作者:洪海诚; 陈丹伟 期刊:《计算机科学》 2020年第02期
随着云存储技术的飞速发展,现有的云存储架构和存储模式都以一种静态的方式呈现在用户和攻击者面前,使得数据面临着更多的安全威胁。针对这种数据静态存储模式的不足,文中提出了一种基于二元随机扩展码(RBEC)的副本动态存储方法。该方法利用一种网络编码将数据块存储在云节点上,通过基于二元随机扩展码进行节点数据变换,可随机时变地改变节点的数据信息,通过变换攻击面来增加攻击者实施攻击的复杂度和成本,降低系统的脆弱性曝光和...
作者:蔡雨彤; 常晓林; 石禹; 陈志 期刊:《信息安全学报》 2019年第04期
移动目标防御(Moving Target Defense,MTD)是一种主动防御策略,而动态平台技术(Dynamic Platform Techniques,DPT)是MTD在平台层面的一种具体实现方案,其通过在脆弱网络系统中构建随机动态变化的运行平台,来提高脆弱网络系统中网络服务被探测和被攻击的复杂度,从而提高关键网络服务的安全性。目前状态空间模型已应用于MTD效能的量化分析,但仅用于稳态分析;而对于关键网络服务,DPT瞬态效能量化分析极为重要。本文通过分析脆弱网络系...
作者:周余阳; 程光; 郭春生 期刊:《网络与信息安全学报》 2018年第06期
针对移动目标防御中网络攻击面缺少客观风险评估的不足,为了有效地实现网络系统的安全风险评估,实现对潜在的攻击路径进行推算,提出一种基于贝叶斯攻击图的网络攻击面风险评估方法。通过对网络系统中资源、脆弱性漏洞及其依赖关系建立贝叶斯攻击图,考量节点之间的依赖关系、资源利用之间的相关性以及攻击行为对攻击路径的影响,推断攻击者到达各个状态的概率以及最大概率的攻击路径。实验结果表明了所提网络攻击面风险评估方法的可...
作者:刘丹军; 蔡桂林; 王宝生 期刊:《网络与信息安全学报》 2018年第01期
MTD是通过动态移动目标的攻击面来改变攻击和防御不对称状态的一种新方式。MTD变换频率对于系统可用性、安全性和防御成本之间的权衡至关重要。但目前的变换频率通常根据管理者的经验确定,缺乏理论基础,无法达到可用性一安全性成本之间的权衡。为应对这一挑战,提出了适应性移动目标防御框架(AMTD),在确保系统可用的前提下,以最低的成本获取最大的系统安全性。AMTD的适应性体现在2方面:一是防御模式的适应性,通过提出一种...
作者:申普兵; 薛保泽; 吴波; 陈树文 期刊:《计算机技术与发展》 2019年第09期
网络空间日趋复杂,原有的网络安全防护手段大多属于被动防御,难以应对当前复杂的网络安全环境,随着Web服务的迅速发展,Web服务系统成为网络攻击的重灾区。针对当前网络的安全防护构建部署固定静态的现状,移动目标防御旨在构建动态不可预知的系统,使防护对象机动化,增加攻击者代价和开销来抵御攻击。借鉴移动目标防御SCIT(self cleansing intrusion tolerance)模型的思想,为网络Web服务系统引入终端运行环境随机化切换,增加终端控制...
作者:唐秀存; 许强; 史大伟; 徐良华 期刊:《信息技术与网络安全》 2016年第07期
移动目标防御(Moving Target Defense,MTD)技术是近年来网络空间中"改变游戏规则"的革命性技术之一。它与以往的网络安全技术完全不同,变被动防御为主动防御,其系统和网络状态随着时间、空间以及物理环境等多个维度的变化而不断改变,从而增加入侵者的入侵难度,有效限制己方漏洞暴露的概率。因此,移动目标防御将成为未来网络安全防护技术的重点发展方向。综合研究了MTD主要关键技术及其发展脉络,通过比较分析,提出了目前关键技...
