基于深度强化学习的微服务多维动态防御策略研究

针对云原生中安全防御策略在动态请求流量下难以兼顾服务质量的问题,提出基于深度强化学习的微服务多维动态防御策略,简称D2RA策略,在流量动态变化时给出兼顾安全防御和服务质量的动态配置方案。首先,基于微服务多副本部署和微服务调用链的特点,建立微服务系统状态图来刻画微服务的请求流量、系统配置与安全性、服务质量、资源开销之间的关系;其次,设计D2RA框架并提出基于深度Q网络的动态策略优化算法,为微服务提供动态请求流量下最优系统配置快速更新方案。仿真实验结果表明,D2RA在动态请求流量下可有效进行资源分配,相对于对比方法在防御有效性和服务质量方面分别取得19.07%和42.31%的优化。

融合动态防御的企业远程办公信息安全防护框架研究

企业远程办公模式下的信息系统安全防护体系呈现防护场景复杂、防护主体多样的特点。在攻击手段不断更迭,信息安全受到威胁的情况下,针对未来远程办公模式常态化所面临的信息安全问题,基于远程办公信息安全基础框架和安全动态防御模型,提出融合动态防御的企业远程办公信息安全防护框架。通过引用新技术,构建动态风险监测、风险识别和风险响应机制,提供主动防御及协同防御能力。该框架可以在铁路企业远程办公终端设备安全、边界接入安全、网络传输安全和基础设施安全开展应用,支撑铁路企业远程办公模式下的信息安全保障工作。

面向POW共识的日蚀攻击动态防御机制

日蚀攻击是区块链系统中一种恶意攻击手段,攻击者通过垄断受害节点网络,达到欺骗、控制目的。从实际区块链应用中得知,目前为止还没有防御日蚀攻击的好方法,因此为了解决该问题,设计了一种针对POW共识区块链系统的日蚀攻击动态防御模型,其基于节点间互相评价机制。具体来说,通过综合客户端之间互相评价的结果,基于kademlia算法和设计的等级值评估机制,为每个节点评估、存储一个等级,节点根据等级值和等级限定值之间的关系选择正常对等节点作为邻居,以避免恶意节点。经过实验证明,该方法可以有效抵御日蚀攻击。该方法改进了先前提出的一系列防御策略,无需对区块链系统协议、网络等进行更改,能够较高概率地成功抵御日蚀攻击,并且模型产生的开销也很小,非常适合实际部署。

央企在网络安全新形势下的动态防御体系研究与应用

网络安全的本质是对抗,针对当前高水平和快速变化的安全威胁,为适应央企在网络安全新形势下的应用以及业务体系快速叠加演进所带来的安全风险和威胁,须改变传统被动防护的安全管理和技术体系,使之更加智能、快速、弹性地应对突发的安全威胁,并在威胁处置过程中不断进行防御策略的优化、网络空间环境的塑造,将网络和信息安全防护工作从被动响应变为主动防御,能够对日趋复杂的网络攻击进行更为精准的发现与打击,形成统一闭环的动态安全防御体系。

面向隔离区异构平台的动态防御主动迁移策略

针对隔离区网络防御在遭受持续攻击威胁时存在的问题,利用动态目标防御理论和技术,设计了面向隔离区异构平台的动态防御主动迁移策略。从分析隔离区平台动态防御原理入手,结合网络攻防特点,考虑平台暴露时间和随机迁移次序等因素,提出了面向隔离区的3类平台动态防御主动迁移策略,包括固定时间间隔-顺序平台选择策略、固定时间间隔-随机平台选择策略以及基于平台安全等级的可调时间间隔-随机平台选择策略,设计了策略评估指标和系统效能计算方法。仿真结果表明,主动迁移策略具有优异的安全防御性能,通过增加迁移次序的随机性和根据安全等级设置可调时间间隔,可以实现防御成本和收益的优化。

基于主机安全状态迁移模型的动态网络防御有效性评估

为了进行动态网络防御有效性评估,该文提出动态网络防御环境下的主机安全状态转移图生成算法,构建了主机安全状态迁移模型,基于状态转移概率给出了动态网络防御有效性的定量评估方法,为动态网络防御策略设计提供了有益参考。最后,通过一个典型网络实例说明和验证了上述模型和方法的可行性和有效性。

基于不完全信息动态博弈的动态目标防御最优策略选取研究

针对动态目标防御的最优策略选取问题,分析了动态目标防御环境下的攻防对抗特点,提出了动态目标防御策略的收益量化方法,基于不完全信息动态博弈构建了面向动态目标防御的单阶段和多阶段博弈模型,给出了精炼贝叶斯均衡求解算法和先验信念修正方法,获得了不同安全态势下的最优动态目标防御策略.最后,通过实例说明和验证了上述模型和方法的可行性和有效性,总结了利用动态目标防御策略进行网络防御的一般性规律.

