面向拟态防御系统的高阶异构度大数判决算法

异构系统之间的相似性会影响拟态防御系统异构执行体的选择和调度.目前多数针对执行体的异构性分析仍停留在二阶层面,但二阶异构度不适用于执行体数目较多的情况,难以准确评估拟态系统的防御能力.针对该问题,提出高阶异构度的概念,分析高阶异构的性质,解释高阶异构性在执行体调度及判决中所起的重要作用,并将其用于拟态防御系统安全性的量...     

基于数据库二进制日志的竞赛式仲裁优化方案

在拟态防御理论中,仲裁模型在一定程度上决定了拟态系统的整体安全性和执行效率,而仲裁策略作为仲裁模型中的关键环节,会对裁决结果的正确性产生直接影响.针对竞赛式仲裁模型中由差模逃逸造成的裁决结果异常问题,提出一种竞赛式仲裁优化方案,采用异构数据库执行体的二进制日志匹配结果对仲裁结果进行校验,保证裁决结果的正确性.实验结果表...     

面向拟态防御理论构造Web网关的安全调度算法

在网络空间拟态防御理论中,通过调度策略的动态性和随机性,可以增加攻击的时间成本和技术成本,减少漏洞的持续性暴露,进而保障系统安全.现有的调度算法缺乏对执行体自身的安全性考量,另外,采用的异构度量化标准缺乏对整体性考虑,会造成量化不合乎实际的情况出现.基于此,本文引入对执行体安全度和异构度考量,提出一种基于最大安全度和异...     

拟态防御架构设计方法研究进展

随着互联网技术的普及和发展,用户数据和隐私的保护已经成为一个热门的研究领域。网络空间安全防御从被动防御发展到主动防御,防御性能和成功率获得了显著的提升。然而,传统的被动防御和主动防御本质上都是功能和安全松耦合的外壳式防御,对未知攻击的防御性能较差。网络空间拟态防御（cyberspace mimic defense, CMD）是在传统网络安全防御方式上发展出来的网络内生安全实现形式,核心架构为动态异构冗余架构,架构实现主体主要由异构执行体集合、分发器、拟态变换器和表决器4部分组成,同时以CMD三定理及网络安全不完全交集定理为理论基础。其中,通过异构执行体增加系统的异构性,并由表决算法决定异构执行体中上下线的个体,最终由调度算法完成系统中执行体的上下线过程。本文主要从网络空间安全发展的历史沿革出发,对比传统防御方式与拟态防御的差异,着重介绍拟态架构中异构策略、调度策略以及表决策略的具体实现形式,并罗列在实践过程中融合拟态防御思想的应用实例。拟态防御已经在各个领域有了较为广泛的应用基础,在此基础上的研究可以将现有网络安全体系推进到新的阶段。     

基于动态异构冗余机制的路由器拟态防御体系结构

路由器作为网络空间的基础核心要素,其安全性能对网络安全具有决定性意义。但由于它的封闭性、专用性和复杂性,导致其存在的漏洞更多,后门隐藏更深。目前对路由器的安全防御手段均为被动式“补漏洞、堵后门”的“亡羊补牢”式的防御,不仅防御滞后更无法应对未知的安全威胁。本文基于拟态防御技术,在路由器体系架构上引入异构冗余功能执行体,通过动态调度机制,随机选择多个异构执行体工作,在相同外部激励的情况下,通过比对多个异构功能执行体的输出结果,对功能执行体进行异常检测,实现路由系统的主动防御。实验结果表明,该架构可以明显提升攻击链中每一步攻击的实施难度,增加攻击成本,并能抵御基于未知漏洞与后门的攻击。     

基于拟态防御的QR码信息加密架构

QR码(Quick Response Code)作为重要的信息载体,正面临着严重的信息泄露和信息篡改等安全威胁.本文提出一种基于拟态防御思想的QR码信息加密架构(Mimic QR Code,M-QR),以提升QR码的安全性.首先,基于拟态防御模型的防御原理和特点构建异构冗余的加解密执行体;然后,选调器动态选取若干冗余执...     

一种拟态蜜罐系统的设计与研究

互联网一直以来受到各种各样的网络安全威胁,网络攻击方式层出不穷、手段多变且攻击目标各异,特别是高级持续性攻击隐蔽性很强.在攻防过程中,即使一个微小的设计疏忽都可能产生严重的漏洞,攻击者利用这些漏洞攻击系统可能产生严重的危害.而防御者则需要将系统或者节点的防御做到万无一失,才能保证系统的安全.同时防御者对于可以来自网络中...     

