CN108055242A - 一种多样化环境下的移动目标防御系统 - Google Patents
一种多样化环境下的移动目标防御系统 Download PDFInfo
- Publication number
- CN108055242A CN108055242A CN201711145745.7A CN201711145745A CN108055242A CN 108055242 A CN108055242 A CN 108055242A CN 201711145745 A CN201711145745 A CN 201711145745A CN 108055242 A CN108055242 A CN 108055242A
- Authority
- CN
- China
- Prior art keywords
- server
- unit
- client
- cleaning
- central control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 9
- 238000004140 cleaning Methods 0.000 claims abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 12
- 238000013523 data management Methods 0.000 claims abstract description 5
- 230000006870 function Effects 0.000 claims description 9
- 239000012141 concentrate Substances 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims description 2
- 238000001514 detection method Methods 0.000 abstract description 5
- 230000009545 invasion Effects 0.000 abstract description 4
- 238000013461 design Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
一种多样化环境下的移动目标防御系统主要包括客户端中央控制单元,客户端集单元,客户端资源共享单元,服务器中央控制单元,数据管理单元,服务器集单元,自清洗单元和审计单元等,本发明采取的方法就是将黑客的入侵时间控制在T1范围内,每个服务器、系统、软件等都有一个最小的攻击探测时间(T1),也就是黑客入侵之前搜索信息、扫描漏洞所用的时间。在最小入侵时间内,不同服务器、系统、软件等进行不间断切换。这样,就会给攻击者带来两个困难:一是不能确定具体的服务器、系统和软件等;二是假设攻击者能够确定具体服务器等,在还没有获得权限之前,服务器已经切换。
Description
技术领域
本发明属于通信领域,具体涉及一种多样化环境下的移动目标防御系统。
背景技术
随着网络技术的不断发展和普及,网络已经成为国家各行各业的关键信息基础设施,在网 络为国家各行各业带来便利的同时,也带来了很多致命的威胁,比如:黑客袭击国家的银行系 统[1],造成经济损失;电网遭到攻击,造成大面积停电;私人信息泄露造,成的网络诈骗等。 这些种种事件都是由于当前网络安全技术的局限所造成的。
传统的网络安全采取的防御都是静态、被动的防御。虽然,目前出现了很多网络安全防护 工具和测试工具,在一定程度上遏制了许多黑客的嚣张气焰。但是,这些工具只能预防已知攻 击,对未知攻击的袭击往往束手无策。主要原因是,现在的系统一经设定好,都呈现一种静止 的状态,即:某个服务器的程序等安装完成后,就不能来回切换。攻击的本质的是利用某个系 统存在的漏洞,众所周知,每个系统的漏洞数目为零,基本是不可能的。
发明内容
针对现有技术的不足,要从本质上提高网络安全防护,就必须改变防护策略,变被动防御 为主动防御-移动目标防御。迄今为止,移动目标防御技术的发展主要包括扰乱、多样化和冗 余三种方法。而本发明主要是利用移动目标防御技术中的多样化方法,对文献中的模型进行改 进,在模型中引入若干个具有相同功能的模块和自清洗模块,在攻击的门限时间内不间断的切 换,增加系统的随机性。
本发明采取的方法就是将黑客的入侵时间控制在T1范围内,每个服务器、系统、软件等 都有一个最小的攻击探测时间(T1),也就是黑客入侵之前搜索信息、扫描漏洞所用的时间。 在最小入侵时间内,不同服务器、系统、软件等进行不间断切换。这样,就会给攻击者带来两 个困难:一是不能确定具体的服务器、系统和软件等;二是假设攻击者能够确定具体服务器等, 在还没有获得权限之前,服务器已经切换。
附图说明
图1系统基础模型
具体实施方式
1、多样化环境下的移动目标防御系统基础模型建立
一种多样化环境下的移动目标防御系统主要包括客户端中央控制单元,客户端集单元, 客户端资源共享单元,服务器中央控制单元,数据管理单元,服务器集单元,自清洗单元和审 计单元等,如图1所示:客户端中央控制单元,整个客户端的控制中心,统筹控制、协调用户 端的各个单元,主要功能:
(1)利用调度算法,设定客户端集中每个客户端的具体状态:运行、待运行、清洗。
(2)在客户端集中,利用调度算法随机选取处于待运行状态的某个终端,用作发送请求, 让用户的端也变成一种不可预测的状态。
客户端集单元:包含多台功能相同的客户终端,主要用作发送用户请求。
客户端资源共享单元:将各个客户端之间的数据进行共享,每个客户端之间都呈现一种相互 透明状态。
服务器中央控制单元,整个服务器集的控制中心,统筹控制、协调服务器的各个单元,主要 功能:
(1)利用调度算法,设定服务器集中每个客户端的具体状态:运行、待运行、清洗,使得 攻击者无法得出服务器集中的每一台处于什么样的工作状态。
(2)在服务器集中,利用调度算法随机选取处于待运行状态的某个服务器,用作处理发送 请求,让服务器端变成一种动态的模型。
(3)当每个服务器完成工作后,中央控制器命令自清洗单元对该服务器进行数据重新加载, 即:重新返回到最初的设置状态。
