移动目标防御(MTD)关键技术研究

移动目标防御(Moving Target Defense,MTD)技术是近年来网络空间中"改变游戏规则"的革命性技术之一。它与以往的网络安全技术完全不同,变被动防御为主动防御,其系统和网络状态随着时间、空间以及物理环境等多个维度的变化而不断改变,从而增加入侵者的入侵难度,有效限制己方漏洞暴露的概率。因此,移动目标防御将成为未来网络安全防护技术的重点发展方向。综合研究了MTD主要关键技术及其发展脉络,通过比较分析,提出了目前关键技术的优缺点,并结合网络技术的演化展望了MTD技术的发展前景。     

面向SDN的移动目标防御技术研究进展

软件定义网络是基于开放标准的灵活架构,通过控制层管理网络功能和服务,具有控转分离、集中控制的特性;移动目标防御技术致力于构建一个不断变换的环境以提高网络系统的视在不确定性,需要灵活可定制、集中可控制的网络架构加以实施,因此将移动目标防御与软件定义网络相结合已成为更具应用价值研究热点。首先,分别介绍了软件定义网络和移动目标防御的基本概念,概括了软件定义网络所面临的安全威胁,阐述了面向SDN的移动目标防御的实现模型;其次,分别从SDN数据层、控制层和应用层归纳了移动目标防御的技术方法;最后,总结了现有SDN动态防御面临的挑战,对面向SDN的移动目标防御技术发展方向进行了展望。     

基于双重地址跳变的移动目标防御方法

网络系统的确定性和静态性使得防御处在被动之中,移动目标防御作为一种改变攻守态势的防御理念被提出.针对嗅探和扫描攻击,文章提出一种基于双重地址跳变的移动目标防御方法——DAH.通过双重虚拟地址跳变频率分级,有效解决通信服务质量和跳变频率之间的矛盾,利用低频虚拟地址跳变保证网络可用性,利用高频虚拟地址跳变抵御嗅探攻击.通过...     

一种HSS移动目标防御方法*

针对现有移动核心网中HSS面临的中间人攻击、DoS攻击等安全威胁,以及传统静态网络中攻击者对防御者的不对称性优势,在移动目标防御中动态地址的研究基础上提出一种HSS移动目标防御方法。对攻击源筛选问题进行建模分析,提出快速贪心算法和凸优化法高效地执行地址切换策略。仿真结果表明,快速贪心算法在阻断攻击源的同时大幅降低了时间复杂度;凸优化法通过增大求解空间减少了执行地址切换次数,降低了对核心网正常通信的影响     

基于移动目标防御的内网防渗透技术研究

内网安全是当前计算机网络安全中的一个重要研究领域。本文提出了一种基于移动目标防御（Moving Target Defense）思想的内网防渗透技术,在通信过程中将主机的真实地址修改为动态变化的虚拟地址,使得攻击者的扫描探测失效,从而难以获取内网主机地址并开展网络渗透,提升内网的安全性。正常用户可通过主机域名查询虚拟地址,开展正常通信。该技术最后实现为网络接入设备形态,已在内网环境中测试。     

移动目标防御技术研究进展

易攻难守是当前网络安全面临的核心问题之一.移动目标防御为解决这一问题提供了一种全新思路,其核心思想是通过内部可管理的方式对被保护目标的攻击面实施持续性的动态变换以迷惑攻击者,从而增加攻击者实施成功攻击的代价和复杂度,降低其攻击成功的概率,提高系统弹性和安全性.首先对移动目标防御的基本概念加以介绍,并依据研究内容的不同对已有的研究成果进行分类;然后对每类成果加以描述、分析和总结;最后对当前研究现状进行总结,并对未来研究方向进行了展望.     

