异构冗余系统的安全性分析

随着互联网技术的发展和普及,漏洞和后门已经成为导致网络安全问题的主要因素。冗余技术可以很好地解决系统的可靠性问题。受拟态防御思想的启发,分析了异构冗余技术对基于漏洞和后门的网络攻击进行安全防御的有效性。在一些假设前提下,以系统攻击成功率表征系统的安全性,建立了基于马尔科夫过程的异构冗余系统的安全性评估数学模型,给出了系统攻击成功率的表达式。最后对3模异构冗余系统进行了求解和分析,计算结果与直观预期相符。     

基于动态异构冗余机制的路由器拟态防御体系结构

路由器作为网络空间的基础核心要素,其安全性能对网络安全具有决定性意义。但由于它的封闭性、专用性和复杂性,导致其存在的漏洞更多,后门隐藏更深。目前对路由器的安全防御手段均为被动式“补漏洞、堵后门”的“亡羊补牢”式的防御,不仅防御滞后更无法应对未知的安全威胁。本文基于拟态防御技术,在路由器体系架构上引入异构冗余功能执行体,通过动态调度机制,随机选择多个异构执行体工作,在相同外部激励的情况下,通过比对多个异构功能执行体的输出结果,对功能执行体进行异常检测,实现路由系统的主动防御。实验结果表明,该架构可以明显提升攻击链中每一步攻击的实施难度,增加攻击成本,并能抵御基于未知漏洞与后门的攻击。     

基于异构冗余的拟态数据库模型分析

信息系统中,数据库是关键和核心部分,是基本组件之一,其存有大量用于研究分析的数据,但其易受侵袭,经常被SQL注入和攻击。以往数据库主要的防御措施是先明确攻击的主要特征,再采取切实有效的防御方法,该种模式具有明显的缺陷和问题,如单一性及透明、静态等。拟态数据库模型具有内生安全性,因此,笔者着重对这种拟态数据库模型的实际可用性及使用过程中的安全性进行分析,以供相关研究借鉴和参考。     

基于异构冗余的拟态数据库模型设计与测试

数据库作为信息系统核心组件,存放着大量重要数据信息,易受到危害最大的SQL注入攻击.传统数据库防御手段需要攻击行为的特征等先验知识才能实施有效防御,具有静态、透明、缺乏多样性等缺陷.本文在此背景下,以拟态防御动态异构冗余原理为基础,使用保留字拟态化模块、指纹过滤模块、拟态化中间件模块实现SQL注入指令的指纹化、去指纹化、相似性判决,提出具有内生安全性的拟态数据库模型,并使用渗透测试演练系统DVWA中的SQL注入模块对该模型进行安全性测试,验证了拟态数据库模型的可用性和安全性.     

基于多变体的控制软件异构冗余与动态重构技术研究

针对控制软件的防篡改问题,从工控安全角度出发,提出了一种利用多变体技术和虚拟化技术构建控制软件动态目标防御体系的新方法;通过多变体的异构冗余、动态重构和多模表决实现了软件层面的主动防御和安全态势感知,通过虚拟化技术实现了多变体执行环境的快速构建;着重介绍了技术路线、系统架构、动态重构策略、表决算法和同步机制;研究结果表明,该技术在提高控制系统可靠性的同时,使其具备了较强的主动安全防御能力。     

软件定义网络下的拟态防御实现架构

针对传统防御技术难以应对未知漏洞和后门的问题,拟态安全防御（MSD,mimic security defense）通过构造动态异构冗余模型,提高系统的不确定性,增加攻击者的攻击难度和成本,提升网络安全性能。基于软件定义网络,提出了一种拟态防御的实现架构,首先,按照非相似余度准则构建异构冗余执行体,而后借助软件定义网络的集中管理控制实现动态选调和多模判决等功能。实验验证了架构的入侵容忍能力和可用性。     

基于免疫算法的网络功能异构冗余部署方法

针对现有安全防御手段无法抵御网络功能虚拟化平台中众多未知的漏洞与后门的问题。运用拟态防御思想,提出一种网络功能虚拟化的拟态防御架构,并针对其中的异构体池构建问题设计了一种基于免疫算法的网络功能异构冗余部署方法。首先,结合熵值法对异构体之间的异构度进行量化评估;然后,以实现异构体之间异构度最大为优化目标将网络功能异构冗余部署问题构建成极大极小问题;最后,基于免疫算法快速求解最优部署方案。仿真结果表明,该方法可以迅速收敛到最优部署方案,并保证异构体之间的异构度值整体分布在较高的水平,有效增加了异构体池的多样性,提升了攻击者的攻击难度。     

拟态Web蜜罐的研究与设计

随着信息技术的快速发展,互联网的安全问题日益突出,攻守双方的失衡现状更是加剧了网络安全问题.蜜罐技术是防御方的一次主动出击,作为一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并通过记录攻击者的攻击日志来产生价值.安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息.虽然蜜罐可以一定程度上发现并延缓...     

拟态构造的Web服务器异构性量化方法

拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统,其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击,以实现系统安全风险可控.在分析拟态防御技术原理的基础上,论证异构性如何提高拟态构造的Web服务器的安全性,并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上,将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性,提出了一种适用于量化异构性的量化方法,通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法,工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明,该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.     

