基于多目标优化算法NSGA-Ⅱ的软件多样化组合方法

软件多样化因能有效提升系统弹性、增加恶意二进制分析的成本而被广泛应用于软件开发等场景中。而如何对现有软件多样化技术进行组合部署,以在获得更高安全增益的同时保持较低的性能开销,是当前软件多样化研究的核心问题之一。针对现有软件多样化组合方法中搜索算法效率低、搜索空间小、安全性评估指标不全面、难以综合考量软件多样化对各类攻击的影响等问题,提出了一种基于多目标优化算法的软件多样化组合方法,将软件多样化组合问题构建为综合考量TLSH相似度、gadget质量分数和CPU时钟周期数指标的多目标优化模型,并设计了包括染色体编码、自适应交叉和变异算子,以及针对组合方案的有效性验证算法等在内的NSGA-Ⅱ求解算法。最后,在GNU核心工具组数据集上进行实验,结果表明,该组合方法可有效生成高安全增益、低性能开销的软件多样化组合方案。

云原生环境下基于移动目标防御的ReDoS防御方法

针对云原生环境中正则表达式拒绝服务(ReDoS)攻击的防御方式存在效率低、无法进行主动防御的问题,提出了基于移动目标防御(MTD)技术的ReDoS攻击防御方法。首先基于云原生环境下的微服务应用特点,对攻防双方的行为进行了分析;其次,基于Kuberneters设计了基于MTD的防御系统,并提出基于拓扑信息和请求到达速率的动态和静态的多维微服务权重指标、基于排队论的服务效率判断指标以及轮换时机选择方法来指导关键微服务的选择和关键微服务的轮换时机;最后,给出了基于异构度和服务效率的多维指标MTD异构轮换算法,并使用Python进行了仿真,结果表明:所提算法防御时延比动态伸缩缩短了50%左右;并且防御开销在第一次攻击之后趋于平稳,不会持续增长。

云原生下基于深度强化学习的移动目标防御策略优化方案

针对云原生环境下攻击场景的复杂性导致移动目标防御策略配置困难的问题,该文提出一种基于深度强化学习的移动目标防御策略优化方案(SmartSCR)。首先,针对云原生环境容器化、微服务化等特点,对其安全威胁及攻击者攻击路径进行分析;然后,为了定量分析云原生复杂攻击场景下移动目标防御策略的防御效率,提出微服务攻击图模型并对防御效率进行刻画。最后,将移动目标防御策略的优化问题建模为马尔可夫决策过程,并使用深度强化学习解决云原生应用规模较大时带来的状态空间爆炸问题,对最优移动目标防御配置进行求解。实验结果表明,SmartSCR能够在云原生应用规模较大时快速收敛,并实现逼近最优的防御效率。

基于深度学习的拟态裁决方法研究

针对软硬件差异化容易导致拟态裁决结果不一致所造成的假阳现象被误认为网络攻击的问题,提出了一种基于深度学习的拟态裁决方法。通过构建无监督的自编码-解码深度学习模型,挖掘不同执行体输出多样化正常响应数据的深度语义特征,分析归纳其统计规律,并通过设计基于离线学习-在线裁决联动的训练机制和基于反馈优化机制来解决假阳现象,从而准确检测网络攻击,提高目标系统的安全弹性。鉴于软硬件差异导致正常响应数据间的统计规律已被深度学习模型理解掌握,因此不同执行体间拟态裁决结果将保持一致,即目标系统处于安全状态。一旦目标系统受到网络攻击,执行体的响应数据将偏离深度学习模型的统计规律,致使拟态裁决结果不一致,即目标系统存在潜在安全威胁。实验结果表明,所提方法的检测性能显著优于主流的拟态裁决方法,且平均预测准确度提升了14.89%,有利于将该方法集成到真实应用的拟态化改造来增强系统的防护能力。

