一种基于执行体异构度的拟态裁决优化方法

网络空间拟态防御技术通过构建动态异构冗余的系统架构来提高系统的安全性能,而裁决器的表决机制是防御链中的关键步骤,直接影响拟态系统的安全性和效率。针对拟态表决环节的任务特性,对一致表决算法进行改进,设计基于执行体异构度的拟态裁决优化方法。结合拟态防御系统的异构特性,在选择执行体表决输出时引入执行体间的异构度作为决策因素,同时综合考虑执行体数目和历史记录信息,使表决算法更适用于拟态架构面临的威胁场景。实验结果表明,与一致表决算法相比,该算法能够显著提高拟态系统的安全性能,有效规避共模逃逸的风险。     

基于异常值的拟态裁决优化方法

针对拟态裁决器多数一致性表决算法的优化方法,提出用异常检测的方法直接量化数据可靠性来提升表决正确率.基于异常值的表决算法,通过构建拟态系统异构执行体输出数据集和训练深度学习异常检测模型量化了执行体输出数据异常值;使用权值优化算法优化加权分配,在表决时选择最优加权结果作为表决输出结果.实验结果表明,该方法能够提升拟态裁决器的表决输出正确率,具有一定共模逃逸检测能力,提升了系统的安全性和可靠性.     

拟态通用运行环境的框架设计

为实现信息系统安全防御的目的,针对动态异构冗余(DHR)架构设计拟态通用运行环境(MCOE)框架。以拟态化改造后功能等价的异构冗余信息系统应用程序,以及异构化的信息系统运行环境设施为对象,为N异构执行体构建面向服务请求的资源调度、分发、执行、表决、安全威胁清洗恢复以及管理的自动化运行支撑环境,提供拟态产品的分发、表决统一集成接口规范。在该框架中,服务请求主键驱动的N个异构执行体和MCOE分发、内部表决、外部表决、协同执行、管理5个服务器交互运行。仿真结果表明,该设计可有效抵御软硬件后门和漏洞引发的网络攻击。     

面向拟态防御系统的高阶异构度大数判决算法

异构系统之间的相似性会影响拟态防御系统异构执行体的选择和调度。目前多数针对执行体的异构性分析仍停留在二阶层面,但二阶异构度不适用于执行体数目较多的情况,难以准确评估拟态系统的防御能力。针对该问题,提出高阶异构度的概念,分析高阶异构的性质,解释高阶异构性在执行体调度及判决中所起的重要作用,并将其用于拟态防御系统安全性的量化分析。在此基础上,设计基于高阶异构度的大数判决算法,同时依据容斥原理计算系统失效率。实验结果表明,该算法可有效分析拟态系统的防御能力,并且随着执行体相似度增大以及执行体数目增多,准确性能够进一步提高。     

面向拟态云的异构执行体安全调度算法

随着云服务的应用范围越来越广,基于未知漏洞或后门的攻击成为制约云技术发展的主要安全威胁之一。基于拟态防御建立的拟态云服务通过降低漏洞的持续性暴露概率来保障安全性,当前已有研究提出的拟态调度算法缺乏对执行体自身安全性的考虑,并且无法兼顾动态性和异构性。针对此问题文章通过引入执行池的异构度和安全度定义,提出一种基于异构度和安全度的优先级调度算法,并引入结合时间片的动态调度策略。实验结果表明,文章所提算法具有较好的动态性,能够获得较优的调度效果,实现了动态性、异构性和安全性之间的平衡,并且时间复杂度较低。     

拟态通用运行环境的资源管理与调度技术

为达到拟态通用运行环境(MCOE)对已/未知后门和漏洞主动防御、安全威胁攻击及时阻断和数据完整性有效保障等拟态防御目标,提出拟态资源调度准则,基于该准则从拟态资源管理与MCOE框架的交互设计、拟态资源管理与调度等方面论述拟态资源管理服务与调度算法的设计与实现,构造拟态运行节点软硬件资源异构特征分类器及基于三级异构度分类的节点N元组和N异构执行体元组,实现N异构执行体、服务器运行节点资源及其资源对象的随机性、动态性和异构性最大化与资源调度负载均衡,并通过拟态管理服务实例验证了云容器集群上拟态资源管理调度算法的正确性与有效性。     

