共查询到20条相似文献,搜索用时 15 毫秒
1.
2.
Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战. 相似文献
3.
网络空间拟态防御技术是一种采用动态异构冗余架构的新型主动防御技术,论述了基于拟态防御体系的攻击检测方法,能够检测定位漏洞并及时修复,完成从静态防御到动态防御的转变,提高对未知漏洞和后门攻击的防御能力。 相似文献
4.
网络空间拟态防御是近些年出现的一种主动防御理论,以异构冗余和动态反馈机制不断调整执行环境来抵抗攻击。然而,面对黑客的多样化攻击手段,仅凭借拟态防御抵抗攻击是不安全的。为了增强系统的安全防御能力,本文在目前已有的防御系统基础上提出更为合理的防御选取方法。将有限理性的演化博弈引入到拟态防御中,构建了由攻击者、防御者和合法用户组成的三方演化博弈模型,并提出了最优防御策略求解方法。该博弈模型利用复制动态方程得到了演化稳定策略。仿真实验结果表明,系统通过执行推理的演化稳定策略可以降低损失,遏制攻击方的攻击行为,对拟态防御系统中防御策略选取和安全性增强具有一定的借鉴意义。 相似文献
5.
流量拟态技术将传输数据伪装成特定白名单协议以突破网络流量审查,实现隐蔽数据传输.随着检测对抗的愈加激烈,基于静态规则的混淆隐蔽传输技术局限性愈加突显,在混淆固有特征时容易形成新的网桥协议指纹.设计并实现基于当前网络环境特征的自适应流量拟态协议网桥,通过对环境中正常HTTP流量的特征提取分析,预测生成拟态网桥采用的混淆特... 相似文献
6.
控制流劫持攻击是一种常见的针对计算机软件的攻击,给计算机软件安全带来了巨大的危害,是信息安全领域的研究热点。首先,从攻击代码的来源角度出发,阐述了进程控制流劫持攻击的相关研究;其次,根据控制流劫持攻击技术的发展现状,基于不同防御思想介绍了近年来国内外的相关防御技术;最后对控制流劫持攻防技术发展趋势进行总结和展望。 相似文献
7.
8.
互联网一直以来受到各种各样的网络安全威胁,网络攻击方式层出不穷、手段多变且攻击目标各异,特别是高级持续性攻击隐蔽性很强.在攻防过程中,即使一个微小的设计疏忽都可能产生严重的漏洞,攻击者利用这些漏洞攻击系统可能产生严重的危害.而防御者则需要将系统或者节点的防御做到万无一失,才能保证系统的安全.同时防御者对于可以来自网络中... 相似文献
9.
路由器作为网络空间的基础核心要素,其安全性能对网络安全具有决定性意义。但由于它的封闭性、专用性和复杂性,导致其存在的漏洞更多,后门隐藏更深。目前对路由器的安全防御手段均为被动式“补漏洞、堵后门”的“亡羊补牢”式的防御,不仅防御滞后更无法应对未知的安全威胁。本文基于拟态防御技术,在路由器体系架构上引入异构冗余功能执行体,通过动态调度机制,随机选择多个异构执行体工作,在相同外部激励的情况下,通过比对多个异构功能执行体的输出结果,对功能执行体进行异常检测,实现路由系统的主动防御。实验结果表明,该架构可以明显提升攻击链中每一步攻击的实施难度,增加攻击成本,并能抵御基于未知漏洞与后门的攻击。 相似文献
10.
软件定义网络(Software-Defined Networking,SDN)的集中式管控为网络带来了创新与便利,但主控制器被赋予了足够的管理权限,仅依赖其自身内部的防御技术,难以确保其不发生异常,以独裁的能力来危害整个网络。本文提出基于拟态防御的SDN控制层安全机制,以一种多样化民主监督的方式,使用多个异构的等价控制器同时处理数据层的请求,通过对比它们的流表项来检测主控制是否存在恶意行为。其中,重点研究了如何在语义层面对比多个异构控制器的流表项,以解决它们在语法上的差异化问题。该安全机制不依赖于对恶意行为的先验知识,实验结果验证了它检测恶意行为是有效的,同时具有较好的性能。 相似文献
11.
VPN技术是校园网中防御安全威胁的技术之一。通过对VPN技术的具体分析和研究,针对我校校园网络的情况,在校园网安全防护中部署了一种远程安全接入的SSL VPN和一种总校和分校之间信息安全传输的IPSec VPN,从而实现校园网内资源的安全访问。 相似文献
12.
