一种基于执行体异构度的拟态裁决优化方法

网络空间拟态防御技术通过构建动态异构冗余的系统架构来提高系统的安全性能,而裁决器的表决机制是防御链中的关键步骤,直接影响拟态系统的安全性和效率。针对拟态表决环节的任务特性,对一致表决算法进行改进,设计基于执行体异构度的拟态裁决优化方法。结合拟态防御系统的异构特性,在选择执行体表决输出时引入执行体间的异构度作为决策因素,同时综合考虑执行体数目和历史记录信息,使表决算法更适用于拟态架构面临的威胁场景。实验结果表明,与一致表决算法相比,该算法能够显著提高拟态系统的安全性能,有效规避共模逃逸的风险。     

拟态安全信息系统测评方法及技术研究

信息系统在社会中发挥着重要的作用,面临的安全问题日益严重。传统信息安全防御技术主要基于已知攻击方法或漏洞进行防御,无法有效应对未知攻击的威胁,难以全面防护Web系统的安全,基于动态异构冗余架构为拟态安全信息系统提供了本质安全和内生安全。研究了拟态信息系统的架构特征,给出了拟态安全信息系统的测评方法,并对拟态属性的验证方法和技术进行了分析。     

基于拟态防御架构的多余度裁决建模与风险分析

网络空间拟态防御技术以动态异构冗余的内生安全特性作为架构核心,通过多余度裁决方保证服务质量并阻断攻击威胁。然而,目前对于多余度裁决的方法,并没有对其防御的代价和风险进行有效分析和评估。本文根据拟态防御与多余度裁决模型之间的关系,针对多余度裁决方法的防御能力、运行效率和系统恢复三方面进行建模和分析。根据模型分析方法挖掘出模型的三项指标之间的潜在关系和部分同构的部署策略下裁决模型的风险隐患问题,并通过实验验证了该方法的有效性。最后,根据模型的评估结果给出了实际部署意见并总结了模型的不足和改进方向。     

拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.     

基于演化博弈的NFV拟态防御架构动态调度策略

构建网络功能虚拟化（NFV）拟态防御架构能够打破防御滞后于攻击的攻防不对等格局,其中动态调度策略是关键实现技术。然而,现有拟态防御架构中的动态调度策略大多根据执行体自身固有的特点进行调度,没有进一步利用裁决机制对异常执行体的定位感知能力做优化调整。通过引入演化博弈理论,设计一种新的NFV拟态防御架构动态调度策略。在NFV拟态防御架构中增加一个分析器,用于对历史裁决信息进行分析研究。根据分析器中得到的反馈信息,从攻防双方的有限理性出发构建多状态动态调度演化博弈模型,并采用复制动态方程求解该博弈模型的演化均衡策略,利用李雅普诺夫间接法对均衡策略进行稳定性分析,提出基于演化博弈的动态调度策略选取算法。仿真结果表明,该策略能够利用裁决机制对异常执行体的定位感知能力,通过深入分析研究和不断调整优化选择具有适应性和针对性的调度策略,有效提升系统的安全收益和防御效能。     

面向云应用的拟态云服务架构

针对单执行体的云应用服务缺乏异构性和动态性,难以应对未知漏洞和后门的安全威胁问题,提出一种拟态云服务架构,把云平台向用户提供的应用服务节点构造成基于拟态防御技术的服务包,使应用服务具有拟态构造带来的内生安全特性和鲁棒性,同时讨论了策略调度和裁决机制等两项关键的拟态云服务运行机制.经实验分析表明,拟态云服务具有较好的安全...     

拟态构造的Web服务器异构性量化方法

拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统,其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击,以实现系统安全风险可控.在分析拟态防御技术原理的基础上,论证异构性如何提高拟态构造的Web服务器的安全性,并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上,将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性,提出了一种适用于量化异构性的量化方法,通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法,工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明,该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.     

基于GSPN的拟态DNS构造策略研究

网络空间拟态防御系统（Cyberspace Mimic Defense System,CMDS）采用动态异构冗余架构以及多模表决机制将不确定威胁转化为概率可控的事件,从而实现了自主可控、安全可信。为进一步研究拟态构造策略在不同干扰场景下的稳态可用性和感知安全性,本文采用广义随机Petri网（Generalized Stochastic Petri Net,GSPN）建模,分析了不同干扰场景下采用不同拟态构造策略对系统性能和构造成本的影响,实验结果表明拟态防御系统可以根据反馈控制信息对不同干扰场景进行策略替换,从而实现系统的稳定可用性和感知安全性。同时通过反馈控制能有效控制不同服务器解析时延差值,对实际拟态DNS系统部署有重要指导意义。     

动态异构冗余架构下Web实践及安全性分析

当前网络环境下安全事件频发,攻防双方处于极度失衡状态,对其进行解决刻不容缓.针对目前安全领域内缺乏有效的防御手段的现状,对拟态安全防御技术进行分析、探索、实践.在对现有防御技术探讨的基础上,通过对拟态安全防御中核心思想、架构设计的引入与分析,构建一种动态异构冗余架构下的典型Web服务系统,并在实验中证实该系统的安全稳定性.进一步地,从攻击行为模型和安全防护概率角度出发,对系统的安全性进行分析.仿真结果表明,系统在动态异构冗余架构下能够增强防护能力,这对现网环境下网络安全改造方案具有指导意义,为下一步构造安全稳固的系统提供了理论支撑.     

拟态区块链——区块链安全解决方案

区块链起源于比特币,其核心是去中心化、去信任、防篡改、防伪造、可溯源,因此在任何高价值数据的管理、存储与流通的过程中都可以用到区块链.区块链已经在多种场景中得到应用,但是区块链的安全问题一直存在,且对用户权益影响极大.拟态防御是由中国的研究团队提出的新型网络防御技术,对新型系统的网络防御具有重要的作用.首先介绍区块链面临的安全威胁以及目前存在的应对方案,然后对拟态防御中核心的动态异构冗余（dynamic heterogeneous redundance,简称DHR）架构进行介绍;其次,针对区块链存在的潜在安全问题,借鉴动态异构冗余架构和密码抽签的思想,结合安全性定义和参数选择规则,从动态异构共识机制以及动态异构冗余签名算法两个角度提出了区块链的安全解决方案,称为拟态区块链;最后进一步分析了拟态区块链的安全性和性能,结果显示,动态异构冗余区块链可以在多个方面得到比典型区块链更好的安全性.