(4)当清洗过程完成后,中央控制器命令审计单元对清洗完成的服务器进行审核,如果审 核结果跟最初的设置状态一致,将检测结果返回中央控制器;如果不一致,将结果返回自清洗 单元,进行再次数据加载。
(5)中央控制器将审核通过的服务器设置为待运行状态。
数据管理单元:根据服务器中央控制器的指令,将任务下发给指定服务器。
服务器集单元:包含多台功能相同的服务器,主要用作处理发送的用户请求。
自清洗单元:根据中央控制器的指令对完成工作的服务器进行数据重新加载。
审计单元:根据中央控制器的指令对清洗结束的服务器进行审核。
2、实验部分
2.1实验环境
分别选取10台Lenovo M4900k(i5-6500 CPU@3.2GHz,内存8GB)用作服务器集和客户 端集,再选取2台Lenovo M4900k(i5-6500 CPU@3.2GHz,内存8GB)分别用作客户端中 央控制单元和服务器中央控制单元,其中每一台的服务器和客户端的操作系统、应用软件、应用脚本等;一台绿盟漏洞扫描仪,用作探测漏洞。
2.2实验结果
先假设CentOS6.5存在编号为×××的×××的漏洞,在整个系统正常运行的状态下,黑客 已经通过某种手段锁定了处于运行状态下的某个服务器的该漏洞,并利用×××漏洞检测工具 提供的×××代码发起攻击。当入侵者成功地将恶意代码植入安全后门程序后,执行远程某一 指令。经过该系统的最低门限时间T1后,入侵者收到“No SessionExists!”的提示,表明 此时的后台服务器已经切换,处于自清洗状态。即:入侵者经过对该服务器的信息收集、漏洞 扫描,直到确定该服务器存在的×××的漏洞的这段时间正好是该服务器的最低门限时间T1, 在攻击者一切准备就绪,要发起攻击的时候,该服务器已经离线。此时,如果攻击者再次利用 ×××漏洞检测工具提供的×××代码发起攻击,已经不起作用了。因为,其他服务的操作系 统都不存在该漏洞,所以切换后的系统对之前的攻击具有免疫力。前面假设入侵者已经知晓具 体服务器和操作系统,但在实际中,这些都是未知的。对攻击者来说,极大地提高了攻击成本, 具体情况在结果分析中给出。
2.3结果分析
上述实验室在假设已知服务器情况下的实施的攻击,实际上,黑客想要准确锁定某个服务器 难度很大。因为,该设计的核心就是利用服务器、操作系统、Web服务器等的多样化,阻止入 侵者的侵入。该设计采用的切换算法具有随机性,下面从数学的角度进行简要分析,文献关 于操作系统、软件等的多样性组合和兼容性问题,做了大量的理论分析,并提出了一系列解决 方案。
入侵者在开始攻击之前,要经过确定用户客户端、客户端安装的操作系统、web客户端、服 务器、服务器的操作系统和应用脚本等过程,每一过程分别用A1、A2、A3、A4、A5、A6表示, 每一过程包括B1、B2、B3、B4、B5、B6种类型,分别用A11,A12,……A1B1;A21,A22,……A2B2;A31,A32,……A3B3;A41,A42,……A4B4;A51,A52,……A5B5;A61,A62,……A6B6 表示,每一个过程都是一个独立事件,总共有B=B1×B2×B3×B4×B5×B6种组合模式,每 次成功攻击必须同时利用这六层的第mx层漏洞,通过计算可以看到P的大小:
当m1=1时,P=P{A1=a1∪A2=a2∪A3=a3∪A4=a4∪A5=a5∪A6=a6}
令:
H={A1=a1∪A2=a2};I={A3=a3∪A4=a4};J={A5=a5∪A6=a6}
P{H}=P{A1=a1∪A2=a2}=1B1×1B2;
P{I}=P{A3=a3∪A4=a4}=1B3×1B4;
P{J}=P{A5=a5∪A6=a6}=1B5×1B6;
则:P=P{H∪I∪J}=P{H}+P{I}+P{J}-P{H}×P{I}-P{H}×P{J}-P{I} ×P{J}+P{H}×P{I}×P{J}=1/B1B2+1/B3B4+1/B5B6–1/B1B2B3B4–1/B1B2B5B6 –1/B3B4B5B6+1/B1B2B3B4B5B6
当m2=2时,P=P{A1=a1∪A2=a2∪A3=a3∪A4=a4∪A5=a5∪A6=a6} =P{H}×P{I}+P{H}×P{J}+P{I}×P{J}-2P{H}×P{I}×P{J}=1/B1B2B3B4 +1/B1B2B5B6+1/B3B4B5B6-2/B1B2B3B4B5B6
当m3=3时,P=P{H}×P{I}×P{J}=1/B1B2B3B4B5B6
从以上的概率统计看,当B1、B2、B3、B4、B5、B6分别等于1时,入侵者能够100%成功攻击,但是,随着B1、B2、B3、B4、B5、B6赋值的增大,所对应概率也逐渐减小。从以上 的概率统计中可以看到,B1、B2、B3、B4、B5、B6等于2时,对应概率为0.578/0.156/0.016, 被攻击的概率分别降低了0.422/0.844/0.984;B1、B2、B3、B4、B5、B6等于3时,对应概 率为0.298/0.034/0.001,被攻击的概率分别降低了0.702/0.966/0.009;该系统的设计为B1、 B2、B3、B4、B5、B6等于10,此时对应概率为0.03/0.0003/0.000001,被攻击的概率分别降 低了0.97/0.997/0.999999,在m3=3时,整个系统被攻击的成功地概率几率为零。这表明 当系统配置设置复杂时,被入侵者成功攻击的概率将被大大减小。
动态、主动的移动目标防御模式不但让防御有被动变为主动,而且极大地增加了攻击者的 成本,提高了攻击的难度。本发明开始建立模型的时候,就在整个设计中引入服务器、终端、 操作系统、软件的多样化,利用服务器运行、待运行、清洗的三种不同状态,增加了整个体系 的机动性。通过实验也能进一步看到,从用户到访问端整体采用多样化的设计,整个设计一直 处于一种动态的过程,攻击者在收集、扫描的过程中,无法准确找到某个系统的暴露点。从入 侵成功的概率统计来看,设计配置的多样化,使得被入侵成功的概率明显降低,从而有效增加 了系统的安全性。
Claims (1)
