【好文推荐】网络拓扑混淆技术综述

1.哈尔滨工业大学网络空间安全学院

2.鹏城实验室

互联网攻击者可以利用网络拓扑信息精心设计高级拒绝服务攻击，如链路洪泛攻击(link-flooding attack, LFA)，集中攻击目标网络中的重要节点或链路，从而最大化攻击影响.网络拓扑混淆是一种旨在误导攻击者获取错误网络拓扑信息的防御机制.不同于传统被动防御方案，网络拓扑混淆通过主动防御技术保护可能遭受攻击的关键节点或链路.网络拓扑混淆的核心在于平衡：完全禁止探测可能促使攻击者采用其他攻击手段并干扰正常网络调试，而完全开放探测则可能暴露关键拓扑信息.因此，在开放网络场景中，目标是允许攻击者进行探测，但使其无法获取完整且真实的拓扑信息.

本文梳理了近年来典型的网络拓扑混淆方案，包括基于数据包修改、基于诱饵陷阱、基于路由变异和基于度量伪造的网络拓扑混淆技术，探讨它们的优缺点以及在实际应用中可能遇到的挑战，为网络空间抗测绘研究提供支撑.

1 网络拓扑发现与风险

1.1网络拓扑发现技术

网络拓扑是实现复杂拒绝服务攻击的关键，拓扑发现技术旨在通过主动探测获取信息，以推断代表网络层的连接关系.主要有2类方法：基于路由器辅助(router assisted, RA)和基于非路由器辅助(non-router assisted, NRA).

1.1.1基于RA方法

RA方法依赖于路由器对探测消息的响应，常用工具是Traceroute，通过发送TTL值递增的数据包推断拓扑中节点的关系.这种方法简单易行，但受限于路由器的响应配置.如果路由器配置为不响应Traceroute探测或丢弃探测数据包，该方法将失效.此外，路由器的非标准行为和负载均衡等问题也可能导致测量偏差.

1.1.2基于NRA方法

NRA方法不依赖路由器的响应，而是通过分析端到端探测数据(如包延迟或丢包率)推断网络拓扑，例如网络断层扫描技术或网络层析成像技术.与RA方法相比，NRA方法通常需要大量探测流量和计算资源，复杂度较高，且通常假设网络具有树形结构，通过测量不同路径之间的相关性推断拓扑.但该假设可能不完全成立，从而影响推断准确性.

在图1(a)中，NRA方法将节点内部结构视为黑盒，将探测数据包从源节点(主机A)发送到多个目的节点(从主机B到E)，通过分析测量数据集之间的相关性推断拓扑.

假设所有路由器都响应Traceroute消息，RA方法获得的拓扑如图1(b)所示，而NRA方法得到如图1(c)所示的简化逻辑拓扑，因为非分支内部节点无法识别.

1.2网络拓扑信息泄露风险

攻击者通过RA或NRA手段获取目标网络逻辑拓扑，以便实施后续攻击.网络拓扑信息泄露后的潜在网络安全风险主要有4种：拒绝服务攻击、安全漏洞暴露风险、数据包丢弃攻击和隐私泄露风险，具体如表1所示.而在所有潜在安全风险中，LFA攻击的威胁最大.

2 网络拓扑混淆设计

2.1网络拓扑混淆形式化定义

网络拓扑是构建网络功能、执行诊断和故障定位的基本信息.网络拓扑混淆是一种欺骗防御技术，旨在防止攻击者探查网络拓扑，从而保护关键节点和链路.按照Almeshekah等人给出的计算机安全欺骗的定义，网络欺骗防御是为了误导和/或迷惑攻击者而采取的有计划行动，从而导致攻击者采取(或不采取)有助于计算机安全防御的特定行动.

根据贾召鹏等人和赵金龙等人对网络混淆欺骗防御的形式化定义，结合国家风险评估标准GB-T 20984—2022中基于资产、威胁、脆弱性和安全措施4种风险评估要素，本文对上述定义进行完善，给出更细粒度的网络拓扑混淆的形式化定义：

网络拓扑资产定义为Asset={G,G′,V,Gv,G″v}.G表示无混淆真实拓扑，即实际节点及其连接关系；G′表示无混淆观测拓扑，即通过探测手段得到的网络拓扑；V表示通过混淆策略设计的虚假拓扑；Gv表示有混淆真实拓扑；G″v表示有混淆观测拓扑.其中，每个拓扑资产是1个集合{R,L,P,C}.R表示网络中的各个节点；L表示节点之间的连接关系；P表示节点对之间的路由路径和转发关系；C表示链路带宽、时延等信息.

