基于软件多样化的拟态安全防御策略

随着逆向工程的不断发展,软件产业的利益在很长一段时间内受到了来自盗版产业和恶意行为的破坏。为了找到一种低成本的高效抗逆向方法,人们引入了原本为恶意软件用于隐藏自身恶意行为的混淆技术来提高逆向工程的门槛。但是,现存的大多数混淆方法都是语言相关或者依赖目标平台的,对逆向的作用往往极其有限。鉴于此,提出一种基于LLVM的新的编译时的混淆实现方法,并结合拟态防御思想提出一种新的软件防御策略,其能有效防御针对软件的多种恶意攻击。  

异构冗余系统的安全性分析

随着互联网技术的发展和普及,漏洞和后门已经成为导致网络安全问题的主要因素。冗余技术可以很好地解决系统的可靠性问题。受拟态防御思想的启发,分析了异构冗余技术对基于漏洞和后门的网络攻击进行安全防御的有效性。在一些假设前提下,以系统攻击成功率表征系统的安全性,建立了基于马尔科夫过程的异构冗余系统的安全性评估数学模型,给出了系统攻击成功率的表达式。最后对3模异构冗余系统进行了求解和分析,计算结果与直观预期相符。  

拟态构造的Web服务器异构性量化方法

拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统，其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击，以实现系统安全风险可控.在分析拟态防御技术原理的基础上，论证异构性如何提高拟态构造的Web服务器的安全性，并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上，将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性，提出了一种适用于量化异构性的量化方法，通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法，工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明，该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.  

一种拟态构造的Web威胁态势分析方法

基于裁决差异性判别进行威胁推测是拟态防御系统屏蔽和阻断攻击威胁的重要机制,然而现有的拟态裁决机制无法对拟态防御系统安全态势进行有效归纳分析和威胁管控。为此,以拟态Web服务系统为例,将网络态势感知技术融入到拟态防御架构中,提出一种改进的Web威胁态势分析方法。对多层次的拟态裁决告警日志进行数据关联,挖掘及分类融合提取的特征数据信息,并对不同类型的分类数据进行可视化展示。实验结果表明,该方法能够显示拟态防御系统的安全状态,及时获悉异常执行体的运行情况,从而实现对拟态防御系统的安全态势进行分析与评估。  

一种基于拟态防御机制的SDN虚拟蜜网

针对传统蜜网部署不方便,流量控制困难,蜜网动态调整较复杂的缺陷,利用SDN技术灵活的控制机制与容器高速、轻量的技术特性,设计了具有动态可调整特性的SDN虚拟蜜网,结合拟态防御机制为SDN虚拟蜜网提供动态调整的依据,并通过博弈论验证了基于拟态防御机制的SDN虚拟蜜网的有效性。利用Containernet仿真实验平台搭建出SDN虚拟蜜网,并设计实现了基于拟态防御机制的动态跳变,通过实验验证了该蜜网的可行性。  

基于异构冗余的拟态数据库模型分析

信息系统中,数据库是关键和核心部分,是基本组件之一,其存有大量用于研究分析的数据,但其易受侵袭,经常被SQL注入和攻击。以往数据库主要的防御措施是先明确攻击的主要特征,再采取切实有效的防御方法,该种模式具有明显的缺陷和问题,如单一性及透明、静态等。拟态数据库模型具有内生安全性,因此,笔者着重对这种拟态数据库模型的实际可用性及使用过程中的安全性进行分析,以供相关研究借鉴和参考。  

高安全需求的Web服务器群主动防御体系研究

针对金融、证券等行业对Web服务器高等级的安全需求,采用拟态防御、白名单、智能学习、可信计算等技术,构建一整套主动安全防御体系,有效提高Web服务器系统化服务器群的安全防护等级。  

基于GSPN的拟态DNS构造策略研究

网络空间拟态防御系统（Cyberspace Mimic Defense System，CMDS）采用动态异构冗余架构以及多模表决机制将不确定威胁转化为概率可控的事件，从而实现了自主可控、安全可信。为进一步研究拟态构造策略在不同干扰场景下的稳态可用性和感知安全性，本文采用广义随机Petri网（Generalized Stochastic Petri Net，GSPN）建模，分析了不同干扰场景下采用不同拟态构造策略对系统性能和构造成本的影响，实验结果表明拟态防御系统可以根据反馈控制信息对不同干扰场景进行策略替换，从而实现系统的稳定可用性和感知安全性。同时通过反馈控制能有效控制不同服务器解析时延差值，对实际拟态DNS系统部署有重要指导意义。  

基于拟态防御的SDN控制层安全机制研究

软件定义网络（Software-Defined Networking，SDN）的集中式管控为网络带来了创新与便利，但主控制器被赋予了足够的管理权限，仅依赖其自身内部的防御技术，难以确保其不发生异常，以独裁的能力来危害整个网络。本文提出基于拟态防御的SDN控制层安全机制，以一种多样化民主监督的方式，使用多个异构的等价控制器同时处理数据层的请求，通过对比它们的流表项来检测主控制是否存在恶意行为。其中，重点研究了如何在语义层面对比多个异构控制器的流表项，以解决它们在语法上的差异化问题。该安全机制不依赖于对恶意行为的先验知识，实验结果验证了它检测恶意行为是有效的，同时具有较好的性能。  

面向拟态防御系统的竞赛式仲裁模型

拟态防御通过构建动态异构冗余的系统架构达到破坏攻击链的目的。为提高仲裁的效率,并进而改进系统的整体执行能力,针对拟态防御系统的仲裁过程,在多数一致性表决的基础上,提出一种竞赛式的仲裁模型,在不改变仲裁余度的前提下增加执行余度。实验结果表明,与三余度拟态系统相比,该模型能够有效地弥补拟态系统的性能损失。