基于拟态防御架构的服务功能链执行体动态调度方法

面对静态、滞后的传统防御技术无法有效应对新型网络攻击的问题,根据拟态安全防御理论,提出了一种建立在数据转发层面的拟态服务功能链(mimic service function chain,MSFC)防御架构,基于该架构进一步提出了一种基于判决反馈的执行体动态调度方法。该方法以判决器反馈的异常执行体信息、执行体的异构度以及系统的实际负载量作为调度影响因素,使调度方法可以根据网络实际变化进行自适应调整。此外,该调度方法利用判决反馈对调度时间进行调整,以达到系统花费与安全性的最佳平衡,降低了系统的资源开销。仿真结果表明,该调度方法可以在平衡系统花费与安全性的基础上,选出更符合当前网络需求的高异构度执行体集合,从而提升系统的安全性及可靠性。     

拟态多执行体调度算法研究进展

拟态防御是一种基于动态异构冗余架构的新型主动防御技术,具有内在不确定、异构、冗余及负反馈等特性,从而能显著提高系统稳健性和安全性.其中多执行体调度算法是拟态防御技术的关键,其优劣直接影响拟态系统抵抗基于已知或未知漏洞后门攻击的能力.基于此,首先介绍了拟态调度算法技术和目标,然后从调度对象、调度数量及调度时机这3个方面对...     

面向持久性连接的自适应拟态表决器设计与实现

针对当前拟态表决器以连接为单位“连接内数据传输结束后再表决、转发”的机制难以适应HTTP 1.1协议在持久性连接、分块传输编码的应用场景中开销过大的问题,设计实现了面向持久性连接的自适应拟态表决器,在数据持续传输过程中滑动窗口式表决、释放异构冗余执行体的分块传输编码报文,通过分析滑动窗口式表决的分块传输编码报文的数据特征,构建了表决算法选择策略集,给出了表决准确性维护方案;提出了基于存贮模型的自适应表决窗口控制策略,为待表决数据提供最佳的切分方案。基于原型系统的实验结果表明,自适应拟态表决器在具有可接受的表决准确度下,降低了内存开销并提升了拟态表决效率。     

有限异构资源条件下的工业控制拟态调度算法

网络空间拟态防御技术是应对信息系统未知漏洞后门攻击的有效手段,其安全性与执行体的数量、异构化程度以及具体的裁决调度策略紧密相关。然而在工业控制领域,工业应用的生态资源相对封闭,可实现的异构执行体个数受限。针对上述问题,提出一种适用于有限异构资源约束条件下的工业控制拟态调度算法。算法通过引入执行体上线保护寄存器、周期清洗定时器等,能够根据运行环境自适应选择合适的执行体上线,可有效防范N-1模与N模攻击。实验结果表明,所提出的三余度工业控制拟态调度算法,可自适应根据环境特性选择合适的执行体上线,即使在高强度攻击环境下,依然能保持99.24%的高可用概率。     

拟态路由器BGP代理的设计实现与形式化验证

为确保拟态路由器中协议代理等“拟态括号”关键组件的安全性和功能正确性，设计实现了边界网关协议（BGP）代理，并采用形式化方法对BGP代理的安全性和功能正确性进行了验证。BGP代理通过监听邻居路由器与主执行体之间的BGP会话报文，模拟邻居路由器与从执行体展开BGP会话，实现各执行体的BGP状态一致。采用VeriFast定理证明器，编写基于分离逻辑的形式化规约，证明程序不会出现空指针引用等内存安全问题，并验证了BGP代理各功能模块实现的高级属性符合功能规约。BGP代理实现与验证代码量之比约为1.8:1，程序设计实现和程序验证所耗费的时间之比约为1:3。经过形式化验证的BGP代理处理100 000条BGP路由所花费的时间为0.16 s，约为未经过验证的BGP代理的7倍。研究工作为应用形式化方法证明拟态防御设备与系统中关键组件的安全性和功能正确性提供了参考。     

面向进程控制流劫持攻击的拟态防御方法

为了防御进程控制流劫持攻击,从漏洞利用的角度对攻击过程建立了威胁模型,提出了截断关键漏洞利用环节的"要塞"防御.在研究拟态防御原理的基础上提出了进程的拟态执行模型,并对该模型进行了分析与有效性证明,拟态执行能够有效截断控制流劫持的攻击实施过程;实现了拟态执行的原型系统MimicBox,并对MimicBox进行了有效性验...     