基于增强学习的自适应动态防御机制

动态防御技术通过持续地改变系统配置以构建动态多样性特征,增加攻击者的攻击难度,而其中的安全性与性能冲突问题尚未解决.针对SDN控制器主动防御过程中的防御代价与收益平衡问题,提出一种基于增强学习的自适应防御机制,利用异构冗余控制器架构判决反馈信息,通过量化的安全收益与防御代价提高防御策略的灵活性,实现无监督地适应性防御策略确定.仿真基于网络攻击数据集,从安全性以及防御效率等方面对比分析了不同偏向下的防御性能,验证了自适应防御机制对动态攻击者的防御能力.

基于Linux名字空间的Web服务器动态防御方法

Web服务器广泛部署在以Docker容器为代表的云计算平台上,面临着严峻的安全挑战。为了提高此类Web服务器的安全防御能力,提出一种基于Linux名字空间的Web服务器动态防御方法。该方法能够保证在Web服务正常工作的前提下,首先使用名字空间构建Web服务器运行环境;其次,通过多环境的交替运行来实现Web服务器的动态变换以迷惑入侵者,增加入侵者对Web服务器的攻击难度;最后,通过定期主动清除并重建Web服务器的运行环境来消除入侵行为对Web服务器的影响,最终实现有效提高Web服务器的动态防御能力。实验结果表明,所提方法能够有效增强Web服务器的安全性,同时对系统性能影响很小,请求响应100 KB数据的时间损耗为0.02~0.07 ms。

多阶段平台动态防御的Markov演化博弈模型及迁移策略

为提升持续性和阶段性攻击下平台动态防御效率,提出多阶段平台动态防御的Markov演化博弈模型和迁移策略。从平台动态防御的网络攻防原理入手,分析平台动态防御的循环性和阶段性特点,进行多阶段平台动态防御的关键参数和收益计算;建立多阶段平台动态防御的Markov演化博弈模型,针对博弈的阶段性,在总收益计算中引入折现因子和转移概率;在此基础上,研究纳什均衡在多阶段Markov平台动态防御演化博弈中的存在性,给出纳什均衡解和最优迁移策略选取算法。通过示例设计迁移策略的分析流程,仿真结果验证了所提模型和迁移策略的有效性。

面向动态防御的大数据安全技术研究

大数据环境下,海量数据呈现出主体多样化、处理活动复杂化的特点,数据除了面临传统的安全威胁外,更要面临诸多新型安全威胁,传统的安全手段及体系已不能有效应对大数据环境下的安全威胁。针对大数据的流转复杂、关联融合、蕴含价值等特点,提出了面向动态防御的大数据防御模型。此外,研究了相关的大数据安全技术,这些技术能够构建大数据安全动态防御体系,提供动态防御能力,促进大数据安全全面向动态、主动防御方向转变。

脚本程序安全漏洞的动态防御方法

脚本程序漏洞经常引起安全问题,导致出现网络攻击。对常见脚本程序漏洞进行了分类研究,分析了漏洞产生机理,总结出参数引用(参数未过滤、数据未判断、数据未过滤)和逻辑考虑不足(逻辑推理缺陷、逻辑运算符滥用)两类主要的脚本安全问题。在此基础上,提出一种针对脚本源代码漏洞的动态防御方法,阐明了防御原理及方法,设计了攻击字符库。实验表明,该方法可以有效地防范脚本漏洞攻击,提高了Web系统的安全性。

网络信息安全动态防御体系研究

随着新型信息技术的高速发展,基于网络信息系统的各种网络化应用已经深刻融入到人类生产生活的各种环节,伴随而来的网络信息安全问题也更加突出。通过分析新时代背景下网络信息系统面临的主要安全风险,提出了一种以统一安全基底为基础、以安全按需赋能为核心、以智能安全管理为保障的网络信息安全动态防御体系,从安全平台、安全服务、安全管理等方面实现防御体系的闭环运行,为提升我国网络信息系统安全保障能力提供参考。

省域高速公路网络信息安全动态防御体系研究

为解决高速公路网络信息安全问题,本文构建了基于数据驱动的主动与被动相结合的防御体系,通过汇聚分散在各安全域的探针收集安全运行流数据,测试记录、日志数据、原始网络数据、攻击数据,为机器学习构建网络完全特征的数据维度,采用有监督的深度学习的神经网络等模型等,进行网络安全风险预测与评估,为高速公路构建实时动态的网络信息安全大数据分析平台,为高速公路网络信息安全保驾护航。

深度动态防御应对APT攻击

高级持续性威胁(APT)是当前信息安全领域最难以防范的攻击方式之一。本文通过对APT攻击的攻击方式和特点的分析,提出了以深度动态防御(Deep Dynamic Defense)应对APT攻击的思想,分别就深度防御和动态防御的思想进行了阐释,并提出了相应的解决方案。

动态防御模型在军用网络上的应用

当前军用网络安全体系还没有形成统一的安全策略,难以保障军用网络上重要信息的安全。提出一种利用蜜罐技术改进P2DR模型的防御模型。该模型通过对蜜罐部署的优化和对入侵行为的重定向等方法,有效提高了针对网络入侵的事前检测能力,改善了P2DR的效能,并初步实现了在军用网络上的应用,增加了军用网络的防御纵向深度。

一种基于演化博弈的平台动态防御策略

兼顾网络平台防御效能和系统业务负载能力,提出一种基于演化博弈的平台动态防御策略。从动态博弈视角入手,分析基于可重构计算的平台动态防御机理,提出应对网络病毒感染的平台切换防御机制。量化定义网络攻防的收益函数,构建平台动态防御演化博弈模型。兼顾系统防御效能和业务负载能力,设计了一种平台配置变体动态切换算法,提出最优平台动态防御策略。理论分析和仿真结果表明,所提模型和算法能够在资源有限的条件下自适应选择最优防御策略,且与传统动态防御算法相比,防御效果能够提高43%~67%。

军用无线网络动态安全防御技术研究

随着军用无线网络的发展,安全问题变得越来越重要。但军用无线网络主要因循互联网体制,所采用的体系结构在设计之初就没有过多考虑安全问题,存在本质上的不安全因素,而通过"打补丁"附加安全机制的方式,使得当前的安全系统和网络变得越来越臃肿,严重地降低了网络性能。动态目标防御(moving target defense,MTD)理论的提出,彻底颠覆了过去那种静态、被动的安全防御思路,这种革命性的思路与无线网络协议的深入结合,将带来全新的网络体系,特别是它的很多思路与无线网络特性具有高度耦合性,将在未来军用无线网络中得到广泛的应用。

多阶段平台动态防御的信号博弈模型及迁移策略

为提升攻防对抗中网络平台的信号识别能力和防御效果,文章提出多阶段平台动态防御的信号博弈模型和迁移策略。首先,从平台动态防御原理入手,分析平台动态防御的拓扑结构和博弈流程,构建了多阶段平台动态防御的信号博弈模型,并给出攻防收益参数定义,引入了探测度和检测因子,分析攻防双方获得的信息对下一阶段博弈的影响。其次,按照信号博弈流程,求解了多阶段均衡策略的精炼贝叶斯均衡,提出了多阶段平台动态防御最优迁移策略选取算法。最后,通过示例和仿真验证了所提模型和策略的有效性。

一种非干扰的动态防御网络机器人方法

XRumer、Magic Submitter和SENuke等外链软件已经广泛地被用来进行恶意行为,如大量注册帐户、发送垃圾邮件和制作网页游戏自动化脚本。尽管验证码技术在一定程度上可以抵御网络机器人,但它要求用户与之交互,导致体验性降低。针对上述问题,设计了一种非干扰的动态防御系统(Non-Intrusive Dynamic Defense System,NIDDS),在不影响普通用户的前提下,通过随机化HTML元素来阻止网络机器人自动访问网络资源。在几个常见的开源网络平台上,挑选了3个功能强大的网络机器人对NIDDS方法进行有效性评估。评估结果显示,NIDDS可以相对较低的开销来有效阻止这些网络机器人。