软件定义的L2/L3地址协同拟态伪装策略研究

从网络内部探测目标终端的脆弱性是网络攻击发起的主要途径,当前网络的静态特性利于攻击者目标侦察的实施,网络内部的L2/L3地址是攻击者期望侦察的主要信息.为了改变目标侦察阶段网络攻防的易攻难守态势,基于拟态伪装的思想,提出了一种L2和L3地址协同动态化技术,在不影响正常业务条件下有策略地隐藏真实网络主机.首先,建立网络侦察的博弈模型(CRG),基于NASH均衡解指导L2/L3地址的拟态伪装策略,并给出最优的跳变周期计算公式;其次,基于软件定义网络架构,设计并实现了协同动态化的内网防护系统(CMID),由SDN控制器协同控制L2/L3地址的伪装变换;最后,理论分析与实验结果表明:上述方法能够有效切断L2/L3地址与真实网络身份、上层服务的关联性,最大化地隐藏网络内部主机,延缓侦察速度,阻断网络攻击的连续性.