拟态计算与拟态安全防御的原意和愿景

以高效能和高安全性计算为目标,提出了以多维重构函数化体系结构与动态多变体运行机制为核心的拟态计算和拟态安全防御技术体系,并对二者的概念和机理从原意和愿景的角度进行了概略介绍,最后给出了需要进一步研究的主要科学与工程技术问题。     

面向进程控制流劫持攻击的拟态防御方法

为了防御进程控制流劫持攻击,从漏洞利用的角度对攻击过程建立了威胁模型,提出了截断关键漏洞利用环节的"要塞"防御.在研究拟态防御原理的基础上提出了进程的拟态执行模型,并对该模型进行了分析与有效性证明,拟态执行能够有效截断控制流劫持的攻击实施过程;实现了拟态执行的原型系统MimicBox,并对MimicBox进行了有效性验...     

动态异构冗余结构的拟态防御自动机模型

动态异构冗余结构是拟态防御技术的常用工程模型.然而,目前尚缺乏对该结构实施形式化分析的手段,因为该结构缺乏形式化建模方法.针对此问题,使用有穷状态自动机及其并行组合自动机为一些拟态攻防行为建立计算模型.首先,使用单个有穷状态自动机为单个执行体建模;其次,使用有穷状态自动机的并行组合为执行体组合建模;再次,修改状态迁移规则,得到可描述攻防行为的拟态防御自动机模型;最后,根据该自动机模型的状态条件,分析动态异构冗余结构上拟态攻防行为的安全性.此外,也可使用交替自动机为拟态攻防建模,并把安全性自动分析规约为交替自动机模型检测问题.     

信息通信网络中拟态防御机理与关键技术分析

科学技术的发展,使信息通信网络的发展规模越来越大,在信息通信网络中有诸多复杂因素,尤其是信息技术在全球范围内大面积应用,为信息通信网络带来更多的“毒化污染”,促使各个网络节点或者链路出现诸多漏洞,影响信息通信网络的安全性。本文针对信息通信网络中拟态防御机理进行分析,继而讨论拟态防御技术在信息通信网络中的应用策略以及未来展望,以供参考。     

基于GAN实现环境声音分类的组合对抗防御

虽然深度神经网络可以有效改善环境声音分类(ESC)性能,但对对抗样本攻击依然具有脆弱性。已有对抗防御方法通常只对特定攻击有效,无法适应白盒、黑盒等不同攻击场景。为提高ESC模型在各种场景下对各种攻击的防御能力,该文提出一种结合对抗检测、对抗训练和判别性特征学习的ESC组合对抗防御方法。该方法使用对抗样本检测器(AED)对输入ESC模型的样本进行检测,基于生成对抗网络(GAN)同时对AED和ESC模型进行对抗训练,其中,AED作为GAN的判别器使用。同时,该方法将判别性损失函数引入ESC模型的对抗训练中,以驱使模型学习到的样本特征类内更加紧凑、类间更加远离,进一步提升模型的对抗鲁棒性。在两个典型ESC数据集,以及白盒、自适应白盒、黑盒攻击设置下,针对多种模型开展了防御对比实验。实验结果表明,该方法基于GAN实现多种防御方法的组合,可以有效提升ESC模型防御对抗样本攻击的能力,对应的ESC准确率比其他方法对应的ESC准确率提升超过10%。同时,实验验证了所提方法的有效性不是由混淆梯度引起的。     

基于动量增强特征图的对抗防御算法

深度神经网络(DNN)因其优异的性能而被广泛应用,但易受对抗样本攻击的问题使其面临巨大的安全风险。通过对DNN的卷积过程进行可视化,发现随着卷积层数加深,对抗攻击对原始输入产生的扰动愈加明显。基于这一发现,采用动量法中前向结果修正后向结果的思想,该文提出一种基于动量增强特征图的防御算法(MEF)。MEF算法在DNN的卷积层上部署特征增强层构成特征增强块(FEB),FEB会结合原始输入以及浅层卷积层的特征图生成特征增强图,进而利用特征增强图来增强深层的特征图。同时,为了保证每层特征增强图的有效性,增强后的特征图还会对特征增强图进行进一步更新。为验证MEF算法的有效性,使用多种白盒与黑盒攻击对部署MEF算法的DNN模型进行攻击实验,结果表明在投影梯度下降法(PGD)以及快速梯度符号法(FGSM)的攻击实验中,MEF算法对对抗样本的识别精度比对抗训练(AT)高出3%～5%,且对干净样本的识别精度也有所提升。此外,使用比训练时更强的对抗攻击方法进行测试时,与目前先进的噪声注入算法(PNI)以及特征扰动算法(L2P)相比,MEF算法表现出更强的鲁棒性。     

一种基于拟态安全防御的DNS框架设计

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议（DNSSEC）在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构--拟态DNS（Mimic DNS,M-DNS）--保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.     