拟态构造的Web服务器异构性量化方法

拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统,其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击,以实现系统安全风险可控.在分析拟态防御技术原理的基础上,论证异构性如何提高拟态构造的Web服务器的安全性,并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上,将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性,提出了一种适用于量化异构性的量化方法,通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法,工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明,该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.     

拟态防御体系OSPF协议研究及分析

网络空间拟态防御技术是一种基于动态异构冗余的新型主动防御技术，通过引入多个异构冗余的执行体，增强广义鲁棒性，通过对多个执行体的策略或者周期性调度，对外呈现特征的不确定性变化，增强安全性。路由协议安全是网络安全的重要组成部分，OSPF协议作为网络空间中部署最广泛、实现最复杂的路由协议，如何实现各异构执行体OSPF协议功能的等价，是支持拟态防御的网络设备亟需解决的问题。首先，科学阐述了拟态防御的设计思想，详细描述了支持拟态防御的路由器的体系结构，论述了OSPF协议在拟态防御体系结构中的处理方法，通过引入OSPF协议代理实现各异构执行体OSPF协议功能的等价，在支持拟态防御的路由器原型样机中验证了该方法的可行性和高性能。最后，结合几种经典的OSPF路由攻击产生的路由器安全风险进行了具体说明及实验验证，实验表明该方法能够有效提高其应对OSPF网络攻击的能力。     

面向拟态构造Web服务器的执行体调度算法

调度是拟态构造Web服务器的重要机制,现有的调度算法多数缺乏对拟态构造Web服务器异构性和Web服务质量的考虑,不能解决调度机制带来的安全性和Web服务质量不稳定的问题。为此,提出基于最大异构性和Web服务质量的随机种子调度算法,通过计算拟态构造Web服务器所有阈值,随机选出种子执行体,根据最大异构性和Web服务质量确定调度方案。仿真结果表明,与随机调度算法相比,该算法具有较优的调度效果,在安全性、Web服务质量和动态性之间达到了较好的平衡。     

拟态路由器TCP代理设计实现与形式化验证研究CSCD

拟态路由器基于拟态防御的动态异构冗余架构进行设计,对于未知漏洞后门具有良好的防御能力。协议代理在拟态路由器中处于内外联络的枢纽位置,协议代理的安全性和功能正确性对于拟态路由器有着重要意义。本文设计实现了拟态路由器的TCP协议代理,并采用形式化方法,对其安全性和功能正确性进行了验证。TCP协议代理嗅探邻居和主执行体之间的TCP报文,模拟邻居和从执行体建立TCP连接,并向上层应用层协议代理提供程序接口。基于分离逻辑与组合思想,采用Verifast定理证明器,对TCP协议代理的低级属性,包括指针安全使用、无内存泄露、无死代码等,进行了验证;同时,还对TCP协议代理的各主要功能模块的部分高级属性进行了形式化验证。搭建了包含3个执行体的拟态路由器实验环境,对实现结果进行了实际测试,结果表明所实现的TCP代理实现了预期功能。TCP协议代理实现总计1611行C代码,其中形式化验证所需人工引导定理检查器书写的证明共计588行。实际开发过程中,书写代码实现与书写人工证明所需的时间约为1︰1。本文对TCP协议代理的实现与形式化验证工作证明了将形式化验证引入拟态路由器的关键组件开发中是确实可行的,且证明代价可以接受。     