路由拓扑发现RTD(routing topology discovery)是通过主动探测推断网络拓扑的技术.对于网络管理员和用户：G′=RTD(G)，对于攻击者：G″v=RTD(Gv).

网络拓扑混淆策略表示为Trick，是用于防御的安全措施.防御者通过拓扑膨胀和拓扑突变等欺骗手段构建虚假拓扑，即V=Trick(G′)，目的在于尽可能地误导或延缓攻击者获取真实网络拓扑信息，从而保护网络拓扑结构.

部署策略表示为Deployment，即将虚假拓扑部署到实际网络的方法.防御者使用报文重路由、探测包修改和响应包修改等技术手段，构建虚假资产或修改已有资产特征，形成虚假拓扑，使得攻击者探测到的拓扑是有混淆的拓扑Gv.

网络混淆效果评价定义为Evaluation={Security,Credibility}.Security表示对真实资产G′的保护，确保有混淆观测拓扑G″v和无混淆观测拓扑G′的相似性低；Credibility表示对部署的虚假拓扑V的可信性，使有混淆观测拓扑G″v和虚假拓扑V的相似性高.

基于以上定义，将网络拓扑混淆主动防御模型定义为五元组(Asset,RTD,Trick,Deployment,Evaluation)，如图2所示，旨在通过混淆技术保护网络拓扑，以减少攻击者获取准确网络信息的可能性.

图2 网络拓扑混淆主动防御模型

2.2设计目标

网络拓扑混淆通过在攻击发生前主动修改攻击者的拓扑视图降低其信息的可用性，从而提供积极的保护.设计混淆方案需考虑以下目标：

1) 有效性.混淆的拓扑应具备欺骗性，使攻击者难以准确推断出真实网络拓扑结构.

2) 安全性.确保混淆后的拓扑与真实拓扑不同，攻击者无法访问被保护的真实信息.

3) 可用性.确保混淆策略在保护网络的同时，不影响合法用户的正常使用.

4) 生存周期.混淆策略的动态调整周期需平衡防御效果与性能损耗.但关于混淆方案的动态调整周期和时机，目前尚无明确的解决方案.

2.3分类方法

按照抗探测方向可将网络拓扑混淆技术分为2类,如表2所示:

2.3.1抗RA混淆

抗RA网络拓扑混淆技术主要包括以下3类：

1) 数据包修改.通过修改探测包和响应包的头域，使探测数据包在混淆策略指定的节点上失效.此技术主要通过在数据层修改数据包的IP地址和TTL等字段提供虚假拓扑.

2) 诱饵陷阱.将探测数据包重定向到模拟目标网络的诱饵中.例如，使用诱饵链路引导攻击者将其视为目标链路,从而误导其对真实网络的判断.

3) 路由变异.受移动目标防御(moving target defense, MTD)的启发，该技术通过动态修改数据包转发路径更新目标网络的路由信息.例如，随机选择路径或自适应地调整路由，从而混淆攻击者对网络结构的推断.

2.3.2抗NRA混淆

抗NRA网络拓扑混淆技术通过篡改真实网络的相关指标误导攻击者推断虚假拓扑.例如，通过修改数据包的延迟使攻击者获取混淆后的拓扑.

3 网络拓扑混淆技术

表3所示为网络拓扑混淆领域的主要技术方案，并按时间顺序梳理了现有技术的主要思想和局限性.

现有网络拓扑混淆技术旨在使攻击者获得虚假且具有欺骗性的拓扑视图，但存在影响网络性能、实施代价较高以及虚假拓扑与真实拓扑相似性较高等局限性.

3.1网络拓扑混淆技术分类

根据网络拓扑混淆方案的技术原理可将网络拓扑混淆技术分为4类：基于数据包修改、基于诱饵陷阱、基于路由变异和基于度量伪造.

