拟态防御

摘要： 网络空间拟态防御技术是一种采用动态异构冗余架构的新型主动防御技术,论述了基于拟态防御体系的攻击检测方法,能够检测定位漏洞并及时修复,完成从静态防御到动态防御的转变,提高对未知漏洞和后门攻击的防御能力。

摘要： 面对静态、滞后的传统防御技术无法有效应对新型网络攻击的问题,根据拟态安全防御理论,提出了一种建立在数据转发层面的拟态服务功能链(mimic service function chain,MSFC)防御架构,基于该架构进一步提出了一种基于判决反馈的执行体动态调度方法。该方法以判决器反馈的异常执行体信息、执行体的异构度以及系统的实际负载量作为调度影响因素,使调度方法可以根据网络实际变化进行自适应调整。此外,该调度方法利用判决反馈对调度时间进行调整,以达到系统花费与安全性的最佳平衡,降低了系统的资源开销。仿真结果表明,该调度方法可以在平衡系统花费与安全性的基础上,选出更符合当前网络需求的高异构度执行体集合,从而提升系统的安全性及可靠性。

摘要： 针对工业系统的安全性问题,根据拟态防御理论中的动态异构冗余模型,并结合工业系统的实际应用场景,首先提出了一种针对工业现场协议的4异构执行体拟态混合裁决方法,再依据执行体间的异构度及共模防御系数提出了一种在有限的异构资源下的执行体调度方法,最后将调度算法与随机调度算法进行仿真分析.结果表明,这种新的裁决和调度算法,不但可以有效支撑数字和模拟信号混合的复杂拟态工控应用场景,同时还能快速识别共模攻击,减小系统的共模逃逸时间,进一步提升工控系统的防御能力.

摘要： 随着汽车智能化的高速发展,车机行为自动化程度随智能车载系统日益提升,各种固件、硬件设备都可通过智能车载系统进行数据和信息交互.车联网以智能车载系统承载对软件应用、ECU、硬件的自动化控制;在向用户提供各种驾驶功能的同时,智能车载系统的复杂化和自动化程度大幅提升,这意味着系统安全与功能安全的边界模糊.对车联网智能系统进行了模型化概述,强调了车联网场景下,智能车载系统的脆弱性、系统故障会直接影响到车机的功能安全,从而危害到用户的人生安全,因此车联网的系统安全性变得至关重要.以现有车联网安全事件与问题为背景,探讨了车联网中系统安全与功能安全的关系;强调了为找寻系统安全在车联网中的可落地性.指出在有限的资源成本下,快速找寻车机性能与系统安全的平衡点成为关键,并提出了一种基于拟态防御的前置性强化学习防御机制.

摘要： 针对当前动态异构冗余系统中异构体调度缺乏动态性和仅考虑二阶异构性,导致系统易被攻击者找到共模漏洞从而攻破系统的问题,提出了一种同时考虑执行体高阶异构度和历史信息的异构执行体动态调度算法——基于高阶异构度的负反馈调度算法。该算法首先计算等待池中执行体的高阶异构度矩阵,然后在每次调度执行体时同时考虑历史威胁和异构体间的高阶异构度来确定调度执行体集。实验表明,结合高阶异构度和历史信息的策略使算法获得了动态性和安全性的平衡,且防御能力较先前算法更优秀。

摘要： 网络流量异常检测是负载均衡、入侵检测、流量工程等应用的基础,但现有检测方案在遭受网络攻击、服务器发生软错误等异常情况下缺乏足够鲁棒性.为此,引入拟态防御思想,提出一种基于拟态防御的网络流量异常检测架构.通过设计多个异构检测模块,以增强检测鲁棒性.为减少拟态化构造引入的额外开销,设计了索引数据结构、迷你执行体.基于真实流量数据的初步实验结果表明,采用的多模裁决机制减少了检测假阳性,所提架构平均准确率强于传统异常检测方案.

摘要： 本文介绍了内生安全的概念和需求,就电力监控场景对内生安全的技术、设计应用等方面展开系统性的探讨,并提出了融合结构性边界防护、设备内生安全、实时安全监测为一体的综合性安全防护解决方案,为电力监控系统安全防护思路提供积极的参考意见。

摘要： 构建网络功能虚拟化(NFV)拟态防御架构能够打破防御滞后于攻击的攻防不对等格局,其中动态调度策略是关键实现技术。然而,现有拟态防御架构中的动态调度策略大多根据执行体自身固有的特点进行调度,没有进一步利用裁决机制对异常执行体的定位感知能力做优化调整。通过引入演化博弈理论,设计一种新的NFV拟态防御架构动态调度策略。在NFV拟态防御架构中增加一个分析器,用于对历史裁决信息进行分析研究。根据分析器中得到的反馈信息,从攻防双方的有限理性出发构建多状态动态调度演化博弈模型,并采用复制动态方程求解该博弈模型的演化均衡策略,利用李雅普诺夫间接法对均衡策略进行稳定性分析,提出基于演化博弈的动态调度策略选取算法。仿真结果表明,该策略能够利用裁决机制对异常执行体的定位感知能力,通过深入分析研究和不断调整优化选择具有适应性和针对性的调度策略,有效提升系统的安全收益和防御效能。

