CN113810389B - 一种dhr系统漏洞修补过程中漏洞选取方法及装置 - Google Patents
一种dhr系统漏洞修补过程中漏洞选取方法及装置 Download PDFInfo
- Publication number
- CN113810389B CN113810389B CN202111012105.5A CN202111012105A CN113810389B CN 113810389 B CN113810389 B CN 113810389B CN 202111012105 A CN202111012105 A CN 202111012105A CN 113810389 B CN113810389 B CN 113810389B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- matrix
- dhr
- vulnerabilities
- elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明公开一种DHR系统漏洞修补过程中漏洞选取方法及装置。首先根据服务体中每种漏洞的存在总数进行漏洞选择,再根据漏洞信息熵进行进一步选取,最终得到一个最佳修补序列,从而指导系统修补漏洞,使系统取得最大安全增益。本发明提出一个针对DHR系统漏洞修补过程中的漏洞选取方法,给出了一个按漏洞修补后给系统带来的安全增益进行降序排序的漏洞修补序列,根据修补序列进行漏洞修补,可以更大地提高漏洞修补后的系统安全性,给系统带来更好的安全增益。
Description
技术领域
本发明属于网络空间安全技术领域,特别是一种DHR系统漏洞修补过程中漏洞选取方法及装置。
背景技术
针对当前网络安全形势严峻、攻防不对称等问题,邬江兴院士提出了拟态防御技术,利用异构冗余和动态变换等技术来实现信息系统的动态变换。该技术在很大程度上改变了现有网络攻防不对称现象,同时其可利用不可控的组件来实现可控的信息系统这一特点在当前供应链世界化中也得到了充分体现,很大程度上解决了系统安全和快速生成之间的矛盾。动态异构模型(DHR,Dynamic Heterogeneous Redundancy)是拟态防御技术中的一个典型系统架构,其通过一个由n个异构执行体组成的服务体处理输入,并对该服务体中各执行体的输出进行k/n判决。DHR系统运行一定周期后,进行动态更新,在系统异构执行体池中重新选择n个异构执行体来组成用于输入处理的新服务体,并对组成当前服务体的n个异构执行体进行系统清洗,使这n个异构执行体还原到初始状态。目前DHR架构已在多个安全领域得到应用,如拟态Web服务器、拟态路由器和拟态DNS服务器,并在上海进行了国家级安全测试,得到了众多国家级安全专家的认可。但随着拟态DHR架构的应用,如何在获悉新漏洞信息或已知系统存在的漏洞信息后,对系统异构执行体池中执行体进行漏洞修补以提高系统的安全性已经成为业界的一个重要研究课题。拟态DHR架构与现有单执行体的信息系统架构不同,部分执行体中存在漏洞不一定会导致当前进行输入处理的服务体产生该漏洞,比如该漏洞只在不大于k个执行体中存在,因此当前根据漏洞的严重性等因素来决定漏洞修补的策略并不适合采用拟态DHR架构的信息系统。
对此,本发明提出了一种面向DHR系统的漏洞修补选取方法,该方法根据漏洞修补后给系统带来的安全增益进行漏洞修补序列选择。与现有方法相比,新方法能更大地提高漏洞修补后的系统安全性。
发明内容
本发明的目的在于针对现有技术的不足,提供一种针对DHR系统服务体漏洞修补选取方法,首先根据服务体中每种漏洞的存在总数进行漏洞选择,再根据漏洞信息熵进行进一步选取,最终得到一个最佳修补序列,从而指导系统修补漏洞,使系统取得最大安全增益。
所述DHR系统为常见动态异构冗余系统,一般是由构建模块、调度模块、输入模块、处理模块和输出模块五个部分构成。构建模块负责从构件组中选择若干构件组成系统执行体集,调度模块负责运行动态选择算法从执行体集中选择若干执行体组成处理模块中的服务体,输入模块将系统输入复制并转发给处理模块中的服务体,服务体中的执行体对输入进行处理并得到相应输出发送给输出模块,输出模块中的表决器表决最后结果并输出。
本发明一种DHR系统漏洞修补过程中漏洞选取方法,包括如下技术方案:
步骤1、构建DHR系统的执行体-漏洞矩阵(ME-V):
设一个DHR系统中的执行体个数为m,用E1…Em表示m个执行体,所有执行体涉及的漏洞集合为V,V中共包含ω种漏洞,构建该DHR系统对应的执行体-漏洞矩阵ME-V=(mevi,j)m×ω具体是:
