参与者:一个是防御者,他可为一个服务器配备不同类型的MTD机制以改善其安全性且同时保证其能提供特定的服务;另一个是服务访问者,他有可能是一个正常的合法用户,也可能是一个尝试发动攻击的攻击者。我们所采用的分析方法是:首先,针对所部署的每一种类型的MTD机制,均采用不完全信息动态博弈模型来对防御者与访问者之间的交互进行建模,并求解出相应的精炼贝叶斯均衡结果及其均衡条件。而后,通过将每一种类型MTD下的均衡结果及其均衡条件与一个已有的针对传统博弈的不完全信息博弈模型的均衡结果及均衡条件进行对比和分析,我们验证说明了MTD技术的主动性,并识别了能影响其有效性的因子:配置空间的大小以及机制变换频率的高低。这项工作为MTD机制的主动性和有效性提供了理论依据,且同时为防御者提供了改善MTD机制有效性的方法,具有重要的理论意义和实用价值。3、提出了一种具有适应性的移动目标防御方法MTD技术通过持续变换被保护系统的攻击面来阻挠攻击,因而在提升目标系统安全度时会引入一定的防御开销,且同时会对目标系统的可用性造成一定影响。因此,如何定义系统执行攻击面变换的条件和时机,优化变换的频率,以实现系统的可用性-安全性-开销之间的均衡,是一个值得深入研究的问题。针对这一问题,我们提出了一个具有适应性的移动目标防御系统框架AMTD,期望以最小的防御开销来换取最大的安全收益,包括系统的可用性。为实现这一目标,我们让AMTD具备两种适应性:一是防御方式的适应性,二是变换间隔的适应性。具体来说,在防御方式上,AMTD既可实现基于异常事件驱动的攻击面变换(ADS变换),也可实现基于计时器期满事件驱动的攻击面变换(TDS变换);在变换间隔上,AMTD依据一个数学模型来分析求解实施ADS变换的触发条件以及TDS变换的最优时间间隔,同时,每一次TDS变换的起始时间被设置为上一次ADS/TDS变换的完成时刻,或是系统被攻破后恢复可用性的起始时间。此外,我们定义了一个量化指标(即系统服务率)来量化MTD机制运行所引入时间开销对系统可用性的影响,并结合模拟实验来验证AMTD的有效性并分析不同因素对其有效性的影响。实验结果表明,AMTD总是优于采用固定间隔的MTD机制,且AMTD的有效性会受到IDS系统精度、入侵检测提前量、ADS/TDS变换开销以及被侵入损失的变化的影响。4、提出了一种移动目标防御系统性能评估模型评估是系统设计中的一个重要环节,在移动目标防御研究领域也不例外。然而,当前已有的评估方法多用于评估某一个移动目标防御系统的初始设计或某一类移动目标防御技术的有效性,而少有研究来分析MTD机制的部署对目标系统性能的影响。针对这一问题,我们提出了一个基于广义随机Petri网的通用的MTD系统性能评估模型。文中选取一个Web服务系统作为已有MTD的部署平台,描述了该系统的服务过程及防御过程,建立了一个基于广义随机Petri网的通用的MTD性能评估模型,并对该模型的基本性质加以分析以验证其正确性。而后,以一个已有的MTD机制为例说明了该模型的使用方法及现实意义。