网络空间攻防对抗技术及其系统实现方案

在分析网络空间及对抗特点的基础上,讨论了网络空间攻防对抗的主要技术,即攻防博弈理论、网络攻击行为分析、网络攻击追踪和网络主动防御技术。提出了网络空间攻防对抗系统的实现方案,并分析了其可行性。此技术和系统能够为我国网络空间安全技术体系发展提供技术支撑,保障我国网络空间安全,推动我国网络空间安全产业的发展,对加快我国自主可控安全产品研发和核心技术发展具有重要作用和意义。     

Endogenous security architecture of Ethernet switch based on mimic defense

Aiming at the unknown vulnerabilities and unknown backdoor security threats faced by Ethernet switches,a switch endogenous security architecture based on mimicry defense theory was proposed.The theoretical basis,construction mode and security mechanism of the architecture ware introduced,the algorithm strategy and security improvement effect of TAMA algorithm were proposed and analyzed,a prototype of mimic switch was designed and implemented,and the security tests of white box stuffing and attack chain were carried out.Theoretical analysis and test results show that the architecture has good unknown vulnerabilities and unknown backdoor defense capabilities in various attack scenarios.     

Evaluation of mimic defense strategy based on M-FlipIt game model

To make up for the lack of security performance evaluation of the mimic defense systems in the advanced persistent threat scenarios an improved game model based on the FlipIt game theory model was proposed.The dynamic strategy of mimic defense under different heterogeneity conditions was evaluated,and a case study for the simulation analysis was conducted.The simulation results show that the rotation of indefinite period can make up for the lack of heterogeneity and maintain the higher game payoff of defenders.     

Markov game modeling of mimic defense and defense strategy determination

Network mimic defense technology enhances the robustness of active defense through the redundancy,dynamic and diversity as well as the decision feedback mechanism.However,little work has been done for its security assessment and existing classic game models are not suitable for its dynamic characteristics and lack of universality.A Markov game model was proposed to analyze the transfer relationship between offensive and defensive status and the measurement method of safety and reliability of mimic defense,and calculated the offensive and defensive game equilibrium through non-linear programming algorithm to determine the best defensive strategy considering performance.Experiments give a comparison with the multi-target hiding technique and shows that the mimic defense has a higher defensive effect.Combining with the specific network case,the specific attack and defense path for the exploit of the system vulnerability is given and the effectiveness of the defense strategy algorithm is verified.     

基于多层检测的网络安全防范系统

提出了一种基于多层的网络安全防范系统,该系统采用多层检测技术：在IP层采用基于聚集的拥塞控制算法（ABCC）,通过限制拥塞信号的宽度,使间接损害达到最小;然后在TCP和UPD层采用基于人体免疫原理的检测技术AIPT,通过建立规则集,将来自网络访问活动与规则集中的规则匹配,以检测出网络入侵行为。仿真实验结果表明,基于本模型的系统不仅能合理地缓解DoS/DDoS攻击,而且能够解决现有的防范系统中高误报率和漏报率以及实时性差、人工干预多的问题。     

基于拟态架构的内生安全云数据中心关键技术和实现方法

云数据中心是新一代信息基础设施的代表,其安全问题也成为近年来备受关注的焦点,具有重要的意义。首先,在对现有云安全形势分析的基础上,通过新兴的内生安全概念探索云数据中心的安全架构、关键技术和实现方法,期望利用拟态构造设计解决现有防护手段难以处理的漏洞、后门等内生安全问题。其次,提出了一种云数据中心内生安全架构与相关关键技术实现构想,同时给出了现有云平台系统拟态化改造的模式与技术趋势。未来,基于拟态架构的内生安全云数据中心或将为新一代信息基础设施建设提供有效的安全解决方案,进而加速云化服务模式的应用与推广。     

基于执行体划分的防御增强型动态异构冗余架构

针对DHR系统服务体在面临共同漏洞时的系统脆弱性问题,提出了一种改进的DHR架构——IDHR.该架构在DHR的基础上,首先引入根据执行体间的异构性对执行体集进行划分的执行体划分模块,以极大增强各执行体池之间的异构性.在此基础上,改进调度模块中的动态选择算法,即采用先随机选择执行体池,再从执行体池中随机选择执行体的方式,...     

基于间接模糊自适应控制的倒立摆系统设计

自适应模糊控制系统对参数变化和环境变化不敏感,能用于非线性和多变量复杂对象,不仅收敛速度快,鲁棒性好,而且可以在运行中不断修正自己的控制规则来改善控制性能,因而受到广泛重视。提出一种间接模糊自适应控制的方法,并将其成功应用于倒立摆系统中,根据Matlab模糊逻辑工具箱仿真得出理想的结果。     

基于空间防卫理论的公共安全防控系统研究

随着城市规模的不断扩大,城市人口迅速增长,人口流动性加强,这些给城市公共安全带来了新的挑战。文中从空间防卫理论出发,系统研究了理论特点和在城市空间中应用要素并分析了其应用策略,然后以该理论为指导,对城市公共安全防控系统建设进行了研究,提出了系统设计原则,并对系统各模块建设作了细致探讨。最后将系统应用于西部某市的公共安全防控中。从应用效果看,该系统能有效减少城市犯罪率,提高了公共安全水平。