遍历所有执行体,根据执行体是否存在漏洞vj给执行体-漏洞矩阵中的对应元素进行赋值,见公式(1):
其中m为DHR系统中执行体的个数,1≤i≤m,ω为DHR系统中执行体涉及的漏洞种类数,vj为第j种漏洞,1≤j≤ω;
步骤2、构建服务体-漏洞矩阵(MS-V):
假设由m个执行体组成的DHR系统的服务体模为n,其判决模为k,则该DHR系统的服务体个数为r个,用S1...Sr表示该DHR系统中所有服务体。在构建DHR系统的执行体-漏洞矩阵后,该DHR系统的服务体-漏洞矩阵MS-V=(msvi,j)r×ω构建方法如下:
步骤2.1、在执行体-漏洞矩阵ME-V中按字典序依次取出n行,形成r个子矩阵{M1,M2...Mr};n<m;
步骤3、初始化最优修补漏洞序列L为空,最优修补漏洞序列的漏洞个数阈值为τ;
步骤4、寻找当前服务体-漏洞矩阵的最优修补漏洞
4-1判断当前服务体-漏洞矩阵MS-V是否为空,若是空则直接输出L,若不为空则进一步判断服务体-漏洞矩阵MS-V中所有元素是否全为非零值,若全为非零值则直接输出L,若不全为非零值则统计MS-V内各列中非零元素的数目dj,在所有dj中寻找最大值dmax,若仅存在1个最大值dmax则将该最大值对应MS-V矩阵列的漏洞加入L中,直接输出L,若存在多个相同的最大值dmax则进行步骤4-2;
4-2假设dmax对应的漏洞为va,...,vθ,...,vb,1≤a≤θ≤b≤ω,这些漏洞是安全威胁最大漏洞,然后对当前服务体-漏洞矩阵MS-V进行安全威胁最大漏洞逐个删除,最后计算删除安全威胁最大漏洞后的系统漏洞信息熵,筛选出系统漏洞信息熵最小对应的安全威胁最大漏洞vθ加入L中;
作为优选,若漏洞信息熵最小对应的漏洞vθ存在多个则随机选择一个漏洞vθ加入L中;
所述对当前服务体-漏洞矩阵MS-V进行安全威胁最大的漏洞逐个删除,最后计算删除安全威胁最大的漏洞后的系统漏洞信息熵,具体是:
步骤5、判断当前最优修补漏洞序列L中漏洞个数是否达到τ,若否则重复步骤4,若是则输出L,对系统按照L中漏洞进行修补。
本发明的另一个目的是提供一种DHR系统漏洞修补过程中漏洞选取装置,包括:
执行体-漏洞矩阵构建模块,用于根据DHR系统中执行体以及对应漏洞信息,构建当前DHR系统对应的执行体-漏洞矩阵ME-V=(mevi,j)m×ω;
服务体-漏洞矩阵构建模块,用于根据执行体-漏洞矩阵,构建当前DHR系统的服务体-漏洞矩阵MS-V=(msvi,j)r×ω;
最优修补漏洞模块,用于根据服务体-漏洞矩阵计算当前服务体-漏洞矩阵的最优修补漏洞。
本发明的又一个目的是提供一种DHR系统漏洞修补过程中漏洞选取设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DHR系统漏洞修补过程中漏洞选取程序,所述DHR系统漏洞修补过程中漏洞选取程序被所述处理器执行时实现上述方法。
本发明的再一个目的是提供一种存储介质,所述存储介质上存储有DHR系统漏洞修补过程中漏洞选取程序,所述DHR系统漏洞修补过程中漏洞选取程序被所述处理器执行时实现上述方法。
本发明与现有方法相比,其显著优点在于:
本发明提出一个针对DHR系统漏洞修补过程中的漏洞选取方法,给出了一个按漏洞修补后给系统带来的安全增益进行降序排序的漏洞修补序列,根据修补序列进行漏洞修补,可以更大地提高漏洞修补后的系统安全性,给系统带来更好的安全增益。
附图说明
图1为本发明相关技术DHR模型的结构示意图。
图2为本发明面向DHR系统的最佳漏洞选取流程示意图。
具体实施方式
下面结合附图和具体实例对本发明作进一步的详细说明。
适用本发明技术方案应具备的条件有:1、系统架构应为拟态DHR架构,见图1;2、每个执行体中存在的漏洞已知;3、对于DHR系统的各个系统参数已知。
本发明的基本流程图如图2所示,包括以下步骤:
步骤1、构建DHR系统的执行体-漏洞矩阵(ME-V):
设一个DHR系统中的执行体个数为m=5,用E1...E5表示m个执行体,所有执行体涉及的漏洞集合为V,V中共包含ω=6种漏洞,构建该DHR系统对应的执行体-漏洞矩阵ME-V=(mevi,j)m×ω具体是:
遍历所有执行体,根据执行体是否存在漏洞vj给执行体-漏洞矩阵中的对应元素进行赋值,见公式(1):
则有
上述ME-V矩阵中,列项表示漏洞v1、漏洞v2、漏洞v3等6个漏洞,行项表示执行体A1、执行体A2等5个执行体,例如执行体A1包含漏洞v1,漏洞v2,漏洞v4,漏洞v5,漏洞v6。
步骤2、构建服务体-漏洞矩阵(MS-V):
