CN110855692B - 面向拟态构造Web服务器的执行体调度方法 - Google Patents

面向拟态构造Web服务器的执行体调度方法 Download PDF

Info

Publication number
CN110855692B
CN110855692B CN201911134191.XA CN201911134191A CN110855692B CN 110855692 B CN110855692 B CN 110855692B CN 201911134191 A CN201911134191 A CN 201911134191A CN 110855692 B CN110855692 B CN 110855692B
Authority
CN
China
Prior art keywords
executors
web server
vulnerability
executive
scheduling
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911134191.XA
Other languages
English (en)
Other versions
CN110855692A (zh
Inventor
郭盛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wangpin Information Technology Co ltd
Original Assignee
Beijing Wangpin Consulting Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wangpin Consulting Co ltd filed Critical Beijing Wangpin Consulting Co ltd
Priority to CN201911134191.XA priority Critical patent/CN110855692B/zh
Publication of CN110855692A publication Critical patent/CN110855692A/zh
Application granted granted Critical
Publication of CN110855692B publication Critical patent/CN110855692B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/042Backward inferencing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Algebra (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种面向拟态构造Web服务器的执行体调度方法,包括:步骤一、生成备选执行体集,随机选取m个执行体,计算各层软件栈的漏洞值均值和漏洞值标准差,筛选位于漏洞值阈值范围内的n个执行体;步骤二、随机选取两个QoS参数,计算QoS参数值;步骤三、将贝叶斯‑斯塔克尔伯格博弈模型映射到该拟态构造的web服务器上,构建求解最优调度策略的目标函数;步骤四、将两个QoS参数值带入该目标函数中,得到QoS参数值最优的k个执行体;步骤五、生成随机数r,若r≥ε,则根据该k个执行体对拟态web服务器的异构执行体进行动态调度。本发明具有保证Web服务器服务质量的同时,增加迷惑性,提高防御能力的有益效果。

