基于数据库二进制日志的竞赛式仲裁优化方案

在拟态防御理论中,仲裁模型在一定程度上决定了拟态系统的整体安全性和执行效率,而仲裁策略作为仲裁模型中的关键环节,会对裁决结果的正确性产生直接影响。针对竞赛式仲裁模型中由差模逃逸造成的裁决结果异常问题,提出一种竞赛式仲裁优化方案,采用异构数据库执行体的二进制日志匹配结果对仲裁结果进行校验,保证裁决结果的正确性。实验结果表明,与竞赛式仲裁方案相比,优化方案能够提高仲裁结果正确率,减少SQL注入的差模逃逸事件,保证拟态系统在执行周期内的安全性和可靠性。     

软件定义网络下的拟态防御实现架构

针对传统防御技术难以应对未知漏洞和后门的问题,拟态安全防御（MSD,mimic security defense）通过构造动态异构冗余模型,提高系统的不确定性,增加攻击者的攻击难度和成本,提升网络安全性能。基于软件定义网络,提出了一种拟态防御的实现架构,首先,按照非相似余度准则构建异构冗余执行体,而后借助软件定义网络的集中管理控制实现动态选调和多模判决等功能。实验验证了架构的入侵容忍能力和可用性。     

一种基于执行体异构度的拟态裁决优化方法

网络空间拟态防御技术通过构建动态异构冗余的系统架构来提高系统的安全性能,而裁决器的表决机制是防御链中的关键步骤,直接影响拟态系统的安全性和效率。针对拟态表决环节的任务特性,对一致表决算法进行改进,设计基于执行体异构度的拟态裁决优化方法。结合拟态防御系统的异构特性,在选择执行体表决输出时引入执行体间的异构度作为决策因素,同时综合考虑执行体数目和历史记录信息,使表决算法更适用于拟态架构面临的威胁场景。实验结果表明,与一致表决算法相比,该算法能够显著提高拟态系统的安全性能,有效规避共模逃逸的风险。     

拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.     

一种拟态构造的Web威胁态势分析方法

基于裁决差异性判别进行威胁推测是拟态防御系统屏蔽和阻断攻击威胁的重要机制,然而现有的拟态裁决机制无法对拟态防御系统安全态势进行有效归纳分析和威胁管控。为此,以拟态Web服务系统为例,将网络态势感知技术融入到拟态防御架构中,提出一种改进的Web威胁态势分析方法。对多层次的拟态裁决告警日志进行数据关联,挖掘及分类融合提取的特征数据信息,并对不同类型的分类数据进行可视化展示。实验结果表明,该方法能够显示拟态防御系统的安全状态,及时获悉异常执行体的运行情况,从而实现对拟态防御系统的安全态势进行分析与评估。     

基于演化博弈的NFV拟态防御架构动态调度策略

构建网络功能虚拟化（NFV）拟态防御架构能够打破防御滞后于攻击的攻防不对等格局,其中动态调度策略是关键实现技术。然而,现有拟态防御架构中的动态调度策略大多根据执行体自身固有的特点进行调度,没有进一步利用裁决机制对异常执行体的定位感知能力做优化调整。通过引入演化博弈理论,设计一种新的NFV拟态防御架构动态调度策略。在NFV拟态防御架构中增加一个分析器,用于对历史裁决信息进行分析研究。根据分析器中得到的反馈信息,从攻防双方的有限理性出发构建多状态动态调度演化博弈模型,并采用复制动态方程求解该博弈模型的演化均衡策略,利用李雅普诺夫间接法对均衡策略进行稳定性分析,提出基于演化博弈的动态调度策略选取算法。仿真结果表明,该策略能够利用裁决机制对异常执行体的定位感知能力,通过深入分析研究和不断调整优化选择具有适应性和针对性的调度策略,有效提升系统的安全收益和防御效能。     

面向拟态防御系统的高阶异构度大数判决算法

异构系统之间的相似性会影响拟态防御系统异构执行体的选择和调度。目前多数针对执行体的异构性分析仍停留在二阶层面,但二阶异构度不适用于执行体数目较多的情况,难以准确评估拟态系统的防御能力。针对该问题,提出高阶异构度的概念,分析高阶异构的性质,解释高阶异构性在执行体调度及判决中所起的重要作用,并将其用于拟态防御系统安全性的量化分析。在此基础上,设计基于高阶异构度的大数判决算法,同时依据容斥原理计算系统失效率。实验结果表明,该算法可有效分析拟态系统的防御能力,并且随着执行体相似度增大以及执行体数目增多,准确性能够进一步提高。     

拟态构造的Web服务器异构性量化方法

拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统,其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击,以实现系统安全风险可控.在分析拟态防御技术原理的基础上,论证异构性如何提高拟态构造的Web服务器的安全性,并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上,将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性,提出了一种适用于量化异构性的量化方法,通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法,工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明,该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.     

拟态防御体系OSPF协议研究及分析

网络空间拟态防御技术是一种基于动态异构冗余的新型主动防御技术，通过引入多个异构冗余的执行体，增强广义鲁棒性，通过对多个执行体的策略或者周期性调度，对外呈现特征的不确定性变化，增强安全性。路由协议安全是网络安全的重要组成部分，OSPF协议作为网络空间中部署最广泛、实现最复杂的路由协议，如何实现各异构执行体OSPF协议功能的等价，是支持拟态防御的网络设备亟需解决的问题。首先，科学阐述了拟态防御的设计思想，详细描述了支持拟态防御的路由器的体系结构，论述了OSPF协议在拟态防御体系结构中的处理方法，通过引入OSPF协议代理实现各异构执行体OSPF协议功能的等价，在支持拟态防御的路由器原型样机中验证了该方法的可行性和高性能。最后，结合几种经典的OSPF路由攻击产生的路由器安全风险进行了具体说明及实验验证，实验表明该方法能够有效提高其应对OSPF网络攻击的能力。     

路由器拟态防御能力测试与分析

路由器是网络中的核心基础设备,但其面对基于漏洞和后门的攻击时却缺少有效的防御手段。拟态防御机制作为一种创新的主动防御方法引入到路由器的设计架构中,构建了路由器拟态防御原理验证系统。结合拟态防御机制的特性和路由器的特点,提出了针对路由器拟态防御原理验证系统的测试方法,并按照测试方法对该系统进行了全面测试,包括基础性能测试,拟态防御机制测试以及防御效果测试。测试结果表明,路由器拟态防御原理验证系统能在不影响路由器基本功能和性能指标的前提下实现了拟态防御机制,拟态防御机制能够改变固有漏洞或者后门的呈现性质,扰乱漏洞或后门的可锁定性与攻击链路通达性,大幅增加系统视在漏洞或后门的可利用难度。