1.一种多样化环境下的移动目标防御系统,其特征在于,包括客户端中央控制单元,客户端集单元,客户端资源共享单元,服务器中央控制单元,数据管理单元,服务器集单元,自清洗单元和审计单元;其中客户端中央控制单元,作为整个客户端的控制中心,统筹控制、协调用户端的各个单元,主要功能:
(1)利用调度算法,设定客户端集中每个客户端的具体状态:运行、待运行、清洗;
(2)在客户端集中,利用调度算法随机选取处于待运行状态的某个终端,用作发送请求,让用户的端也变成一种不可预测的状态;
客户端集单元:包含多台功能相同的客户终端,主要用作发送用户请求;
客户端资源共享单元:将各个客户端之间的数据进行共享,每个客户端之间都呈现一种相互透明状态;
服务器中央控制单元,整个服务器集的控制中心,统筹控制、协调服务器的各个单元,主要功能:
(1)利用调度算法,设定服务器集中每个客户端的具体状态:运行、待运行、清洗,使得攻击者无法得出服务器集中的每一台处于什么样的工作状态;
(2)在服务器集中,利用调度算法随机选取处于待运行状态的某个服务器,用作处理发送请求,让服务器端变成一种动态的模型;
(3)当每个服务器完成工作后,中央控制器命令自清洗单元对该服务器进行数据重新加载,即:重新返回到最初的设置状态;
(4)当清洗过程完成后,中央控制器命令审计单元对清洗完成的服务器进行审核,如果审核结果跟最初的设置状态一致,将检测结果返回中央控制器;如果不一致,将结果返回自清洗单元,进行再次数据加载;
(5)中央控制器将审核通过的服务器设置为待运行状态;
数据管理单元:根据服务器中央控制器的指令,将任务下发给指定服务器;
服务器集单元:包含多台功能相同的服务器,主要用作处理发送的用户请求;
自清洗单元:根据中央控制器的指令对完成工作的服务器进行数据重新加载;
审计单元:根据中央控制器的指令对清洗结束的服务器进行审核。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711145745.7A CN108055242A (zh) | 2017-11-17 | 2017-11-17 | 一种多样化环境下的移动目标防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711145745.7A CN108055242A (zh) | 2017-11-17 | 2017-11-17 | 一种多样化环境下的移动目标防御系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108055242A true CN108055242A (zh) | 2018-05-18 |
Family
ID=62120202
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711145745.7A Pending CN108055242A (zh) | 2017-11-17 | 2017-11-17 | 一种多样化环境下的移动目标防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108055242A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110113365A (zh) * | 2019-06-05 | 2019-08-09 | 中国石油大学(华东) | 一种用于Web服务的移动目标防御系统协同控制方法 |
CN111262856A (zh) * | 2020-01-15 | 2020-06-09 | 国网陕西省电力公司电力科学研究院 | 一种经济性与安全性需求引导的移动目标防御响应方法 |
CN112398850A (zh) * | 2020-11-13 | 2021-02-23 | 国网冀北电力有限公司张家口供电公司 | 一种基于异构服务器平台动态防御方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7549167B1 (en) * | 2003-04-10 | 2009-06-16 | George Mason Intellectual Properties, Inc. | Self-cleansing system |
CN106302431A (zh) * | 2016-08-10 | 2017-01-04 | 安徽新华学院 | 一种基于scit的移动目标防御系统 |
US20170300911A1 (en) * | 2016-04-13 | 2017-10-19 | Abdullah Abdulaziz I. Alnajem | Risk-link authentication for optimizing decisions of multi-factor authentications |
-
2017
- 2017-11-17 CN CN201711145745.7A patent/CN108055242A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7549167B1 (en) * | 2003-04-10 | 2009-06-16 | George Mason Intellectual Properties, Inc. | Self-cleansing system |
US20170300911A1 (en) * | 2016-04-13 | 2017-10-19 | Abdullah Abdulaziz I. Alnajem | Risk-link authentication for optimizing decisions of multi-factor authentications |
CN106302431A (zh) * | 2016-08-10 | 2017-01-04 | 安徽新华学院 | 一种基于scit的移动目标防御系统 |
Non-Patent Citations (1)
Title |
---|
仝青;张铮;邬江兴;: "基于软硬件多样性的主动防御技术" * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110113365A (zh) * | 2019-06-05 | 2019-08-09 | 中国石油大学(华东) | 一种用于Web服务的移动目标防御系统协同控制方法 |