2例伏立康唑引起的精神症状不良反应并文献复习

目的探讨伏立康唑治疗过程中发生的药物不良反应,提醒临床医师和临床药师对伏立康唑相关不良反应引起重视。方法报道1例间质性肺炎伴乙肝的老年患者,使用伏立康唑合并左氧氟沙星、奥美拉唑治疗后出现视觉障碍,停用后视觉障碍症状消失;报道1例基础病复杂的肺部感染老年患者,使用伏立康唑合并奥美拉唑过程中出现幻视伴精神症状,停用伏立康唑后幻视及精神症状消失。结果视觉障碍、幻视伴精神症状是伏立康唑所致的不良反应可能性大;药源性视觉障碍及精神症状不排除与合并使用奥美拉唑、左氧氟沙星有关。结论临床药师密切关注用药安全,注意药物之间相互作用,必要时检测血药浓度及进行基因型检测。

基于gadget特征分析的软件多样性评估方法

软件多样性能够有效提升系统弹性和安全性,广泛应用于软件分发、操作系统等场景,但现有软件多样性评估方法普遍基于常规代码特征进行度量且较为单一,难以准确反映软件多样性带来的安全增益。针对此问题,以ROP(return-oriented programming)攻击视角出发,通过分析软件多样性对代码重用攻击过程中各阶段的影响,提出了一种综合gadget质量、实用性和分布指标的软件多样性评估方法,通过度量软件多样性对构建gadget攻击链的难度、攻击者潜在可获得的计算能力和攻击者在不同变体中搜索gadget成本的影响程度对其进行安全性评估。利用不同粒度的多样化技术进行实验,结果表明,所提方法能够准确全面地反映软件多样性带来的安全增益,细粒度的多样化技术能使软件中大量的gadget重定位/修改/移除,增加攻击软件变体的成本,但部分多样化技术会导致不同程度的软件膨胀等问题。最后,依据不同度量指标下得到的结果对现有软件多样化技术的优势与不足进行分析和讨论。

基于多尺度低秩模型的网络异常流量检测方法

现有刻画流量异常检测所需的流特征集通常是高维的,增加了检测和分类的复杂度。通过研究发现网络中异常通常是稀疏性分布的,单个异常仅仅表现在低维流特征中。基于这一现象提出了一种异常流量检测模型—多尺度低秩(MRLR,multi-resolution low rank)模型,该模型能够动态筛选出"合适的"特征集并准确分类异常。基于人工标记的实际网络流量异常和注入异常的数据集验证结果表明:MRLR对特征集的缩减率可达10%以下;并且基于MRLR的分类算法复杂度为O(n)。

基于谈判博弈的分布式协同网络服务布局算法框架

当前,互联网承载着大量服务,并被部署于整个网络中。网络服务的最优布局可以有效降低网络延迟,最大化用户效用,有助于保持互联网及其应用的良好运行。然而,由于服务实例的数量增长,请求模式及网络状态视图的动态变化,网络服务的最优布局难以计算。参考市场上的分布式讨价还价活动,将网络服务布局问题建模为纳什谈判博弈,并设计了一种基于讨价还价理论(bargain theory)的分布式协同网络服务布局算法,通过网络各节点的协同获取网络全局状态,求解服务的最优布局。仿真结果表明算法框架可以通过调节基本量以实现用户体验与网络效用之间的均衡。

基于安全等级的虚拟机动态迁移方法

侧信道攻击是当前云计算与数据中心环境下多租户间信息泄露的主要途径,现有基于虚拟机动态迁移的防御方法存在迁移算法收敛时间长,开销大的问题,为此,提出一种基于安全等级的虚拟机动态迁移方法。首先,对虚拟机进行安全等级分类,减少虚拟机动态迁移的数量;然后采用相应的虚拟机映射策略,降低虚拟机迁移的频率。实验表明,与现有基于虚拟机动态迁移的防御方法相比,该方法能够降低虚拟机迁移算法的收敛时间和迁移开销。

