|
1.
|
拟态防御Web服务器设计与实现
|
|
|
|
|
|
|
仝青 张铮 张为华 邬江兴《软件学报》,2017年第28卷第4期
|
|
|
Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.
|
|
2.
|
基于异构冗余的拟态数据库模型设计与测试
|
|
|
|
|
|
|
赵琳娜 倪明 喻卫东《计算机系统应用》,2019年第28卷第9期
|
|
|
数据库作为信息系统核心组件,存放着大量重要数据信息,易受到危害最大的SQL注入攻击.传统数据库防御手段需要攻击行为的特征等先验知识才能实施有效防御,具有静态、透明、缺乏多样性等缺陷.本文在此背景下,以拟态防御动态异构冗余原理为基础,使用保留字拟态化模块、指纹过滤模块、拟态化中间件模块实现SQL注入指令的指纹化、去指纹化、相似性判决,提出具有内生安全性的拟态数据库模型,并使用渗透测试演练系统DVWA中的SQL注入模块对该模型进行安全性测试,验证了拟态数据库模型的可用性和安全性.
|
|
3.
|
一种拟态构造的Web威胁态势分析方法
|
|
|
|
|
|
|
《计算机工程》,2019年第8期
|
|
|
基于裁决差异性判别进行威胁推测是拟态防御系统屏蔽和阻断攻击威胁的重要机制,然而现有的拟态裁决机制无法对拟态防御系统安全态势进行有效归纳分析和威胁管控。为此,以拟态Web服务系统为例,将网络态势感知技术融入到拟态防御架构中,提出一种改进的Web威胁态势分析方法。对多层次的拟态裁决告警日志进行数据关联,挖掘及分类融合提取的特征数据信息,并对不同类型的分类数据进行可视化展示。实验结果表明,该方法能够显示拟态防御系统的安全状态,及时获悉异常执行体的运行情况,从而实现对拟态防御系统的安全态势进行分析与评估。
|
|
4.
|
网络空间安全创新理论——拟态防御
|
|
|
|
|
|
|
《智能建筑》,2018年第6期
|
|
|
在大数据背景下,以漏洞、后门和病毒攻击为主要威胁方式的网络空间安全问题异常严峻,目前的常用被动防御技术远远不能解决未知的安全威胁。本文介绍邬江兴院士潜心10年研究的一种创新性网络空间安全主动防御理论——拟态防御,分析拟态防御基本概念、基本原理、成果对网络安全技术进步的重大贡献。
|
|
5.
|
拟态区块链——区块链安全解决方案
|
|
|
|
|
|
|
徐蜜雪 苑超 王永娟 付金华 李斌《软件学报》,2019年第30卷第6期
|
|
|
区块链起源于比特币,其核心是去中心化、去信任、防篡改、防伪造、可溯源,因此在任何高价值数据的管理、存储与流通的过程中都可以用到区块链.区块链已经在多种场景中得到应用,但是区块链的安全问题一直存在,且对用户权益影响极大.拟态防御是由中国的研究团队提出的新型网络防御技术,对新型系统的网络防御具有重要的作用.首先介绍区块链面临的安全威胁以及目前存在的应对方案,然后对拟态防御中核心的动态异构冗余(dynamic heterogeneous redundance,简称DHR)架构进行介绍;其次,针对区块链存在的潜在安全问题,借鉴动态异构冗余架构和密码抽签的思想,结合安全性定义和参数选择规则,从动态异构共识机制以及动态异构冗余签名算法两个角度提出了区块链的安全解决方案,称为拟态区块链;最后进一步分析了拟态区块链的安全性和性能,结果显示,动态异构冗余区块链可以在多个方面得到比典型区块链更好的安全性.
|
|
6.
|
拟态安全信息系统测评方法及技术研究
|
|
|
|
|
|
|
《微型机与应用》,2019年第4期
|
|
|
信息系统在社会中发挥着重要的作用,面临的安全问题日益严重。传统信息安全防御技术主要基于已知攻击方法或漏洞进行防御,无法有效应对未知攻击的威胁,难以全面防护Web系统的安全,基于动态异构冗余架构为拟态安全信息系统提供了本质安全和内生安全。研究了拟态信息系统的架构特征,给出了拟态安全信息系统的测评方法,并对拟态属性的验证方法和技术进行了分析。
|
|
7.
