Dynamic defenses in cyber security:Techniques,methods and challenges Author links open overlay panel

1

作者 Yu Zheng Zheng Li +1 位作者 Xiaolong Xu Qingzhan Zhao 《Digital Communications and Networks》 SCIE CSCD 2022年第4期422-435,共14页

Driven by the rapid development of the Internet of Things,cloud computing and other emerging technologies,the connotation of cyberspace is constantly expanding and becoming the fifth dimension of human activities.Howe... Driven by the rapid development of the Internet of Things,cloud computing and other emerging technologies,the connotation of cyberspace is constantly expanding and becoming the fifth dimension of human activities.However,security problems in cyberspace are becoming serious,and traditional defense measures(e.g.,firewall,intrusion detection systems,and security audits)often fall into a passive situation of being prone to attacks and difficult to take effect when responding to new types of network attacks with a higher and higher degree of coordination and intelligence.By constructing and implementing the diverse strategy of dynamic transformation,the configuration characteristics of systems are constantly changing,and the probability of vulnerability exposure is increasing.Therefore,the difficulty and cost of attack are increasing,which provides new ideas for reversing the asymmetric situation of defense and attack in cyberspace.Nonetheless,few related works systematically introduce dynamic defense mechanisms for cyber security.The related concepts and development strategies of dynamic defense are rarely analyzed and summarized.To bridge this gap,we conduct a comprehensive and concrete survey of recent research efforts on dynamic defense in cyber security.Specifically,we firstly introduce basic concepts and define dynamic defense in cyber security.Next,we review the architectures,enabling techniques and methods for moving target defense and mimic defense.This is followed by taxonomically summarizing the implementation and evaluation of dynamic defense.Finally,we discuss some open challenges and opportunities for dynamic defense in cyber security. 展开更多

关键词 cyber security Dynamic defense Moving target defense mimic defense

下载PDF 职称材料

基于演化博弈的拟态防御策略优化

2

作者 王敏 付文昊 +1 位作者 王宝通 石乐义 《计算机应用研究》 CSCD 2024年第2期576-581,共6页

网络空间拟态防御是近些年出现的一种主动防御理论,以异构冗余和动态反馈机制不断调整执行环境来抵抗攻击。然而,面对黑客的多样化攻击手段,仅凭借拟态防御抵抗攻击是不安全的。为了增强系统的安全防御能力,在目前已有的防御系统基础上... 网络空间拟态防御是近些年出现的一种主动防御理论,以异构冗余和动态反馈机制不断调整执行环境来抵抗攻击。然而,面对黑客的多样化攻击手段,仅凭借拟态防御抵抗攻击是不安全的。为了增强系统的安全防御能力,在目前已有的防御系统基础上提出更为合理的防御选取方法。将有限理性的演化博弈引入到拟态防御中,构建了由攻击者、防御者和合法用户组成的三方演化博弈模型,并提出了最优防御策略求解方法。该博弈模型利用复制动态方程得到了演化稳定策略。仿真实验结果表明,系统通过执行推理的演化稳定策略可以降低损失,遏制攻击方的攻击行为,对拟态防御系统中防御策略选取和安全性增强具有一定的借鉴意义。 展开更多

关键词 拟态防御 主动防御 演化博弈 演化稳定策略 防御决策

下载PDF 职称材料

MimicCloudSim:An Environment for Modeling and Simulation of Mimic Cloud Service 被引量：2

3

作者 Liming Pu Jiangxing Wu +2 位作者 Hailong Ma Yuhang Zhu Yingle Li 《China Communications》 SCIE CSCD 2021年第1期212-221,共10页

