CN110113365A - 一种用于Web服务的移动目标防御系统协同控制方法 - Google Patents

一种用于Web服务的移动目标防御系统协同控制方法 Download PDF

Info

Publication number
CN110113365A
CN110113365A CN201910486226.XA CN201910486226A CN110113365A CN 110113365 A CN110113365 A CN 110113365A CN 201910486226 A CN201910486226 A CN 201910486226A CN 110113365 A CN110113365 A CN 110113365A
Authority
CN
China
Prior art keywords
host
server
web service
port
defense
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910486226.XA
Other languages
English (en)
Inventor
石乐义
马猛飞
魏东平
朱红强
刘娜
刘佳
李晓雨
崔雯迪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China University of Petroleum East China
Original Assignee
China University of Petroleum East China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China University of Petroleum East China filed Critical China University of Petroleum East China
Priority to CN201910486226.XA priority Critical patent/CN110113365A/zh
Publication of CN110113365A publication Critical patent/CN110113365A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种用于Web服务的移动目标防御系统协同控制方法,该方法采用伪随机竞选机制使Web服务器集的状态变换控制动态伪随机化,避免单点故障的威胁。为了隐藏服务器真实的地址以及软件的脆弱性,增加攻击者的攻击成本,内部采用端址跳变以及软件多样化的方法,通过在地址池以及端口地址池内随机生成端址跳变图案,动态伪随机的改变目的地址以及端口号来防御窃听攻击和拒绝服务攻击,通过增加软件的多样化变换避免攻击者通过软件固有漏洞发动攻击。同时竞选出的服务器将通过非对称加密的方式将服务器集的具体状态信息发送给可信客户端,保证可信客户端能够合理的访问,提高系统的安全性,实现主动防御。