动态异构冗余结构的拟态防御自动机模型

动态异构冗余结构是拟态防御技术的常用工程模型.然而,目前尚缺乏对该结构实施形式化分析的手段,因为该结构缺乏形式化建模方法.针对此问题,使用有穷状态自动机及其并行组合自动机为一些拟态攻防行为建立计算模型.首先,使用单个有穷状态自动机为单个执行体建模;其次,使用有穷状态自动机的并行组合为执行体组合建模;再次,修改状态迁移规则,得到可描述攻防行为的拟态防御自动机模型;最后,根据该自动机模型的状态条件,分析动态异构冗余结构上拟态攻防行为的安全性.此外,也可使用交替自动机为拟态攻防建模,并把安全性自动分析规约为交替自动机模型检测问题.     

基于深度学习的实时DDoS攻击检测

分布式拒绝服务(DDoS)攻击是一种分布式、协作式的大规模网络攻击方式,提出了一种基于深度学习的DDoS攻击检测方法,该方法包含特征处理和模型检测两个阶段:特征处理阶段对输入的数据分组进行特征提取、格式转换和维度重构;模型检测阶段将处理后的特征输入深度学习网络模型进行检测,判断输入的数据分组是否为DDoS攻击分组.通过ISCX2012数据集训练模型,并通过实时的DDoS攻击对模型进行验证.结果表明,基于深度学习的DDoS攻击检测方法具有高检测精度、对软硬件设备依赖小、深度学习网络模型易于更新等优点.     

软件定义的L2/L3地址协同拟态伪装策略研究

从网络内部探测目标终端的脆弱性是网络攻击发起的主要途径,当前网络的静态特性利于攻击者目标侦察的实施,网络内部的L2/L3地址是攻击者期望侦察的主要信息.为了改变目标侦察阶段网络攻防的易攻难守态势,基于拟态伪装的思想,提出了一种L2和L3地址协同动态化技术,在不影响正常业务条件下有策略地隐藏真实网络主机.首先,建立网络侦察的博弈模型（CRG）,基于NASH均衡解指导L2/L3地址的拟态伪装策略,并给出最优的跳变周期计算公式;其次,基于软件定义网络架构,设计并实现了协同动态化的内网防护系统（CMID）,由SDN控制器协同控制L2/L3地址的伪装变换;最后,理论分析与实验结果表明：上述方法能够有效切断L2/L3地址与真实网络身份、上层服务的关联性,最大化地隐藏网络内部主机,延缓侦察速度,阻断网络攻击的连续性.     

内生安全增益评估指标度量模型研究

基于拟态防御技术的信息通信技术产品通过引入动态异构冗余,实现对未知漏洞、后门、病毒或木马等威胁的非特异性免疫。为有效评估拟态防御产品的内生安全增益,基于现有拟态防御产品的共性特点,通过研究影响拟态防御产品安全增益的关键要素和属性,提出评估拟态防御产品内生安全增益的评估指标度量模型,为拟态产品开展内生安全增益评估提供参考。     

基于拟态架构的内生安全云数据中心关键技术和实现方法

云数据中心是新一代信息基础设施的代表,其安全问题也成为近年来备受关注的焦点,具有重要的意义。首先,在对现有云安全形势分析的基础上,通过新兴的内生安全概念探索云数据中心的安全架构、关键技术和实现方法,期望利用拟态构造设计解决现有防护手段难以处理的漏洞、后门等内生安全问题。其次,提出了一种云数据中心内生安全架构与相关关键技术实现构想,同时给出了现有云平台系统拟态化改造的模式与技术趋势。未来,基于拟态架构的内生安全云数据中心或将为新一代信息基础设施建设提供有效的安全解决方案,进而加速云化服务模式的应用与推广。     

一种基于概率分析的DHR模型安全性分析方法

动态异构冗余(Dynamic Heterogeneous Redundancy,DHR)模型的安全性分析是拟态防御的核心问题之一.本文针对DHR模型安全性量化分析问题提出了执行体-漏洞矩阵和服务体-漏洞矩阵模型,实现了DHR系统的形式化描述.提出了攻击序列法和服务体法的两种计算方法,从系统攻击成功率和被控制率对DHR系统进行安全性分析,推导出非合谋(合谋)盲攻击和非合谋(合谋)最优攻击4种场景下安全性指标的计算公式.通过仿真实验分析了DHR模型各因素对系统安全性的影响,给出了增强DHR系统安全性的具体建议.所提方法能用于DHR系统的安全性量化分析和比较,为DHR系统构建提供量化决策支撑.     

