基於端信息跳變的網路安全防護方法研究

受軍事跳頻技術中虛實變化主動防禦思想啟發，本課題將研究基於端信息跳變技術的網路安全防護方法，具體內容包括：（1）跳變的端信息及其跳變控制策略的確定，以及端信息跳變的同步通信機制和實現方法研究；（2）端信息跳變網路對抗性能分析（如抗拒絕服務攻擊、嗅探攻擊等）及跳變機制自身安全性分析；（3）跳變機制對系統服務性能的影響分析，為套用奠定基礎；（4）構建基於端信息跳變的網路安全防護模型。在以上研究的基礎上，開發相應的網路安全防護原型系統。.課題的研究目標是：在研究端信息跳變技術及其在網路安全防護中套用的基礎上，提出並逐步完善基於端信息跳變的網路安全防護思想和方法，研究相應實現策略和技術，力求形成具有自主智慧財產權的網路防護新技術，在網路安全對抗中獲得優勢。一方面，在套用中提高網路的安全防護與對抗的能力；另一方面，探索網路安全防護的新技術與方法，豐富網路安全防護的研究內容與技術手段。

DoS（Denial of Service）是一種嚴重威脅計算機網路安全的攻擊方式：通過向網路伺服器傳送大量“合理”請求，消耗網路頻寬和（或）系統資源，從而造成系統無法提供正常服務。DDoS（Distributed Denial of Service）則是一種分散式協同工作的大規模DoS攻擊方式。然而，Internet的設計宗旨是實現網路資源的共享和充分滿足各類服務請求，因此DoS/DDoS很難避免，而且識別和防範難度較大。目前，攻擊檢測和跟蹤是主要的防護手段，但效果很難令人滿意。原因是網路或重要主機暴露在潛在的攻擊之下，而採取防範措施的前提是攻擊已經或者正在發生，這些安全防護技術本質上都屬於被動式防禦。 無線通信中，採用跳頻技術可以對抗干擾（即通信雙方通過不確定地改變通信載波頻率，使敵方的監聽和阻塞干擾變得非常困難）。自上世紀70年代末第一部跳頻電台誕生起，經過30多年的發展，跳頻通信技術提高了無線通信的安全性能，並在抗干擾、充分利用載波頻譜和實現碼分多址通訊等方面都表現出極大的優越性。 受跳頻通信技術中虛實變化主動防禦思想的啟發，本項目將該思想套用於計算機網路的安全防護，研究了基於端信息（即連線埠號、IP位址、數據加密算法、跳變時隙——跳變的時間間隔和通訊協定等）跳變技術（即通信雙方按照約定的跳變方案，不確定地改變端到端的數據傳輸中通信一方或者雙方的連線埠和IP位址等端信息，以使攻擊者很難獲得通信雙方的端信息，從而無法實施有效攻擊）的網路安全主動防護方法及相應的實現策略與技術。主要包括：參與跳變的端信息及其跳變控制策略的確定；端信息跳變的同步通信機制及其實現方法；端信息跳變對抗網路攻擊的性能分析，跳變機制自身安全性分析，跳變機制對系統服務性能的影響分析等。研究結果驗證了端信息跳變機制的可行性和有效性。進一步地，對基於跳變的主動防禦思想進行了拓展，提出了基於動態陣列蜜罐的網路防護思想，研究了其中涉及的關鍵問題及相應的實現策略，分析了動態蜜罐系統的主動防禦機理。 項目提出了一套基於端信息跳變的網路安全防護思想和方法，並研究了相應的實現策略，解決了其中的關鍵問題和技術。項目研究成果，一方面可以在套用中提高計算機網路的安全防護與對抗攻擊的能力；另一方面，豐富了網路安全防護的研究內容與技術手段，形成了計算機網路安全防護的新方法與技術。