作者:李亚龙; 陈勤; 张旻 期刊:《计算机工程与应用》 2019年第19期
基于博弈论的网络安全防御大多数使用完全信息静态博弈或不完全信息动态博弈理论建立攻防模型,但完全信息静态博弈使用场合受限,实用性不强,所以使用不完全信息动态博弈建立攻防模型更贴近实际情况,而以往由不完全信息动态博弈建立的攻防模型认为观测到的攻击策略为真实攻击策略则没有考虑观测到的攻击策略很可能会出现误差。为此,引入最小风险的贝叶斯决策的思想,将防御系统对攻击策略发生误判、错判时,采取的防御策略对系统带来...
作者:张舒婷 期刊:《计算机应用与软件》 2019年第04期
虽然互联网已经成为生活中各个方面的中心,但仍有很多用户无法通过互联网自由地获取信息。攻击者可以通过部署审查者实现对用户特定信息的屏蔽。从网络信息提供者的角度出发,提出一种面向用户的反审查方法,使攻击者的攻击代价大大增加。通过使用移动IPv6来形成移动目标防御策略,使Web服务器从逻辑上表现为移动节点(实际上没有移动)。对该方案进行建模(概率模型)分析,提出一个关键参数-分群比,将攻击者所需资源与实际条件限制进行对...
作者:周余阳; 程光; 郭春生; 戴冕 期刊:《软件学报》 2018年第09期
移动目标防御作为一种动态、主动的防御技术,能够通过不断转移攻击面,减少系统的静态性、同构性和确定性,以此挫败攻击者的攻击.随着网络攻击手段的不断发展和变化,深入研究移动目标防御对网络空间安全具有重要意义,而攻击面的动态转移技术作为移动目标防御领域的重点问题,一直受到研究人员的广泛关注.利用攻击面动态转移技术所具有的不确定性、动态性和随机性等优势,实现信息系统的动态防御,可以有效克服传统防御手段的确定性、静...
作者:蒋侣; 张恒巍; 王晋东 期刊:《通信学报》 2019年第06期
针对移动目标防御最优策略选取问题,从攻击面转换(ASS)和探测面扩展(ESE)的角度形式化来定义防御策略,阐释了防御原理;采用动态对抗和有限信息的视角对网络攻防行为进行研究,在分析攻防博弈类型和攻防过程的基础上,构建了基于信号博弈的移动目标防御模型;改进了攻防策略量化计算方法,提出了精炼贝叶斯均衡求解算法,并通过对博弈均衡的分析设计了最优防御策略选取算法。仿真实验验证了所提模型和方法的有效性。
作者:林玉香; 王慧婷 期刊:《计算机工程与设计》 2018年第08期
基于IP的移动通信网中,用户静态IP地址容易通过流量监听或者地址探查的方法被识别出来,通过对这一问题进行研究,提出一种基于用户地址动态变化的安全通信方法。通过单向哈希函数生成虚拟IP地址,利用归一化方法将其映射到动态地址资源池,将移动用户终端变成无法被跟踪的目标,保护用户信息安全。仿真结果表明,该方法能有效防御基于地址探查和流量监听类型的攻击。
作者:张连成; 魏强; 唐秀存; 房家保 期刊:《计算机研究与发展》 2017年第12期
为解决已有路径跳变技术难以抵御全局截获分析攻击及已有端址跳变技术跳变同步难、部署难度大等问题,提出基于路径与端址跳变的SDN网络主动防御技术.首先,将路径跳变问题建模为约束求解问题,使用可满足性模理论求解器求解获得满足重复约束和容量约束的多条路径,然后,依据特定跳变时隙向所选跳变路径上的所有OpenFlow交换机下发对应的端址跳变流表项,使这些交换机对数据流进行正确转发的同时,更改其端口与地址信息.理论分析与实验结...
作者:张莹; 张保稳 期刊:《通信技术》 2018年第01期
目前,常规的信息系统主要实施静态、被动的网络空间安全防御,处于易攻难守的不利局面。移动目标防御(Moving Target Defense,MTD)作为一种动态、主动的防御技术,改变了传统网络安全防御的方式,其核心思想是防御者要不断改变系统的攻击面,以增加攻击者实施攻击的难度。简要介绍MTD常见实施原理,结合主流安全评估技术分析MTD安全评估问题及其难点,特别是在安全建模、安全目标和安全评估方法等方面,指出了其所面临的新的难题和挑战,...
