AMTD：一种适应性移动目标防御方法

移动目标防御（MTD, moving target defense）是一种全新的防御理念，通过积极主动地改变目标状态，变换暴露在敌人面前的攻击面来削减攻击者有效发动攻击的能力。

现有的移动目标防御机制方法中，攻击面变换频率通常依据管理者经验，缺乏理论基础，
因此很难达到 可用性—安全性—开销 的平衡。对防御者来说，防御效果会受到变换频率的影响：目标攻击面变换越快，防御开销越大，但同时防御效果越好。然而，过于频繁的变换会导致系统性能下降甚至损害可用性；目标攻击面变换越慢，防御开销相应减少但同时防御效果会相对下降，系统被攻破的概率增大，一旦攻击成功，造成服务损失则得不偿失。因此，如何决定攻击面变换的时机、优化变换频率，获得 可用性—安全性—开销 的平衡，这是一个值得深入研究的重要方向。

现有MTD 攻击面变换通常采用3 种策略：预设固定时间间隔、使用可调时间间隔和异常事件驱动的变换。当前研究多是采用单一策略，而且前2 种研究占多数。并且通常采用基于时间间隔（包括预设固定时间间隔和使用可调时间间隔）的变换策略，其中大部分时间触发机制是状态无关的，因此此类策略驱动下的攻击面变换往往缺乏针对性，没有做到 可用性—安全性—开销 优化平衡。第三种方式的机制的防御效果完全依赖于检测机制的准确率和时效性，由于对异常事件的人为定义不一定准确和完善，且对异常事件进行检测可能会存在遗漏和延迟。

AMTD防御适应性策略

AMTD的防御适应性主要采取两类策略。
1）基于防御方式的适应性策略

• 基于（入侵检测系统）IDS预警信息识别突发安全威胁。实现基于网络安全状态异常事件驱动的变换（ADS）。–反应式防御

• 基于系统风险递增的认知，采用基于计时器期满驱动变换（TDS）。–主动式防御

  TDS弥补入侵检测系统可能出现的漏报以及误报导致的不足，利于降低当前潜在的风险。

2) 基于变换间隔的适应性策略

S′ S ′ 表示蜜罐系统/假目标，用于统计、记录攻击信息。

• t1 t 1 收到预警信息，MTD Manager 会依据ADS的触发条件触发并成功实现ADS变换。
• t2 t 2 时刻完成变换，目标系统的攻击面发生变化，导致当前预警信息所指示的攻击失效，从而实现对目标系统的及时保护。—（ t2 t 2 与 t3 t 3 之间为变换间隔时长）
• t3 t 3 表示由于IDS 的准确率无法达100%，假如没有报警，目标系统的潜在安全风险不断上升，当累积到一定程度时会发生计时器期满事件，这时就会触发并执行TDS变换。
• t4 t 4 时刻变换完成。

AMTD系统框架结构

AMTD主要包括4个单元：MTD防御管理单元、条件检测器、异常反应式变换单元ADS、计时器驱动式变换单元TDS。

• MTD防御管理单元

1 针对当前系统状态，决定是否触发攻击面变换

• 接收从入侵检测系统发送过来的预警信息，并决定是否进行基于异常事件驱动的ADS变换，若决定进行变换，那么触发ADS 单元实现ADS 变换的发生；
• 当发生计时器期满事件的时候，触发TDS单元实现TDS 变换的发生。

2 依据该系统框架所定义的时间窗内系统安全状态的变化历史，来优化攻击面变换的触发条件。

• 条件检测器

监测并收集以下3种状态信息

1. 系统自身的状态信息；
2. ADS 单元的执行状态信息;
3. TDS 单元的执行状态信息；

• ADS单元

1. 执行ADS 变换；
2. 将ADS 执行状态（此次变换的完成情况，包括开销和完成时间）发送给Condition Monitor。

• TDS单元

1. 执行TDS 变换；
2. 将TDS 执行状态（此次变换的完成情况，包括开销和完成时间）发送给Condition Monitor。