随着网络和信息技术的发展,网络安全问题变得日益突出,以防火墙、入侵检测和病毒检测为代表的传统安全技术依赖于预设规则和对已有威胁的认知实施安全防护,所提供的防护能力是被动的、滞后的,无法应对基于未知漏洞和后门的威胁,不足以确保安全。主动防御是一种新型、有效的安全防御技术,旨在实施主动、可控和持续变化的安全策略,尽而从根本上增大攻击难度,降低攻击成功率,对改变当前“易攻难守”的网络安全态势具有重要作用。动目标防御(Moving Target Defense,MTD)是一种“改变游戏规则”的革命性主动防御技术,旨在通过自身攻击面的自主动态变换迷惑攻击者,提升攻击难度,阻碍攻击实施过程。在MTD技术作用下,系统安全将不再严格依赖于完全消除系统的脆弱性,MTD能以动态化、多样化和随机化的主动防御技术手段防控基于未知漏洞和后门的攻击。在本文中,我们对以MTD为代表的主动防御技术的发展、内在机理和存在的关键问题展开研究,包括:NAT/NAPT单向性,地址端口跳变多样性不足,跳变同步依赖第三方实体,易受网络抖动影响以及主动防御缺乏流层面安全管控等问题。本文的研究对于主动防御技术的提升以及有效防御网络侦察、攻击具有重要意义。本文的主要研究工作和贡献包括:首先,针对NAT/NAPT技术的单向性给端到端通信带来的严重问题,将端口碰撞与标地分离技术相结合,提出一种新的灵活的NAPT/FW穿越方案PK-NFT(Port Knocking-based NAPT/FW Traversing),PK-NFT通过一系列关闭的端口或某个特定的端口执行隐秘认证,认证信息以一系列连接尝试或单个数据包载荷的形式进行传送,使得主动连接位于受NAPT/FW保护的完全封闭环境中的主机/应用成为可能。PK-NFT通过引入一个额外的安全层来增强安全性,已有的应用(如SSH)无需改变其原有的安全认证机制。测试和分析表明,PK-NFT在引入较低安全认证开销基础上,使得NAPT/FW具有了双向连通性。其次,针对原有端口地址跳变(Port Address Hopping,PAH)多样性不足问题,研究提出一种新的端口地址跳变通信模型RPAH(Random Port and Address Hopping),目标是通过持续变换IP地址和端口来隐藏网络服务和应用,抵御网络侦察和攻击。使用源标识、服务标识和时间参数控制跳变提供了源跳变、服务跳变和时间跳变三种跳变频率,使得RPAH具有高度的不可预测性和跳变多样性,在进行跳变通信的同时,可对来自攻击者或非法用户的使用无效或非活跃地址/端口的非法连接进行识别。仿真和实验表明,RPAH能够在引入较低开销的基础上有效对抗扫描、蠕虫等多种网络侦察和攻击。第三,针对现有跳变同步依赖第三方实体,易受网络抖动影响的问题,结合消息认证和端口地址跳变,提出一种新的适用于多种通信参数(如:地址、端口、协议号、序号和确认序号等)跳变的自同步机制KHSS(Keyed-Hashing based Self-Synchronization)。KHSS以HMAC生成消息认证码作为同步信息,实现了每个数据包一次跳变同步和隐秘的消息认证机制,且无需在不可靠的通信链路上传输任何同步和认证信息。理论分析、仿真和实验表明,KHSS可容忍丢包、延时等网络事件影响,并能有效抵御中间人攻击和网络扫描,跳变频率也明显高于现有机制。最后,针对现有主动防御缺乏网络流层面安全管控能力,已有流水印技术不能同时关联多条流量,容易遭受多流攻击等问题,设计提出了一种新的流指纹机制IBF(Interval-Based Fingerprinting),该机制在选定时隙中以调整数据包分布的方式嵌入信息,开辟一条隐秘且安全的通信信道,且支持在不同流中嵌入不同的指纹信息。嵌入的指纹信息可以方便地用于部署多种主动安全应用,如:隐秘访问控制、流量监控、流量关联、跳板检测和攻击溯源。实验表明,与IBW相比,IBF可以用较少的数据包和时序调整操作嵌入更多位的指纹信息,同时获得较高的指纹识别率。