Description

一种用于Web服务的移动目标防御系统协同控制方法
技术领域
本发明为网络安全领域,涉及一种用于Web服务的移动目标防御系统协同控制方法,通过构建一种用于Web服务的移动目标防御系统,动态变换各个攻击面来迷惑攻击者,增加攻击者攻击成本,达到主动防御的目的。
背景技术
随着计算机技术的发展,网络攻击手段实现多样化、自动化、智能化,如何安全高效的保护网络已经成为人们关注的焦点,传统的网络安全技术对于网络攻击主要采用被动防御手段,随着攻击者的攻击技术不断的提高,这些技术显的力不从心,为了改变这个局面,主动防御技术被提出,主动防御是与被动防御相对应的概念,就是在入侵行为对信息系统发生影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险。近些年来,随着大数据分析技术,云计算技术、SDN技术的发展,信息系统的安全检测技术与态势感知技术不断提高,对安全事件预警越来越精准,安全防御逐渐由被动防御向主动防御转变。
移动目标防御由美国国家科学技术委员会于2011年借鉴了增加射击难度的移动靶训练而提出。移动目标防御(MTD)的思想是使系统动态化,通过不断变化的系统和不断变化的攻击面,迷惑攻击者,使目标系统难以预测和探索。MTD作为一种改变游戏规则的变革性技术,从本质上改变当前网络“易攻难守”的被动的局面,成为解决网络攻击与防御不对称局面的热点,其概念一经提出即受到各国政府广泛的关注。目前MTD技术具有不同的网络和系统组件配置,在网络层包括地址端口随机变化,在应用层包括虚拟机多样化、软件多样化和Web应用程序多样化等。
发明内容
为了保证Web服务的安全性,本发明采用伪随机竞选策略,以服务器集各主机地位相等的特性,服务器集内各主机通过竞选机制竞选出临时的控制主机,进一步的控制主机对服务器集的各主机下发变换指令,避免了单点故障的威胁,极大提高系统的安全性。同时为了隐藏服务器真实的地址以及软件的脆弱性,增加攻击难度,本发明采用端址跳变以及服务软件多样化的方法,实现移动目标防御的思想。通过在IP地址池以及端口地址池内随机生成端址跳变图案,动态伪随机的改变目的地址以及端口号来保证不被攻击者所窃听,通过增加软件的多样化变换避免攻击者通过软件固有漏洞发动攻击,达到高度的主动性。其特征在于以下步骤:
(1)服务器集群中部署n台功能相同的主机,即host={host1,host2,host3,...,hostn},各个主机具有平等性,主要功能用于对外提供Web服务;
(2)服务器集各个主机搭建有端址跳变模块H:(IPhop,Porthop,Condition)及软件多样性模块S:(midware,db);
(3)一个周期T内,服务器集群中通过竞选出主机hosti,hosti通过下发指令信息来决定某一时刻的集群任务机的具体工作状态以及变换方式;
(4)主机hosti通过非对称加密的方式将服务器集的具体状态信息发送给可信客户端,保证可信客户端能够合理的访问;
(5)下一周期T内,服务器集利用伪随机策略竞选出新的主机hostj,进入新一轮的循环。
利用服务器集主机平等的特性,通过伪随机竞争策略选出临时的主机下发指令信息来决定某一时刻的集群任务机的具体工作状态以及变换方式,避免了单点故障的威胁,极大提高了系统的安全性。
附图说明
为了更清楚的说明本发明实施例中的技术方案,下面结合附图与具体实施方案对本发明做进一步说明:
图1一种用于Web服务的移动目标防御系统协同控制方法流程图。
图2Web服务的移动目标防御系统示意图。
具体实施方式
下面结合附图对本发明作进一步详细的描述。
本发明为了保证Web服务的可安全性,提高系统的健壮性,采用伪随机竞选策略,通过对服务器集的公平竞选来选出决定这一时刻的控制主机,其他主机对其进行验证,验证通过后,竞选成功的主机对其服务器集各主机下发变换指令。同时为了隐藏服务器真实的地址以及软件的脆弱性,本发明采用端址跳变以及软件多样化的方法,通过在地址池以及端口地址池内随机生成端址跳变图案,动态伪随机的改变目的地址以及端口号来保证不被攻击者所窃听,增加软件的多样化变换避免攻击者通过软件固有漏洞发动攻击,达到高度的主动性。能够有效的保护Web服务的安全。具体流程如图1。该发明主要包含以下几个步骤:
a.服务器集群中部署n台功能相同的主机,即host={host1,host2,host3,...,hostn},各个主机具有平等性,主要功能用于对外提供Web服务以及竞争服务器集的控制主机;
b.服务器集各个主机搭建有端址跳变模块H:(IPhop,Porthop,Condition)及软件多样性模块S:(midware,db),端址跳变模块H:(IPhop,Porthop,Condition),其中跳变地址池IPhop={ip1,ip2,...,ipn}以及端口地址池Porthop={port1,port2,...,portn},S:(midware,db)表示Web服务的中间件多样化以及数据库软件多样化,Condition为触发跳变的条件,各模块根据控制主机下发的指令进行变换;
c.一个周期T内,服务器集中通过伪随机竞选出主机hosti,然后其它n-1个主机对hosti进行验证,如果验证失败,则丢弃,继续下一轮的竞选,如果验证成功,则验证成功的hosti则生成变换指令信息,并将指令信息通过非对称加密的方式进行加密,然后hosti通过给服务器集中的各个主机下发变换指令来决定这一时刻服务器集中各个任务机的具体工作状态以及变换方式。其中变换方式包括端址跳变、软件多样化的状态,以及服务器运行状态。其中服务器运行状态包括服务状态,待服务状态,自清洗状态;
d.服务器集中竞选出的主机hosti通过非对称加密的方式将指令消息告知给可信客户端,客户端利用私钥进行对指令消息进行解密,得知此刻服务器集各主机的具体状态,保证可信客户端能够合理访问;
e.下一周期T内,服务器集利用伪随机策略竞选出新的主机hostj,进入新一轮的循环。
本发明主要为保证Web服务的可安全性,提高系统的健壮性,采用伪随机竞争策略提出的一种用于Web服务的移动目标防御系统协同控制方法。通过移动目标防御的动态性、随机性、难预测性迷惑攻击者,使其无法发起精准攻击,增加攻击者攻击的成本,降低入侵的损失,在这种变换模式下,通过合法客户端同步通信,保证合法用户能够实时获得服务器的具体状态进行合理的访问,有效实现主动防御。

Claims (4)