软件定义网络及安全防御技术研究

软件定义网络(SDN,software-defined networking)将传统网络控制平面与转发平面分离,形成集中式的控制器,开放了网络编程接口,简化网络管理,促进网络创新,优化网络运行。然而,SDN的"三层两接口"架构增加了网络攻击表面,导致诸多新的安全问题。首先,介绍SDN发展、特点及其工作原理,继而从应用层、北向接口、控制层、南向接口、数据层等5个层次归纳存在的安全问题,分析产生的原因;其次,针对各类安全问题讨论最新研究进展及现有解决方案;最后,总结SDN当前和未来的安全挑战,并展望未来SDN安全发展方向。

一种基于AdaBoost-SVM的流量分类方法

针对传统分类方法的缺陷,提出了一种基于AdaBoost-SVM的流量方法。该方法利用K-L变换从大量冗余流量特征中遴选出少量本征特征,有效降低了算法的处理复杂度;应用AdaBoost机制将一次分类过程等分成若干层基于支持向量机的弱分类器,使得分类方法简单、易于实现;通过分层组合和迭代权重的方法聚焦在困难分类的数据样本上,提高了分类器的准确性能。理论分析和实验结果表明:在降低计算复杂度的同时,Ada-Boost-SVM算法的准确性能够达到95%。

异构备份式的虚拟网映射方法研究

在云计算和数据中心环境中,底层单个物理服务器的失效将对上层虚拟网络的服务性能造成很大的影响,现有利用冗余备份的方法能够在一定程度上降低底层物理设备失效带来的影响,但未考虑到物理服务器的同构性所带来的问题,为此,该文提出一种异构备份式的虚拟网映射方法。首先,只对关键的虚拟机进行冗余备份,降低备份资源的开销;然后,确保提供备份虚拟机的物理服务器与原物理服务器的系统类型的异构性,提高虚拟网的弹性能力;最后,以最小化链路资源开销作为虚拟网的映射目标,进一步降低备份资源的开销。实验表明,该方法在保证虚拟网络映射性能的前提下,能够大大提高虚拟网络的弹性能力。

面向云工作流安全的任务调度方法

现有的云工作流大多工作在静态化、同质化的系统环境中,不仅易导致故障传播、降低系统容错度,而且易于攻击者获取系统环境信息,便于发动准确攻击.针对此问题,提出一种面向云工作流安全的任务调度方法.该方法以工作流系统多层次任务划分模式为基础,阶段性地对任务进行调度,避免针对特定任务的持续攻击.为有效防范攻击者针对任务执行环境的探测,利用多样化的系统镜像构建异构的任务执行体,并基于异构执行体动态变换任务执行环境,保证云工作流系统环境的随机性.此外,为进一步提高异构系统的安全效益,对执行体异构程度进行量化,并根据量化结果映射成调度选择概率,提高调度前后任务执行环境的差异.实验模拟3种攻击方法对改进的云工作流系统安全性进行测试,测试结果表明:该方法能有效提高云工作流系统的安全性.

基于网络资源管理技术的SDN DoS攻击动态防御机制

软件定义网络(software defined networking,SDN)已经迅速成为一种新的网络通信管理模式,极大地改变了传统网络架构.SDN可以通过将控制层与数据层分离来实现更细粒度的网络控制与管理.但是,转控分离的SDN架构也使得控制器极易成为DoS攻击的目标.为解决这一问题,现对SDN中的DoS攻击进行全面的研究,并提出一种轻量有效的MinDoS防御机制,该机制主要由简化的DoS攻击探测模块和优先级管理模块这2个核心模块实现.该机制可以根据用户信任值将流请求分类并将其划分到具有不同优先级的多个缓冲队列,然后使用SDN控制器以双轮询机制来调度处理这些流请求,从而在DoS攻击下更好地保护控制器.另外,MinDoS还结合了多控制器动态调度策略来降低全局响应时间,提高用户服务质量.最后,分别在SDN单控制器和多控制器实验环境中对MinDoS防御性能进行综合评估,实验结果表明:MinDoS防御效果良好,系统设计满足预期目标.