网络空间拟态防御发展综述：从拟态概念到“拟态+”生态

网络空间拟态防御（CMD,cyberspace mimic defense）基于动态异构冗余架构实现多体执行、多模裁决和多维重构,以不确定性系统应对网络空间泛在化的不确定性威胁。从纵向、横向、当前、发展和未来5个视角对其8年来的演进进行系统综述：纵向观,概述了CMD从概念提出,到理论、实践层面形成发展的历程;横向观,阐述了CMD的DHR(dynamical heterogeneous redundancy)核心架构、以CMD三定理为支柱的原理、安全增益、性能开销,将其与入侵容忍、移动目标防御、零信任架构、可信计算和计算机免疫学5类其他主动防御技术进行了综合对比辨析;当前观,综述了拟态路由器、拟态处理机、拟态DNS服务器、拟态云平台等11类现有主要拟态产品的实现要素、性能表现、系统架构、异构策略、调度策略、表决策略等共性技术模式与特性技术特点;发展观,结合人工智能、物联网、云计算、大数据和软件定义网络5类新型技术探讨了“拟态+”AICDS（拟态+AI/IoT/Cloud/Data/SDN）共生生态,提出了相应技术结合点和交叉研究价值;未来观,展望了未来拟态基线2.0产品生态、“拟态+5G...     

面向拟态云的异构执行体安全调度算法

随着云服务的应用范围越来越广,基于未知漏洞或后门的攻击成为制约云技术发展的主要安全威胁之一。基于拟态防御建立的拟态云服务通过降低漏洞的持续性暴露概率来保障安全性,当前已有研究提出的拟态调度算法缺乏对执行体自身安全性的考虑,并且无法兼顾动态性和异构性。针对此问题文章通过引入执行池的异构度和安全度定义,提出一种基于异构度和安全度的优先级调度算法,并引入结合时间片的动态调度策略。实验结果表明,文章所提算法具有较好的动态性,能够获得较优的调度效果,实现了动态性、异构性和安全性之间的平衡,并且时间复杂度较低。     

拟态防御系统的时间自动机模型和验证

网络空间拟态防御系统采用基于动态异构冗余架构的主动防御技术来提高网络系统安全性.然而,该过程目前缺乏抽象化理论研究,以及形式化的正确性验证、分析和评估.因此,本文首先以时间自动机为形式化建模语言,描述了拟态防御系统中冗余、清洗、选择判决等拟态机制和过程.然后,基于模型检测工具PAT,利用可达性、死锁、线性时序逻辑、语言...     

拟态防御体系攻击检测研究与分析

网络空间拟态防御技术是一种采用动态异构冗余架构的新型主动防御技术,论述了基于拟态防御体系的攻击检测方法,能够检测定位漏洞并及时修复,完成从静态防御到动态防御的转变,提高对未知漏洞和后门攻击的防御能力。     

云环境下面向拟态防御的反馈控制方法

云环境下的虚拟化技术,给用户带来了一些数据和隐私安全问题.针对云环境中虚拟机单一性、同质性和静态性等问题,文章提出一种云环境下面向拟态防御的反馈控制方法.该方法以云中虚拟机为基础,利用拟态防御技术对虚拟机进行拟态化封装,通过反馈控制架构对其实现闭环负反馈控制,并基于异构虚拟机动态轮换改变执行环境,保证虚拟机系统环境的随...     

一种基于拟态防御机制的SDN虚拟蜜网

针对传统蜜网部署不方便，流量控制困难，蜜网动态调整较复杂的缺陷，利用SDN技术灵活的控制机制与容器高速、轻量的技术特性，设计了具有动态可调整特性的SDN虚拟蜜网，结合拟态防御机制为SDN虚拟蜜网提供动态调整的依据，并通过博弈论验证了基于拟态防御机制的SDN虚拟蜜网的有效性。利用Containernet仿真实验平台搭建出SDN虚拟蜜网，并设计实现了基于拟态防御机制的动态跳变，通过实验验证了该蜜网的可行性。     

一种DDoS防御系统模型的设计研究

通过对当前DDoS现有防御策略的分析,提出基于分布式的检测,追踪和弱化的模型,简称DTM防御策略,并在此基础上设计一个具有增强功能的DDoS防御系统.     

