随着互联网技术的不断发展与广泛应用,网络攻击行为日益增多,网络安全问题也愈发严重。特别地,以高级持续性威胁为代表的多阶段渗透攻击使得传统防御处于“易攻难守”的被动局面,使得防御效能大大降低,给国家、军队和企业带来了巨大的威胁。网络欺骗防御,通过有意地布设骗局以误导攻击者认知,致使其采取有利于防御者的动作,从而有助于检测、延缓甚至中断攻击进程,增强网络防御能力,为打破网络空间的“攻防不对称”局面提供了新思路。鉴于此,本文以防御多阶段渗透攻击为切入点,深入研究不同阶段的攻击行为特点并设计有针对性的网络欺骗防御方法,构建纵深欺骗防御,为抵抗多阶段渗透攻击提供理论依据与技术支撑,其研究对于增强网络安全主动防御能力、保障军事信息安全等具有重要意义。本文的研究成果和主要贡献如下:1.针对现有攻击链和攻击图模型在描述多阶段渗透攻击时不利于防御者依据网络威胁动态变化实施有针对性防御的问题,提出威胁驱动的攻击阶段动态划分模型。在此基础上,通过分析多阶段渗透攻击不同阶段的攻击行为特点,结合网络欺骗防御基本理论,提出面向多阶段渗透攻击的网络欺骗防御框架,为设计分阶段、有针对性的网络欺骗防御方法提供支撑。2.针对现有攻击阶段感知方法效率较低而无法适用于大规模网络的问题,提出基于双层威胁渗透图的攻击阶段感知方法。构建双层威胁渗透图模型,其下层为主机威胁渗透图,描述了目标网络中任意两个主机间的微观渗透场景;上层为网络威胁渗透图,描述了目标网络中各主机之间的宏观渗透关系。利用分层思想将图规模与漏洞数量解耦,借助知识图谱思想,提高了主机威胁渗透图构建的灵活性,进一步提出基于渗透信息交换的网络威胁渗透图生成算法,实现了双层威胁渗透图的高效生成。借助双层威胁渗透图,依据目标网络中产生的告警,通过最优渗透路径生成及威胁计算来感知攻击者当前所处的攻击阶段,为不同阶段实施针对性的网络欺骗防御方法奠定基础。实验结果表明,该方法能够实现威胁驱动下的攻击阶段高效准确感知。3.在多阶段渗透攻击初期,针对现有单一端信息跳变技术无法有效抵抗具有指纹追踪能力的攻击者的问题,提出一种融合地址跳变与指纹伪装的网络欺骗防御方法。分析了渗透攻击初期的攻击行为特点,建立侦查侵入攻击者模型。针对该攻击者模型,提出指纹伪装主机概念,并设计地址跳变与指纹伪装相融合的防御机制,以最大化欺骗攻击者。利用概率理论,建立不同攻防场景下的有效性分析概率模型,理论上证明了方法有效性。进一步,扩展攻击者模型,建立持续型侦查侵入攻击者模型。借助双层威胁渗透图,结合历史攻击行为产生的告警数据,从防御者角度推理攻击者模型参数,进而设计随网络攻防状态动态变化的防御策略,提高了网络欺骗防御的智能化和有效性。实验结果表明,该方法解决了单一端信息跳变技术有效性较低的问题,能够有效干扰攻击进程。4.在多阶段渗透攻击中期,针对现有静态欺骗资源部署方式易被攻击者识别且诱骗成功率不高的问题,提出一种基于强化学习的欺骗资源动态部署方法。基于双层威胁渗透图,建立欺骗资源部署攻防场景,结合经典的强化学习理论,建立基于强化学习的最优欺骗资源部署策略选取模型。利用双层威胁渗透图实现部署位置初选,进一步设计免模型的Q-learning算法,利用告警数据指导策略迭代并收敛至最优策略,实现能够随目标网络安全状态自适应变化的智能化欺骗资源部署。实验结果表明,相比于传统静态部署方法,该方法不易被攻击者识别且防御成功率接近80%,能够有效延缓攻击进程。5.在多阶段渗透攻击末期,针对传统蜜罐不易吸引攻击者而导致防御效能不佳的问题,提出一种基于动态伪装网络的网络欺骗防御方法。构建动态伪装网络模型,以真实网络为基准,实时动态模拟生成与之高度相似的伪装网络,从而一方面可利用真实网络维持业务活动的正常运行,另一方面可利用伪装网络主动诱骗攻击者。基于动态伪装网络,从流量、数据不同层面设计网络欺骗防御方法。针对两个具体网络欺骗攻防场景的不同特点,分别建立流量伪装信号博弈模型和数据伪装不确定信号博弈模型,提出一种统一纯策略与混策略的精炼贝叶斯纳什均衡求解方法,实现防御效能的最大化。均衡分析与实验结果表明,该方法能够在保证真实网络正常运行的前提下对攻击者实施主动诱骗以使其偏离攻击目标,且纳什均衡的混策略具有一定的不确定性,适用于网络欺骗防御的最优策略选取。