基于拍卖博弈的可重构服务承载网动态构建算法

针对不同业务对有限的底层网络共享时产生竞争的问题,提出了一种基于拍卖博弈的构建模型,以业务为参与者,业务资源需求为策略空间。基于该模型,设计了基于拍卖博弈的服务承载网动态构建算法,以最大化服务承载网整体构建收益。仿真实验表明,该算法在服务承载网构建整体收益、构建成功率和网络资源占用率等方面,较其他算法具有明显优势。

基于多尺度特征融合的异常流量检测方法

快速、准确地检测异常是网络安全的重要保证。但是由于网络流量的非线性、非平稳性以及自相似性,异常流量检测存在误报率高、检测率低、不能满足骨干网实时性要求等问题。该方法综合了希尔伯特-黄变换(Hilbert-Huang Transform,HHT)和Dempster-Shafer证据理论(D-S evidence theory)评测框架。前者将不同的流特征分别分解为多时间尺度上的固有模态函数(Intrinsic Mode Function,IMF),滤除特征中的非线性、非平稳分量;后者将前者分解得到的多尺度特征作为证据融合并最终做出决策。通过对KDD CUP 1999的入侵检测系统(Intrusion DetectionSystem,IDS)基准数据的实验表明,该方法能有效区分突发流量(crowd flow)和拒绝服务攻击(Denail of service,DoS)攻击流,整体上在保证低误报率前提下检测率达到85.1%。目前该方法已经作为入侵检测的子模块实现,并试用于某骨干网入口处检测异常。

基于DPDK的内网动态网关关键技术设计

针对IP跳变技术导致数据分组处理时延高、开销大的问题,基于数据平面开发套件设计并实现了一种多层次网络部署结构的主动防御网关系统。首先,基于DPDK快速转发框架优化了系统的转发和处理性能;其次,针对具有3种不同类型IP地址的动态化随机映射网关,设计了高效的IP地址分配算法以及具有不可预测性的IP地址变换算法。实验结果表明,所设计的系统在有效减少嗅探攻击信息获取速率的同时,大幅提升了动态跳变导致的处理时延大的问题。

软件定义网络脆弱性研究

软件定义网络(SDN)是当今最热门的网络技术之一,控制层与数据层分离使网络配置更加灵活,逻辑中心化控制器全局状态视图提高了网络运行管理效率。然而,SDN架构与传统分布式架构有着本质区别,因此在实施集中化管理的同时将引入新的管理和安全问题。首先,概述SDN架构及其工作原理,并从应用层、北向接口、控制层、南向接口、数据层等5个层次分析可能存在的安全问题及其产生原因;随后,从SDN中间盒、增强控制器鲁棒性、优化SDN架构等3个方面概述当前学术界可行的解决方案;最后,对全文进行总结展望。

面向多租户的关键虚拟机动态迁移方法研究

提出一种面向多租户的关键虚拟机动态迁移方法。首先,根据租户对虚拟机的安全需求设定关键虚拟机的比例,减少虚拟机动态迁移的数量;然后,通过虚拟机之间共存时间约束条件最大化降低虚拟机动态迁移的频率;最后,以最小化迁移开销作为虚拟机迁移的目标函数,进一步降低虚拟机迁移带来的开销。实验表明,与现有的防御方法相比,该方法在有效防御侧信道攻击的前提下,能够减少对网络服务性能的影响,降低虚拟机迁移的成本,更加适用于大规模的网络场景。

基于元能力的SDN功能组合机制

软件定义网络(SDN,software-defined network)促进了控制逻辑的快速创新,使控制逻辑模块化和模块组合机制成为SDN的热点研究方向之一。为了在功能模块统一定义和规范划分的基础上实现网络功能组合,首先,从可重构网络引入"元能力"作为SDN控制功能模块划分的原子要素,提出一种基于元能力建模的统一资源描述方法;其次,针对网络功能灵活组合问题,提出了一种基于二级映射的元能力组合模型并给出其启发式算法;最后,为实现元能力组合,设计了作为SDN应用层扩展结构的元能力编排层,并给出基于Net FPGA-10G平台的原型实现。仿真实验与结果表明所提功能组合机制提高了组合效率及节点资源利用率。