|
动态异构冗余架构下Web实践及安全性分析
|
|
|
|
|
|
|
刘昕林 黄建华 罗伟峰 黄国柱 杜浩文《计算机应用》,2021年第41卷第z1期
|
|
|
当前网络环境下安全事件频发,攻防双方处于极度失衡状态,对其进行解决刻不容缓.针对目前安全领域内缺乏有效的防御手段的现状,对拟态安全防御技术进行分析、探索、实践.在对现有防御技术探讨的基础上,通过对拟态安全防御中核心思想、架构设计的引入与分析,构建一种动态异构冗余架构下的典型Web服务系统,并在实验中证实该系统的安全稳定性.进一步地,从攻击行为模型和安全防护概率角度出发,对系统的安全性进行分析.仿真结果表明,系统在动态异构冗余架构下能够增强防护能力,这对现网环境下网络安全改造方案具有指导意义,为下一步构造安全稳固的系统提供了理论支撑.
|
|
8.
|
嵌入式加密芯片功耗分析攻击与防御的研究
|
|
|
|
|
|
|
栾岚《硅谷》,2010年第22期
|
|
|
功耗分析攻击模式是当今嵌入式加密芯片防御的主要对象,也是对其安全性、保密性的最大威胁方式,相比穷举法等机械方式,他有着破解密码芯片密钥算法成熟、种类繁多、成效高等特点,因此成为密钥攻击方法的主流,也成为人们近年来研究的主要对象和重点问题。通过对功耗分析模型的研究,抄书其进展过程中的特点及防御的有效方式,通过对简单功耗分析攻击、差分功耗分析攻击和高阶差分功耗分析攻击等方法的分析,从而有针对性的提出了防御措施,对提高嵌入式加密芯片防御功耗分析攻击的能力,使之更科学、更安全的实施加密手段有着重要的发展意义和科学导向作用。
|
|
9.
|
基于演化博弈的NFV拟态防御架构动态调度策略
|
|
|
|
|
|
|
张青青 汤红波 游伟 普黎明《计算机工程》,2022年第4期
|
|
|
构建网络功能虚拟化(NFV)拟态防御架构能够打破防御滞后于攻击的攻防不对等格局,其中动态调度策略是关键实现技术。然而,现有拟态防御架构中的动态调度策略大多根据执行体自身固有的特点进行调度,没有进一步利用裁决机制对异常执行体的定位感知能力做优化调整。通过引入演化博弈理论,设计一种新的NFV拟态防御架构动态调度策略。在NFV拟态防御架构中增加一个分析器,用于对历史裁决信息进行分析研究。根据分析器中得到的反馈信息,从攻防双方的有限理性出发构建多状态动态调度演化博弈模型,并采用复制动态方程求解该博弈模型的演化均衡策略,利用李雅普诺夫间接法对均衡策略进行稳定性分析,提出基于演化博弈的动态调度策略选取算法。仿真结果表明,该策略能够利用裁决机制对异常执行体的定位感知能力,通过深入分析研究和不断调整优化选择具有适应性和针对性的调度策略,有效提升系统的安全收益和防御效能。
|
|
10.
|
动态弹性安全防御技术及发展趋势
|
|
|
|
|
|
|
刘杰 曾浩洋 田永春 张金玲《通信技术》,2015年第48卷第2期
|
|
|
动态弹性安全防御(DRSD,Dynamic Resiliency for Security Defense)是国际上赛博安全领域新近出现的研究热点。动态弹性安全防御技术完全不同于以往的赛博安全研究思路,其通过多样的、不断变化的构建、评价和部署机制及策略来增加攻击者的攻击难度及代价,有效限制脆弱性暴露及被攻击的机会,增加系统弹性。充分利用时间、空间复杂性增强系统安全。文中对动态弹性安全防御技术进行了综述,首先介绍了动态弹性安全防御的研究现状,然后介绍了动态弹性安全防御的基本原理,并分别从网络配置随机化、网络服务组件多态化、软件多态化、拟态计算等方面介绍了当前具有代表性的动态弹性安全防御技术,最后讨论了动态弹性安全防御技术的优势和问题,对其应用前景进行了展望。
|
|
11.
