移动目标防御是一项为打破网络空间安全领域攻守不平衡现状而提出的革命性技术,其通过不断改变网络的关键属性,使攻击方可能利用的攻击面不断发生变化,从而达到迷惑攻击方,增加攻击方难度和成本,降低攻击方收益的目的。诸多研究表明,移动目标防御可以弥补传统防御方法“被动性”、“静态性”的缺陷,有效提升网络空间安全。然而,随着网络攻击手段变化多端,实时网络状态千变万化,移动目标防御技术的发展也面临新的挑战:参与移动目标防御决策的因素越来越多、数据量逐渐增大、数据维数持续升高,要求移动目标防御决策在面对海量数据处理时依然需要具备精确性和高效性,而传统决策方法面临着数据处理的性能瓶颈。与此同时,随着计算机硬件水平的提升和大数据时代的到来,人工智能相关技术表现出卓越的复杂、海量和高维数据的处理能力。本文将人工智能相关技术应用于网络层移动目标防御,取得了以下主要成果和进展。1.针对已有IP地址动态防御技术,攻击感知精确性有待提高导致防御效果有待提升的问题,创新研究了基于卷积神经网络的高精度IP地址动态防御技术。为了有效捕捉扫描攻击行为,提出了针对扫描攻击的数据采样和数据预处理方法。为了提高攻击感知的精确性,助力提升IP地址变换及时性、准确性和预见性,设计了一种由三个卷积模块和一个判断模块组成的卷积神经网络检测器,对扫描攻击数据包的检测达到了0.5604-0.8267的精确性。为了提高IP地址变换对攻击行为的适应性,将卷积神经网络检测器的判决结果应用于三级IP地址变换,达到了被扫描前预先变换、被扫描后及时变换的防御效果。2.针对已有IP地址动态防御技术部署成本高、系统开销大的问题,创新研究了基于深度压缩的小成本IP地址动态防御技术。为了减小检测数据对网络信道资源的占用,提出面向交换机流表数据的数据采样与特征构建方法,将信道资源占用减小至97 kb/s。为了减小卷积神经网络检测器的存储空间占用,提高其处理效率,去除其对GPU硬件的依赖,运用深度压缩技术在训练中对卷积神经网络实施剪裁和量化,使其存储空间占用缩小至原来的30.46%,处理效率提升3.4倍。为了使IP地址变换适应攻击行为,将卷积神经网络检测器的判决结果应用于两级IP地址变换,可根据攻击行为有针对性地决定变换范围和变换时机。3.针对已有路由动态防御技术随机转发粒度过粗、对服务质量保障效果不佳、对抗窃听攻击的安全性有待提升的问题,创新研究了一种基于深度强化学习的路由动态防御技术。为了细化随机转发粒度,提出了基于P4的动态路由架构,实现了数据包级细粒度随机路由,有效降低了连续数据包被窃听的可能。为了助力提升服务质量保障效果,研究了基于带内网络遥测的网络状态信息获取方法,为后续的强化学习决策提供了实时、精准的数据辅助。为了提升抗窃听攻击防御效同时,兼顾不同应用的服务质量需求,设计了面向随机路由方案生成的深度确定性策略梯度算法,有效提升了路由动态防御的安全性和服务质量保障效果。4.针对已有虚拟拓扑动态防御技术抗交火攻击的安全性有待提升的问题,从虚拟拓扑动态防御对抗交火攻击的防御机理出发,创新研究了基于生成式对抗网络的虚拟拓扑动态防御技术。为了防止攻击者探查交火攻击所需的关键链路和诱饵服务器,提出了基于生成式对抗网络的虚拟拓扑生成方法,设计了面向虚拟拓扑映射的数据包欺骗处理算法,使交火攻击在侦察阶段无法探知攻击所需的网络拓扑信息,从而无法发动有效的交火攻击。针对交火攻击在攻击阶段仍有可能构成的网络拥塞威胁,设计了依据既定规则触发的IP地址洗牌技术,分散了网络中的拥塞流量。此外,所提方法还可以借助虚拟拓扑中的蜜罐服务器依据既定规则识别外部网络中被操控的僵尸主机。