拟态多执行体调度算法研究进展

拟态防御是一种基于动态异构冗余架构的新型主动防御技术,具有内在不确定、异构、冗余及负反馈等特性,从而能显著提高系统稳健性和安全性.其中多执行体调度算法是拟态防御技术的关键,其优劣直接影响拟态系统抵抗基于已知或未知漏洞后门攻击的能力.基于此,首先介绍了拟态调度算法技术和目标,然后从调度对象、调度数量及调度时机这3个方面对...     

面向双模态红外图像差异的拟态融合方法

针对传统融合方法无法根据双模态红外图像差异特征的不同选择有效的融合策略的问题,提出了一种面向红外光强与偏振图像差异的拟态融合方法。首先计算图像特征差异度对差异特征进行粗筛,制定主差异特征类型的选取规则来确定图像组的主差异特征;然后构造特征融合度,以建立差异特征与拟态变元集中各层变元的映射,确定变元分层结构;最后在变元分层结构选择主差异特征类型的各层变元,比较不同拟态结构变元组合时差异特征的特征融合度,确定其最大值占比最高的拟态结构,形成变体。实验结果表明,经主观分析本文方法结果的视觉效果比对比方法结果的效果更优;经客观评价本文方法结果均为有效融合,因此本文方法实现了对融合策略的自适应选择并提高了图像的融合质量。     

面向进程控制流劫持攻击的拟态防御方法

为了防御进程控制流劫持攻击,从漏洞利用的角度对攻击过程建立了威胁模型,提出了截断关键漏洞利用环节的"要塞"防御.在研究拟态防御原理的基础上提出了进程的拟态执行模型,并对该模型进行了分析与有效性证明,拟态执行能够有效截断控制流劫持的攻击实施过程;实现了拟态执行的原型系统MimicBox,并对MimicBox进行了有效性验...     

动态异构冗余结构的拟态防御自动机模型

动态异构冗余结构是拟态防御技术的常用工程模型.然而,目前尚缺乏对该结构实施形式化分析的手段,因为该结构缺乏形式化建模方法.针对此问题,使用有穷状态自动机及其并行组合自动机为一些拟态攻防行为建立计算模型.首先,使用单个有穷状态自动机为单个执行体建模;其次,使用有穷状态自动机的并行组合为执行体组合建模;再次,修改状态迁移规则,得到可描述攻防行为的拟态防御自动机模型;最后,根据该自动机模型的状态条件,分析动态异构冗余结构上拟态攻防行为的安全性.此外,也可使用交替自动机为拟态攻防建模,并把安全性自动分析规约为交替自动机模型检测问题.     

云环境下拟态应用行为预测方法研究

面对一些成熟的商业云,装配拟态服务组件可以为云上应用赋能内生安全。为了能够提供多应用与拟态服务组件集群的协同,文中首先提出并设计了拟态调度管理组件,通过高效调度拟态服务组件集群来满足拟态服务组件与云平台的融合协同需求。为了进一步优化所提出的拟态调度管理组件,文中同时研究了拟态调度管理组件中的预测算法,使用擅于处理线性关系的ARI-MA模型与擅于处理非线性关系的RBF模型组合,通过离线方式实现对云上应用行为预测。经过大量仿真实验,证明采用的组合模型的预测性能优于单个预测模型使用,能够以较高的准确率进行预测。     

突发事件中微博拟态环境的构建

在各类突发事件中,微博成为了重要的信息来源,而构建良好的微博拟态环境也迫在眉睫。本文通过分析突发事件中微博拟态环境的特点及其存在问题,提出了构建良好拟态环境的方式方法,阐释了在突发事件中构建良好拟态环境的重要意义。     

面向持久性连接的自适应拟态表决器设计与实现

针对当前拟态表决器以连接为单位“连接内数据传输结束后再表决、转发”的机制难以适应HTTP 1.1协议在持久性连接、分块传输编码的应用场景中开销过大的问题,设计实现了面向持久性连接的自适应拟态表决器,在数据持续传输过程中滑动窗口式表决、释放异构冗余执行体的分块传输编码报文,通过分析滑动窗口式表决的分块传输编码报文的数据特征,构建了表决算法选择策略集,给出了表决准确性维护方案;提出了基于存贮模型的自适应表决窗口控制策略,为待表决数据提供最佳的切分方案。基于原型系统的实验结果表明,自适应拟态表决器在具有可接受的表决准确度下,降低了内存开销并提升了拟态表决效率。     