|
web服务器拟态防御原理验证系统测试与分析
|
|
|
|
|
|
|
张铮 马博林 邬江兴《信息安全学报》,2017年第2卷第1期
|
|
|
web服务器拟态防御原理验证系统是基于拟态防御原理的新型web安全防御系统,利用异构性、冗余性、动态性等特性阻断或扰乱网络攻击,以达成系统安全风险可控的要求。针对传统的测试方法实施于web服务器拟态防御原理验证系统中存在不足、不适应复杂安全功能测试以及难以实现准确度量等问题,本文提出了适用于拟态防御架构的web服务器测试方法,基于让步规则改进了灰盒测试,还丰富了漏洞和后门利用复杂度的含义。并以此为基础设计适于该系统的测试方案、测试原则和测试方法,在性能、兼容性、功能实现、HTTP协议一致性,安全性这些方面进行了全面的测试和分析。
|
|
12.
|
基于软硬件多样性的主动防御技术
|
|
|
|
|
|
|
仝青 张铮 邬江兴《信息安全学报》,2017年第2卷第1期
|
|
|
网络空间的攻击和防御呈现不对称性,防御往往处于被动地位。基于软硬件多样性的主动防御技术试图改变攻防的不对称性,是当今网络空间防御技术的研究热点之一。本文介绍了基于多样性的主动防御所利用的主要技术手段,分析了入侵容忍、移动目标防御和拟态防御三种主动防御框架下的系统实现,并对比分析了三种主动防御技术的防御效果和优缺点,最后展望了基于软硬件多样性的主动防御技术的发展方向。
|
|
13.
|
FAWA:一种异构执行体的负反馈动态调度算法
|
|
|
|
|
|
|
杨林 王永杰 张俊《计算机科学》,2021年第48卷第8期
|
|
|
拟态防御作为一种新提出的网络防御方法,其不可预测的特性使其具有出色的防御效果.异构执行体是拟态防御中由各类防御策略构成的异构部件,拟态防御机制通过对异构执行体的动态调度来获得防御的动态性.传统的调度方法具有一定的局限性,针对这些局限性,综合考虑防御的全面性和历史防御成功率信息,提出了一种新的具有负反馈能力的动态调度算法FAWA,并设计了仿真碰撞实验来模拟网络攻防过程,并与其他调度方法的防御效果作对比.实验结果表明,在攻击方随机装载攻击载荷的场景下,FAWA算法的调度效果始终优于其他算法,能够很好地提高防御成功率;在攻击方同样采取负反馈装载的场景下,FAWA算法的调度效果优于完全随机算法、CRA算法和一些改进的动态人工加权算法,但弱于先进先出算法FIFO.另外,仿真实验通过对比攻击方两种载荷装载场景发现,在随机装载场景下,防御方的防御成功率更低,表明此时攻击方的成功率反而优于负反馈装载场景,这一结论说明攻击方也需要在网络攻防博弈中具备随机性和不可预测性,而不应被过度干扰和调整.
|
|
14.
|
拟态构造的Web服务器异构性量化方法
|
|
|
|
|
|
|
张杰鑫 庞建民 张铮《软件学报》,2020年第31卷第2期
|
|
|
拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统,其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击,以实现系统安全风险可控.在分析拟态防御技术原理的基础上,论证异构性如何提高拟态构造的Web服务器的安全性,并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上,将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性,提出了一种适用于量化异构性的量化方法,通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法,工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明,该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.
|
|
15.
|
面向深度学习模型的对抗攻击与防御方法综述
|
|
|
|
|
|
|
姜妍 张立国《计算机工程》,2021年第47卷第1期
|
|
|
深度学习作为人工智能技术的重要组成部分,被广泛应用于计算机视觉和自然语言处理等领域.尽管深度学习在图像分类和目标检测等任务中取得了较好性能,但是对抗攻击的存在对深度学习模型的安全应用构成了潜在威胁,进而影响了模型的安全性.在简述对抗样本的概念及其产生原因的基础上,分析对抗攻击的主要攻击方式及目标,研究具有代表性的经典对抗样本生成方法.描述对抗样本的检测与防御方法,并阐述对抗样本在不同领域的应用实例.通过对对抗样本攻击与防御方法的分析与总结,展望对抗攻击与防御领域未来的研究方向.