In recent years,an increasing number of application services are deployed in the cloud.However,the cloud platform faces unknown security threats brought by its unknown vulnerabilities and backdoors.Many researchers ha... In recent years,an increasing number of application services are deployed in the cloud.However,the cloud platform faces unknown security threats brought by its unknown vulnerabilities and backdoors.Many researchers have studied the Cyber Mimic Defense(CMD)technologies of the cloud services.However,there is a shortage of tools that enable researchers to evaluate their newly proposed cloud service CMD mechanisms,such as scheduling and decision mechanisms.To fill this gap,we propose MimicCloudSim as a mimic cloud service simulation system based on the basic functionalities of CloudSim.MimicCloudSim supports the simulation of dynamic heterogeneous redundancy(DHR)structure which is the core architecture of CMD technology,and provides an extensible interface to help researchers implement new scheduling and decision mechanisms.In this paper,we firstly describes the architecture and implementation of MimicCloudSim,and then discusses the simulation process.Finally,we demonstrate the capabilities of MimicCloudSim by using a decision mechanism.In addition,we tested the performance of MimicCloudSim,the conclusion shows that MimicCloudSim is highly scalable. 展开更多

关键词 cyber mimic defense mimic cloud service SIMULATION dynamic heterogeneous redundancy

下载PDF 职称材料

一种分布式存储系统拟态化架构设计与实现 被引量：17

4

作者 郭威 谢光伟 +1 位作者 张帆 李敏 《计算机工程》 CAS CSCD 北大核心 2020年第6期12-19,共8页

针对当前分布式存储系统中漏洞后门威胁导致的数据安全问题,通过引入网络空间拟态防御理论及其相关安全机制,从结构角度出发增强系统的安全防护能力。对分布式存储系统面临的主要威胁和攻击途径进行分析,定位其核心薄弱点,结合防护的代... 针对当前分布式存储系统中漏洞后门威胁导致的数据安全问题,通过引入网络空间拟态防御理论及其相关安全机制,从结构角度出发增强系统的安全防护能力。对分布式存储系统面临的主要威胁和攻击途径进行分析,定位其核心薄弱点,结合防护的代价与有效性提出一种可行的系统安全构造方法。以大数据Hadoop分布式文件系统为目标对象,设计面向元数据服务的拟态化架构,利用搭建元数据服务的动态异构冗余结构保护系统核心信息和功能,通过对副本的异构化放置保护用户数据,并在此架构基础上设计基于反馈信息的裁决调度联动机制。测试结果表明,该方法能够有效提升分布式存储系统的安全性。 展开更多

关键词 大数据 数据安全 网络空间拟态防御 分布式存储系统 裁决与调度机制

下载PDF 职称材料

一种基于MSISDN虚拟化的移动通信用户数据拟态防御机制 被引量：10

5

作者 刘彩霞 季新生 邬江兴 《计算机学报》 EI CSCD 北大核心 2018年第2期275-287,共13页

对于移动通信用户而言,作为其身份标识的MSISDN号码对外公开,而在移动通信网中,MSISDN号码与用户其它数据项绑定关联存储、传递和使用,这也是移动通信用户信息泄露或者被恶意窃取的重要途径.通过深入研究移动通信网络架构、协议体系和... 对于移动通信用户而言,作为其身份标识的MSISDN号码对外公开,而在移动通信网中,MSISDN号码与用户其它数据项绑定关联存储、传递和使用,这也是移动通信用户信息泄露或者被恶意窃取的重要途径.通过深入研究移动通信网络架构、协议体系和业务提供模式,该文提出一种移动通信用户数据拟态防御机制.该机制的核心思想是通过在不可控的通信过程和网络设备中动态引入虚拟MSISDN号码,使MSISDN号码在传递、存储和使用等环节具有随机性和多样性,从而隐匿或者打破用户真实MSISDN号码与其它数据的关联关系,进而有效实现用户信息防泄露和防窃取.方法的特点是不改变现有移动通信网的协议体系,并能够保证用户对外公开的MSISDN号码真实唯一.该文给出了MSISDN号码动态化和虚拟化的核心思想,论证了其可行性,并给出了实现方案.最后通过建立理论模型,对防护机制的防护效能进行了验证和分析. 展开更多