假设由m个执行体组成的DHR系统的服务体模为n=4,其判决模为k=3,则该DHR系统的服务体个数为个,用S1...S5表示该DHR系统中所有服务体。在构建DHR系统的执行体-漏洞矩阵后,该DHR系统的服务体-漏洞矩阵MS-V=(msvi.j)r×ω构建方法如下:
步骤2.1、在执行体-漏洞矩阵ME-V中按字典序依次取出4行,形成5个子矩阵{M1,M2...Mr},其中字典序详细取法如下:
取执行体{E1,E2,E3,E4}对应的行组成M1,取执行体{E1,E2,E3,E5}对应的行组成M2,取执行体{E1,E2,E4,E5}对应的行组成M3,取执行体{E1,E3,E4,E5}对应的行组成M4,取执行体{E2,E3,E4,E5}对应的行组成M5,如下:
则服务体-漏洞矩阵MS-V=(msvi,j)r×ω为:
上述MS-V矩阵中,列项表示列项表示漏洞v1、漏洞v2、漏洞v3等6个漏洞,行项表示服务体S1、服务体S2等5个服务体。例如服务体S1包含漏洞v1、漏洞v4和漏洞v5。
步骤3、初始化最优修补漏洞序列L为空,最优修补漏洞序列的漏洞个数阈值设为τ=2;
步骤4、寻找当前服务体-漏洞矩阵的最优修补漏洞
4-1判断当前服务体-漏洞矩阵MS-V是否为空,若是空则直接输出L,若不为空则进一步判断服务体-漏洞矩阵MS-V中所有元素是否全为非零值,若全为非零值则直接输出L,若不全为非零值则统计MS-V内各列中非零元素的数目dj,在所有dj中寻找最大值dmax,若仅存在1个最大值dmax则将该最大值对应MS-V矩阵列的漏洞加入L中,若存在多个相同的最大值dmax则进行步骤4-2
本例中,当前服务体-漏洞矩阵MS-V不为空且元素值不全为零,计算矩阵各列非零元素数目d1...d6=(5,2,0,2,5,2),其中最大值dmax=5,且存在多个,则进入步骤4-2;
4-2由于dmax对应的漏洞分别为v1,v5,这些漏洞是安全威胁最大的漏洞,然后对当前服务体-漏洞矩阵MS-V进行安全威胁最大的漏洞逐个删除,最后计算删除安全威胁最大的漏洞后的系统漏洞信息熵,筛选出系统漏洞信息熵最小对应的安全威胁最大的漏洞vθ加入L中,若漏洞信息熵最小对应的漏洞vθ存在多个则随机选择一个;
所述对当前服务体-漏洞矩阵MS-V进行安全威胁最大的漏洞逐个删除,最后计算删除安全威胁最大的漏洞后的系统漏洞信息熵,首先删除漏洞v1:
同理,删除漏洞v5:
步骤5、判断当前最优修补漏洞序列L中漏洞个数是否达到τ若否则重复步骤4,若是则输出L,对系统按照L中漏洞进行修补。
删除v5后判断当前漏洞系列L中漏洞个数τ'=1<τ,计算各列非零元素个数d1...d5=(5,2,0,2,2),此时可知漏洞v1对应的列项数目最多,则将v1加入序列L,此时序列L中漏洞个数τ'=2=τ,选取结束,输出最佳修补漏洞序列L=(v5,v1)。
本发明未尽事宜为公知技术。
上述实施例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人士能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所作的等效变化或修饰,都应涵盖在本发明的保护范围之内。
Claims (4)
1.一种DHR系统漏洞修补过程中漏洞选取方法,其特征在于包括如下步骤:
步骤(1)、构建DHR系统的执行体-漏洞矩阵ME-V,具体是:
设一个DHR系统中的执行体个数为m,用E1…Em表示m个执行体,所有执行体涉及的漏洞集合为V,V中共包含ω种漏洞;
遍历所有执行体,根据执行体是否存在漏洞vj给执行体-漏洞矩阵中的对应元素进行赋值,见公式(1):
其中1≤i≤m,vj为第j种漏洞,1≤j≤ω;
步骤(2)、根据DHR系统的执行体-漏洞矩阵ME-V,构建服务体-漏洞矩阵MS-V,具体是:
其中k为判决模;
步骤(3)、初始化最优修补漏洞序列L为空,最优修补漏洞序列的漏洞个数阈值为τ;
步骤(4)、寻找当前服务体-漏洞矩阵的最优修补漏洞
步骤4-1判断当前服务体-漏洞矩阵MS-V是否为空,若是空则直接输出L,若不为空则进一步判断服务体-漏洞矩阵MS-V中所有元素是否全为非零值,若全为非零值则直接输出L,若不全为非零值则统计MS-V内各列中非零元素的数目dj,在所有dj中寻找最大值dmax,若仅存在1个最大值dmax则将最大值dmax对应MS-V矩阵列的漏洞加入L中,直接输出L,若存在多个相同的最大值dmax则进行步骤4-2;