3.1.1基于数据包修改

典型的缓解LFA攻击的拓扑混淆技术基于数据包修改，包括探测包和响应包的修改.Trassare等人为Linux路由器实现了一个拓扑欺骗内核模块，通过拦截和修改Traceroute探测包，并根据欺骗策略修改响应包的源IP地址和TTL值生成欺骗性路径；Meier等人提出了NetHide技术，通过在数据平面拦截和修改探测包和响应包，实现网络拓扑的模糊化，同时保持了网络性能和调试工具的可用性；Liu等人提出了一种轻量级且低开销的网络拓扑混淆方案NetObfu，该方案在不影响网络正常通信的前提下，实时识别和拦截网络中的探测包，并根据预设的虚拟拓扑信息快速生成和发送响应包，从而隐藏真实网络结构.

3.1.2基于诱饵陷阱

诱饵陷阱方法的核心思想是通过部署诱饵吸引攻击者的注意力.Kim等人提出了一种基于软件定义网络(software defined networking, SDN)的解决方案SDHoneyNet，首先利用SDN交换机的统计功能找到关键节点，然后利用BA(Barabási-Albert)模型在关键节点附近部署无标度诱饵网络，从而混淆真实的网络拓扑.Achleitner等人提出了基于SDN的网络欺骗系统RDS，通过创建与真实网络拓扑显著不同的虚拟网络视图迷惑攻击者，并在虚拟网络中部署蜜罐作为诱饵，吸引攻击者的侦察流量.Ding等人提出了主动链接混淆机制Linkbait，通过选择性地重定向探测流量隐藏网络拓扑中的链接信息，从而误导攻击者将诱饵链接误认为是目标链接.Kim等人提出了一个全面的拓扑欺骗框架BottleNet，利用SDN的灵活性和集中控制能力识别瓶颈，创建虚拟拓扑，并动态重定向探测流量到虚拟网络中，以有效欺骗攻击者.此外，他们还提出了用于长期保护网络拓扑结构的网络安全防御系统EqualNet，通过修改流量转发规则均衡跟踪流量的分布，并动态创建或移除虚拟节点和链接，以维持网络拓扑的混淆效果，使攻击者难以推断真实网络结构.

3.1.3基于路由变异

路由变异技术通过不断修改数据包的转发路径误导和混淆攻击者.Gillani等人提出了一种“敏捷虚拟化基础设施”的方法MoveNet，通过动态重新分配网络资源和持续迁移虚拟网络改变关键网络资源的“足迹”，使攻击者对关键资源的攻击知识和计划无效.Aydeger等人提出了一种利用网络功能虚拟化(network function virtualization, NFV)技术增强MTD策略的方法，通过创建虚拟影子网络(virtual shadow network, VSN)欺骗攻击者，使其无法获取真实的网络拓扑特征.Zhang等人提出了一种基于强化学习的智能路由变异机制，用于提高网络移动目标防御的有效性.

3.1.4基于度量伪造

为防止攻击者通过NRA方法获取目标网络的拓扑信息，Hou等人提出主动拓扑混淆系统ProTO，该系统通过先检测后混淆的框架识别探测包，并进行主动延迟处理，使基于探测包的延迟测量结果的攻击者获取一个结构准确但虚假的网络拓扑.然而，ProTO的混淆拓扑是随机生成的，因此存在一定的不确定性.Liu等人针对这一问题设计了优化模型AntiTomo，通过提供精心设计的混淆路径测量指标，引导攻击者形成与真实网络拓扑相似度较低的混淆网络，从而隐藏网络中的关键要素.

ProTO和AntiTomo生成的混淆网络拓扑均为树形结构，仅适用于单源网络层析成像.为此，林洪秀等人提出了对抗多源网络层析成像探测的拓扑混淆机制AntiMNT，该机制策略性地构建虚假拓扑结构，并根据该结构修改探测数据包的时延，从而导致攻击者形成错误的拓扑推断结果,提高网络安全性.

