排序方式: 共有28条查询结果,搜索用时 15 毫秒
1.
控制层的漏洞利用攻击,如恶意APP、流表篡改等是软件定义网络(software defined networking, SDN)面临的主要威胁之一,而传统基于漏洞修复技术的防御策略无法应对未知漏洞或后门.提出一种基于拟态防御思想的网络操作系统安全架构——拟态网络操作系统(mimic network operating system, MNOS)——保障SDN控制层安全.该架构采用异构冗余的网络操作系统(network operating system, NOS),并在传统的SDN数据层和控制层间增设了拟态层,实现动态调度功能.首先拟态层动态选取若干NOS作为激活态并行提供服务,然后根据各NOS的处理结果决定最终的有效响应返回底层交换机.实验评估表明:在增加有限的时延开销下,MNOS可以有效降低SDN控制层被成功攻击的概率,并具备良好的容错/容侵能力;在此基础上,提出的选调策略和判决机制,可以有效提升系统的异构度和判决的准确性,进一步提升安全性能. 相似文献
2.
针对云原生环境中正则表达式拒绝服务(ReDoS)攻击的防御方式存在效率低、无法进行主动防御的问题,提出了基于移动目标防御(MTD)技术的ReDoS攻击防御方法。首先基于云原生环境下的微服务应用特点,对攻防双方的行为进行了分析;其次,基于Kuberneters设计了基于MTD的防御系统,并提出基于拓扑信息和请求到达速率的动态和静态的多维微服务权重指标、基于排队论的服务效率判断指标以及轮换时机选择方法来指导关键微服务的选择和关键微服务的轮换时机;最后,给出了基于异构度和服务效率的多维指标MTD异构轮换算法,并使用Python进行了仿真,结果表明:所提算法防御时延比动态伸缩缩短了50%左右;并且防御开销在第一次攻击之后趋于平稳,不会持续增长。 相似文献
3.
针对IP地址动态化防护技术引入额外开销而导致正常网络传输性能下降的问题,首次设计并实现了一种基于矢量数据包处理(Vector Packet Processing,VPP)加速的IP地址动态防护系统,在隐藏真实IP地址的同时增强了系统数据处理能力.首先,针对控制平面和数据平面处理逻辑不同,分别设计了快转发逻辑和慢转发逻辑,降低数据报文处理过程中的拷贝次数;其次,面向真实IP-虚假IP频繁映射,提出一种共享内存的高效的IP地址动态变换机制;再次,采用最优化和哈希链算法制定了IP跳变策略与虚假IP地址预分配机制,最小化系统性能损耗;最后,实验结果表明,系统能够有效抵御DoS攻击并将潜在的侦查攻击命中率控制在16%以下,在数据处理性能上也有明显的速度提升. 相似文献
4.
5.
针对当前拟态表决器以连接为单位“连接内数据传输结束后再表决、转发”的机制难以适应HTTP 1.1协议在持久性连接、分块传输编码的应用场景中开销过大的问题,设计实现了面向持久性连接的自适应拟态表决器,在数据持续传输过程中滑动窗口式表决、释放异构冗余执行体的分块传输编码报文,通过分析滑动窗口式表决的分块传输编码报文的数据特征,构建了表决算法选择策略集,给出了表决准确性维护方案;提出了基于存贮模型的自适应表决窗口控制策略,为待表决数据提供最佳的切分方案。基于原型系统的实验结果表明,自适应拟态表决器在具有可接受的表决准确度下,降低了内存开销并提升了拟态表决效率。 相似文献
6.
针对云原生环境下攻击场景的复杂性导致移动目标防御策略配置困难的问题,该文提出一种基于深度强化学习的移动目标防御策略优化方案(SmartSCR)。首先,针对云原生环境容器化、微服务化等特点,对其安全威胁及攻击者攻击路径进行分析;然后,为了定量分析云原生复杂攻击场景下移动目标防御策略的防御效率,提出微服务攻击图模型并对防御效率进行刻画。最后,将移动目标防御策略的优化问题建模为马尔可夫决策过程,并使用深度强化学习解决云原生应用规模较大时带来的状态空间爆炸问题,对最优移动目标防御配置进行求解。实验结果表明,SmartSCR能够在云原生应用规模较大时快速收敛,并实现逼近最优的防御效率。 相似文献
7.
多数识别技术通过建立流特征的正常模型来识别偏离的流,但流特征有较强的可变性,建立这样精微的模型非常困难。异常的发生通常会引起流量地址或端口在分布上的变化,分布的分散或集中程度可用特征嫡来衡量。因此提出基于特征嫡的异常流识别技术(Entropy of Characteristics based Anomaly Traffic Identification,ECATI),即利用特征嫡依据流量特征参数的分布变化检测异常,通过分析异常间隔的流量迭代地排除类似正常的流,从而识别根源流。经过手动标记和人工注入异常的仿真实验证实,所提算法能精确地识别出异常流,在平均识别率89.5%%的情况下几乎没有丢失流。识别算法能精确地诊断网络扫描、DDoS攻击和链路失败等多种异常类型。 相似文献
8.
9.
10.
针对传统防御技术难以应对未知漏洞和后门的问题,拟态安全防御(MSD,mimic security defense)通过构造动态异构冗余模型,提高系统的不确定性,增加攻击者的攻击难度和成本,提升网络安全性能。基于软件定义网络,提出了一种拟态防御的实现架构,首先,按照非相似余度准则构建异构冗余执行体,而后借助软件定义网络的集中管理控制实现动态选调和多模判决等功能。实验验证了架构的入侵容忍能力和可用性。 相似文献