摘要： 提出了一种支撑多路径负载均衡配置的SDN拟态防御架构,首先,针对以往强化学习方法的状态空间狭小,难以提取人工特征性等问题,利用深度强化学习方法,结合网络链路负载和流量特征,进行多路径的自适应配置,以确保网络服务的负载均衡。而后,将动态异构冗余架构引入SDN控制层,来确保生成的路径配置信息准确性,并利用Openflow中的packet_in消息进行数据转发路径效验机制的设计,由此建构SDN拟态防御架构;最后,通过仿真对比实验得出SDN拟态防御框架下的失效概率始终处于稳定的低位状态的结论,可见安全防御性能更优。

摘要： 随着信息技术的快速发展,互联网的安全问题日益突出,攻守双方的失衡现状更是加剧了网络安全问题。蜜罐技术是防御方的一次主动出击,作为一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。虽然蜜罐可以一定程度上发现并延缓攻击者的攻击行为,但是越来越多的安全事件表明,在蜜罐本身系统不安全的情况下,攻击者可以利用高交互蜜罐作为跳板,进行进一步的攻击行为。为了保证蜜罐本身的安全,基于拟态防御动态异构冗余的思想,将拟态防御理论与传统蜜罐相结合,设计并实现一种基于HTTP协议的拟态Web高交互蜜罐。从而在实现攻击目标可诱捕,攻击路径可追溯,攻击数据可分析的基础上,保证高交互蜜罐的安全。

摘要： 网络空间拟态防御能够应对拟态界内未知漏洞或后门等导致的未知风险或不确定威胁;拟态防御的有效性由架构内生防御机制决定而不是依赖现有的防御手段或方法;不以拟态界内软硬构件的“可信可控”为前提，适应全球化开放生态环境;能够融合现有的任何安全防护技术并可以非线性的放大防御效果;期望用目标对象内生环境主动创建的视在不确定性，应对网络空间未知安全风险和不确定性威胁;在功能等价、开放多元产业生态环境中，将目标对象复杂的安全可信防护问题转化为创建信息系统内生机理主导的积极防御态势。用系统架构技术的颠覆性创新，支撑网络安全再平衡战略的实现。

摘要： 本发明提供一种具有主从切换功能的拟态括号装置，包括I/O接口模块、分流模块、两个互为主从的异构拟态括号、流控模块和合流模块，每个异构拟态括号接收及处理所述分流模块分发的流量，计算其输出矢量，并在接收主从切换指令后进行主从切换；以及在从状态下，比对两个异构拟态括号的输出矢量，并将比对结果发送至流控模块；流控模块在比对结果不一致时输出切换指令至两个异构拟态括号和所述合流模块；合流模块，接收两个异构拟态括号处理后的流量，并在接收到所述流控模块的切换指令后，选择一个异构拟态括号处理后的流量传送到所述I/O接口。

摘要： 本发明提供一种拟态裁决装置，包括至少两个异构裁决处理器，其中一个异构裁决处理器为主裁决处理器时，其余异构裁决处理器为辅裁决处理器；所述异构裁决处理器之间通过内部互连机制进行通信；至少一个所述异构裁决处理器接收外部的访问请求数据，并转发至其余异构裁决处理器；每个异构裁决处理器均对所述访问请求数据进行处理；所述主裁决处理器收集所述辅裁决处理器的处理信息，并结合其自身的处理信息进行分析裁决，根据裁决结果选择是否进行主裁决处理器与辅裁决处理器的切换。

摘要： 本发明提供一种拟态防御装置、拟态防御方法和拟态防御架构，其中拟态防御装置包括输入模块、输出模块、代理模块和多个异构处理器模块，所述代理模块包括复制分发单元、判决单元和选择输出单元；复制分发单元，接收输入模块发送的外部数据并复制分发至多个异构处理器模块；每个异构处理器模块，均包括裁决器和多个异构虚拟机，异构虚拟机用于对外部数据进行处理，裁决器用于对多个异构虚拟机的处理结果进行裁决；选择输出单元，根据所述判决结果和以及预置的选择策略选择一个异构处理器模块的裁决结果通过所述输出模块输出；所述判决单元，用于对多个异构处理器模块输出的裁决结果进行判决。

摘要： 本发明公布了的一种拟态防御中拟态配置的服务路径验证方法。本发明控制器依据Shanmir的秘密分享多项式算法，为每一条服务路径生成一个多项式，利用生成的多项式和每个交换机唯一的路径标识，生成对应的交换机路径验证标识序列对，随后依次将对应的序列值通过控制器配置到交换机中。当数据包经过交换机时会触发向控制器发送Packet_in消息，该消息携带了交换机路径验证标识，表明数据包当前经过了该交换机，当数据包到达目的地，控制器会收集到数据包经过的交换机发送的交换机路径验证标识。通过分组筛选不同服务链的交换机路径验证标识序列对，SDN能够比对数据，分析出对应的服务链是否被正确部署。本发明提高网络空间的防御能力。