Description

面向拟态构造Web服务器的执行体调度方法
技术领域
本发明涉及Web服务器防御领域。更具体地说,本发明涉及一种面向拟态构造Web服务器的执行体调度方法。
背景技术
调度是拟态构造Web服务器的重要机制,现有的调度算法多考虑异构性对防御能力的提升,而缺乏对拟态构造Web服务器中各执行体自身漏洞防御,不能解决漏洞攻击带来的安全性,以及未能考虑拟态构造Web服务器针对攻击者进行虚假响应的服务质量的考虑,从而未能解决异构执行体响应对Web服务质量带来的不良影响的问题。
发明内容
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明还有一个目的是提供一种面向拟态构造Web服务器的执行体调度方法,可以剔除那些某层软件栈防御能力过于薄弱的执行体,然后采用随机方式选取评价标准,在保证Web服务器虚假服务的质量的同时,增加了迷惑性,拖延被攻击时间,增加攻击成本,提高防御能力。
为了实现根据本发明的这些目的和其它优点,提供了一种面向拟态构造Web服务器的执行体调度方法,包括:
步骤一、生成备选执行体集,从备选执行体集中随机选取m个执行体,计算该m个执行体中每个执行体的各层软件栈的漏洞值均值和漏洞值标准差,从该m个执行体中筛选漏洞值均值和漏洞值标准差均位于漏洞值阈值范围内的n个执行体,作为执行体集Ⅰ,其中,m和n均为大于0的整数;
步骤二、随机选取两个QoS参数,计算执行体集Ⅰ中的每个执行体的QoS参数值,其中,QoS参数包括优先级别、延时级别、可靠性级别、峰值吞吐量级别、平均吞吐量级;
步骤三、将贝叶斯-斯塔克尔伯格博弈模型映射到该拟态构造的web服务器上,构建求解最优调度策略的目标函数;
步骤四、将步骤二中的两个QoS参数值带入该目标函数中,得到QoS参数值最优的k个执行体;
步骤五、生成随机数r,若r≥ε,则根据该k个执行体对拟态web服务器的异构执行体进行动态调度,其中,0<r<1,0<ε<1。
优选的是,若r<ε,则从步骤一的备选执行体集中剔除执行体集Ⅰ后的执行体中随机选取l个执行体,作为执行体集Ⅱ,其中,l为大于0的整数;
随机选取两个QoS参数,计算执行体集Ⅱ中的每个执行体的QoS参数值;
将贝叶斯-斯塔克尔伯格博弈模型映射到该拟态构造的web服务器上,构建求解最优调度策略的目标函数;
将两个QoS参数值带入该目标函数中,得到QoS参数值最优的p个执行体,其中,p为大于0的整数;,
根据该p个执行体对拟态web服务器的异构执行体进行动态调度。
优选的是,漏洞值均值和漏洞值标准差采用漏洞评分平台对漏洞的统计和评分进行计算,其中,漏洞评分平台包括美国国家漏洞数据库、中国国家信息安全漏洞库、通用漏洞评分系统中的任意一种。
优选的是,优先级别、延时级别、可靠性级别、峰值吞吐量级别、平均吞吐量级的参数值均为该执行体响应的预设时间段内的历史数据中的各参数值的平均值。
优选的是,0.01<ε<0.03。
优选的是,若n小于1,则根据步骤一中筛选的m个执行体对拟态web服务器的异构执行体进行动态调度。
提供一种电子设备,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行上述方法中任一项所述的方法。
提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时,实现上述方法中任一项所述的方法。
本发明至少包括以下有益效果:
第一、从备选执行体集中,选取m个执行体,进行漏洞值评估,并筛选出漏洞值均值和漏洞值标准差均小的n个执行体,剔除那些某层软件栈防御能力过于薄弱的执行体,提高Web服务器的防御能力。
第二、通过不固定Web服务器服务质量的评价标准,而是采用随机方式选取评价标准,在保证Web服务器虚假服务的质量的同时,增加了迷惑性,可以拖延被攻击时间,增加攻击成本。
第三、采用贝叶斯-斯塔克尔伯格博弈模型可以很好的映射拟态调度模型中,从而生成Web服务器服务质量最优化的调度策略,最终达到提高拟态构造Web服务器的防御能力和服务质量的目的。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
图1为本发明的其中一种技术方案的所述执行体调度方法的框架图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
如图1所示,本发明提供一种面向拟态构造Web服务器的执行体调度方法,包括:
步骤一、生成备选执行体集,从备选执行体集中随机选取m个执行体,计算该m个执行体中每个执行体的各层软件栈的漏洞值均值和漏洞值标准差,从该m个执行体中筛选漏洞值均值和漏洞值标准差均位于漏洞值阈值范围内的n个执行体,作为执行体集Ⅰ,其中,m和n均为大于0的整数;备选执行体集是Webe服务器接收服务请求后可以响应的多个真实服务,为了提高服务响应速度,减少计算量,从备选执行体集中,选取m个执行体,进行漏洞值评估,并筛选出漏洞值均值和漏洞值标准差均小的n个执行体,剔除那些某层软件栈防御能力过于薄弱的执行体;
步骤二、随机选取两个QoS参数,计算执行体集Ⅰ中的每个执行体的QoS参数值,其中,QoS参数包括优先级别、延时级别、可靠性级别、峰值吞吐量级别、平均吞吐量级;不固定Web服务器服务质量的评价标准,而是采用随机方式选取评价标准,在保证Web服务器虚假服务的质量的同时,增加了迷惑性,可以拖延被攻击时间,增加攻击成本;
步骤三、将贝叶斯-斯塔克尔伯格博弈模型映射到该拟态构造的web服务器上,构建求解最优调度策略的目标函数;
拟态防御中,主要是通过动态调度异构执行体,来改变执行体响应时的漏洞的类型,攻击者通常会通过扫描和渗透的方式,来找到防御方的漏洞,在防御过程中,Web服务器服务质量中的各QoS参数之间符合竞争模型,因此,采用贝叶斯-斯塔克尔伯格博弈模型可以很好的映射拟态调度模型中,从而生成Web服务器服务质量最优化的调度策略;
步骤四、将步骤二中的两个QoS参数值带入该目标函数中,得到QoS参数值最优的k个执行体;
步骤五、生成随机数r,若r≥ε,则根据该k个执行体对拟态web服务器的异构执行体进行动态调度,其中,0<r<1,0<ε<1。为进一步增设迷惑性,增加随机选择项,减少攻击者捕获调度策略的概率。
在上述技术方案中,为了提高服务响应速度,减少计算量,从备选执行体集中,选取m个执行体,进行漏洞值评估,并筛选出漏洞值均值和漏洞值标准差均小的n个执行体,剔除那些某层软件栈防御能力过于薄弱的执行体,然后通过不固定Web服务器服务质量的评价标准,而是采用随机方式选取评价标准,在保证Web服务器虚假服务的质量的同时,增加了迷惑性,可以拖延被攻击时间,增加攻击成本,再采用贝叶斯-斯塔克尔伯格博弈模型可以很好的映射拟态调度模型中,从而生成Web服务器服务质量最优化的调度策略,最终达到提高拟态构造Web服务器的防御能力和服务质量的目的。
在另一种技术方案中,若r<ε,则从步骤一的备选执行体集中剔除执行体集Ⅰ后的执行体中随机选取l个执行体,作为执行体集Ⅱ,其中,l为大于0的整数;
随机选取两个QoS参数,计算执行体集Ⅱ中的每个执行体的QoS参数值;
将贝叶斯-斯塔克尔伯格博弈模型映射到该拟态构造的web服务器上,构建求解最优调度策略的目标函数;
将两个QoS参数值带入该目标函数中,得到QoS参数值最优的p个执行体,其中,p为大于0的整数;,
根据该p个执行体对拟态web服务器的异构执行体进行动态调度。
在上述技术方案中,为避免过度依赖漏洞值均值和漏洞值标准差评分系统的评分,造成某些执行体的永远也无法选中的后果,增高随机数r,以使所有执行体都有上线服务的可能。
在另一种技术方案中,漏洞值均值和漏洞值标准差采用漏洞评分平台对漏洞的统计和评分进行计算,其中,漏洞评分平台包括美国国家漏洞数据库、中国国家信息安全漏洞库、通用漏洞评分系统中的任意一种。美国国家漏洞数据库、中国国家信息安全漏洞库、通用漏洞评分系统记载的漏洞数据量大而全,评分全面而精准,可以更客观的表征各执行体的漏洞评分。
在另一种技术方案中,优先级别、延时级别、可靠性级别、峰值吞吐量级别、平均吞吐量级的参数值均为该执行体响应的预设时间段内的历史数据中的各参数值的平均值。各执行体均具有历史响应数据,采用预设时间段内的历史数据,比如,选取的是当前时间至上一时间间隙内各执行体的所有响应数据,对该时间间隙内的响应数据计算平均值即可,可以减少计算数据量。
在另一种技术方案中,0.01<ε<0.03。保证大概率情况下所选取的执行体均为经漏洞评价筛选后的执行体,提高防御能力。
在另一种技术方案中,若n小于1,则根据步骤一中筛选的m个执行体对拟态Web服务器的异构执行体进行动态调度。以保证对Web服务器的每一服务请求均能得到响应,减少攻击者的疑虑,提高伪装效果。
提供一种电子设备,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行上述方法中任一项所述的方法。
提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时,实现上述方法中任一项所述的方法。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。

