CN109218440B - 一种场景化的拟态web服务器异构执行体动态调度方法 - Google Patents

一种场景化的拟态web服务器异构执行体动态调度方法 Download PDF

Info

Publication number
CN109218440B
CN109218440B CN201811190446.XA CN201811190446A CN109218440B CN 109218440 B CN109218440 B CN 109218440B CN 201811190446 A CN201811190446 A CN 201811190446A CN 109218440 B CN109218440 B CN 109218440B
Authority
CN
China
Prior art keywords
attack
executive
attacker
difference value
web server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811190446.XA
Other languages
English (en)
Other versions
CN109218440A (zh
Inventor
张铮
邬江兴
杨文晗
王立群
李卫超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Mimic Data Technology Co ltd
Original Assignee
Shanghai Mimic Data Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Mimic Data Technology Co ltd filed Critical Shanghai Mimic Data Technology Co ltd
Priority to CN201811190446.XA priority Critical patent/CN109218440B/zh
Publication of CN109218440A publication Critical patent/CN109218440A/zh
Application granted granted Critical
Publication of CN109218440B publication Critical patent/CN109218440B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种场景化的拟态web服务器异构执行体动态调度方法。该方法包括:计算线下执行体与线上执行体的整体差异值;统计目标场景下攻击者的类型集合L和攻击者l的攻击方式策略集合Nl,得到各类型攻击者的攻击概率表PA={p1,p2,...,pl};计算攻击者l针对任一执行体发起攻击时,攻防双方在各种攻击方式下的收益值Al和Dl;将贝叶斯‑斯塔克尔伯格博弈模型映射到拟态web服务器上,构建用于求解最优调度策略的目标函数;将所述整体差异值和攻防双方的收益值Al和Dl带入所述目标函数中,得到防御者的最优混合策略x。通过构建目标函数,从而得到不同攻击环境下的拟态web服务器动态调度策略,能够充分发挥拟态防御的多样性、随机性和动态性优势,有效提升系统的安全性和资源利用率。