关键词 通信用户数据 网络空间拟态防御 MSISDN虚拟化 动态变体

下载PDF 职称材料

一种拟态存储元数据随机性问题解决方法 被引量：1

6

作者 杨珂 张帆 +2 位作者 郭威 赵博 穆清 《计算机工程》 CAS CSCD 北大核心 2022年第2期140-146,155,共8页

拟态存储作为网络空间拟态防御技术在分布式存储领域的工程实现,能够有效提高存储系统的安全性。由于元数据节点中存在随机性的算法和逻辑,使得执行体状态可能不一致,从而导致整个拟态存储系统无法正常运转。为解决该问题,提出一种元数... 拟态存储作为网络空间拟态防御技术在分布式存储领域的工程实现,能够有效提高存储系统的安全性。由于元数据节点中存在随机性的算法和逻辑,使得执行体状态可能不一致,从而导致整个拟态存储系统无法正常运转。为解决该问题,提出一种元数据再同步方法。在系统中引入状态监视模块和映射同步机制,状态监视模块及时检测执行体状态不一致的情况并进行反馈,映射同步机制建立客户端指令和裁决器输出结果之间的映射关系,使得同步过程在不影响拟态存储系统正常工作的同时符合分布式存储系统最终的一致性要求。在拟态存储工程样机上进行功能和性能测试,结果表明,该方法能够以较小的性能开销来有效解决元数据执行体状态不一致的问题,提升拟态存储系统的稳定性,重复执行再同步机制可使同步成功率达到100%。 展开更多

关键词 网络空间拟态防御 分布式存储 异构冗余 元数据节点 状态同步

下载PDF 职称材料

网络空间拟态防御研究 被引量：163

7

作者 邬江兴 《信息安全学报》 2016年第4期1-10,共10页

本文扼要分析了网络安全不平衡现状及本源问题,重点阐述了动态异构冗余架构以及如何利用不可信软硬构件组成高可靠、高安全等级信息系统的原理与方法,概略的给出了拟态防御的基本概念。最后,介绍了拟态防御原理验证系统的测试评估情况... 本文扼要分析了网络安全不平衡现状及本源问题,重点阐述了动态异构冗余架构以及如何利用不可信软硬构件组成高可靠、高安全等级信息系统的原理与方法,概略的给出了拟态防御的基本概念。最后,介绍了拟态防御原理验证系统的测试评估情况和初步结论。 展开更多

关键词 网络安全 不平衡态势 未知漏洞后门 拟态防御 非相似余度 动态异构冗余 验证系统测试评估

下载PDF 职称材料

一种基于概率分析的DHR模型安全性分析方法 被引量：2

8

作者 郑秋华 胡程楠 +3 位作者 崔婷婷 申延召 曾英佩 吴铤 《电子学报》 EI CAS CSCD 北大核心 2021年第8期1586-1598,共13页

动态异构冗余(Dynamic Heterogeneous Redundancy,DHR)模型的安全性分析是拟态防御的核心问题之一.本文针对DHR模型安全性量化分析问题提出了执行体-漏洞矩阵和服务体-漏洞矩阵模型,实现了DHR系统的形式化描述.提出了攻击序列法和服务... 动态异构冗余(Dynamic Heterogeneous Redundancy,DHR)模型的安全性分析是拟态防御的核心问题之一.本文针对DHR模型安全性量化分析问题提出了执行体-漏洞矩阵和服务体-漏洞矩阵模型,实现了DHR系统的形式化描述.提出了攻击序列法和服务体法的两种计算方法,从系统攻击成功率和被控制率对DHR系统进行安全性分析,推导出非合谋(合谋)盲攻击和非合谋(合谋)最优攻击4种场景下安全性指标的计算公式.通过仿真实验分析了DHR模型各因素对系统安全性的影响,给出了增强DHR系统安全性的具体建议.所提方法能用于DHR系统的安全性量化分析和比较,为DHR系统构建提供量化决策支撑. 展开更多

