随着计算机网络和信息技术的发展,互联网在当今社会扮演着越来越重要的角色,而信息安全也自然而然成为关注的焦点。研究者在过去的网络安全领域中,研究者使用防火墙、入侵检测和访问控制等多种机制来实现网络安全。但是持续出现的网络安全事件说明了传统的防御系统不能有效地对抗持续先进的攻击手段。网络安全面临着一个“易攻难守”的不平等的局面。造成这种局面的原因是传统网络的确定性、静态性和单一性,这使得攻击者有足够的时间和空间来收集分析网络并攻破防御。为了打破防御者面临的这种不平等的局面,一种移动目标防御(Moving Target Defense,MTD)的技术被提出。移动目标防御的核心思想是采取不断变化的部署和策略,增加攻击的难度和代价。不同于以往防御者试图消除所有漏洞,这种变化的思想,可以有效减少系统的漏洞被暴露的机会,从而提高系统的安全性。地址跳变技术是目前移动目标防御技术中研究最广泛、使用最多的一种,目前已取得比较丰富的成果。本文针对当前地址跳变技术的缺陷,深入研究现有的跳变策略模型,提出一种新的自适应跳变策略。该方法基于流量异常检测,在传统移动目标防御系统上增加流量分析、异常检测模块和自适应策略生成模块,对当前网络的流量异常情况进行实时检测评估,并将流量异常检测的结果用来指导生成下一个跳变周期,很好地解决了传统跳变策略跳变周期固定,资源浪费的问题。主要研究内容如下:1.设计了一种基于φ-熵和改进的EWMA模型的自适应阈值网络流量异常检测方法。分析传统基于熵的流量异常检测存在的缺点,讨论如何应对网络变化对异常检测算法阈值的影响。该方法将基于熵值的流量异常检测与模型数值预测结合在一起,首先利用φ-熵描述网络流量的自相关性,然后通过改进的EWMA模型预测新的流量的熵值,再结合标准差设定置信空间,得出自适应阈值。自适应阈值的方法可以有效地应对网络变化时固定阈值存在的偏低偏高的问题。实验结果表明,该方法能适应动态变化的网络环境,并且具有较好的检测效果。2.设计了一种新的可以动态调整自身跳变策略的自适应方法。分析了目前新型的跟随攻击方式给移动目标防御技术带来的困难的现状,指出跟随攻击具有的滞后性和集中性的特点。该方法利用流量异常检测算法的结果分析当前网络的异常状况,逐渐调整跳变周期以匹配当前的网络状况。跳变周期的变化符合“快缩短,慢提高”的特点,并且以流量异常检测算法的结果为参数,让系统以用最小的性能消耗换取最基本的安全性。3.基于自适应方法设计并实现了一种自适应策略的移动目标防御系统。研究了传统移动目标防御系统存在的问题,分析了新型系统的定位,以及对自适应策略的要求。该系统相较传统的移动目标防御系统,使用特有的流量异常检测方法,将异常检测结果与跳变策略相结合,提高了系统对网络异常情况的判断能力和适应能力,降低了系统在跳变上的性能消耗,提高了系统的实用性。最后,本文对流量异常检测算法和系统的自适应策略方法进行了可用性和性能测试的实验。流量异常检测实验得出算法的检测率达到97%且误报率只有4%,说明面对变化的网络,算法也具有较好的检测效果,自适应阈值的结果也是可靠的值。在系统自适应策略实验中,分析了自适应策略与固定跳变策略在面对跟随攻击时熵值变化的区别,得出自适应策略能有效地检测出跟随攻击的结论,并且最后通过实验验证自适应策略的系统在面对跟随攻击是能有效地阻止攻击。