Description

一种场景化的拟态web服务器异构执行体动态调度方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种场景化的拟态web服务器异构执行体动态调度方法。
背景技术
web服务作为当前最重要的互联网服务承载和提供方式,是绝大多数网络攻击的发起点,漏洞的存在导致一些人或者团体利用少量资源便可以获取重要信息,威胁信息基础设施和公共服务安全,甚至危及网络秩序和社会稳定。
拟态防御在web服务中在不同层面部署功能相同的异构软硬件执行体,利用多个异构执行体执行同一请求并对响应结果进行表决,通过威胁感知的反馈结果动态调度执行体,来增大攻击者的攻击成本。但执行体调度机制给攻击者带来“测不准”效应的同时也增加了整个系统的复杂度,提升了系统的部署成本,因此制定有效的调度策略来提高执行体资源的利用率是十分有必要的。
现有的调度策略主要有两种:最大差异性调度策略和均匀随机调度策略。最大差异性调度策略就是问题执行体下线后,选择和线上执行体整体差异性最大的执行体上线调度方法。该策略在动态性和随机性方面不足,只选取最大差异性的执行体进行替换会导致线上执行体的可用组合减少,执行体的资源利用率低。均匀随机调度策略策略是问题执行体下线后,线下执行体以相同概率上线的调度方法。该策略虽然能有效实现执行体的动态随机变化,但是不能充分保证执行体之间的多样性,不利于拟态表决机制的有效利用。上述两种策略在攻击方式单一攻击强度不高的环境下效果良好,但是面对高级持续性威胁或者协同攻击时容易被攻击者摸清轮转规律,导致系统安全性降低。
发明内容
为解决现有调度技术中的不足,本发明提供一种场景化的拟态web服务器异构执行体动态调度方法。通过构建攻击者和防御方之间的博弈目标函数,从而得到适用于一定攻击环境下的拟态web服务器动态调度策略,能够有效提升异构执行体的资源利用率。
本发明提供一种场景化的拟态web服务器异构执行体动态调度方法,该方法包括:
步骤1、计算线下执行体与线上执行体的整体差异值;
步骤2、统计目标场景下攻击者的类型集合L和攻击者l的攻击方式策略集合Nl,得到各类型攻击者的攻击概率表PA={p1,p2,...,pl},其中l∈L;
步骤3、计算攻击者l针对任一执行体发起攻击时,攻击者和防御者分别在各种攻击方式下的收益值Al和Dl
步骤4、将贝叶斯-斯塔克尔伯格博弈模型映射到拟态web服务器上,构建用于求解最优调度策略的目标函数;
步骤5、将所述整体差异值和攻防双方的收益值Al和Dl带入所述目标函数中,得到防御者的最优混合策略x,根据所述最优混合策略x对拟态web服务器异构执行体进行动态调度。
进一步地,所述步骤1具体包括:
步骤11、计算执行体i与执行体j的差异值ωij
ωij=Cij*P (1)
其中,Cij=[c0,c1,c2,...ct]表示执行体i到执行体j的软件栈各层的差异值,P=[p0,p1,p2,...pt]T表示软件栈各层差异值的加权系数,t表示拟态web服务器的执行体集合C中每个执行体的软件栈层数;
步骤12、定义执行体集合C包括s个异构执行体,随机选取d个执行体组成线上执行体集合n,剩下的(s-d)个执行体组成线下执行体集合m,根据所述差异值ωij,计算线下执行体mi和线上执行体集合n的整体差异值hi n
Figure BDA0001827370080000021
其中,
Figure BDA0001827370080000022
表示线下执行体mi和线上执行体集合n的软件栈各层差异性均值,
Figure BDA0001827370080000023
表示线下执行体mi和线上执行体集合n的软件栈各层差异性方差,ρμ和ρσ分别表示均值和方差的加权系数;
步骤13、根据
Figure BDA0001827370080000031
计算线下执行体集合m中所有线下执行体和线上执行体集合n的整体差异值
Figure BDA0001827370080000032
进一步地,所述步骤11具体为:
根据执行体i与执行体j的软件栈各层不同软件的共同漏洞,计算差异值Cij,差异值评分为10分制,共同漏洞越少,差异值越大,差异值10表示两种软件之间没有相同漏洞。
进一步地,所述步骤3具体为:
根据漏洞评分平台对漏洞的统计和评分、攻击者l的各种攻击方式所能利用的漏洞信息、攻防双方针对攻击所花费的代价和每次攻击后攻防双方能够获得的对方信息,对攻击者l采用各种攻击方式对任一执行体发起攻击时攻守双方的收益值进行±10分制评分;
若分值为正,表示收益高于代价;若分值为负,表示损失高于收益;
其中,漏洞评分平台包括美国国家漏洞数据库、中国国家信息安全漏洞库和通用漏洞评分系统。
进一步地,所述步骤4中的目标函数具体为:
Figure BDA0001827370080000033
Figure BDA0001827370080000034
Figure BDA0001827370080000035
Figure BDA0001827370080000036
xi∈[0,1] (4-4)
Figure BDA0001827370080000037
a∈R (4-6)
其中,x={x1,x2,…,xn}表示防御者的混合策略,xi表示线下执行体mi的上线概率;a表示所有攻击者的边际收益,al表示攻击类型为攻击者l时的边际收益,α为差异值权重因子,M是给定正数,
Figure BDA0001827370080000041
表示攻击者l的不同攻击策略。
本发明的有益效果:
本发明提供的一种场景化的拟态web服务器异构执行体动态调度方法,通过收集具体环境下攻击者类型及其攻击方式等先验信息,利用攻击者在攻击前对防御者配置进行嗅探检测,选择最优攻击方式的机制,采取贝叶斯-斯塔克尔伯格博弈模型,通过计算每种攻击方式对于不同防御策略下攻防双方的收益值,以及异构执行体之间的整体差异值,构建目标函数使防御者通过先行优势选择最大收益,确定执行体最优动态调度策略。本发明通过攻防双方的博弈,同时考虑到拟态web服务器架构中调度和表决机制的反馈作用,将线下执行体和线上执行体的整体差异值带入到博弈目标函数中,最终得到适用于一定攻击环境下的拟态web服务器动态调度策略,能够有效提升异构执行体的资源利用率,相较于最大差异性调度策略具有更强的动态性,相较于均匀随机调度策略可进一步提升服务器性能。
附图说明
图1为本发明实施例提供的拟态web服务器的工作原理示意图;
图2为本发明实施例提供的一种场景化的拟态web服务器异构执行体动态调度方法的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在拟态防御中,防御方通过动态调度异构执行体来改变线上系统漏洞的类型,攻击者可以通过扫描和渗透等方式,来发现防御方的漏洞,两者的特征符合Stackelberg寡头竞争模型,而攻击者攻击类型存在不确定性,可以建立Bayesian博弈模型来量化各个攻击者的攻击类型和概率。Bayesian-Stackelberg博弈模型可以很好的映射拟态防御调度模型中,生成最优化的调度策略。
将BSG(Bayesian Stackelberg;贝叶斯-斯塔克尔伯格)博弈算法映射到拟态web防御场景中,图1为本发明实施例提供的拟态web服务器的工作原理示意图。图1中C1~Cn为异构执行体,C1~Cm为线上执行体,Cm+1~Cn为线下执行体。防御者(网站方)和多类型的攻击者与BSG中的先行者和追随者的表述一致。防御者先选择一种配置类型,例如设线上执行体集合中包括3台异构执行体,每三台异构执行体可以认为是一种组合,通过构建虚拟服务器池可以实现每一种组合的调度,这样一种组合到另一种组合的调度可以被映射为是BSG中先行者的策略。而攻击者选择的每一种攻击方式都可以被认为是BSG中追随者的策略,攻击方式根据系统的已知未修复漏洞和未知漏洞进行选择,不同攻击者的攻击方式可以重叠,能力越强的攻击者数量越少(出现的概率低)但是攻击方式越多,这些也完全符合BSG算法的要求。因此,本发明通过利用BSG模型,并创造性地结合拟态服务器特有的对执行体间差异性的要求,设计出了一种场景化的拟态web服务器异构执行体动态调度方法。
实施例一
图2为本发明实施例提供的一种场景化的拟态web服务器异构执行体动态调度方法的流程示意图。如图2所示,该方法包括以下步骤:
S101、计算线下执行体与线上执行体的整体差异值;
S102、统计目标场景下攻击者的类型集合L和攻击者l的攻击方式策略集合Nl,得到各类型攻击者的攻击概率表PA={p1,p2,...,pl},其中l∈L;
S103、计算攻击者l针对任一执行体发起攻击时,攻击者和防御者分别在各种攻击方式下的收益值Al和Dl
S104、将贝叶斯-斯塔克尔伯格博弈模型映射到拟态web服务器上,构建用于求解最优调度策略的目标函数;
S105、将所述整体差异值和攻防双方的收益值Al和Dl带入所述目标函数中,得到防御者的最优混合策略x,根据所述最优混合策略x对拟态web服务器异构执行体进行动态调度。
本发明实施例提供的一种场景化的拟态web服务器异构执行体动态调度方法,通过攻防双方的博弈,同时考虑到拟态web服务器架构中调度和表决机制的反馈作用,将线下执行体和线上执行体的整体差异值带入到博弈目标函数中,最终得到适用于一定攻击环境下的拟态web服务器动态调度策略,能够有效提升异构执行体的资源利用率,相较于最大差异性调度具有更强的动态性,相较于均匀随机调度策略可进一步提升服务器性能。
实施例二
在上述实施例一的基础上,本发明提供另一种实施例,具体流程如下:
S201、计算线下执行体与线上执行体的整体差异值,主要包括以下子步骤:
S2011:计算执行体i与执行体j的差异值ωij
ωij=Cij*P (1)
其中,Cij=[c0,c1,c2,...ct]表示执行体i到执行体j的软件栈各层的差异值,P=[p0,p1,p2,...pt]T表示软件栈各层差异值的加权系数,t表示拟态web服务器的执行体集合C中每个执行体的软件栈层数;
具体地,根据执行体i与执行体j的软件栈各层不同软件的共同漏洞,计算差异值Cij,差异值评分为10分制,共同漏洞越少,差异值越大,差异值10表示两种软件之间没有相同漏洞。然后,在计算差异值ωij时,结合漏洞的威胁程度,根据不同层之间的漏洞威胁程度,通过加权的方法得到异构执行体之间的差异性。
S2012:定义执行体集合C包括s个异构执行体,随机选取d个执行体组成线上执行体集合n,剩下的(s-d)个执行体组成线下执行体集合m,根据所述差异值ωij,计算线下执行体mi和线上执行体集合n的整体差异值
Figure BDA0001827370080000061
Figure BDA0001827370080000062
其中,
Figure BDA0001827370080000063
表示线下执行体mi和线上执行体集合n的软件栈各层差异性均值,
Figure BDA0001827370080000064
表示线下执行体mi和线上执行体集合n的软件栈各层差异性方差,ρμ和ρσ分别表示均值和方差的加权系数;
S2013:根据
Figure BDA0001827370080000071
计算线下执行体集合m中所有线下执行体和线上执行体集合n的整体差异值
Figure BDA0001827370080000072
具体地,异构冗余架构存在多台线上服务器,其主要目标就是实现异构性的最大化,只通过比较拟上线执行体和待替换执行体这两个执行体之间的差异性并不能有效的选择出替换最优的拟上线执行体。因为如果选择和待替换执行体差异性最大的执行体上线,那么必然会出现和线上执行体差异性小的拟上线执行体上线,这样表决模块可能会出现漏报情况,导致系统的安全性降低。因此,本发明采取对比整体差异性的方式,将线下执行体和每台线上执行体的差异性求解均值和方差,均值越大代表差异性越大,方差越小表示每种执行体之间的差异性分布越均匀,从而避免出现上述描述的表决漏报问题;并且还可以避免拟上线执行体与某原线上执行体之间因出现差异性两极分化现象而影响拟态表决结果的情况。