1.一种用于Web服务的移动目标防御系统协同控制方法,其特征在于包含以下步骤:
a.服务器集群中部署n台功能相同的主机,即host={host1,host2,host3,...,hostn},各个主机具有平等性,主要功能用于对外提供Web服务;
b.服务器集各个主机搭建有端址跳变模块H:(IPhop,Porthop,Condition)及软件多样性模块S:(midware,db);
c.一个周期T内,服务器集群中通过竞选出主机hosti,hosti通过下发指令信息来决定某一时刻的集群任务机的具体工作状态以及变换方式;
d.主机hosti通过非对称加密的方式将服务器集的具体状态信息发送给可信客户端,保证可信客户端能够合理的访问;
e.下一周期T内,服务器集利用伪随机策略竞选出新的主机hostj,进入新一轮的循环。
2.根据权利要求1所述的一种用于Web服务的移动目标防御系统协同控制方法,其特征在于:
所述步骤b中,端址跳变模块H:(IPhop,Porthop,Condition),其中跳变地址池IPhop={ip1,ip2,...,ipn}以及端口地址池Porthop={port1,port2,...,portn},S:(midware,db)表示Web服务的中间件多样化以及数据库软件多样化,Condition为触发跳变的条件。
3.根据权利要求1所述的一种用于Web服务的移动目标防御系统协同控制方法,其特征在于:
所述步骤c中,一个周期T内,服务器通过伪随机策略竞选hosti,然后其它n-1个主机对hosti进行认证,认证成功的hosti通过下发指令来决定这一时刻服务器集的任务机的端址跳变的速率、软件多样化的状态以及服务器运行状态,服务器运行状态包括服务状态,待服务状态,自清洗状态;
4.根据权利要求1所述的一种用于Web服务的移动目标防御系统协同控制方法,其特征在于:
在步骤d中,服务器集中竞选出的主机hosti通过非对称加密的方式将指令消息告知给可信客户端,客户端利用私钥进行对指令消息进行解密,保证可信客户端能够合理访问。
CN201910486226.XA 2019-06-05 2019-06-05 一种用于Web服务的移动目标防御系统协同控制方法 Pending CN110113365A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910486226.XA CN110113365A (zh) 2019-06-05 2019-06-05 一种用于Web服务的移动目标防御系统协同控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910486226.XA CN110113365A (zh) 2019-06-05 2019-06-05 一种用于Web服务的移动目标防御系统协同控制方法

Publications (1)

Publication Number Publication Date
CN110113365A true CN110113365A (zh) 2019-08-09

Family

ID=67493946

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910486226.XA Pending CN110113365A (zh) 2019-06-05 2019-06-05 一种用于Web服务的移动目标防御系统协同控制方法

Country Status (1)

Country Link
CN (1) CN110113365A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111083173A (zh) * 2019-12-31 2020-04-28 中国银行股份有限公司 基于openflow协议的网络通信中的动态防御方法
CN111338942A (zh) * 2020-02-21 2020-06-26 郑州昂视信息科技有限公司 一种软件多样性的评估方法及系统
CN113452694A (zh) * 2021-06-25 2021-09-28 中国人民解放军国防科技大学 基于公共通道对终端应用实现网络控制的隐蔽通信方法
CN113468552A (zh) * 2021-05-31 2021-10-01 珠海大横琴科技发展有限公司 一种数据处理的方法和装置
CN114666130A (zh) * 2022-03-23 2022-06-24 北京从云科技有限公司 一种web安全反向代理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107241406A (zh) * 2017-06-02 2017-10-10 中国石油大学(华东) 一种端信息跳变Web系统的火狐浏览器插件实现方法
EP3276904A1 (en) * 2016-07-29 2018-01-31 Deutsche Telekom AG Method and system for mtd
CN107707559A (zh) * 2017-11-01 2018-02-16 中国石油大学(华东) 一种用于端信息高速跳变的跳扩混合同步方法
CN108055242A (zh) * 2017-11-17 2018-05-18 国网甘肃省电力公司电力科学研究院 一种多样化环境下的移动目标防御系统
CN108429762A (zh) * 2018-04-13 2018-08-21 中国石油大学(华东) 一种基于服务角色变换的动态蜜罐防御方法
EP3382928A2 (en) * 2017-03-31 2018-10-03 Intel Corporation Securing communications

