拟态构造的Web服务器异构性量化方法

拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统,其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击,以实现系统安全风险可控.在分析拟态防御技术原理的基础上,论证异构性如何提高拟态构造的Web服务器的安全性,并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上,将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性,提出了一种适用于量化异构性的量化方法,通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法,工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明,该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.     

拟态通用运行环境的资源管理与调度技术

为达到拟态通用运行环境(MCOE)对已/未知后门和漏洞主动防御、安全威胁攻击及时阻断和数据完整性有效保障等拟态防御目标,提出拟态资源调度准则,基于该准则从拟态资源管理与MCOE框架的交互设计、拟态资源管理与调度等方面论述拟态资源管理服务与调度算法的设计与实现,构造拟态运行节点软硬件资源异构特征分类器及基于三级异构度分类的节点N元组和N异构执行体元组,实现N异构执行体、服务器运行节点资源及其资源对象的随机性、动态性和异构性最大化与资源调度负载均衡,并通过拟态管理服务实例验证了云容器集群上拟态资源管理调度算法的正确性与有效性。     

面向拟态云的异构执行体安全调度算法

随着云服务的应用范围越来越广,基于未知漏洞或后门的攻击成为制约云技术发展的主要安全威胁之一。基于拟态防御建立的拟态云服务通过降低漏洞的持续性暴露概率来保障安全性,当前已有研究提出的拟态调度算法缺乏对执行体自身安全性的考虑,并且无法兼顾动态性和异构性。针对此问题文章通过引入执行池的异构度和安全度定义,提出一种基于异构度和安全度的优先级调度算法,并引入结合时间片的动态调度策略。实验结果表明,文章所提算法具有较好的动态性,能够获得较优的调度效果,实现了动态性、异构性和安全性之间的平衡,并且时间复杂度较低。     

面向云应用的拟态云服务架构

针对单执行体的云应用服务缺乏异构性和动态性,难以应对未知漏洞和后门的安全威胁问题,提出一种拟态云服务架构,把云平台向用户提供的应用服务节点构造成基于拟态防御技术的服务包,使应用服务具有拟态构造带来的内生安全特性和鲁棒性,同时讨论了策略调度和裁决机制等两项关键的拟态云服务运行机制。经实验分析表明,拟态云服务具有较好的安全性,可以通过减小执行体的性能差异降低其响应时延。     

基于区分服务的Web服务器服务质量机制

论文利用近似计算模型和WHC实时调度策略,设计了一个Web服务器能够提供区分服务和服务质量保证PIK机制。同时,通过修改ApacheWeb服务器软件,实现了对PIK机制的仿真研究。通过仿真实验表明,PIK机制是一个可行的和有效的Web服务器区分服务质量机制,它为Web服务器区分服务质量研究提供了模型框架。     

面向拟态防御系统的高阶异构度大数判决算法

异构系统之间的相似性会影响拟态防御系统异构执行体的选择和调度。目前多数针对执行体的异构性分析仍停留在二阶层面,但二阶异构度不适用于执行体数目较多的情况,难以准确评估拟态系统的防御能力。针对该问题,提出高阶异构度的概念,分析高阶异构的性质,解释高阶异构性在执行体调度及判决中所起的重要作用,并将其用于拟态防御系统安全性的量化分析。在此基础上,设计基于高阶异构度的大数判决算法,同时依据容斥原理计算系统失效率。实验结果表明,该算法可有效分析拟态系统的防御能力,并且随着执行体相似度增大以及执行体数目增多,准确性能够进一步提高。     

基于GSPN的拟态DNS构造策略研究

网络空间拟态防御系统（Cyberspace Mimic Defense System,CMDS）采用动态异构冗余架构以及多模表决机制将不确定威胁转化为概率可控的事件,从而实现了自主可控、安全可信。为进一步研究拟态构造策略在不同干扰场景下的稳态可用性和感知安全性,本文采用广义随机Petri网（Generalized Stochastic Petri Net,GSPN）建模,分析了不同干扰场景下采用不同拟态构造策略对系统性能和构造成本的影响,实验结果表明拟态防御系统可以根据反馈控制信息对不同干扰场景进行策略替换,从而实现系统的稳定可用性和感知安全性。同时通过反馈控制能有效控制不同服务器解析时延差值,对实际拟态DNS系统部署有重要指导意义。     

通过内容自适应改善Web服务器服务质量

在近似计算算法基础上，提出了一个最高优先级优先（Highest-Priority-First，HPF）算法。在HPF算法基础上，设计了一个Web内容自适应的PIK机制来代替传统Web服务机制，并通过修改ApacheWeb服务器软件，实现了一个基于Web内容树结构的内容自适应PIK机制。通过对PIK机制仿真实验表明，PIK机制提高了Web服务器对请求的响应质量和响应率，它为研究Web服务器区分服务和服务质量问题提供了一种新技术思路。     

一种改善Web Qos区分服务性能的控制策略

为了实现基于Web服务器的区分服务,改善服务器性能,文章采用了基于优先级的请求分配策略和资源监控与调度机制来保证Web服务器的服务质量,在此基础上设计了一种基于PID反馈控制机制实现接纳请求的优先级调度方案,并用Matlab进行了仿真,验证了该方法的正确性。     

拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.