CN111262856A (zh) * | 2020-01-15 | 2020-06-09 | 国网陕西省电力公司电力科学研究院 | 一种经济性与安全性需求引导的移动目标防御响应方法 |
CN111262856B (zh) * | 2020-01-15 | 2022-03-01 | 国网陕西省电力公司电力科学研究院 | 一种经济性与安全性需求引导的移动目标防御响应方法 |
CN112398850A (zh) * | 2020-11-13 | 2021-02-23 | 国网冀北电力有限公司张家口供电公司 | 一种基于异构服务器平台动态防御方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wazid et al. | Uniting cyber security and machine learning: Advantages, challenges and future research | |
Greengard | Cybersecurity gets smart | |
Ahmed et al. | Detecting Computer Intrusions Using Behavioral Biometrics. | |
CN111191229A (zh) | 一种电力Web应用拟态防御系统 | |
Vidalis et al. | Assessing identity theft in the Internet of Things | |
CN108055242A (zh) | 一种多样化环境下的移动目标防御系统 | |
Dudek et al. | Cyber-security for mobile service robots–challenges for cyber-physical system safety | |
Al-Marghilani | Comprehensive Analysis of IoT Malware Evasion Techniques | |
US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
Goel et al. | Measures for Improving IoT Security | |
Li et al. | A framework for mimic defense system in cyberspace | |
Said et al. | Towards a hybrid immune algorithm based on danger theory for database security | |
Naoum et al. | An enhancement of the replacement steady state genetic algorithm for intrusion detection | |
Han et al. | Attack detection method based on bayesian hypothesis testing principle in CPS | |
Elgohary et al. | Detecting Mimikatz in Lateral Movements Using Windows API Call Sequence Analysis | |
CN105653928B (zh) | 一种面向大数据平台的拒绝服务检测方法 | |
Jain et al. | A literature review on machine learning for cyber security issues | |
Arun et al. | User behavioral analysis using Markov chain and steady-state in tracer and checker model | |
Lee et al. | Hb-dipm: human behavior analysis-based malware detection and intrusion prevention model in the future internet | |
Shahriar et al. | iDDAF: An Intelligent Deceptive Data Acquisition Framework for Secure Cyber-Physical Systems | |
Kim et al. | Feature-chain based malware detection using multiple sequence alignment of API call | |
Liu et al. | AI electronic products information security research | |
Deepa et al. | A Meta-Analysis of Efficient Countermeasures for Data Security | |
Rajendran et al. | Cyber Security Threat And Its Prevention Through Artificial Intelligence Technology | |
US20230188542A1 (en) | Enhancing hybrid traditional neural networks with liquid neural network units for cyber security and offense protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180518 |
|
WD01 | Invention patent application deemed withdrawn after publication |