拟态安全信息系统测评方法及技术研究

信息系统在社会中发挥着重要的作用,面临的安全问题日益严重。传统信息安全防御技术主要基于已知攻击方法或漏洞进行防御,无法有效应对未知攻击的威胁,难以全面防护Web系统的安全,基于动态异构冗余架构为拟态安全信息系统提供了本质安全和内生安全。研究了拟态信息系统的架构特征,给出了拟态安全信息系统的测评方法,并对拟态属性的验证方法和技术进行了分析。     

Autonomous network-based integration architecture for multi-agent systems under dynamic and heterogeneous environment

Multi-agent systems fit nicely into domains that are naturally distributed and require artificial intelligence technology. Has been designed an autonomous information services integration architecture based on network to support the rapid changing environments and needs. However, substantial increase of users requests and redirects it may cause the system to unbalance loading and part overloading. This paper proposes an integrated access method by reduces the number of Pull Mobile Agents to reduces the total load of the system in order to achieveautonomous load distribution. In addition, the information structure of integrated service area is effective to improve the ratio of the satisfaction of Pull-Mas (Pull Mobile Agents) with joint request on one node. Through simulation tests show that this system can be guaranteed that services requests and related services requests is uniformly distributed to the nodes of system and ensure that the system load balancing.     

动态自适应演进安全架构研究

自适应安全架构面对高级定向攻击具备智能与弹性安全防护能力,依托持续性地监测与回溯分析构建了自适应的未知攻击威胁预警体系,形成了集防御、监测、响应、预测为一体的安全防控流程闭环。基于自适应安全架构构建了适用于网络空间安全保密场景的动态防御体系,融合全息态势、智慧决策、动态防御等关键技术,提出了一种动态自适应演进的安全架构。     

面向政务云的安全体系设计与实践

政务云的建设既需要解决政府职能部门间的"信息孤岛"问题,同时也要考虑云计算技术的各种安全风险。文章首先探讨了政务云面临的安全挑战,然后给出了政务云安全体系的总体设计方案,提出和总结了政务云各业务区域的分层分域安全规划及隔离、构建政务云安全等保立体防御矩阵和通过SDN/Overlay架构搭建安全调度网络等关键要素。最后,根据该套方案设计的安徽省政务云安全体系,实现了政务云平台的预警、检测、防护和响应安全能力的全面提升。     

基于多源异构数据融合的网络安全态势评估体系

针对基于单点网络数据很难准确地检测网络恶意活动且无法有效地分析网络状况的问题,本文通过引入多源异构数据融合策略,借鉴层次化网络分析思想,构建出包含流量探测模块、属性提炼模块、决策引擎模块、多源融合模块、态势评估模块等五大模块的网络安全态势评估体系。评估体系以BP神经网络为决策引擎分析各数据源的数据,使用指数加权D-S证据理论融合各决策引擎的输出结果,并基于层次化网络威胁评估方法评估网络威胁状况。实验结果表明:不同探测器探测到的数据对于识别不同类型攻击的优势不同;多源融合技术进一步将识别攻击类型的准确率提升到88.7%;层次化网络威胁评估方法能够有效地评估网络威胁状况。     

Web网页服务安全防护对策分析

由于网络普及率的快速提高,Web成为互联网的热门概念,现今社会中,Web不仅仅是信息发布,更是网络正常运作的一大保障。然而,随着网络环境的日益复杂,Web服务的一些安全漏洞和缺陷也显露出来,因此,人们需要采用有效的安全防护对策,以保障Web服务的安全,继续为人类生产提供动力。本文即对Web服务的安全防护对策进行了相对详细的阐释和概述。     

Detecting faults in heterogeneous and dynamic systems using DSP and an agent-based architecture

This paper demonstrates the use of multi-agent systems (MAS), firstly as a modelling technique for dynamic physical systems and secondly as the basis for a generic and powerful diagnostic system, which can support heterogeneous distributed systems. First an overview of the diagnostic techniques including those offered by the two communities fault detection and isolation (FDI ) and DX (based on intelligent techniques) is given. The use of digital signal processing (DSP) as a significant technique for improved fault diagnosis is illustrated. A rule-based engine is used to control the behaviours of the agents and also as a tool for diagnosis. Finally, the integration of DSP agents and the rule-based engine into MAS is demonstrated using a real-life application, a class-AB amplifier (a power electronic circuit). It is shown that the integration of DSP agents and rules into MAS provides a powerful tool for prognosis and for detection of abrupt (short and open circuit) and incipient faults.     

虚拟化的信息安全分析与实践

针对数据中心虚拟化后在信息安全方面出现的诸多新情况和新问题,结合自身在虚拟化应用和管理过程中的研究和实践,总结了虚拟化信息安全的应用经验.     

基于动态异构的Web信息集成网页分析方法

将动态异构的Web信息资源进行抽取以统一的方式供用户查询和使用,是当前迫切需要解决的问题。介绍了分析相关Web页面的方法和经验,实现了自动提交HTML表单获得所需页面和对页面的信息抽取。最后,实验证明了此方法的有效性。