S202、统计目标场景下攻击者的类型集合L和攻击者l的攻击方式策略集合Nl,得到各类型攻击者的攻击概率表PA={p1,p2,...,pl},其中l∈L;
S203、计算攻击者l针对任一执行体发起攻击时,攻击者和防御者分别在各种攻击方式下的收益值Al和Dl
具体地,本步骤主要根据漏洞评分平台对漏洞的统计和评分、攻击者l的各种攻击方式所能利用的漏洞信息、攻防双方针对攻击所花费的代价和每次攻击后攻防双方能够获得的对方信息,对攻击者l采用各种攻击方式对任一执行体发起攻击时攻守双方的收益值进行±10分制评分,即评分区间为[-10,+10],评分值取值为区间内的整数值;若分值为正,表示收益高于代价;若分值为负,表示损失高于收益;其中,漏洞评分平台包括美国国家漏洞数据库、中国国家信息安全漏洞库和通用漏洞评分系统。
此外,本发明针对的是拟态web服务器中的异构执行体只在操作系统和服务器软件层面上实现异构,因此攻击方式和攻守双方的收益跟这两层的漏洞及其危害等级和利用难度有关,例如利用漏洞影响网站可用性的攻击自然比获取敏感信息或者其他信息的攻击对攻击者的收益要高。同时,收益值也应该是场景化的,比如某些门户网站只存储了用户名、密码等非关键信息,这样其获取信息的攻击的收益就相对降低,而获取权限远程操控的攻击收益也相对提升。
本发明实施例将防御者的策略集合设为S,将攻击者的类型集合设为L,所有攻击者的策略集合设为N,攻击者l的策略集合为Nl(l∈L),防御者和攻击者的收益矩阵为Dl和Al,给定每种攻击者的出现概率pl(al∈R,∑pl=1),那么针对所有攻击者的边际收益a,防御者的最优混合策略x可以通过分解最优Bayesian Stackelberg求解器(DecomposedOptimal Bayesian Stackelberg Solver,DOBSS)对下列的混合整数二次规划算法(MixedInteger Quadratic Program,MIQP)求解:
Figure BDA0001827370080000081
上述目标函数(3)通过考虑攻击者的不同攻击策略
Figure BDA0001827370080000082
使防御者的防御收益最大化,来求解防御者的最优混合策略x。但是可以看到公式(3)中并没有考虑到执行体间的差异性问题,因此只适合于单个执行体进行调度的场景,对于DHR架构具有局限性,因此,本发明进一步将执行体之间的差异性引入到目标函数中。
在步骤S201中对执行体之间的差异性做了度量,因为通过表决等威胁机制反馈,每次需要下线的问题执行体只有一台,所以本发明可以将线上d台正常执行体作为已知不变条件,那么将有
Figure BDA0001827370080000083
种组合方式,将这些组合设为集合Q,求出所有线下执行体的整体差异性
Figure BDA0001827370080000084
那么调度的任意线下执行体和线上执行体的差异性为
Figure BDA0001827370080000085
对于整体策略来讲,切换执行体的预期差异性为
Figure BDA0001827370080000086
将其加入到目标函数中,并带入影响因子α得到下面目标函数(4)。
S204、将贝叶斯-斯塔克尔伯格博弈模型映射到拟态web服务器上,构建用于求解最优调度策略的目标函数:
Figure BDA0001827370080000087
Figure BDA0001827370080000091
Figure BDA0001827370080000092
Figure BDA0001827370080000093
xi∈[0,1] (4-4)
Figure BDA0001827370080000094
a∈R (4-6)
其中,x={x1,x2,…,xn}表示防御者的混合策略,xi表示线下执行体mi的上线概率;a表示攻击者的边际收益,al表示攻击类型为攻击者l时的边际收益,α为差异值权重因子,M是给定正数,
Figure BDA0001827370080000095
表示攻击者l的不同攻击策略。
具体地,目标函数(4)受限于以上条件,其中(4-1)和(4-4)是指防御者选取策略xi的概率是和为1的非0实数,(4-2)式和(4-4)式指每种攻击者类型的攻击策略概率和为1,而显然针对一类攻击者的不同攻击方式而言,收益最大的攻击方式概率为1时,目标函数的收益最大,因此攻击者纯策略只有一个
Figure BDA0001827370080000096
(4-3)式为对偶约束,目的使攻击者的收益最大化,在给定M值时,应保证M值足够大,以保证关系式(4-3)成立。通过对偶约束,同时可以发现对于攻击者来说最优的攻击方式,如果攻击者通过系统的具体漏洞进行攻击,可以通过该式综合得出最有威胁的漏洞,可以作为更新防御机制的重要参考。
拟态安全防御作为一种内生安全机制,采取的DHR(Dynamic HeterogeneousRedundancy;动态异构冗余)架构更强调执行体之间的差异性最大化。但不难发现,如果单纯的追求差异性最大话,拟上线执行体与待替换执行体通常差异性很小,在动态性和随机性方面效果欠佳,对执行体的利用率降低。而且即使保证差异最大也难以实现完全没有共同漏洞,所以本发明设计的和攻击场景相关的调度方法,通过构建目标函数,从而得到不同攻击环境下的拟态web服务器动态调度策略,能够充分发挥拟态防御的多样性、随机性和动态性优势,有效提升系统的安全性和资源利用率。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (4)