关键词 拟态防御 动态异构冗余 安全性分析 漏洞矩阵

下载PDF 职称材料

面向云网融合SaaS安全的虚拟网络功能映射方法 被引量：7

9

作者 李凌书 邬江兴 《计算机工程》 CAS CSCD 北大核心 2021年第12期30-39,共10页

在云网融合背景下,承载软件即服务(SaaS)业务功能的云基础设施可能横跨多个数据中心和归属网络,难以保证云资源安全可控。为缩短SaaS业务服务的处理时延,设计基于冗余执行和交叉检验的SaaS组合服务模式,并对容器、Hypervisor和云基础设... 在云网融合背景下,承载软件即服务(SaaS)业务功能的云基础设施可能横跨多个数据中心和归属网络,难以保证云资源安全可控。为缩短SaaS业务服务的处理时延,设计基于冗余执行和交叉检验的SaaS组合服务模式,并对容器、Hypervisor和云基础设施的安全威胁进行建模,建立拟态化虚拟网络功能映射模型和安全性优化机制。在此基础上,提出基于近端策略优化的PJM算法。实验结果表明,与CCMF、JEGA和QVNE算法相比,PJM算法在满足安全性约束的条件下,能够降低约12.2%业务端到端时延。 展开更多

关键词 云计算 软件即服务 云网融合 虚拟网络映射 网络空间拟态防御 服务功能链 近端策略优化

下载PDF 职称材料

一种面向网络拟态防御系统的信息安全建模方法 被引量：5

10

作者 常箫 张保稳 张莹 《通信技术》 2018年第1期165-170,共6页

常见网络系统多数使用静态构架,无法有效抵御攻击者的持续探测与攻击,导致网络态势呈现易攻难守的局面。针对当前攻击成本和防御成本的严重不对称现状,邬江兴院士提出了网络拟态防御技术安全防护思想。网络拟态防御系统利用异构性、多... 常见网络系统多数使用静态构架,无法有效抵御攻击者的持续探测与攻击,导致网络态势呈现易攻难守的局面。针对当前攻击成本和防御成本的严重不对称现状,邬江兴院士提出了网络拟态防御技术安全防护思想。网络拟态防御系统利用异构性、多样性来改变系统的相似性和单一性,利用动态性、随机性改变系统的静态性、确定性,期望利用动态异构的构架使得隐藏漏洞不被利用。基于此,提出一种基于本体的网络拟态防御系统安全建模方法,使用安全本体构建拟态动态化、异构性和多样性的模型,并通过测试案例解释了该模型的应用流程,同时验证了其有效性。 展开更多

关键词 网络安全 网络拟态防御 本体 动态异构性 安全建模

下载PDF 职称材料

融合广义随机Petri网的二维拟态安全评估模型 被引量：4

11

作者 杨昕 李挥 +1 位作者 邬江兴 伊鹏 《中国科学：信息科学》 CSCD 北大核心 2020年第12期1944-1960,共17页

―为应对网络空间中的未知安全漏洞,拟态防御系统作为一种动态异构冗余的新型防御架构破茧而出.拟态系统根据网络环境自发进行重配置,扭转了传统静态网络攻防不对等的局面.然而目前仍缺乏有说服力的能够定量评估并比较不同的安全防御系... ―为应对网络空间中的未知安全漏洞,拟态防御系统作为一种动态异构冗余的新型防御架构破茧而出.拟态系统根据网络环境自发进行重配置,扭转了传统静态网络攻防不对等的局面.然而目前仍缺乏有说服力的能够定量评估并比较不同的安全防御系统有效性的实用方案.本文深入研究拟态架构,提出了一种二维分析模型,该模型将系统配置细节计算为量化结果,以比较不同动态网络的可靠性,且该模型在不同网络配置间可保持良好的可扩展性.具体来说,在分析的第1维度即单节点攻击分析时,我们详细介绍了系统配置,使用广义随机Petri网模型对攻击者和防御者的行为分别进行描述建模,刻画其对系统状态的影响.结合泊松过程、常见漏洞和暴露以及常见漏洞评分系统,我们对其影响设计函数进行赋值、量化计算.在分析的第2个维度即链路攻击中,我们采用马尔可夫(Markov)链,并用鞅理论进行计算,量化表达了攻击难度即攻击得手时长和网络配置之间的关系.最后,给出日常防御下和攻击情景下的安全度量方案,验证了拟态防御的有效性,为拟态系统的设计提供了理论指导. 展开更多

关键词 ―拟态网络防御 广义随机 PETRI网络 通用漏洞评分系统 安全分析 安全模型

原文传递