3.2网络拓扑混淆技术比较

对网络拓扑混淆技术的深入研究表明，研究人员从多个角度审视了这个问题.但目前没有任何一种单一的方案可以解决LFA攻击带来的所有挑战.在缺乏客观标准的情况下，很难判断合适的解决方案的质量.因此，本文在Rasool等人的研究基础上，提出了一套更加完善的针对网络拓扑混淆的质量指标，用于系统地检查基于客观标准的网络拓扑混淆技术的优势与劣势，这一客观标准使用一组特征对它们进行比较和量化.以下是定性特征的讨论：

1) 流量识别.网络拓扑混淆技术旨在迷惑攻击者的侦察阶段，因此各技术都或多或少涉及对探测流量的识别，根据检测精度将它们分组为高、中和低.

2) 混淆方法.即针对LFA所使用的特定类别的解决方案，包括数据包修改、诱饵陷阱、路由变异和度量伪造等.

3) 复杂性.复杂性衡量混淆方案消耗的资源.对于网络拓扑混淆方案，低复杂度是优选.通过分析每种技术的实验设置，将技术分类为低、中和高复杂度的解决方案.

4) 部署方案.根据各混淆方案应用到实际网络的具体部署方式，分为边界网关方案和内部协作方案.

5) 可扩展性.混淆方案在大规模网络上部署的能力称为可扩展性，将混淆方案的可扩展性分类为高、中和低.当前网络不断扩展，因此一个良好的解决方案必须具备高可扩展性的特点.

6) 安全性.即攻击者无法分辨真假信息，不能访问被保护信息的能力.这里将混淆前后拓扑的相似性作为安全性进行评估,将安全性分类为高、中和低.

7) 可用性.混淆方案对合法用户和网络性能的影响称为可用性，本文将可用性分类为高、中和低.一个好的混淆方案不能对合法用户和网络性能产生太大影响.

8) 评估方法.用不同的方法对本文提出的解决方案进行评估.一些作者使用仿真展示他们的研究，而另一些则使用真实的测试平台.对于在真实测试平台上进行测试的解决方案更受青睐.

在表4中，基于上述指标比较了表3中列出的所有网络拓扑混淆技术.其中，MoveNet具有良好解决方案的特质，因为它在检测恶意流量方面具有更高的准确性，而且具有高度可扩展性，并且还在真实测试平台上测试了他们的解决方案.SDHoneyNet是一种新颖的解决方案，但它的检测精度较低，并且在部署HoneyNet拓扑结构方面可能需要更多的时间，此外，它没有在真实的测试环境中进行测试.ProTO提供了一种在对抗NRA场景中的“检测-混淆”框架，但该方案尚未在真实测试平台上进行测试，且复杂性较高.

针对LFA可靠的网络拓扑混淆方案的选择取决于比较指标中提供的许多因素，因为没有一种解决方案在所有定义的指标方面都是完美的.在某些情况下需要较高的识别准确性，因此可以在达到准确性要求时牺牲其他一些质量指标.

选择混淆策略的一个基本见解是：混淆方案应该是安全的，并且具有低复杂性和高可用性.在表4中指定的所有性能指标方面，没有一种解决方案能够做到完美.抗拓扑发现的最佳混淆策略涉及权衡，并且混淆方案需要具有可扩展性才能实际应用.

4 结语

尽管网络拓扑混淆技术已有大量研究成果并提出了许多有效的系统框架和解决方案，但随着攻防对抗形势日益严峻，仍需进一步加强研究.作为对抗LFA的第一道防线，需发展流量识别技术，以识别和缓解攻击者的特殊流量模式.此外，在LFA的源端提供解决方案也至关重要，通过实施安全的身份验证服务识别和缓解恶意主机的威胁.综合采用主动和被动策略，结合路由变异技术和网络流量监控，构建多层次和多维度的网络安全防御体系，有助于应对复杂多变的网络威胁.

网络拓扑混淆对于提升网络安全性和隐私保护至关重要.本文工作重点调查了主动缓解LFA的网络拓扑混淆技术，并提出了一套评判这些方案质量的指标.虽然没有一种技术在所有指标上都表现最佳，但综合应用多种技术可以显著提高防御效果.未来的研究方向包括利用流量识别和身份验证技术进一步改善混淆防御措施，以应对不断演变的网络威胁.