用于WSN中结点认证协议的投票机制

研究并设计一种超半数“投票”方案。以簇头为计票者,认证结点为投票者,由簇头搜集与统计“选票”信息。依据超半数投票原则得出统计结果,断定可疑结点的真实性。通过理论推导和计算证明,在异构的传感网络中,投票统计结果的可信度达90%以上,能够准确、可靠地检测出可疑结点,提高无线传感器网络的安全。     

基于可靠性的多核系统硬实时任务并行调度

提出了一种新的基于可靠性的多核系统硬实时任务调度方法,并给出定量可靠性模型.首先,每个应用程序都由任务组成,并采用有向无环图建模,显示任务执行周期、任务依赖性及其通信量.其次,提出聚类多数投票方法,在纯大多数投票并行性和纯再执行序列化间进行权衡.聚类多数投票方法是具有确定性定时行为的半并行方法,同时也减少了通信量.然后...     

基于MapReduce的FCM聚类集成算法

针对传统的聚类集成算法难以高效地处理海量数据的聚类分析问题,提出一种基于MapReduce的并行FCM聚类集成算法。算法利用随机初始聚心来获取具有差异化的聚类成员,通过建立聚类成员簇间OVERLAP矩阵来寻找逻辑等价簇,最后利用投票法共享聚类成员中数据对象的分类情况得出最终的聚类结果。实验证明,该算法具有良好的精确度,加速比和扩展性,具有处理较大规模数据集的能力。     

基于投票机制的融合聚类算法

以一趟聚类算法作为划分数据的基本算法,讨论聚类融合问题.通过重复使用一趟聚类算法划分数据,并随机选择阈值和数据输入顺序,得到不同的聚类结果,将这些聚类结果映射为模式间的关联矩阵,在关联矩阵上使用投票机制获得最终的数据划分.在真实数据集和人造数据集上检验了提出的聚类融合算法,并与相关聚类算法进行了对比,实验结果表明,文中提出的算法是有效可行的.     

Multi-Candidate Voting Model Based on Blockchain

Electronic voting has partially solved the problems of poor anonymity and low efficiency associated with traditional voting. However, the difficulties it introduces into the supervision of the vote counting, as well as its need for a concurrent guaranteed trusted third party, should not be overlooked. With the advent of blockchain technology in recent years, its features such as decentralization, anonymity, and non-tampering have made it a good candidate in solving the problems that electronic voting faces. In this study, we propose a multi-candidate voting model based on the blockchain technology. With the introduction of an asymmetric encryption and an anonymity-preserving voting algorithm, votes can be counted without relying on a third party, and the voting results can be displayed in real time in a manner that satisfies various levels of voting security and privacy requirements. Experimental results show that the proposed model solves the aforementioned problems of electronic voting without significant negative impact from an increasing number of voters or candidates.      

基于CP-ABE和区块链的时间锁加密电子投票方案

现有电子投票系统无法同时满足投票数据隐私性、投票者之间的公平性、投票者资格控制的灵活性、投票结果的精准性、投票结果的延时公布等多元应用需求。针对上述问题,提出了一种基于CP-ABE和区块链的时间锁加密电子投票方案。该方案综合考虑了电子投票在实际场景中的多元应用需求,通过结合CP-ABE算法和Fabric技术,将属性加密后的投票链接数据存入区块链账本,满足属性策略的投票用户才能访问其链接,实现了灵活控制投票资格的机制,从而保证能获取针对不同用户群体属性的精确投票结果;基于改进的时间锁加密方案将投票数据进行加密上链,在预计投票结果公布之前为投票数据的机密性提供了保障,避免恶意节点造成合谋攻击问题,同时实现了投票结果延时公布的功能。实验从用户属性限制、投票链接获取、投票数据上链,以及投票结果延时这四个方面验证所提方案的有效性。系统测试结果表明,该方案可以有效地控制投票资格,符合属性策略的投票用户能成功获取投票链接并发送至区块链存储,同时为投票数据的机密性提供了保障。通过性能分析、安全性分析以及对比分析表明了该方案的可行性。