红外光强与偏振图像多类拟态变元组合融合

现有红外光强与偏振图像融合算法不能根据图像差异特征变化动态调整融合算法,造成图像部分差异特征融合效果不理想甚至失效。根据拟态仿生学思想,借鉴拟态章鱼的多拟态过程,提出一种红外光强与偏振图像多类拟态变元组合融合方法。首先,分析拟态章鱼的多拟态过程,剖析其多拟态原因;其次,寻找多拟态过程与图像融合过程之间的对应关系,并确定图像融合过程的多类变元类型;最后,建立面向图像融合的多类变元组合关系并利用该关系进行图像融合。实验结果表明:所得融合图像的信息熵、标准差、边缘强度、平均梯度、清晰度方面平均提升1.16%、7.25%、3.00%、0.31%、10.18%。该方法的建立可以使融合算法内变元组内变元选择和组合根据原始图像差异特征变化而进行动态调整,从而得到具有针对性的融合算法。     

基于拟态架构的内生安全云数据中心关键技术和实现方法

云数据中心是新一代信息基础设施的代表,其安全问题也成为近年来备受关注的焦点,具有重要的意义。首先,在对现有云安全形势分析的基础上,通过新兴的内生安全概念探索云数据中心的安全架构、关键技术和实现方法,期望利用拟态构造设计解决现有防护手段难以处理的漏洞、后门等内生安全问题。其次,提出了一种云数据中心内生安全架构与相关关键技术实现构想,同时给出了现有云平台系统拟态化改造的模式与技术趋势。未来,基于拟态架构的内生安全云数据中心或将为新一代信息基础设施建设提供有效的安全解决方案,进而加速云化服务模式的应用与推广。     

基于深度学习的拟态裁决方法研究

针对软硬件差异化容易导致拟态裁决结果不一致所造成的假阳现象被误认为网络攻击的问题,提出了一种基于深度学习的拟态裁决方法。通过构建无监督的自编码-解码深度学习模型,挖掘不同执行体输出多样化正常响应数据的深度语义特征,分析归纳其统计规律,并通过设计基于离线学习-在线裁决联动的训练机制和基于反馈优化机制来解决假阳现象,从而准确检测网络攻击,提高目标系统的安全弹性。鉴于软硬件差异导致正常响应数据间的统计规律已被深度学习模型理解掌握,因此不同执行体间拟态裁决结果将保持一致,即目标系统处于安全状态。一旦目标系统受到网络攻击,执行体的响应数据将偏离深度学习模型的统计规律,致使拟态裁决结果不一致,即目标系统存在潜在安全威胁。实验结果表明,所提方法的检测性能显著优于主流的拟态裁决方法,且平均预测准确度提升了14.89%,有利于将该方法集成到真实应用的拟态化改造来增强系统的防护能力。     

拟态式蜜罐诱骗特性的博弈理论分析

该文基于非合作不完全信息动态博弈理论,形式化描述了拟态式蜜罐诱骗博弈的各局中人策略和收益,构建了诱骗博弈收益矩阵,推理分析了拟态式蜜罐诱骗博弈中存在的贝叶斯纳什均衡策略,通过进一步讨论博弈均衡条件和影响因素并与传统蜜罐博弈相比较,给出了拟态式蜜罐模型中保护色、警戒色等机制在诱骗博弈中的适用条件,证明了拟态式蜜罐模型具有更好的主动性、有效性和迷惑性.     

边缘计算环境下网络拓扑拟态关联图与主动防御模型研究

为了提高网络攻击的防御能力,提出一种边缘计算环境下网络拓扑拟态关联图与主动防御模型,该模型在半盲攻击的情况下,根据网络安全可靠性来动态调整网络拓扑拟态关联图,在保证网络通信路径多样性的基础上动态调整网络存活时隙,实现网络攻击的主动有效防御。实验证明,的算法与简单拓扑算法相比,动态调整存活时隙增加DDoS攻击的难度,从而保证网络具有主动防御的功能,更加适用于边缘计算网络环境。因此,算法在实际边缘计算的网络环境中将具有较好的应用价值。     

网络空间拟态防御建模与量化评估技术研究

针对网络空间未知漏洞后门等不确定性扰动问题,拟态防御技术基于动态异构冗余架构与拟态伪装机制实现了对随机或非随机扰动的有效管控。针对上述内生安全问题,首先采用Petri网、鞅以及概率论等理论与技术来评估与仿真系统的安全性,并对评估结果与实际部署进行了策略分析,同时对比了不同理论工具在量化可用性、攻击成功概率以及逃逸概率等指标时存在的优缺点。最后,针对现有理论与技术在不同场景适用性存在的不足以及实际部署量化问题,展望了后续拟态防御系统在定性与定量分析研究的主要方向。     