1.一种场景化的拟态web服务器异构执行体动态调度方法,其特征在于,包括:
步骤1、计算线下执行体与线上执行体的整体差异值;
步骤2、统计目标场景下攻击者的类型集合L和攻击者l的攻击方式策略集合Nl,得到各类型攻击者的攻击概率表PA={p1,p2,...,pl},其中l∈L;
步骤3、计算攻击者l针对任一执行体发起攻击时,攻击者和防御者分别在各种攻击方式下的收益值Al和Dl
步骤4、将贝叶斯-斯塔克尔伯格博弈模型映射到拟态web服务器上,构建用于求解最优调度策略的目标函数,所述目标函数具体为:
Figure FDA0002757933000000011
Figure FDA0002757933000000012
Figure FDA0002757933000000013
Figure FDA0002757933000000014
xi∈[0,1] (4-4)
Figure FDA0002757933000000015
a∈R (4-6)
其中,x={x1,x2,…,xn}表示防御者的混合策略,xi表示线下执行体mi的上线概率;a表示所有攻击者的边际收益,al表示攻击类型为攻击者l时的边际收益,α为差异值权重因子,M是给定正数,
Figure FDA0002757933000000016
表示攻击者l的不同攻击策略;C表示执行体集合,n表示线上执行体集合,
Figure FDA0002757933000000017
表示整体差异值;
步骤5、将所述整体差异值和攻防双方的收益值Al和Dl带入所述目标函数中,得到防御者的最优混合策略x,根据所述最优混合策略x对拟态web服务器异构执行体进行动态调度。
2.根据权利要求1所述的方法,其特征在于,所述步骤1具体包括:
步骤11、计算执行体i与执行体j的差异值ωij
ωij=Cij*P (1)
其中,
Figure FDA0002757933000000027
表示执行体i到执行体j的软件栈各层的差异值,
Figure FDA0002757933000000028
表示软件栈各层差异值的加权系数,t表示拟态web服务器的执行体集合C中每个执行体的软件栈层数;
步骤12、定义执行体集合C包括s个异构执行体,随机选取d个执行体组成线上执行体集合n,剩下的(s-d)个执行体组成线下执行体集合m,根据所述差异值ωij,计算线下执行体mi和线上执行体集合n的整体差异值
Figure FDA0002757933000000021
Figure FDA0002757933000000022
其中,
Figure FDA0002757933000000023
表示线下执行体mi和线上执行体集合n的软件栈各层差异性均值,
Figure FDA0002757933000000024
表示线下执行体mi和线上执行体集合n的软件栈各层差异性方差,ρμ和ρσ分别表示均值和方差的加权系数;
步骤13、根据
Figure FDA0002757933000000025
计算线下执行体集合m中所有线下执行体和线上执行体集合n的整体差异值
Figure FDA0002757933000000026
3.根据权利要求2所述的方法,其特征在于,所述步骤11具体为:
根据执行体i与执行体j的软件栈各层不同软件的共同漏洞,计算差异值Cij,差异值评分为10分制,共同漏洞越少,差异值越大,差异值10表示两种软件之间没有相同漏洞。
4.根据权利要求1所述的方法,其特征在于,所述步骤3具体为:
根据漏洞评分平台对漏洞的统计和评分、攻击者l的各种攻击方式所能利用的漏洞信息、攻防双方针对攻击所花费的代价和每次攻击后攻防双方能够获得的对方信息,对攻击者l采用各种攻击方式对任一执行体发起攻击时攻守双方的收益值进行±10分制评分;
若分值为正,表示收益高于代价;若分值为负,表示损失高于收益;
其中,漏洞评分平台包括美国国家漏洞数据库、中国国家信息安全漏洞库和通用漏洞评分系统。
CN201811190446.XA 2018-10-12 2018-10-12 一种场景化的拟态web服务器异构执行体动态调度方法 Active CN109218440B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811190446.XA CN109218440B (zh) 2018-10-12 2018-10-12 一种场景化的拟态web服务器异构执行体动态调度方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811190446.XA CN109218440B (zh) 2018-10-12 2018-10-12 一种场景化的拟态web服务器异构执行体动态调度方法