作者:谭慧婷; 唐朝京 期刊:《网络安全技术与应用》 2017年第06期
近年来,互联网技术得到了全面普及,但各种网络攻击也层出不穷。尽管我们已经提出了许多技术来抵御网络攻击,各类网络安全事件仍有发生。传统网络防御技术已难以满足网络安全要求,移动目标防御应运而生。该技术通过构建持续变化、不确定的网络与系统,,增加攻击者的攻击难度及代价,扭转防御者的被动地位。本文对移动目标防御技术的基本原理和发展现状进行了概括,尤其是对网络层面的动态网络相关技术进行了深入的探讨,以期对移动目标...
随着传统集群管理,运维人员需要解决无休止的包管理,莫名其妙的环境差异以及繁杂重复的批处理和任务作业,而使用Kubernetes提供的解决方案,可以节省开发成本。同时让开发、运维人员将精力更加集中于业务本身,运维难度和成本大幅度降低。通过基于Openstack构建Kubernetes集群的研究,达到聚资源、聚应用、聚服务的目的。实现资源池化与自动化,将应用迁移到云平台,降低IT运维成本,将核心应用重新架构为松耦合、模块化的云原生应用,通...
作者:李方; 王运兰 期刊:《信息与电脑》 2016年第14期
笔者利用IP地址跳频技术,提出多重随机地址跳变的概念,将虚拟主机和应用系统的地址进行虚拟化、动态化。在地址跳变过程中,结合虚拟主机的主要状态参数,构建主机任务优化的地址跳变模型,提高主机运行效率,增强用户体验,增大攻击者地址搜索范围和路径跟踪难度,主机和应用系统动态随机构建,缩短攻击者的可用攻击时间。从地址跳变和动态主机任务优化两方面对模型的安全性进行了分析,结果表明所提出的模型可增加攻击者开销,提高网络的...
作者:赵星; 汤红波; 王文博; 赵宇 期刊:《计算机应用研究》 2017年第01期
针对现有移动核心网中HSS面临的中间人攻击、Do S攻击等安全威胁,以及传统静态网络中攻击者对防御者的不对称性优势,在移动目标防御中动态地址的研究基础上提出一种HSS移动目标防御方法。对攻击源筛选问题进行建模分析,提出快速贪心算法和凸优化法高效地执行地址切换策略。仿真结果表明,快速贪心算法在阻断攻击源的同时大幅降低了时间复杂度;凸优化法通过增大求解空间减少了执行地址切换次数,降低了对核心网正常通信的影响。
作者:唐秀存; 张连成; 史晓敏; 徐良华 期刊:《计算机应用研究》 2016年第10期
端口跳变是移动目标防御典型技术,通过持续改变服务端口来隐藏服务标志和迷惑攻击者。利用SDN逻辑集中控制与网络可编程特性,提出基于端口跳变的SDN网络防御技术。使用SDN控制器承担服务端的端口跳变功能,不但可以减轻服务端负载,而且能提前检测过滤恶意数据包,并能抵御内部攻击者。理论分析与实验结果表明,所提技术对SDN控制器负载增加较少,可有效抵御DoS攻击。
作者:潘盈; 祝凯捷; 李伟; 王凯; 王东霞 期刊:《信息工程大学学报》 2016年第03期
攻击表面作为一种主要的系统安全衡量手段,如何通过攻击表面的运算来判断攻击表面移动后系统的安全增益是一个需要研究的问题。文章在攻击表面模型的基础上,结合集合运算的思想,引入两种攻击表面的运算规则,在此基础上,定义攻击表面增益,并利用一个简单的程序实例,说明攻击表面增益的量化评估方法。
通过持续改变服务端口来隐藏服务标识和迷惑攻击者,是端口跳变、移动目标防御典型技术,利用SDN逻辑集中控制与网络可编程特性,提出基于端口跳变的SDN网络防御技术,使用SDN控制器承担服务端的端口跳变功能,不但可减轻服务端负载,且可提前检测过滤恶意数据包,并能抵御内部攻击者。理论分析与实验结果表明,所提技术对SDN控制器负载增加较少,可有效抵御Do S攻击。