|
|
16.
|
路由器拟态防御能力测试与分析
|
|
|
|
|
|
|
马海龙 江逸茗 白冰 张建辉《信息安全学报》,2017年第2卷第1期
|
|
|
路由器是网络中的核心基础设备,但其面对基于漏洞和后门的攻击时却缺少有效的防御手段。拟态防御机制作为一种创新的主动防御方法引入到路由器的设计架构中,构建了路由器拟态防御原理验证系统。结合拟态防御机制的特性和路由器的特点,提出了针对路由器拟态防御原理验证系统的测试方法,并按照测试方法对该系统进行了全面测试,包括基础性能测试,拟态防御机制测试以及防御效果测试。测试结果表明,路由器拟态防御原理验证系统能在不影响路由器基本功能和性能指标的前提下实现了拟态防御机制,拟态防御机制能够改变固有漏洞或者后门的呈现性质,扰乱漏洞或后门的可锁定性与攻击链路通达性,大幅增加系统视在漏洞或后门的可利用难度。
|
|
17.
|
基于Mycat的拟态数据库中间件研究
|
|
|
|
|
|
|
曹国栋 倪明 喻卫东 王灿《计算机系统应用》,2019年第28卷第10期
|
|
|
数据库系统的安全不仅依赖于数据库本身的安全,还受网络环境和操作系统的安全性影响,拟态防御是邬江兴院士首次提出的基于动态异构冗余体系架构,协同实现数据库所依赖环境,使数据库安全由被动防御变为主动防御.本文通过Mycat作为数据库中间件,通过对数据库的读写分离,集群的高可用,分布式事务处理,对指纹化SQL识别,以减轻单一数据库的数据存取和处理压力.Mycat将数据库模块变为异构动态冗余模式,实现数据库拟态化,使数据高效,快速,安全的存取和切分.
|
|
18.
|
拟态数据库的网络攻击抵御能力评估和实证
|
|
|
|
|
|
|
万仕贤 赵瑜 吴承荣《计算机应用与软件》,2022年第39卷第1期
|
|
|
在复杂的网络环境中Web数据库面临诸多威胁和挑战。在传统数据库防护技术的基础上,提出一种基于动态异构冗余体系的拟态数据库应用。针对动态异构冗余的拟态数据库模型进行攻击抵御能力实证评估。重点针对拟态数据库的表决器部分进行评估和实验,从不利用软件漏洞的基础出发,使用应用软件的字符处理特性机制来完成攻击实验。论证得出在满足"共谋攻击"的条件下或者在掌握了一定数量的异构体应用漏洞信息的情况下,针对异构体的语义识别差异构造信息输出,可以实现敏感信息从表决器的多模裁决中逃逸,削弱系统设计的理论安全性。
|
|
19.
|
二阶SQL注入攻击防御模型 被引次数:1
|
|
|
|
|
|
|
田玉杰 赵泽茂 张海川 李学双《信息网络安全》,2014年第11期
|
|
|
随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。
|
|
20.
|
异构冗余系统的安全性分析
|
|
|
|
|
|
|
王伟 杨本朝 李光松 斯雪明《计算机科学》,2018年第45卷第9期
|
|
|
随着互联网技术的发展和普及,漏洞和后门已经成为导致网络安全问题的主要因素。冗余技术可以很好地解决系统的可靠性问题。受拟态防御思想的启发,分析了异构冗余技术对基于漏洞和后门的网络攻击进行安全防御的有效性。在一些假设前提下,以系统攻击成功率表征系统的安全性,建立了基于马尔科夫过程的异构冗余系统的安全性评估数学模型,给出了系统攻击成功率的表达式。最后对3模异构冗余系统进行了求解和分析,计算结果与直观预期相符。
|