Publications (2)

Publication Number Publication Date
CN109218440A CN109218440A (zh) 2019-01-15
CN109218440B true CN109218440B (zh) 2020-12-15

Family

ID=64979989

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811190446.XA Active CN109218440B (zh) 2018-10-12 2018-10-12 一种场景化的拟态web服务器异构执行体动态调度方法

Country Status (1)

Country Link
CN (1) CN109218440B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110191083B (zh) * 2019-03-20 2020-09-25 中国科学院信息工程研究所 面向高级持续性威胁的安全防御方法、装置与电子设备
CN110287706B (zh) * 2019-06-27 2022-11-25 上海交通大学 面向拟态防御系统的安全性检测系统及方法
CN110287941B (zh) * 2019-07-03 2022-12-27 哈尔滨工业大学 一种基于概念学习的透彻感知与动态理解方法
CN110719281B (zh) * 2019-10-10 2020-09-15 河南信大网御科技有限公司 一种OpenWrt中拟态Web的实现方法
CN110830462B (zh) * 2019-10-30 2022-02-15 南京理工大学 一种面向拟态防御架构的安全性分析方法
CN111124663B (zh) * 2019-11-15 2023-08-11 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 拟态资源调度方法、系统及介质
CN110855692B (zh) * 2019-11-19 2022-02-08 北京网聘咨询有限公司 面向拟态构造Web服务器的执行体调度方法
CN111061620B (zh) * 2019-12-27 2022-07-01 南京林科斯拉信息技术有限公司 一种混合策略的服务器异常智能检测方法及检测系统
CN110992071B (zh) * 2020-02-27 2020-10-13 零犀(北京)科技有限公司 一种服务策略制定方法、装置、存储介质及电子设备
CN111585952A (zh) * 2020-03-23 2020-08-25 浙江大学 一种云上Web应用应对虚拟主机层攻击的解决方法
CN111698235B (zh) * 2020-06-03 2023-04-18 北京润通丰华科技有限公司 一种拟态dns防御系统控制单元中的异构体调度方法
CN111935071B (zh) * 2020-06-18 2022-11-18 华南理工大学 多层拟态防御方法、装置、存储介质及多层拟态系统
CN111930483A (zh) * 2020-07-22 2020-11-13 河南信大网御科技有限公司 基于问题场景的策略调度方法、装置及拟态构造架构
CN112153024B (zh) * 2020-09-11 2022-11-11 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于SaaS平台的拟态防御系统
CN112115469B (zh) * 2020-09-15 2024-03-01 浙江科技学院 基于Bayes-Stackelberg博弈的边缘智能移动目标防御方法
CN112612594B (zh) * 2020-12-30 2024-03-29 郑州昂视信息科技有限公司 一种执行体调度方法及相关装置
CN112632530B (zh) * 2020-12-30 2022-11-08 中国人民解放军战略支援部队信息工程大学 拟态架构下多样化变体生成方法及系统
CN113098882B (zh) * 2021-04-08 2022-08-26 鹏城实验室 基于博弈论的网络空间拟态防御方法、装置、介质及终端
CN113079169B (zh) * 2021-04-13 2022-09-13 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 一种面向拟态防御的两级多层资源调度方法及系统
CN114257519B (zh) * 2021-11-02 2023-05-16 中国人民解放军战略支援部队信息工程大学 多功能等价执行体系统的异构度评估方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101529248A (zh) * 2006-09-14 2009-09-09 佐拉生物科学有限公司 作为用于早期预测自身免疫和1型糖尿病风险之工具的生物流体代谢物谱分析

