博弈论IP随机化策略解析
超级会员免费看
基于博弈论的IP地址随机化策略解析
1. 模型与预备知识
1.1 虚拟网络模型
虚拟网络由 $n$ 个虚拟节点构成,其中包含 1 个真实节点和 $(n - 1)$ 个诱饵节点。诱饵节点占比为 $\pi = (1 - \frac{1}{n})$。诱饵节点和真实节点的 IP 地址均从 $M$($M \gg n$)个地址空间中随机选取,这使得仅依据 IP 地址无法区分它们。$M \gg n$ 的假设保证了 IP 地址空间有足够的熵,使随机化策略有效。
诱饵节点可进一步分为高交互诱饵节点和低交互诱饵节点:
- 高交互诱饵节点:实现完整的操作系统,包括 HTTP、FTP 服务器和 SQL 数据库等应用层服务。
- 低交互诱饵节点:仅实现网络和传输层协议的部分版本,如 IP、TCP、UDP 和 ICMP。
诱饵节点会对来自网络外部的消息做出响应,其响应由分配给每个诱饵的配置决定。每个可能的配置代表一个不同的设备(如打印机、PC 或服务器)和操作系统。由于计算资源有限,诱饵节点的通信延迟比真实节点长,额外延迟取决于分配给诱饵的系统 CPU 时间和内存。诱饵节点的配置可使用软件混淆技术进行随机化。
真实节点接收来自合法用户的连接请求遵循 M/G/1 排队模型。在该模型下,每个传入用户的服务时间独立且相同分布,与其他用户的服务时间和当前队列中的用户数量无关。合法用户知晓真实节点的 IP 地址,因此与诱饵节点的连接被认为是由错误或恶意扫描引起的。诱饵节点会响应可疑的、可能是恶意的查询,以分散攻击者的注意力,延迟其识别和定位真实节点的时间。
虚拟网络由一个虚拟机管理程序管理,该程序负责创建、配置和移除诱饵节点,并且被认
订阅专栏 解锁全文
扫一扫
18
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