网络空间拟态防御技术是一种基于动态异构冗余的新型主动防御技术,通过引入多个异构冗余的执行体,增强广义鲁棒性,通过对多个执行体的策略或者周期性调度,对外呈现特征的不确定性变化,增强安全性。路由协议安全是网络安全的重要组成部分,OSPF协议作为网络空间中部署最广泛、实现最复杂的路由协议,如何实现各异构执行体OSPF协议功能的等价,是支持拟态防御的网络设备亟需解决的问题。首先,科学阐述了拟态防御的设计思想,详细描述了支持拟态防御的路由器的体系结构,论述了OSPF协议在拟态防御体系结构中的处理方法,通过引入OSPF协议代理实现各异构执行体OSPF协议功能的等价,在支持拟态防御的路由器原型样机中验证了该方法的可行性和高性能。最后,结合几种经典的OSPF路由攻击产生的路由器安全风险进行了具体说明及实验验证,实验表明该方法能够有效提高其应对OSPF网络攻击的能力。 相似文献
13.
在Android应用程序安装包的发布、下载过程中,往往很容易受到下载劫持攻击。受到常规下载劫持攻击的服务器往往能够通过流量分析发现攻击行为,但是,隐蔽下载劫持攻击则无法通过该方法进行发现。通过对真实案例的发现和分析,提出一种Android应用程序安装包隐蔽下载劫持漏洞。攻击者利用该漏洞在用户与服务器之间部署中间人设备,隐蔽下载劫持攻击,使受到劫持的服务器难以通过现有的分析方法发现该攻击行为。对该漏洞的产生原因、危害范围、利用机制等进行了分析,并试图从分布式检测、集中分析和主动预防方面提出解决方案。 相似文献
14.
15.
16.
许瀚文 《信息技术与网络安全》2024,(3):49-54
流量劫持不仅会因破坏市场竞争秩序被反不正当竞争法规制,还有可能因参与网络黑灰产业犯罪而落入刑法范畴。基于行为复杂与主体多元的特性,流量劫持的罪名认定存在计算机犯罪与财产犯罪两种典型观点,其背后反映出虚拟财产法益、网络秩序法益与系统安全法益的取舍。基于流量劫持行为过程和应用场景的考量,其本质应为对计算机信息系统或应用程序的数据通信行为加以非法控制,侵害了数据安全法益。破坏计算机信息系统罪所保护的数据安全法益,与流量劫持的侵害法益趋同,具有适用的可行性与必要性;同时需要对数据、应用程序、干扰等入罪要件进行刑法教义学释义。 相似文献
17.
18.
提出了一种支撑多路径负载均衡配置的SDN拟态防御架构,首先,针对以往强化学习方法的状态空间狭小,难以提取人工特征性等问题,利用深度强化学习方法,结合网络链路负载和流量特征,进行多路径的自适应配置,以确保网络服务的负载均衡.而后,将动态异构冗余架构引入SDN控制层,来确保生成的路径配置信息准确性,并利用Openflow中... 相似文献
19.
构建网络功能虚拟化(NFV)拟态防御架构能够打破防御滞后于攻击的攻防不对等格局,其中动态调度策略是关键实现技术。然而,现有拟态防御架构中的动态调度策略大多根据执行体自身固有的特点进行调度,没有进一步利用裁决机制对异常执行体的定位感知能力做优化调整。通过引入演化博弈理论,设计一种新的NFV拟态防御架构动态调度策略。在NFV拟态防御架构中增加一个分析器,用于对历史裁决信息进行分析研究。根据分析器中得到的反馈信息,从攻防双方的有限理性出发构建多状态动态调度演化博弈模型,并采用复制动态方程求解该博弈模型的演化均衡策略,利用李雅普诺夫间接法对均衡策略进行稳定性分析,提出基于演化博弈的动态调度策略选取算法。仿真结果表明,该策略能够利用裁决机制对异常执行体的定位感知能力,通过深入分析研究和不断调整优化选择具有适应性和针对性的调度策略,有效提升系统的安全收益和防御效能。 相似文献
20.
SSL是一种保证网络通信安全的协议,在流量传输中得到广泛使用。根据其应用的不同方式,可以分为普通的SSL加密流量和SSL VPN流量。许多不法分子常常将一些恶意流量隐藏在SSL VPN中进行传输。因此,SSL VPN流量的识别对于网络监管来说十分重要。提出一种混合方法,将指纹识别与机器学习方法相结合,实现SSL VPN流量的识别。该方法基于时间相关的流特征,利用基于GA(Genetic Algorithms)的改进RF(Random Forest)算法,实现了92.2%的识别准确率。实验结果表明,该方法能有效识别出网络中的SSL VPN流量。 相似文献