Claims (7)

1.面向拟态构造Web服务器的执行体调度方法,其特征在于,包括:
步骤一、生成备选执行体集,从备选执行体集中随机选取m个执行体,计算该m个执行体中每个执行体的各层软件栈的漏洞值均值和漏洞值标准差,从该m个执行体中筛选漏洞值均值和漏洞值标准差均位于漏洞值阈值范围内的n个执行体,作为执行体集Ⅰ,其中,m和n均为大于0的整数;
步骤二、随机选取两个QoS参数,计算执行体集Ⅰ中的每个执行体的QoS参数值,其中,QoS参数包括优先级别、延时级别、可靠性级别、峰值吞吐量级别、平均吞吐量级;
步骤三、将贝叶斯-斯塔克尔伯格博弈模型映射到该拟态构造的web服务器上,构建求解最优调度策略的目标函数;
步骤四、将步骤二中的两个QoS参数值带入该目标函数中,得到QoS参数值最优的k个执行体;
步骤五、生成随机数r,若r≥ε,则根据该k个执行体对拟态web服务器的异构执行体进行动态调度,其中,0<r<1,0<ε<1;
优先级别、延时级别、可靠性级别、峰值吞吐量级别、平均吞吐量级的参数值均为该执行体响应的预设时间段内的历史数据中的各参数值的平均值。
2.如权利要求1所述的面向拟态构造Web服务器的执行体调度方法,其特征在于,若r<ε,则从步骤一的备选执行体集中剔除执行体集Ⅰ后的执行体中随机选取l个执行体,作为执行体集Ⅱ,其中,l为大于0的整数;
随机选取两个QoS参数,计算执行体集Ⅱ中的每个执行体的QoS参数值;
将贝叶斯-斯塔克尔伯格博弈模型映射到该拟态构造的web服务器上,构建求解最优调度策略的目标函数;
将两个QoS参数值带入该目标函数中,得到QoS参数值最优的p个执行体,其中,p为大于0的整数;,
根据该p个执行体对拟态web服务器的异构执行体进行动态调度。
3.如权利要求1所述的面向拟态构造Web服务器的执行体调度方法,其特征在于,漏洞值均值和漏洞值标准差采用漏洞评分平台对漏洞的统计和评分进行计算,其中,漏洞评分平台包括美国国家漏洞数据库、中国国家信息安全漏洞库、通用漏洞评分系统中的任意一种。
4.如权利要求1所述的面向拟态构造Web服务器的执行体调度方法,其特征在于,0.01<ε<0.03。
5.如权利要求1所述的面向拟态构造Web服务器的执行体调度方法,其特征在于,若n小于1,则根据步骤一中筛选的m个执行体对拟态web服务器的异构执行体进行动态调度。
6.电子设备,其特征在于,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求1~5中任一项所述的方法。
7.存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时,实现权利要求1~5中任一项所述的方法。
CN201911134191.XA 2019-11-19 2019-11-19 面向拟态构造Web服务器的执行体调度方法 Active CN110855692B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911134191.XA CN110855692B (zh) 2019-11-19 2019-11-19 面向拟态构造Web服务器的执行体调度方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911134191.XA CN110855692B (zh) 2019-11-19 2019-11-19 面向拟态构造Web服务器的执行体调度方法