基于博弈论的移动目标最优防御策略研究

基于博弈论的网络安全防御大多数使用完全信息静态博弈或不完全信息动态博弈理论建立攻防模型,但完全信息静态博弈使用场合受限,实用性不强,所以使用不完全信息动态博弈建立攻防模型更贴近实际情况,而以往由不完全信息动态博弈建立的攻防模型认为观测到的攻击策略为真实攻击策略则没有考虑观测到的攻击策略很可能会出现误差。为此,引入最小风险的贝叶斯决策的思想,将防御系统对攻击策略发生误判、错判时,采取的防御策略对系统带来的风险考虑在内,建立了基于不完全信息动态博弈的移动目标最优防御策略模型。该策略模型通过分析防御决策风险大小,使防御策略收益量化更加精准、全面,并利用不完全信息动态博弈的精炼贝叶斯均衡选取最优防御策略。通过实例进行分析,验证了模型的有效性。     

一种基于MIPv6的移动目标防御反审查方法

虽然互联网已经成为生活中各个方面的中心,但仍有很多用户无法通过互联网自由地获取信息。攻击者可以通过部署审查者实现对用户特定信息的屏蔽。从网络信息提供者的角度出发,提出一种面向用户的反审查方法,使攻击者的攻击代价大大增加。通过使用移动IPv6来形成移动目标防御策略,使Web服务器从逻辑上表现为移动节点(实际上没有移动)。对该方案进行建模(概率模型)分析,提出一个关键参数—分群比,将攻击者所需资源与实际条件限制进行对比。在该模型的基础上搭建现实原型(对服务器软件和内核进行简单修改而不改变标准移动IPv6协议),以此证明可以在不改变现有网络基础设施的情况下使用该方法。通过实验分析该方法性能开销。     

基于自适应遗传算法的微服务移动目标防御策略

微服务架构因具有灵活、可扩展等特性,能够有效地提高软件的敏捷性,成为目前云中应用交付最主流的方法。然而,微服务化拆分使得应用的攻击面呈爆炸式增长,给以“要地防御”为核心的移动目标防御策略设计带来了巨大的挑战。针对该问题,提出了一种基于自适应遗传算法(AGA)的微服务移动目标防御策略,即动态轮换策略(DRS)。首先,基于微服务的特点,对攻击者的攻击路径进行分析;然后,提出微服务攻击图模型来形式化各种攻击场景,并对移动目标防御策略的安全增益和防御回报率进行定量分析;最后使用AGA求解移动目标防御的最优安全配置,即微服务的最优动态轮换周期。实验表明DRS具有可扩展性,相比统一配置策略、DSEOM以及随机配置策略,其防御回报率分别提高了17.25%,41.01%和222.88%。     

基于IPv6网络的移动目标防御与访问控制融合防护方法

随着5G技术的兴起,当前已有许多工业互联网设备部署在5G网络中.然而,互联网充满着各种网络攻击,需要使用更新的安全防护技术对工业互联网的设备进行防护.因此,针对当前5G网络已大量使用互联网协议第6版(Internet Protocol version 6, IPv6)的现状,提出基于IPv6的移动目标防御与访问控制方法.首先,提出兼容IPv6互联网传输的随机地址生成机制、支持两端时差冗余的随机地址机制以及支持多线程的无锁随机IP地址选取机制,以辅助移动目标防御所需的随机IP地址生成,并致力于提升基于软件定义网络技术的移动目标处理器性能和稳定性.其次,提出通过移动目标处理器对原始数据包进行随机地址替换的方法,以实现随机地址在标准互联网中传输,随后结合访问控制技术,进而保护工业互联网设备不受外部设备干扰和攻击.最后,通过一系列实验证明提出的移动目标防御与访问控制技术对原始网络影响较小,并且安全性极高,具备实际落地应用的前提条件.     

面向对抗样本攻击的移动目标防御

深度神经网络已被成功应用于图像分类,但研究表明深度神经网络容易受到对抗样本的攻击。提出一种移动目标防御方法,通过 Bayes-Stackelberg 博弈策略动态切换模型,使攻击者无法持续获得一致信息,从而阻断其构建对抗样本。成员模型的差异性是提高移动目标防御效果的关键,将成员模型之间的梯度一致性作为度量,构建新的损失函数进行训练,可有效提高成员模型之间的差异性。实验结果表明,所提出的方法能够提高图像分类系统的移动目标防御性能,显著降低对抗样本的攻击成功率。     

