拟态安全信息系统测评方法及技术研究

信息系统在社会中发挥着重要的作用,面临的安全问题日益严重。传统信息安全防御技术主要基于已知攻击方法或漏洞进行防御,无法有效应对未知攻击的威胁,难以全面防护Web系统的安全,基于动态异构冗余架构为拟态安全信息系统提供了本质安全和内生安全。研究了拟态信息系统的架构特征,给出了拟态安全信息系统的测评方法,并对拟态属性的验证方法和技术进行了分析。     

拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.     

拟态区块链——区块链安全解决方案

区块链起源于比特币,其核心是去中心化、去信任、防篡改、防伪造、可溯源,因此在任何高价值数据的管理、存储与流通的过程中都可以用到区块链.区块链已经在多种场景中得到应用,但是区块链的安全问题一直存在,且对用户权益影响极大.拟态防御是由中国的研究团队提出的新型网络防御技术,对新型系统的网络防御具有重要的作用.首先介绍区块链面临的安全威胁以及目前存在的应对方案,然后对拟态防御中核心的动态异构冗余（dynamic heterogeneous redundance,简称DHR）架构进行介绍;其次,针对区块链存在的潜在安全问题,借鉴动态异构冗余架构和密码抽签的思想,结合安全性定义和参数选择规则,从动态异构共识机制以及动态异构冗余签名算法两个角度提出了区块链的安全解决方案,称为拟态区块链;最后进一步分析了拟态区块链的安全性和性能,结果显示,动态异构冗余区块链可以在多个方面得到比典型区块链更好的安全性.     

软件定义网络下的拟态防御实现架构

针对传统防御技术难以应对未知漏洞和后门的问题,拟态安全防御（MSD,mimic security defense）通过构造动态异构冗余模型,提高系统的不确定性,增加攻击者的攻击难度和成本,提升网络安全性能。基于软件定义网络,提出了一种拟态防御的实现架构,首先,按照非相似余度准则构建异构冗余执行体,而后借助软件定义网络的集中管理控制实现动态选调和多模判决等功能。实验验证了架构的入侵容忍能力和可用性。     

一种基于执行体异构度的拟态裁决优化方法

网络空间拟态防御技术通过构建动态异构冗余的系统架构来提高系统的安全性能,而裁决器的表决机制是防御链中的关键步骤,直接影响拟态系统的安全性和效率。针对拟态表决环节的任务特性,对一致表决算法进行改进,设计基于执行体异构度的拟态裁决优化方法。结合拟态防御系统的异构特性,在选择执行体表决输出时引入执行体间的异构度作为决策因素,同时综合考虑执行体数目和历史记录信息,使表决算法更适用于拟态架构面临的威胁场景。实验结果表明,与一致表决算法相比,该算法能够显著提高拟态系统的安全性能,有效规避共模逃逸的风险。     

拟态构造的Web服务器异构性量化方法

拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统,其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击,以实现系统安全风险可控.在分析拟态防御技术原理的基础上,论证异构性如何提高拟态构造的Web服务器的安全性,并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上,将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性,提出了一种适用于量化异构性的量化方法,通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法,工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明,该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.     

基于Mycat的拟态数据库中间件研究

数据库系统的安全不仅依赖于数据库本身的安全,还受网络环境和操作系统的安全性影响,拟态防御是邬江兴院士首次提出的基于动态异构冗余体系架构,协同实现数据库所依赖环境,使数据库安全由被动防御变为主动防御.本文通过Mycat作为数据库中间件,通过对数据库的读写分离,集群的高可用,分布式事务处理,对指纹化SQL识别,以减轻单一数据库的数据存取和处理压力.Mycat将数据库模块变为异构动态冗余模式,实现数据库拟态化,使数据高效,快速,安全的存取和切分.     

拟态防御体系攻击检测研究与分析

网络空间拟态防御技术是一种采用动态异构冗余架构的新型主动防御技术,论述了基于拟态防御体系的攻击检测方法,能够检测定位漏洞并及时修复,完成从静态防御到动态防御的转变,提高对未知漏洞和后门攻击的防御能力。     

云环境下面向拟态防御的反馈控制方法

云环境下的虚拟化技术,给用户带来了一些数据和隐私安全问题。针对云环境中虚拟机单一性、同质性和静态性等问题,文章提出一种云环境下面向拟态防御的反馈控制方法。该方法以云中虚拟机为基础,利用拟态防御技术对虚拟机进行拟态化封装,通过反馈控制架构对其实现闭环负反馈控制,并基于异构虚拟机动态轮换改变执行环境,保证虚拟机系统环境的随机性。实验表明该设计实现了对用户服务的错误容忍、可疑虚拟机检测和动态轮换,增加攻击者利用漏洞攻击的难度。     

面向拟态防御系统的竞赛式仲裁模型

拟态防御通过构建动态异构冗余的系统架构达到破坏攻击链的目的。为提高仲裁的效率,并进而改进系统的整体执行能力,针对拟态防御系统的仲裁过程,在多数一致性表决的基础上,提出一种竞赛式的仲裁模型,在不改变仲裁余度的前提下增加执行余度。实验结果表明,与三余度拟态系统相比,该模型能够有效地弥补拟态系统的性能损失。