Publications (2)

Publication Number Publication Date
CN110855692A CN110855692A (zh) 2020-02-28
CN110855692B true CN110855692B (zh) 2022-02-08

Family

ID=69602555

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911134191.XA Active CN110855692B (zh) 2019-11-19 2019-11-19 面向拟态构造Web服务器的执行体调度方法

Country Status (1)

Country Link
CN (1) CN110855692B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111475831B (zh) * 2020-06-22 2020-09-22 南京红阵网络安全技术研究院有限公司 一种基于拟态防御的数据访问控制方法及系统
CN112383528B (zh) * 2020-11-09 2021-09-24 浙江大学 一种拟态waf的执行体构建方法
CN114915657B (zh) * 2022-04-24 2024-01-26 中国人民解放军战略支援部队信息工程大学 基于OpenTracing规范的拟态应用分布式追踪方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109218440A (zh) * 2018-10-12 2019-01-15 上海拟态数据技术有限公司 一种场景化的拟态web服务器异构执行体动态调度方法
CN110018895A (zh) * 2019-04-15 2019-07-16 中国人民解放军战略支援部队信息工程大学 一种基于异构性和服务质量的执行体调度方法及系统
CN110048992A (zh) * 2018-01-17 2019-07-23 北京中科晶上超媒体信息技术有限公司 一种构建动态异构冗余架构的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110239270A1 (en) * 2010-03-26 2011-09-29 Nokia Corporation Method and apparatus for providing heterogeneous security management

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110048992A (zh) * 2018-01-17 2019-07-23 北京中科晶上超媒体信息技术有限公司 一种构建动态异构冗余架构的方法
CN109218440A (zh) * 2018-10-12 2019-01-15 上海拟态数据技术有限公司 一种场景化的拟态web服务器异构执行体动态调度方法
CN110018895A (zh) * 2019-04-15 2019-07-16 中国人民解放军战略支援部队信息工程大学 一种基于异构性和服务质量的执行体调度方法及系统

Also Published As

Publication number Publication date
CN110855692A (zh) 2020-02-28

Similar Documents

Publication Publication Date Title
CN110855692B (zh) 面向拟态构造Web服务器的执行体调度方法
CN109218440B (zh) 一种场景化的拟态web服务器异构执行体动态调度方法
Cox, Jr Game theory and risk analysis
CN110166428B (zh) 基于强化学习和攻防博弈的智能防御决策方法及装置
CN109861985A (zh) 基于风险等级划分的ip风控方法、装置、设备和存储介质
US20110185432A1 (en) Cyber Attack Analysis
CN104935580B (zh) 基于云平台的信息安全控制方法和系统
CN112532598B (zh) 一种用于实时入侵检测系统的过滤方法
US20140053266A1 (en) Method and server for discriminating malicious attribute of program
CN109800220A (zh) 一种大数据清洗方法、系统及相关装置
CN107295387A (zh) 弹幕显示方法及装置
CN102831153B (zh) 一种选取样本的方法和装置
CN113866723B (zh) 一种应用于认知雷达的抗干扰决策方法
CN109925712B (zh) 一种虚拟对象控制系统
CN117997511A (zh) 一种基于节点服务评分的区块链共识方法
CN112070161B (zh) 一种网络攻击事件分类方法、装置、终端及存储介质
KR102354094B1 (ko) 머신러닝 기반 보안관제 장치 및 방법
CN117076042A (zh) 工作负载调度方法、装置、设备、存储介质和程序产品
CN101315655A (zh) 一种防御缓冲区溢出攻击方法和装置
Guan et al. A Bayesian Improved Defense Model for Deceptive Attack in Honeypot-Enabled Networks
CN110225019B (zh) 一种网络安全处理方法和装置
CN117081855B (zh) 蜜罐优化方法、蜜罐防护方法以及蜜罐优化系统
CN110233845A (zh) 入侵响应措施确定方法及装置
CN110798454A (zh) 一种基于攻击组织能力评估对攻击进行防御的方法
CN114707579A (zh) 企业网络安全评估方法、系统、存储介质和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100102 unit 02-31, 5 / F, 5 / F, 10 Furong street, Chaoyang District, Beijing

Patentee after: Beijing Wangpin Information Technology Co.,Ltd.

Address before: 100102 unit 02-31, 5 / F, 5 / F, 10 Furong street, Chaoyang District, Beijing

Patentee before: BEIJING WANGPIN CONSULTING Co.,Ltd.

CP01 Change in the name or title of a patent holder