校园网安全协同防御体系模型研究

针对新型校园网络所面临的安全问题,提出一种多层次、立体化的校园网安全协同防御体系方案。基于该方案,结合最新的分布式防火墙(Distributed Firewall,DFW)和入侵检测系统(Intrusion Detection System,IDS),架构出了相应的安全协同防御模型,其中融入了Agent技术并对各个安全子系统之间的通信规约进行重新规范和设计。研究表明,该协同防御模型是可行的,它能够最大程度地满足不同等级和层次的校园网络安全要求。     

拟态路由器TCP代理设计实现与形式化验证研究CSCD

拟态路由器基于拟态防御的动态异构冗余架构进行设计,对于未知漏洞后门具有良好的防御能力。协议代理在拟态路由器中处于内外联络的枢纽位置,协议代理的安全性和功能正确性对于拟态路由器有着重要意义。本文设计实现了拟态路由器的TCP协议代理,并采用形式化方法,对其安全性和功能正确性进行了验证。TCP协议代理嗅探邻居和主执行体之间的TCP报文,模拟邻居和从执行体建立TCP连接,并向上层应用层协议代理提供程序接口。基于分离逻辑与组合思想,采用Verifast定理证明器,对TCP协议代理的低级属性,包括指针安全使用、无内存泄露、无死代码等,进行了验证;同时,还对TCP协议代理的各主要功能模块的部分高级属性进行了形式化验证。搭建了包含3个执行体的拟态路由器实验环境,对实现结果进行了实际测试,结果表明所实现的TCP代理实现了预期功能。TCP协议代理实现总计1611行C代码,其中形式化验证所需人工引导定理检查器书写的证明共计588行。实际开发过程中,书写代码实现与书写人工证明所需的时间约为1︰1。本文对TCP协议代理的实现与形式化验证工作证明了将形式化验证引入拟态路由器的关键组件开发中是确实可行的,且证明代价可以接受。     

网络深层防御体系模型的研究和实现

针对单一技术在安全防御上存在的缺陷．提出了一个基于三层防御机制的网络安全防御体系模型。该体系有机结合了防火墙、NIPS、基于异常的入侵检测、蜜罐等多种安全技术深层抵御入侵,各组件通过传递XML信息互相协作。首先对网络的安全和结构进行分析,在此基础上给出了体系模型并说明了模型的工作流程．对涉及的关键技术做了探讨,给出了蠕虫攻击实验测试系统的性能。实验结果证明该体系不仅能阻断已知攻击,对未知攻击也做到了有效防御。     

网络深层防御体系模型的研究和实现

针对单一技术在安全防御上存在的缺陷.提出了一个基于三层防御机制的网络安全防御体系模型.该体系有机结合了防火墙、NIPS、基于异常的入侵检测、蜜罐等多种安全技术深层抵御入侵,各组件通过传递XML信息互相协作.首先对网络的安全和结构进行分析,在此基础上给出了体系模型并说明了模型的工作流程,对涉及的关键技术做了探讨,给出了蠕虫攻击实验测试系统的性能.实验结果证明该体系不仅能阻断已知攻击,对未知攻击也做到了有效防御.     

基于云模型的防御代理信任评估模型

在计算机网络协同防御(computer network collaborative defense, CNCD)系统中,所有的防御代理在防御方案的部署过程中默认都是可信和可控的,而这个不合理的假设在开放的网络环境下是不成立的,其将会导致恶意代理参与到计算机网络协同防御的方案执行中,增加方案执行失败率,降低系统安全性.为了解决这个问题,提出了一种计算机网络协同防御下的信任评估模型,该模型能分别从信任的模糊性和随机性2个角度对信任进行描述,并进行信任更新.模型包括2个主要部分：防御任务执行评估和防御代理信任更新.研究了防御代理反馈的评估函数,包括防御任务的完成时间和完成质量评估2个方面,并将信任的时间衰减性、非对称性应用到防御代理的反馈评估函数中;提出了一种基于滑动时间窗口的双权值直接信任云模型(sliding time window-based dual weight direct trust cloud model, STBCM)进行信任更新.最后通过对比实验证明模型具有更低的方案失败率,能够为计算机网络协同防御方案的信任部署提供支持.     

作战模拟系统中的雷达模型模板研究

防空作战模拟系统中需要大量的雷达功能仿真模型,建立雷达丧型模板是解决问题韵思路之一.针对防空作战中雷达系统的特点,梳理了影响雷达系统探测性能的属性,构建了基于防空作战模拟系统的雷达功能仿真基本流程,建立了一个适应防空作战模拟系统需要的雷达模型模板,并进行了初步实现.