1、动态防御技术的实战应用与前沿发展动态防御动 态 防 御 技 术（M o v i n gTa r g e tD e f e n s e）被 誉 为 当 今 最 具 影 响 力 的 安 全 创 新 机 会技术目标静态特性易于攻击难以防御攻击者具有不对称优势变化系统及其攻击面迫使攻击者处理大量的不确定性增加攻击者的工作量防御者具有不对称优势2014 in Scottsdale2015 in Denver 2016 in Vienna2017 in MIT2018 in Canada2019 in LondonACM 国际计算机学会美国研究业内行情业内行情美国研究ACM2018System rando

2、mization 系统随机化Artificial diversity 人工多样性Cyber maneuver and agility 网络机动和敏捷Software diversity 软件多样性Dynamic network configuration 动态网络配置Moving target in the cloud 云中移动目标System diversification techniques 系统多样化技术Dynamic compilation techniques 动态编译技术Adaptive defenses 适应性防御ACM2018Intelligent countermeasur

3、e selection 智能对策选择MTD strategies and planning MTD策略和计划Deep learning for MTD 深入学习MTDMTD quantification methods and models MTD量化方法和模型MTD evaluation and assessment frameworks MTD评估和评估框架Large-scale MTD(using multiple techniques)大规模MTD（使用多种技术）Moving target in software coding,application API virtualizatio

4、n 在软件编码中移动目标，应用程序API虚拟化Autonomous technologies for MTD MTD的自主技术2015 in Denver,改变游戏规则的防御技术改变游戏规则M T D 的 网 络 安 全 增 益 有 多 大？HUGE！增益效果增益效果动态防御是一种颠覆性的防御理念，而不是优化目前的防御方式今天的安全模型优先考虑监控，检测，预防和修复安全团队以静态的基础架构为基础，防御千变万化的攻击方法，严重不对称现在的安全创新都是想，怎么找到 更多的漏洞、找到更多的特征、提高检测效率，即使用了新的工具，防御者背负着巨大的压力，攻击者却有足够的时间研究静态基础设施和静态的防御技

5、术。增益效果动态防御通过动态变化攻击面，让攻击者随着攻击时间难度不但不会降低，还会增加，大大增加了攻击者攻击成本，扭转了攻防不对称的局面。传统防御方法存在问题被动的静态的攻击者优势效果差动态防御优势极大降低攻击成功概率PK基础架构单一在明处，可被攻击者持续侦察、分析、攻击防御技术分散、不成体系，防御效果严重依赖于经验主义发现威胁分析威胁处置威胁，具有滞后性不基于特征码，不依赖经验主动变化避免威胁。减少攻击面，增加攻击者攻击难度基础架构多样性在暗处，因动态变化，攻击者每次侦查、分析的结果均不相同，攻击者甚至不知道多次侦查的结果是否为一个目标智能动态防御特点分析目前研究态势System Level

6、Address Space Layout Randomization(ASLR)Proposed and implemented by Linux PaX project in 2001Can prevent code injection attackImplemented in major OS systems,partially and completely目前研究态势Moving Target Defense ResearchSystem LevelAddress Space LayoutRandomization(ASLR)目前研究态势Moving Target Defense Res

7、earchSystem LevelAddress Space LayoutRandomization(ASLR)目前研究态势指令集随机化System LevelInstruction Set Randomization(ISR)An execution environment toprevent code injectionReversible transformation between the processor and main memoryENCODING KEYENCODEDINSTRUCTIONSTREAMPROCESSORXORSystem LevelData Randomiza

8、tionRandomize pointers(XOR pointer with random key)Randomize memory data(XOR data with random masks)Moving Target Defense Research目前研究态势System LevelCompiler-based RandomizationUse compiler to generate multiple functionally equivalent,but internally different variants of a programMoving Target Defens

9、e Research目前研究态势Application LevelDiversify and randomize software using installerSoftware installed through the special installer will be tagged with a random keyIf the key is valid,the software is authorizedto execute.Otherwise,software will not runAn execution environment will check and verify the

10、 random keyMoving Target Defense Research目前研究态势Application LevelDiversify commands to prevent SQL injection attack,command injection attack,and cross-site scriptingSELECT id,name,description FROM products WHERE productid=$valueSELECT id,name,description FROM products WHERE productid=99999 OR 1=19999

11、9 OR 1=1Moving Target Defense Research目前研究态势Application LevelDiversify commands to prevent SQL injection attack,command injection attack,and cross-site scriptingRewrites all keywords with arandom key appendedIf the check fails,the query will not be forwarded to database for exec-utionAfter taking us

12、er input,removes the random key by using regular expre-ssion checkMoving Target Defense Research目前研究态势Application LevelDiversify commands to prevent SQL injection attack,command injection attack,and cross-site scriptingSELECT123 id,name,description FROM123 products WHERE123 productid=$valueSELECT123

13、 id,name,descriptionFROM123 products WHERE123 productid=99999 OR 1=199999 OR 1=1Moving Target Defense Research目前研究态势Network LevelDynamic Resource Mapping SystemRandomly change the location of the system where important resources are storedA mapping system keeps track of the new locationsMoving Targe

14、t Defense Research目前研究态势Network LevelRandom Host MutationRandomly change host IP addressMoving Target Defense Research目前研究态势Moving Target Defense ResearchNetwork LevelMutable Network(MUTE)Random address hoppingRandom finger printing目前研究态势商业应用办公网办公网生产网生产网业务网业务网“幻境”内网动态防御系统内网安全解决方案解决方案镜像世界给每个终端构建镜像世界，将攻击约束到虚假网络中构建亿级极具诱惑力的哨兵节点，诱捕攻击者(瞒天过海)虚拟哨兵网络拓扑结构、IP地址、指纹信息动态变化移形换影【无中生有】全息虚拟大量与真实节点功能一致的伪装节点，让黑客无法分辨真假全息伪装不断变换的迷宫全息隐藏真实拓扑布满诱捕陷阱兵法、谋略进得来、动不了一动必被捉幻境幻境2019全球悬赏500万卫达再次为“幻境”加高筹码，将悬赏奖金从100万提高至 500万，邀请全球黑客高手前来挑战。奖励突破幻境的黑客THANKS