基于双重随机变换的IP地址跳变方法

基于双重随机变换的IP地址跳变方法

林东 ,刘园 ,高加俊

63726部队

【摘  要】本文设计并实现了一种基于双重随机变换的IP地址跳变方法，以解决静态目标网络结构和固定访问控制机制导致的渗透扫描和内部滥用问题。本文通过网络地址的连续随机跳变，构建动态变换的网络视图，增加恶意扫描的难度。

【关键词】移动目标防御; 软件定义网络; 双重随机变换；IP地址跳变

一、引言

随着网络应用的不断普及和深入，企业网络安全面临易攻难防的挑战，网络主动防御成为网络安全机制发展的必然趋势[1]。虽然现有的防御方法已经发展得相当成熟，但是防御方认知的局限，很难挖掘出所有的漏洞信息。此外，传统的防御机制难以抵御持续的恶意扫描和长期分析，因而企业网络安全面临严峻挑战。

以移动目标防御技术为代表的主动防御技术为企业网络安全提供了新的解决方案[2]，其核心思想是利用多样性、随机性和异质性来增加攻击的难度，为网络安全防御提供了全新的思路[3-5]。IP地址跳变是移动目标防御的关键技术[6-8]。

本文提出了一种基于双重随机变换的IP地址跳变方法，该IP地址跳变方法以双重随机变换算法为核心，保证了所生成的IP地址的抗冲突性和不可预测性。

二、方法概述

该方法部署架构如图1所示，基于SDN网络的分层架构，由跳变控制中心和SDN交换机两部分组成。跳变控制中心作为系统的核心，通过SDN控制器获取SDN交换机和端点信息，从而生成网络全局视图。同时，利用SDN网络集中控制的特性，跳变控制中心通过双重随机变换算法生成所需的跳变IP地址信息，SDN交换机与跳变控制中心交互以收集和报告网络状态。

图1 基于双重随机变换的IP地址跳变部署架构

基于双重随机变换的IP地址跳变方法旨在通过改变网络IP地址来实现网络的动态变换，从而增加网络拓扑的表观不确定性，该方法具有以下特性：

(1) 网络跳变IP地址需要保证随机性和不确定性。

(2) 网络跳变IP地址需要能够保证用户“零体验”和系统“低开销”。

三、基于双重随机变换的IP地址跳变方法

由于IP地址跳变产生的随机性直接影响跳变的不可预测性，因此我们提出了一种基于双重随机变换的IP地址跳变算法。具体来说，对应的算法如下所示：

由于IP地址是由前缀以及地址位两部分组成，因此本文方法利用公式（1）计算前缀，它依据跳变节点IP地址的现有前缀随机生成下一跳变周期的IP地址前缀。如果前缀为空，则重新计算；且下一跳周期的IP地址前缀以的概率与当前跳变地址的前缀相同。在此基础上，在确定地址前缀之后，基于双重随机变换的跳变地址生成算法利用公式（2）随机生成地址位。最后，通过比对现有跳变地址与生成的跳变地址，以防止下一周期的跳变地址与当前跳变地址相同。

四、系统测试与结果分析

（一）系统测试

本文利用Java语言编写Web管理界面，利用MySQL数据库及结构化查询语言对数据库进行管理。采用Apache-Tomcat-7.0.40作为服务器。测试网络拓扑如图2所示，由3台客户端、1台服务器端、5个SDN交换机和1个SDN控制器组成，硬件配置如表1所示。

图2 网络拓扑结构

表1 网络拓扑硬件环境描述

（二）结果分析

如表2所示，对本文方法所设定的IP地址空间和跳变频率设定进行测试。

表2 IP地址跳变测试描述

五、结束语

我们提出了一种新颖的基于双重随机变换的IP地址跳变方法，部署在SDN网络环境中。在虚拟映射的基础上，我们所提方法可以大大增加实施网络攻击的难度，能够有效保护企业网络的安全。

[参考文献]

[1]Lorenz C, Hock D, Scherer J, et al. An SDN/NFV-Enabled Enterprise Network Architecture Offering Fine-Grained Security Policy Enforcement[J]. IEEE Communications Magazine, 2017, PP(99):2-8.

[2]Jajodia S, Ghosh A K, Swarup V, et al. Moving Target Defense[M]. 2011.

[3]Fei S, Zhou Y T, Yu W, et al. Smart Collaborative Distribution for Privacy Enhancement in Moving Target Defense[J]. Information Sciences, 2018:S0020025518304468-.

[4]Azab, Mohamed, Eltoweissy, et al. ChameleonSoft: Software Behavior Encryption for Moving Target Defense[J]. Mobile Networks & Applications, 2013, 18(2):271-292.

[5]Zhang H Q , Lei C , Chang D X , et al. Network moving target defense technique based on collaborative mutation[J]. Computers & Security, 2017, 70:51-71.

[6]Luo Y B, Wang B S, Wang X F, et al. TPAH: A universal and multi-platform deployable Port and Address Hopping mechanism[C]// International Conference on Information & Communications Technologies. 2016.

[7]Liu J, Zhang H, Yang Y, et al. A Proactive Network Defense Method Based on Address Hopping for C/S Model[J]. Journal of Electronics & Information Technology, 2017, 39(4):1007-1011.

[8]Chang S Y, Park Y, Muralidharan A. Fast address hopping at the switches: Securing access for packet forwarding in SDN[C]// Network Operations & Management Symposium. 2016.

作者简介：林东（1991——）男，汉族，山东聊城人，单位：63726部队，本科，卫星通信专业，研究方向：通信

刘园（1990——）男，汉族，山东枣庄人，单位：63726部队，大专，试验仪器专业，研究方向：通信

高加俊（1988——）男，汉族，安徽利辛人，单位：63726部队，大专，试验通信专业，研究方向：通信