摘要： 本发明公开了一种多层拟态防御方法、装置、存储介质及多层拟态系统，其中方法包括：第一阶段评估每一个执行体的实际性能，其中，所述实际性能包括每个所述执行体的初始性能与输出裁决器的累计反馈情况；第二阶段分别以每一个执行体作为种子执行体，综合考虑其余执行体的实际性能和其余执行体与种子执行体相互之间的异构性，从而得到兼顾性能与适配性的执行体集合及所述执行体集合的性能评估；第三阶段综合考虑所述执行体集合的整体性能与随机性，从当前时刻最适合调度的三个执行体集合中随机选择一个所述执行体集合进行拟态调度。本发明使得调度方法兼备完善性，可更新性和随机性，表现出更好的性能，可广泛应用于互联网中的信息安全技术领域。

摘要： 本发明提供一种拟态防御装置、拟态防御方法和拟态防御架构，其中拟态防御装置包括输入模块、输出模块、代理模块和多个异构处理器模块，所述代理模块包括复制分发单元、判决单元和选择输出单元；复制分发单元，接收输入模块发送的外部数据并复制分发至多个异构处理器模块；每个异构处理器模块，均包括裁决器和多个异构虚拟机，异构虚拟机用于对外部数据进行处理，裁决器用于对多个异构虚拟机的处理结果进行裁决；选择输出单元，根据所述判决结果和以及预置选择策略选择一个异构处理器模块的裁决结果通过所述输出模块输出；所述判决单元，用于对多个异构处理器模块输出的裁决结果进行判决。

摘要： 本公开实施例公开了一种基于拟态防御机制的入侵防御方法及入侵防御装置。所述方法包括：获取流量报文并进行特征提取以得到特征报文；确定与所述特征报文对应的多个目标异构执行体；其中，所述目标异构执行体的当前状态为第一状态；所述第一状态用于表征对应的异构执行体当前可用；将所述特征报文分别发送至多个所述目标异构执行体以得到多个匹配结果；其中，所述匹配结果由所述目标异构执行体通过对比各自相应的目标规则库而得到；利用裁决算法对所述多个匹配结果进行计算，以得到裁决结果；根据所述裁决结果和所述匹配结果对所述流量报文执行过滤处理；根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整。

摘要： 本发明提供了一种恢复拟态系统出厂设置的方法、系统及拟态防御架构，所述方法包括异构执行体初始化步骤和拟态组件初始化步骤；异构执行体初始化步骤：判断输入代理是否捕获到恢复出厂设置指令，若是，则隔绝外部用户输入流量，生成执行体初始化指令，并分别传输至N个在线异构执行体；在接收到所述执行体初始化指令后，N个在线异构执行体分别执行恢复出厂操作，执行完毕后，生成执行体初始化OK信号，并传输至裁决器；所述裁决器生成线上执行体初始化完成信号，并传输至调度器。本发明在拟态系统中各组件、各模块在不改变原来系统网络架构的前提下，快速且安全可靠地实现拟态系统的恢复出厂设置操作。

摘要： 本发明提出一种单拟态括号装置、方法、可读存储介质和拟态防御架构，其中，单拟态括号装置包括：I/O接口模块，支持流量输入和输出；分流模块，与所述I/O接口模块连接，用于实现输入流的复制分发；N个异构执行体，分别与所述分流模块连接，接收及处理所述分流模块复制分发出来的输入流，并计算各个异构执行体的输出流的输出矢量；流控模块，与所述N个异构执行体连接，接收所述输出矢量，根据所述输出矢量以及预置的流控选择策略，输出流控指令；合流模块，与所述N个异构执行体、所述I/O接口模块及所述流控模块连接，接收所述N个异构执行体的输出流及所述流控指令，根据所述流控指令选择一条输出流转发到所述I/O接口模块。

摘要： 本发明公布了的一种拟态防御中拟态配置的服务路径验证方法。本发明控制器依据Shanmir的秘密分享多项式算法，为每一条服务路径生成一个多项式，利用生成的多项式和每个交换机唯一的路径标识，生成对应的交换机路径验证标识序列对，随后依次将对应的序列值通过控制器配置到交换机中。当数据包经过交换机时会触发向控制器发送Packet_in消息，该消息携带了交换机路径验证标识，表明数据包当前经过了该交换机，当数据包到达目的地，控制器会收集到数据包经过的交换机发送的交换机路径验证标识。通过分组筛选不同服务链的交换机路径验证标识序列对，SDN能够比对数据，分析出对应的服务链是否被正确部署。本发明提高网络空间的防御能力。