信息通信网络中拟态防御机理与关键技术分析

科学技术的发展,使信息通信网络的发展规模越来越大,在信息通信网络中有诸多复杂因素,尤其是信息技术在全球范围内大面积应用,为信息通信网络带来更多的“毒化污染”,促使各个网络节点或者链路出现诸多漏洞,影响信息通信网络的安全性。本文针对信息通信网络中拟态防御机理进行分析,继而讨论拟态防御技术在信息通信网络中的应用策略以及未来展望,以供参考。     

拟态路由器BGP代理的设计实现与形式化验证

为确保拟态路由器中协议代理等“拟态括号”关键组件的安全性和功能正确性，设计实现了边界网关协议（BGP）代理，并采用形式化方法对BGP代理的安全性和功能正确性进行了验证。BGP代理通过监听邻居路由器与主执行体之间的BGP会话报文，模拟邻居路由器与从执行体展开BGP会话，实现各执行体的BGP状态一致。采用VeriFast定理证明器，编写基于分离逻辑的形式化规约，证明程序不会出现空指针引用等内存安全问题，并验证了BGP代理各功能模块实现的高级属性符合功能规约。BGP代理实现与验证代码量之比约为1.8:1，程序设计实现和程序验证所耗费的时间之比约为1:3。经过形式化验证的BGP代理处理100 000条BGP路由所花费的时间为0.16 s，约为未经过验证的BGP代理的7倍。研究工作为应用形式化方法证明拟态防御设备与系统中关键组件的安全性和功能正确性提供了参考。     

职场综艺节目中“拟态环境”的构建研究——以《100道光芒》为例

《100道光芒》作为一档职场纪实类真人秀,依托湖南卫视芒果TV的内容优势,率先将职场综艺与电商结合,在众多职场类综艺节目中脱颖而出。本文基于拟态环境理论,以《100道光芒》为例,探究职场综艺节目中“拟态环境”的构建,主要从节目的拟态呈现、构建主体、意义展示三个方面来阐述。     

面向拟态判决的可编程语义解析方法

针对拟态判决领域的应用,提出了一种面向拟态判决的可编程语义解析方法。该方法基于匹配查表思想,通过域指针配置方式进行定制协议解析,解决了针对不同协议的可编程解析问题;采用流水控制的方式保证了协议解析过程无拥塞,提高了协议解析的性能;通过引入哈希运算,降低了子分组基于语义的重排序设计复杂度。性能分析结果表明,所提方法在协议解析方面具有高灵活性、高处理能力及低资源利用率等特点。     

有限异构资源条件下的工业控制拟态调度算法

网络空间拟态防御技术是应对信息系统未知漏洞后门攻击的有效手段,其安全性与执行体的数量、异构化程度以及具体的裁决调度策略紧密相关。然而在工业控制领域,工业应用的生态资源相对封闭,可实现的异构执行体个数受限。针对上述问题,提出一种适用于有限异构资源约束条件下的工业控制拟态调度算法。算法通过引入执行体上线保护寄存器、周期清洗定时器等,能够根据运行环境自适应选择合适的执行体上线,可有效防范N-1模与N模攻击。实验结果表明,所提出的三余度工业控制拟态调度算法,可自适应根据环境特性选择合适的执行体上线,即使在高强度攻击环境下,依然能保持99.24%的高可用概率。     

基于红蓝对抗的拟态防御体系构建

由于目前网络空间处于攻防不对等的态势，基于“已知风险”的防护体系已经无法满足日益严峻的攻击压力，需要构建一种可以对“未知风险”进行防护且有一定自适应能力的安全架构。本文通过将红蓝对抗经验引入到安全防护体系的建设中，以网站防护为例，研究了构建基于拟态防御的安全架构模型，提出将自适应防护能力集合到安全工作的方法，从而提高了信息系统对未知威胁攻击的防护能力。     

基于拟态防御架构的服务功能链执行体动态调度方法

面对静态、滞后的传统防御技术无法有效应对新型网络攻击的问题,根据拟态安全防御理论,提出了一种建立在数据转发层面的拟态服务功能链(mimic service function chain,MSFC)防御架构,基于该架构进一步提出了一种基于判决反馈的执行体动态调度方法。该方法以判决器反馈的异常执行体信息、执行体的异构度以及系统的实际负载量作为调度影响因素,使调度方法可以根据网络实际变化进行自适应调整。此外,该调度方法利用判决反馈对调度时间进行调整,以达到系统花费与安全性的最佳平衡,降低了系统的资源开销。仿真结果表明,该调度方法可以在平衡系统花费与安全性的基础上,选出更符合当前网络需求的高异构度执行体集合,从而提升系统的安全性及可靠性。