随着信息技术和网络技术的飞速发展,网络空间的内涵不断延伸,已成为人类活动的第五维空间,但网络空间安全形势却日益严峻,以防火墙、入侵检测和安全审计为代表的传统防御技术在应对协同化和智能化程度越来越高的新型网络攻击时常常陷入“易攻难守”的被动局面。移动目标防御MTD(Moving Target Defense)应运而生,通过构建和实施动态变换的多样性策略,不断改变系统形态特征,限制漏洞持续暴露及被利用的机会,增加攻击难度和代价,为扭转网络空间攻防对抗的不对称局面提供了新思路。如何选取和调整系统资源的变换周期、变换空间和变换方式,增加防御策略的多样性、动态性和随机性,提高防御效果和防御收益,是应用移动目标防御技术的核心和关键。基于此,本文以网络层移动目标防御为切入点,对网络动态防御策略设计、有效性评估和最优防御策略选取展开研究,取得以下成果和进展:1.针对传统网络对等通信模式下,基于固定周期的端信息跳变策略难以根据网络安全状况进行动态调整导致防御效果差,跳变边界的端信息切换容易造成数据包丢失的问题,提出一种基于对等跳变协议的端信息自适应调整策略。以基于非广延熵和Sibson熵融合的网络异常度量为依据,设计满足“快减小、慢增长”原则的跳变周期调整策略,通过在网络节点上部署服从特定分布特征的诱骗端信息,设计跳变空间调整策略,提高端信息跳变策略对抗拒绝服务攻击、跟随攻击和半盲攻击的能力;以基于离散时间隐马尔可夫的网络时延预测为依据,设计跳变周期拉伸策略,降低跳变边界的数据丢包率,改善跳变通信的数据转发成功率。2.针对传统网络C/S通信模式下,在服务器节点应用和部署端地址跳变策略对服务性能影响较大的问题,提出一种基于改进DHCP协议的端地址跳变策略。在不改变现有DHCP协议交互的基础上,利用协议保留字段在一次协议过程中为同一网络节点分配多个可用端地址,在减小协议开销的同时,提高端地址跳变的多样性;基于客户端与服务器的地址映射关系以及服务器固有地址与跳变地址之间的关联关系进行跳变通信,保证服务提供的稳定性;提出基于动态时间弯曲距离的时间序列相似性度量算法检测网络异常并动态调整地址租用期,提高端地址跳变的动态性。该策略不仅增加攻击者实施网络窃听和拒绝服务攻击的难度,而且降低服务器地址跳变对服务性能的影响。3.针对OpenFlow网络环境下,交换机将未匹配流表项的数据包封装为packet-in消息发送给控制器,易被攻击者利用和发起针对控制器的拒绝服务攻击问题,提出一种基于交换机-控制器连接迁移的控制层防御策略。依据OpenFlow交换机的流请求历史数据和当前流请求速率对异常交换机进行检测,进而对正常交换机实施交换机-控制器连接迁移,保证正常交换机的挂载节点产生的流请求能够得到有效响应;利用基于哈希检验的多队列轮询机制对异常交换机的挂载节点产生的流请求进行检测,防止网络突发流请求被误判为攻击流而遭到丢弃。该策略不仅能够保护控制器免遭拒绝服务攻击的破坏,而且保证了攻击发生情况下的网络流请求处理能力和数据转发能力。4.针对OpenFlow网络环境下,静态路由策略导致网络节点容易遭受网络窃听和拒绝服务攻击的问题,提出一种基于路由跳变的转发层防御策略。采用多尺度主成分分析法对流量特征熵矩阵进行时空相关性分析以检测和定位网络异常,并基于异常检测结果触发路由跳变,提高路由跳变的动态性和针对性;将跳变路由生成问题规约为多约束0-1背包问题,以最大化不同跳变周期路由节点之间的随机性为优化目标,基于改进的蚁群算法计算最优解,保证路由跳变的随机性。该策略不仅增加攻击者进行网络窃听的难度,而且降低拒绝服务攻击对数据转发的影响,保证了网络数据转发能力。5.针对现有网络动态防御策略有效性评估研究中,方法的通用性和结果的准确性较差的问题,提出一种基于节点安全状态迁移模型的有效性评估方法。给出节点安全状态转移图构建算法,用以描述网络攻防策略引起节点安全状态变化的过程;结合网络动态防御策略多样性、动态性和随机性的特点,提出前向转移、自转移和后向转移概率的概念和计算方法,以建立节点安全状态迁移模型,并通过分析网络动态防御策略对攻击者入侵成功率的影响得到防御策略的有效性评估结果。典型实验网络中的仿真结果表明,该方法的评估值准确性误差仅为4%。6.针对现有网络动态防御最优策略选取研究缺乏对攻防策略收益量化的全面分析、未考虑多回合博弈中攻防双方根据逐渐掌握的对方信息改变己方决策的问题,提出一种基于信号博弈的最优网络动态防御策略选取方法。通过分析网络动态防御环境下的攻防对抗特点,从攻击面转移的角度给出攻防策略收益量化方法,以保证收益量化的科学性和准确性;基于信号博弈建立面向网络动态防御环境的单阶段和多阶段博弈模型,给出精炼贝叶斯均衡求解算法以及对攻击者类型推断值的修正方法;基于构建的博弈模型提出最优网络动态防御策略选取算法,并总结了网络动态防御环境下的攻防博弈规律,为网络动态防御策略选取提供有益参考。通过仿真实验对所提策略和方法的可行性与有效性进行分析和验证,可为网络动态防御策略的应用和网络主动防御体系的构建提供有力的技术支撑。