移动目标防御的攻击面动态转移技术研究综述

移动目标防御作为一种动态、主动的防御技术,能够通过不断转移攻击面,减少系统的静态性、同构性和确定性,以此挫败攻击者的攻击.随着网络攻击手段的不断发展和变化,深入研究移动目标防御对网络空间安全具有重要意义,而攻击面的动态转移技术作为移动目标防御领域的重点问题,一直受到研究人员的广泛关注.利用攻击面动态转移技术所具有的不确定性、动态性和随机性等优势,实现信息系统的动态防御,可以有效克服传统防御手段的确定性、静态性和同构性的不足.首先梳理了攻击面的基本概念,并具体阐释了攻击面以及攻击面转移的形式化定义;其次,分析了攻击面4个层次的动态转移技术——数据攻击面、软件攻击面、网络攻击面和平台攻击面,并对不同的动态转移技术进行分析和比较,分别指出它们的优点和缺陷;最后,还从多层次攻击面动态转移技术的融合、攻击面动态转移的综合评估方法、基于感知的攻击面动态转移方法、基于三方博弈模型的攻击面转移决策等方面讨论了未来移动目标防御中攻击面动态转移可能的研究方向.     

基于微分博弈的移动目标防御最优策略

目前,针对移动目标防御最优策略研究大多采用经典单/多阶段博弈和Markov博弈模型,无法在连续实时网络攻防对抗中进行灵活决策.为实现实时选取最优移动目标防御策略,在研究节点级传染病模型与微分博弈理论的基础上,提出了一种移动目标防御微分博弈模型,对网络空间重要节点构造安全状态演化方程与攻防收益目标函数,并设计开环纳什均衡求解算法以得出最优防御策略.仿真结果表明,该方法可有效对网络攻击进行实时防御,并且可针对网络关键节点制定相应移动目标防御策略.     

动目标防御机制

动目标防御是安全领域的一个新探索,旨在通过动态变化增加攻击者的难度,从而提升系统的安全性。文章从对抗条件下实现安全的机理入手,分析了动目标防御的原理和有效性,建立了动目标防护技术体系,描述了不同层次和粒度的动目标防御机制,分析了实现动目标防御面临的问题和挑战。     

基于移动目标防御信号博弈的容器迁移策略

容器作为虚拟机的轻量级替代产品,以其灵活、高效的特点促进了云计算的发展,但同时也面临着同驻攻击、逃逸攻击等安全威胁。针对云环境中的容器安全威胁,构建了基于移动目标防御的信号博弈模型,并提出了多阶段最优防御策略求解算法,通过博弈模型和求解算法选取最优策略,同时通过容器调度方法对容器进行调度,可以增强容器安全性。仿真实验结果表明,提出的迁移策略获取的防御收益相较于Kubernetes自带迁移策略提升了3.6倍,同时容器同驻率降低了79.62%,对现实容器云环境下的防御策略选取和安全性增强具有一定的借鉴意义。     

基于FPGA的动态目标跟踪系统设计

为了解决基于PC机的视频动态目标跟踪实时性瓶颈问题,设计出一种基于FPGA的动态目标跟踪系统。设计遵循图像处理金字塔模型,针对低层和中层算法简单、数据量大且存在一定并行性等特点采用FPGA硬件实现,而高层较复杂算法使用Nios Ⅱ软核进行C语言编程。整个设计采用Verilog-HDL对算法完成建模与实现,并在QUARTUS Ⅱ上进行了综合、布线等工作,最后以Altera公司的DE2开发板为硬件平台实现了整个系统。     

基于视觉记忆模型聚类的运动目标检测

传统的混合高斯背景建模可对存在渐变及重复性运动的场景进行建模,但其运算过程需要足够的计算量和存储空间,不适应在复杂背景下的背景建模,也不能解决场景中存在的突变。针对这些问题,提出了一种基于记忆模型的聚类算法,算法为每个像素点设置一个聚类模型,每个聚类可根据背景的变化结合人类记忆模型自适应的创建、更新和删除。该算法通过人类瞬时记忆、短时记忆和长时记忆做出准确判断,运动目标检测结果更能符合人类感觉器官的判断。     

基于端口跳变的SDN网络DoS防御技术

端口跳变是移动目标防御典型技术,通过持续改变服务端口来隐藏服务标识和迷惑攻击者。利用SDN网络逻辑集中控制与网络可编程特性,提出基于端口跳变的SDN网络防御技术,使用SDN控制器承担服务端的端口跳变功能,不但可减轻服务端负载,且可提前检测过滤恶意数据包,并能抵御内部攻击者。理论分析与实验结果表明,所提技术对SDN控制器负载增加较少,可有效抵御DoS攻击。