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3276904A1 (en) * 2016-07-29 2018-01-31 Deutsche Telekom AG Method and system for mtd
EP3382928A2 (en) * 2017-03-31 2018-10-03 Intel Corporation Securing communications
CN107241406A (zh) * 2017-06-02 2017-10-10 中国石油大学(华东) 一种端信息跳变Web系统的火狐浏览器插件实现方法
CN107707559A (zh) * 2017-11-01 2018-02-16 中国石油大学(华东) 一种用于端信息高速跳变的跳扩混合同步方法
CN108055242A (zh) * 2017-11-17 2018-05-18 国网甘肃省电力公司电力科学研究院 一种多样化环境下的移动目标防御系统
CN108429762A (zh) * 2018-04-13 2018-08-21 中国石油大学(华东) 一种基于服务角色变换的动态蜜罐防御方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
LEYI SHI,YUWEN CUI,XIAOTONG LIU,HUI SUN,ZHIYU XUE,SHUFEN ZHANG: "A Convert communication scheme based on DNA Microdots for Port Hopping", 《INTERNATIONAL JOURNAL OF PERFORMABLITY》 *
石乐义,郭宏彬,温晓,李剑蓝,崔玉文,马猛飞,孙慧: "端信息跳扩混合的主动网络防御技术研究", 《通信学报》 *
石乐义等: "基于端信息跳变的主动网络防护研究", 《通信学报》 *
石乐义等: "抵御DoS攻击的端信息跳变Web插件机制", 《通信学报》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111083173A (zh) * 2019-12-31 2020-04-28 中国银行股份有限公司 基于openflow协议的网络通信中的动态防御方法
CN111083173B (zh) * 2019-12-31 2022-03-08 中国银行股份有限公司 基于openflow协议的网络通信中的动态防御方法
CN111338942A (zh) * 2020-02-21 2020-06-26 郑州昂视信息科技有限公司 一种软件多样性的评估方法及系统
CN111338942B (zh) * 2020-02-21 2022-09-09 郑州昂视信息科技有限公司 一种软件多样性的评估方法及系统
CN113468552A (zh) * 2021-05-31 2021-10-01 珠海大横琴科技发展有限公司 一种数据处理的方法和装置
CN113468552B (zh) * 2021-05-31 2024-06-21 珠海大横琴科技发展有限公司 一种数据处理的方法和装置
CN113452694A (zh) * 2021-06-25 2021-09-28 中国人民解放军国防科技大学 基于公共通道对终端应用实现网络控制的隐蔽通信方法
CN113452694B (zh) * 2021-06-25 2022-04-08 中国人民解放军国防科技大学 基于公共通道对终端应用实现网络控制的隐蔽通信方法
CN114666130A (zh) * 2022-03-23 2022-06-24 北京从云科技有限公司 一种web安全反向代理方法
CN114666130B (zh) * 2022-03-23 2024-06-07 北京从云科技有限公司 一种web安全反向代理方法

Similar Documents

Publication Publication Date Title
CN110113365A (zh) 一种用于Web服务的移动目标防御系统协同控制方法
Xiao et al. Edge computing security: State of the art and challenges
Mirsky et al. The threat of offensive ai to organizations
Zhuang et al. Investigating the application of moving target defenses to network security
Singer et al. Cybersecurity: What everyone needs to know
Reveron Cyberspace and national security: threats, opportunities, and power in a virtual world
Ahvanooey et al. Modern authentication schemes in smartphones and IoT devices: An empirical survey
Solis Cyber warfare
Kaur et al. Security in IoT network based on stochastic game net model
Kello Private-Sector Cyberweapons: An Adequate Response to the Sovereignty Gap?
CN112003854A (zh) 基于时空博弈的网络安全动态防御决策方法
KR101228028B1 (ko) 가상 키보드 및 이를 이용한 정보 해킹방지방법
Kim The Inter-network Politics of Cyber Security and Middle Power Diplomacy: A Korean Perspective
Zhao et al. Intelligent networking in adversarial environment: challenges and opportunities
Mi et al. Optimal network defense strategy selection method: a stochastic differential game model
Xu Research on cyberspace mimic defense based on dynamic heterogeneous redundancy mechanism
Javeed et al. Quantum-empowered federated learning and 6G wireless networks for IoT security: Concept, challenges and future directions
Chen et al. An optimal seed scheduling strategy algorithm applied to cyberspace mimic defense
Jeng et al. A study on online game cheating and the effective defense
Awan Pishing attacks in network security
Wang et al. Optimal network defense strategy selection based on Markov Bayesian game
Hossain et al. Threat model-based security analysis and mitigation strategies for a trustworthy metaverse
Choi et al. Invisible secure keypad solution resilient against shoulder surfing attacks
Wang Research on the method of network space security countermeasure drill
Sbai The threat of screenshot-taking malware: analysis, detection and prevention

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190809