基于深度学习的位置大数据统计发布与隐私保护方法

针对传统位置大数据统计划分发布结构不合理、划分发布方法效率低下的问题,提出一种基于深度学习的位置大数据统计划分结构预测方法和差分隐私发布方法,以提高位置大数据统计划分发布数据的可用性和执行效率.首先对二维空间进行细致划分和自底向上合并,从而构建合理的空间划分结构.然后将划分结构矩阵组织为三维时空序列,借助深度学习模型提...     

基于深度学习的网络入侵检测方法研究

随着互联网技术的快速发展和普及,网络攻击和威胁已经渗透到我们生活的方方面面,网络安全成为人们关注的焦点.在面对网络攻击的研究中,入侵检测作为保证网络安全的一道防线,起着至关重要的作用.针对当前入侵检测收集的各类数据集中存在的数据不平衡问题,提出了一种基于深度学习的平衡数据生成模型,利用数据生成模型生成平衡数据集,使用这...     

基于无监督学习的工业物联网攻击聚类分析研究

依赖于网络的工业物联网构成复杂,在网络安全方面面临巨大的挑战。由于接入系统的设备种类繁多,对网络攻击模式进行有效识别是非常困难。现有的深度学习方法在网络训练时需要大量的先验数据,这对训练数据集的准备提出了很高的要求。针对这一问题,文章提出了一种基于无监督学习的聚类学习网络,提取网络攻击数据的分布特征,对攻击模式进行聚类分析。该网络利用变分自编码器的聚类方法,能够很好地适应复杂的工业物联网环境,对各类网络攻击的识别准确率达到了96%以上。     

基于改进隐马尔可夫模型的网络攻击检测方法

提出了一种基于改进隐马尔可夫模型的网络攻击检测方法.正常的网络行为符合一定的语法规则,异常的行为会偏离正常的语法规则.通过对正常行为样本的学习得到的基于隐马尔可夫模型的语法可以根据网络行为和语法的符合程度有效地检测正常行为和攻击行为.在基于现实数据的实验测试中,得到了比较好的检测性能.     

基于机器学习的网络安全保障应用实践

网络安全是当前互联网的重要领域,网络攻击则是影响互联网正常使用的主要原因之一,为了突破流量型网络攻击预警难点,该系统借助机器学习技术,提出架设一套智能化流量分析系统,建立流量变化特征库,编写机器学习算法模型,以海量的历史流量特征数据为样本,启动自学习、自纠偏模式,不断调整以提高模型的准确率,最终实现流量型网络攻击预警。     

网络空间拟态防御建模与量化评估技术研究

针对网络空间未知漏洞后门等不确定性扰动问题,拟态防御技术基于动态异构冗余架构与拟态伪装机制实现了对随机或非随机扰动的有效管控。针对上述内生安全问题,首先采用Petri网、鞅以及概率论等理论与技术来评估与仿真系统的安全性,并对评估结果与实际部署进行了策略分析,同时对比了不同理论工具在量化可用性、攻击成功概率以及逃逸概率等指标时存在的优缺点。最后,针对现有理论与技术在不同场景适用性存在的不足以及实际部署量化问题,展望了后续拟态防御系统在定性与定量分析研究的主要方向。     

基于红蓝对抗的拟态防御体系构建

由于目前网络空间处于攻防不对等的态势，基于“已知风险”的防护体系已经无法满足日益严峻的攻击压力，需要构建一种可以对“未知风险”进行防护且有一定自适应能力的安全架构。本文通过将红蓝对抗经验引入到安全防护体系的建设中，以网站防护为例，研究了构建基于拟态防御的安全架构模型，提出将自适应防护能力集合到安全工作的方法，从而提高了信息系统对未知威胁攻击的防护能力。     

面向任务的作战系统模型一致性研究

为检测作战系统中任务模型的一致性,文中基于图文法提出一种形式化的检测方法:把作战系统模型转换成属性图文法,并检测功能需求间冲突和依赖。循环依赖将导致模型无法执行,错误依赖则表示功能需求与动态模型的执行流程不一致。文中对此提出相应的依赖检测算法,循环依赖检测算法通过深度优先搜索找到依赖关系中的环,错误依赖检测算法通过遍历活动图检测依赖关系与动态模型的执行流程是否一致。最后基于该方法实现了作战系统模型一致性检测系统并结合实例进行验证。