摘要：從網絡內部探測目標終端的脆弱性是網絡攻擊發起的主要途徑,當前網絡的靜態特性利于攻擊者目標偵察的實施,網絡內部的L2/L3地址是攻擊者期望偵察的主要信息.為了改變目標偵察階段網絡攻防的易攻難守態勢,基于擬態偽裝的思想,提出了一種L2和L3地址協同動態化技術,在不影響正常業務條件下有策略地隱藏真實網絡主機.首先,建立網絡偵察的博弈模型(CRG),基于NASH均衡解指導L2/L3地址的擬態偽裝策略,并給出最優的跳變周期計算公式;其次,基于軟件定義網絡架構,設計并實現了協同動態化的內網防護系統(CMID),由SDN控制器協同控制L2/L3地址的偽裝變換;最后,理論分析與實驗結果表明:上述方法能夠有效切斷L2/L3地址與真實網絡身份、上層服務的關聯性,最大化地隱藏網絡內部主機,延緩偵察速度,阻斷網絡攻擊的連續性.