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8751654B2 (en) * 2008-11-30 2014-06-10 Red Hat Israel, Ltd. Determining the graphic load of a virtual desktop
CN105306251B (zh) * 2015-09-14 2018-12-18 上海红神信息技术有限公司 一种拟态网络拓扑变换的方法
CN105791279B (zh) * 2016-02-29 2018-12-18 中国人民解放军信息工程大学 一种拟态化sdn控制器构建方法
CN107168797A (zh) * 2017-05-12 2017-09-15 中国人民解放军信息工程大学 云环境下基于动态博弈的资源调度方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101529248A (zh) * 2006-09-14 2009-09-09 佐拉生物科学有限公司 作为用于早期预测自身免疫和1型糖尿病风险之工具的生物流体代谢物谱分析

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A Formalization Research on Web Server and Scheduling Strategy for Heterogeneity;Bolin Ma等;《2016 IEEE Advanced Information Management,Communicates,Electronic and Automation Control Conference(IMCEC 2016)》;20161003;1447-1451 *
Playing games for security: An efficient exact algorithm for solving Bayesian Stackelberg games;PARUCHURIP等;《International Joint Conference on Autonomous Agents and Multiagent Systems (AAMAS 2008)》;20080131;895-902 *

Also Published As

Publication number Publication date
CN109218440A (zh) 2019-01-15

Similar Documents

Publication Publication Date Title
CN109218440B (zh) 一种场景化的拟态web服务器异构执行体动态调度方法
CN109767199B (zh) 基于信誉的pbft共识系统及方法、区块链数据处理系统
CN113609521B (zh) 一种基于对抗训练的联邦学习隐私保护方法及系统
CN113762530B (zh) 面向隐私保护的精度反馈联邦学习方法
CN112073483B (zh) 基于信誉与委员会背书机制的权威证明共识方法及系统
CN111966698A (zh) 一种基于区块链的可信联邦学习方法、系统、装置及介质
CN110191120B (zh) 一种网络系统漏洞风险评估方法及装置
Gallon On the impact of environmental metrics on CVSS scores
Schmid et al. Tangle ledger for decentralized learning
CN115329388A (zh) 一种面向联邦生成对抗网络的隐私增强方法
Ganiya et al. Efficiency evaluation of HRF mechanism on EDoS attacks in cloud computing services
CN106681803B (zh) 一种任务调度方法及服务器
Levitin et al. Optimal spot-checking for collusion tolerance in computer grids
Hu et al. FCTrust: A robust and efficient feedback credibility-based distributed P2P trust model
CN113132398A (zh) 一种基于q学习的阵列蜜罐系统防御策略预测方法
CN116579430A (zh) 一种求解网络攻防博弈精炼bne的方法及系统
Djebaili et al. Data integrity and availability verification game in untrusted cloud storage
Bendahmane et al. The effectiveness of reputation-based voting for collusion tolerance in large-scale grids
Chu et al. FedQV: Leveraging Quadratic Voting in Federated Learning
Takeuchi et al. Public opinion formation with the spiral of silence on complex social networks
Ray et al. Multi-criteria based federation selection in cloud
Levitin et al. Optimization of dynamic spot-checking for collusion tolerance in grid computing
Fu et al. Mimic Defense Equivalent Scheduling Algorithm Based on Service Quality and Credit
Qi et al. Game-theoretic analysis for security of various software-defined networking (SDN) architectures
Dólera Tormo et al. Romeo: reputation model enhancing openid simulator

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant