CN105847248A - 一种基于虚拟环境的主动防御木马的方法 - Google Patents

一种基于虚拟环境的主动防御木马的方法 Download PDF

Info

Publication number
CN105847248A
CN105847248A CN201610163933.1A CN201610163933A CN105847248A CN 105847248 A CN105847248 A CN 105847248A CN 201610163933 A CN201610163933 A CN 201610163933A CN 105847248 A CN105847248 A CN 105847248A
Authority
CN
China
Prior art keywords
virtual environment
virtual
represent
environment
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610163933.1A
Other languages
English (en)
Inventor
吴春明
陈双喜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN201610163933.1A priority Critical patent/CN105847248A/zh
Publication of CN105847248A publication Critical patent/CN105847248A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于虚拟环境的主动防御木马的方法,本发明首次将被保护的网络服务器部署在动态变化下的异构配置环境的虚拟异构系统之中。当访问请求产生时,随机映射到不同的虚拟系统之中,使得每次访问的环境均不同。将多个虚拟系统封装为一个网络服务器结点,增加了攻击者利用环境漏洞的难度。同时,通过改变系统和配置结构让木马失去生存环境,进而达到主动木马防御的目的。

Description

一种基于虚拟环境的主动防御木马的方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于虚拟环境的网络安全主动防御木马的方法。
背景技术
随着互联网技术与社会各行业的紧密结合和应用,网络安全已经成为影响各行业互联网化的一个重要影响要素。木马作为一个网络攻击者常用的技术手段,具有体量小、隐蔽性强、危害性大等特点,难以进行有效的防范。基于网络服务器的应用,如B/S架构中的服务器端、C/S架构中的服务器端,一旦被攻击者植入木马,便会被攻击者进行远程控制、修改文件、盗取各种重要数据甚至控制远程硬件设备等非法安全行为。因此,网络服务器需要一种高效的方法防范木马。
常见的木马防御方法有:
1、不到不受信任的网站上下载软件运行;
2、不随便点击来历不明邮件所带的附件;
3、及时安装相应的系统补丁程序;
4、为系统选用合适的正版杀毒软件,并及时升级相关的病毒库;
5、为系统所有的用户设置合理的用户口令。
这些方法还停留在尽可能阻止被木马植入以及被植入后再查找、打补丁的被动防御阶段,因此一种主动防御木马的技术便显得尤为重要。
木马病毒通常包括控制端和被控制端程序。其中,控制端主要进行目标机器漏洞发现、利用漏洞植入木马病毒、与植入木马的被控制端进行交互和实施攻击行为。被控制端主要进行自我隐藏、自动传播、与控制端进行交互和实施攻击行为。其中木马实施的关键要素:一是需要知道被攻击对象的相关属性信息进而发现漏洞;二是木马植入与存活依赖于具体的运行环境。本发明根据木马实施的要素特点,不断改变被攻击对象的运行环境属性,使其难以发现漏洞并植入木马;即使木马已经植入到运行环境中,通过改变配置环境和恢复初始状态的方法,让木马无法存活并消失。
发明内容
本发明目的在于针对现有技术的不足,提供一种基于虚拟环境的主动防御木马的方法。本发明通过不断改变应用程序的运行环境和运行环境的回滚还原,使得攻击者难以发现运行环境的漏洞,难以针对运行环境的漏洞植入木马病毒,即使植入也难以存活和存在,大大提高网络服务器的安全性。
本发明的目的是通过以下技术方案来实现的:一种基于虚拟环境的主动防御木马的方法,包括以下步骤:
(1)在系统初始化或运行过程中,自动搭建虚拟环境;该步骤通过以下子步骤来实现:
(1.1)搭建虚拟环境V={vi|i=1,2,···,n},其中,n为搭建的虚拟系统的数量,vi为第i台虚拟环境;
(1.2)在每个虚拟环境中使用不同的操作系统Sys={sysi|i=1,2,···,n},其中,sysi为第i台虚拟环境的操作系统;
(1.3)在每个虚拟环境中使用不同的配置环境Ev={evi|i=1,2,···,n},其中,evi为第i台虚拟环境的配置参数;
(1.4)在虚拟环境vi中部署应用服务,并为每个节点分配一个IP地址IP={ipi|i=1,2,···,n}和一个端口地址Pt={pti|i=1,2,···,n},其中,ipi代表第i个虚拟环境的IP地址,pti代表第i个虚拟环境的端口地址;
(1.5)为服务提供独立的数据交互通道Pi={pii|i=1,2,···,n},其中,pii代表用户与第i个虚拟环境的IP和端口中建立的独立通道;
(2)将每次访问映射到不同的虚拟环境中。
(3)、通过通道Pipe进行数据转发,使得第i台虚拟环境vi为用户提供服务。
(4)、在连接超时、遭遇非法攻击行为等条件下自动销毁通道Pipe。
(5)、在自身出现异常、遭遇非法攻击行为、遭遇非法操作行为、达到规定生命期限等条件下自动销毁虚拟系统sysi
进一步地,所述步骤(2)通过以下子步骤来实现:
(2.1)获取虚拟环境属性信息,具体为:
(2.1.2)获取虚拟环境的环境参数:evi={evij|j=1,2,···,n},其中evij表示第i台虚拟环境vi的第j台虚拟环境之间的环境参数;
(2.1.3)获取虚拟环境的环境安全系数:Se={Sei|i=1,2,···,n},其中Sei表示第i台虚拟环境vi的安全系数;其中,Se为自然数,值越大越不安全;
(2.1.4)获取虚拟环境的环境参数的权重系数:Wi={wij|j=1,2,···,n},其中wij表示第i台虚拟环境vi的第j个环境参数的权重系数,其中:
Σ j = 1 n w i j = 1 ;
(2.2)获得虚拟环境的性能指标P(vi),vi表示第i台虚拟环境,其中:
P ( v i ) = Σ j = 1 n w i j × ev i j ;
(2.3)获得虚拟环境负载指标为L={li|i=1,2,···,n},li表示第i台虚拟环境的负载指标;
(2.4)虚拟环境vi每隔一个时间周期T将性能指标P(vi)和负载指标为li发给分配器;
(2.5)由下式计算负载安全冗余值:
R(vi)=Δt×li×Sei/P(vi)
式中,R(vi)为第i台虚拟环境vi的负载安全冗余值;
(2.6)为了使各台虚拟环境在一定安全级别下负载均衡,设置一个最小的负载安全冗余值Rmin、一个最大负载安全冗余值Rmax
(2.7)构建通道,该步骤具体为:当第i台虚拟环境节点的负载冗余值R(vi)小于Rmin时,该虚拟环境有权接收任务分配;分配器将访问请求端口和虚拟环境端口间建立独立通道Pipe=(pipex,vi),其中pipex表示第x个用户的独立通道,vi表示第i台虚拟环境。
本发明的有益效果是:本发明通过将多个虚拟环境对外封装为一个网络服务应用节点,将一个公网IP地址访问映射为多个内部局域网IP地址进行数据转发,能大大增加攻击者发现、利用环境漏洞的难度,也改变了木马病毒所依赖的运行环境,加固了传统网络应用服务器的安全性。
附图说明
图1是虚拟环境生命周期图;
图2是主动防御层次结构图。
具体实施方式
下面根据附图1和2,详细描述本发明的具体实施过程。
本发明基于虚拟环境的主动防御木马的方法,包括以下步骤:
1、在系统初始化或运行过程中,自动搭建虚拟环境;该步骤通过以下子步骤来实现:
(1.1)搭建虚拟环境V={vi|i=1,2,···,n},其中,n为搭建的虚拟系统的数量,vi为第i台虚拟环境;
(1.2)在每个虚拟环境中使用不同的操作系统Sys={sysi|i=1,2,···,n},其中,sysi为第i台虚拟环境的操作系统;
(1.3)在每个虚拟环境中使用不同的配置环境Ev={evi|i=1,2,···,n},其中,evi为第i台虚拟环境的配置参数;
(1.4)在虚拟环境vi中部署应用服务,并为每个节点分配一个IP地址IP={ipi|i=1,2,···,n}和一个端口地址Pt={pti|i=1,2,···,n},其中,ipi代表第i个虚拟环境的IP地址,pti代表第i个虚拟环境的端口地址;
(1.5)为服务提供独立的数据交互通道Pi={pii|i=1,2,···,n},其中,pii代表用户与第i个虚拟环境的IP和端口中建立的独立通道;
2、将每次访问映射到不同的虚拟环境中,该步骤通过以下子步骤来实现:
(2.1)获取虚拟环境属性信息,具体为:
(2.1.2)获取虚拟环境的环境参数:evi={evij|j=1,2,···,n},其中evij表示第i台虚拟环境vi的第j台虚拟环境之间的环境参数;
(2.1.3)获取虚拟环境的环境安全系数:Se={Sei|i=1,2,···,n},其中Sei表示第i台虚拟环境vi的安全系数;其中,Se为自然数,值越大越不安全;
(2.1.4)获取虚拟环境的环境参数的权重系数:Wi={wij|j=1,2,···,n},其中wij表示第i台虚拟环境vi的第j个环境参数的权重系数,其中:
Σ j = 1 n w i j = 1 ;
(2.2)获得虚拟环境的性能指标P(vi),vi表示第i台虚拟环境,其中:
P ( v i ) = Σ j = 1 n w i j × ev i j ;
(2.3)获得虚拟环境负载指标为L={li|i=1,2,···,n},li表示第i台虚拟环境的负载指标;
(2.4)虚拟环境vi每隔一个时间周期T将性能指标P(vi)和负载指标为li发给分配器;
(2.5)由下式计算负载安全冗余值:
R(vi)=Δt×li×Sei/P(vi)
式中,R(vi)为第i台虚拟环境vi的负载安全冗余值;
(2.6)为了使各台虚拟环境在一定安全级别下负载均衡,设置一个最小的负载安全冗余值Rmin、一个最大负载安全冗余值Rmax
(2.7)构建通道,该步骤具体为:当第i台虚拟环境节点的负载冗余值R(vi)小于Rmin时,该虚拟环境有权接收任务分配;分配器将访问请求端口和虚拟环境端口间建立独立通道Pipe=(pipex,vi),其中pipex表示第x个用户的独立通道,vi表示第i台虚拟环境;
3、通过通道Pipe进行数据转发,使得第i台虚拟环境vi为用户提供服务;
4、在连接超时、遭遇非法攻击行为等条件下自动销毁通道Pipe;
5、在自身出现异常、遭遇非法攻击行为、遭遇非法操作行为、达到规定生命期限等条件下自动销毁虚拟系统sysi
图1是虚拟环境生命周期图,该图说明了虚拟环境的完整的生命周期。具体分为如下三个阶段:
(1)创建阶段:在系统初始化或者在运行过程中,虚拟环境自动的完成异构操作系统和配置环境的创建。该阶段通过虚拟不同的状态,完成漏洞的伪装,增加攻击者的漏洞发现难度。
(2)执行阶段:建立用户和虚拟环境下的应用程序间的独立通道。通过建立独立的通道确保用户请求独立于其他请求,降低耦合度,进而确保防御过程的独立性。当通道执行过程中,通过行为检测和态势感知,判断访问行为的安全合法性,若发现通道中出现不安全行为,将转入通道销毁过程;当虚拟环境在运行过程中,通过系统检测和态势感知,判断系统的安全合法性,若发现系统处于不安全状态,将转入系统销毁过程;
(3)销毁阶段:当通道处于销毁阶段或者请求超时的条件下,通道将进行自我销毁。当虚拟环境处于不安全状态或者规定生命期限到达时,虚拟环境进行自我销毁。
图2是主动防御层次结构图。该图说明了防御的层次结构。主要包括三个层次的防御:
(1)现有防护层:主要通过现有的防火墙、WAF、指纹欺骗、蜜罐等技术手段完成的防护;
(2)拟态防护层:主要通过改变虚拟环境配置参数,让增加攻击者的漏洞发现成本;
(3)生存环境防护层:主要通过改变虚拟系统的类型,改变木马的生存环境,从而达到木马无法运行的目的。同时,通过虚拟系统还原恢复让已经植入的木马被自动销毁。

Claims (2)

1.一种基于虚拟环境的主动防御木马的方法,其特征在于,包括以下步骤:
(1)在系统初始化或运行过程中,自动搭建虚拟环境;该步骤通过以下子步骤来实现:
(1.1)搭建虚拟环境V={vi|i=1,2,···,n},其中,n为搭建的虚拟系统的数量,vi为第i台虚拟环境;
(1.2)在每个虚拟环境中使用不同的操作系统Sys={sysi|i=1,2,···,n},其中,sysi为第i台虚拟环境的操作系统;
(1.3)在每个虚拟环境中使用不同的配置环境Ev={evi|i=1,2,···,n},其中,evi为第i台虚拟环境的配置参数;
(1.4)在虚拟环境vi中部署应用服务,并为每个节点分配一个IP地址IP={ipi|i=1,2,···,n}和一个端口地址Pt={pti|i=1,2,···,n},其中,ipi代表第i个虚拟环境的IP地址,pti代表第i个虚拟环境的端口地址;
(1.5)为服务提供独立的数据交互通道Pi={pii|i=1,2,···,n},其中,pii代表用户与第i个虚拟环境的IP和端口中建立的独立通道;
(2)将每次访问映射到不同的虚拟环境中。
(3)、通过通道Pipe进行数据转发,使得第i台虚拟环境vi为用户提供服务。
(4)、在连接超时、遭遇非法攻击行为等条件下自动销毁通道Pipe。
(5)、在自身出现异常、遭遇非法攻击行为、遭遇非法操作行为、达到规定生命期限等条件下自动销毁虚拟系统sysi
2.根据权利要求1所述的基于虚拟环境的主动防御木马的方法,其特征在于,所述步骤(2)通过以下子步骤来实现:
(2.1)获取虚拟环境属性信息,具体为:
(2.1.2)获取虚拟环境的环境参数:evi={evij|j=1,2,···,n},其中evij表示第i台虚拟环境vi的第j台虚拟环境之间的环境参数;
(2.1.3)获取虚拟环境的环境安全系数:Se={Sei|i=1,2,···,n},其中Sei表示第i台虚拟环境vi的安全系数;其中,Se为自然数,值越大越不安全;
(2.1.4)获取虚拟环境的环境参数的权重系数:Wi={wij|j=1,2,···,n},其中wij表示第i台虚拟环境vi的第j个环境参数的权重系数,其中:
Σ j = 1 n w i j = 1 ;
(2.2)获得虚拟环境的性能指标P(vi),vi表示第i台虚拟环境,其中:
P ( v i ) = Σ j = 1 n w i j × ev i j ;
(2.3)获得虚拟环境负载指标为L={li|i=1,2,···,n},li表示第i台虚拟环境的负载指标;
(2.4)虚拟环境vi每隔一个时间周期T将性能指标P(vi)和负载指标为li发给分配器;
(2.5)由下式计算负载安全冗余值:
R(vi)=Δt×li×Sei/P(vi)
式中,R(vi)为第i台虚拟环境vi的负载安全冗余值;
(2.6)为了使各台虚拟环境在一定安全级别下负载均衡,设置一个最小的负载安全冗余值Rmin、一个最大负载安全冗余值Rmax
(2.7)构建通道,该步骤具体为:当第i台虚拟环境节点的负载冗余值R(vi)小于Rmin时,该虚拟环境有权接收任务分配;分配器将访问请求端口和虚拟环境端口间建立独立通道Pipe=(pipex,vi),其中pipex表示第x个用户的独立通道,vi表示第i台虚拟环境。
CN201610163933.1A 2016-03-19 2016-03-19 一种基于虚拟环境的主动防御木马的方法 Pending CN105847248A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610163933.1A CN105847248A (zh) 2016-03-19 2016-03-19 一种基于虚拟环境的主动防御木马的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610163933.1A CN105847248A (zh) 2016-03-19 2016-03-19 一种基于虚拟环境的主动防御木马的方法

Publications (1)

Publication Number Publication Date
CN105847248A true CN105847248A (zh) 2016-08-10

Family

ID=56587829

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610163933.1A Pending CN105847248A (zh) 2016-03-19 2016-03-19 一种基于虚拟环境的主动防御木马的方法

Country Status (1)

Country Link
CN (1) CN105847248A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018171810A1 (zh) * 2017-03-20 2018-09-27 中兴通讯股份有限公司 一种实现移动目标防御的方法、装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101819619A (zh) * 2010-04-14 2010-09-01 梁庆生 一种防止病毒及木马的方法
CN102685136A (zh) * 2012-05-18 2012-09-19 深信服网络科技(深圳)有限公司 一种多网络环境隔离方法及终端
CN103067380A (zh) * 2012-12-26 2013-04-24 北京启明星辰信息技术股份有限公司 一种虚拟安全设备的部署配置方法及系统
CN104410617A (zh) * 2014-11-21 2015-03-11 西安邮电大学 一种云平台的信息安全攻防体系架构

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101819619A (zh) * 2010-04-14 2010-09-01 梁庆生 一种防止病毒及木马的方法
CN102685136A (zh) * 2012-05-18 2012-09-19 深信服网络科技(深圳)有限公司 一种多网络环境隔离方法及终端
CN103067380A (zh) * 2012-12-26 2013-04-24 北京启明星辰信息技术股份有限公司 一种虚拟安全设备的部署配置方法及系统
CN104410617A (zh) * 2014-11-21 2015-03-11 西安邮电大学 一种云平台的信息安全攻防体系架构

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吴春明: "动态网络主动安全防御的若干思考", 《中兴通讯技术》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018171810A1 (zh) * 2017-03-20 2018-09-27 中兴通讯股份有限公司 一种实现移动目标防御的方法、装置及存储介质
CN108632214A (zh) * 2017-03-20 2018-10-09 中兴通讯股份有限公司 一种实现移动目标防御的方法及装置
CN108632214B (zh) * 2017-03-20 2022-02-22 中兴通讯股份有限公司 一种实现移动目标防御的方法及装置

Similar Documents

Publication Publication Date Title
CN107872467A (zh) 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统
Anirudh et al. Use of honeypots for mitigating DoS attacks targeted on IoT networks
CN107659543B (zh) 面向云平台apt攻击的防护方法
WO2016199129A2 (en) Managing dynamic deceptive environments
CN112491892A (zh) 一种网络攻击诱导方法、装置、设备及介质
CN103268438A (zh) 基于调用链的Android权限管理方法及系统
CN104346559A (zh) 权限请求响应方法及相应的装置
CN104239786A (zh) 免root主动防御配置方法及装置
CN108234400A (zh) 一种攻击行为确定方法、装置及态势感知系统
CN105447385A (zh) 一种多层次检测的应用型数据库蜜罐实现系统及方法
Yang et al. Improving sensor network immunity under worm attacks: A software diversity approach
CN114499982A (zh) 蜜网动态配置策略生成方法、配置方法及存储介质
CN105847248A (zh) 一种基于虚拟环境的主动防御木马的方法
CN102325132B (zh) 一种系统层安全dns防护方法
CN107786413A (zh) 一种浏览电子邮件的方法及用户终端
Sangle et al. Data security system in cloud by using fog computing and data mining
CN107454055B (zh) 一种通过安全学习保护网站的方法、装置和系统
CN102857584B (zh) 一种arp缓存条目更新方法及设备
CN108900492A (zh) 物联网病毒识别与自适应远程查杀方法及系统
CN116938605B (zh) 网络攻击防护方法、装置、电子设备及可读存储介质
Zimba et al. Bayesian-Boolean Logic Security Assessment Model for Malware-Free Intrusions.
CN116074114B (zh) 网络靶场防御效能评测方法、装置、设备及存储介质
CN109218315A (zh) 一种安全管理方法和安全管理装置
US11184367B2 (en) Applying blockchain to a sensor tracker
CN114448731B (zh) 蜜罐部署方法、装置、设备及计算机可读介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160810