步骤4-2假设dmax对应的漏洞为va,...,vθ,...,vb,1≤a≤θ≤b≤ω,这些漏洞是安全威胁最大漏洞,然后对当前服务体-漏洞矩阵MS-V进行安全威胁最大漏洞逐个删除,最后计算删除安全威胁最大漏洞后的系统漏洞信息熵,筛选出系统漏洞信息熵最小对应的安全威胁最大漏洞vθ加入L中;
所述对当前服务体-漏洞矩阵MS-V进行安全威胁最大的漏洞逐个删除,最后计算删除安全威胁最大的漏洞后的系统漏洞信息熵,具体是:
步骤(5)、判断当前最优修补漏洞序列L中漏洞个数是否达到τ,若否则重复步骤(4),若是则输出L,对DHR系统按照L中漏洞进行修补。
2.如权利要求1所述的一种DHR系统漏洞修补过程中漏洞选取方法,其特征在于步骤4-2中若漏洞信息熵最小对应的漏洞vk存在多个则随机选择一个漏洞vk加入L中。
3.一种DHR系统漏洞修补过程中漏洞选取设备,其特征在于包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DHR系统漏洞修补过程中漏洞选取程序,所述DHR系统漏洞修补过程中漏洞选取程序被所述处理器执行时实现如权利要求1-2任一项所述的方法。
4.一种存储介质,其特征在于所述存储介质上存储有DHR系统漏洞修补过程中漏洞选取程序,所述DHR系统漏洞修补过程中漏洞选取程序被处理器执行时实现如权利要求1-2任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111012105.5A CN113810389B (zh) | 2021-08-31 | 2021-08-31 | 一种dhr系统漏洞修补过程中漏洞选取方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111012105.5A CN113810389B (zh) | 2021-08-31 | 2021-08-31 | 一种dhr系统漏洞修补过程中漏洞选取方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113810389A CN113810389A (zh) | 2021-12-17 |
CN113810389B true CN113810389B (zh) | 2022-10-14 |
Family
ID=78942190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111012105.5A Active CN113810389B (zh) | 2021-08-31 | 2021-08-31 | 一种dhr系统漏洞修补过程中漏洞选取方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113810389B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116938608B (zh) * | 2023-09-19 | 2024-02-23 | 天翼安全科技有限公司 | 基于拟态防御的网络安全防护方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106611126A (zh) * | 2016-12-22 | 2017-05-03 | 西北大学 | 一种漏洞严重性评估及修补方法 |
CN111274134A (zh) * | 2020-01-17 | 2020-06-12 | 扬州大学 | 基于图神经网络的漏洞识别与预测方法、系统、计算机设备和存储介质 |
WO2021135257A1 (zh) * | 2019-12-30 | 2021-07-08 | 华为技术有限公司 | 一种漏洞处理方法及相关设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020093201A1 (zh) * | 2018-11-05 | 2020-05-14 | 北京大学深圳研究生院 | 基于gspn和鞅理论网络空间拟态防御的安全性建模量化方法 |
CN110018895A (zh) * | 2019-04-15 | 2019-07-16 | 中国人民解放军战略支援部队信息工程大学 | 一种基于异构性和服务质量的执行体调度方法及系统 |
CN110519220B (zh) * | 2019-07-10 | 2021-09-10 | 中国人民解放军战略支援部队信息工程大学 | 基于漏洞一致率的网络空间拟态防御安全性建模量化方法 |
CN111984975B (zh) * | 2020-07-24 | 2023-02-24 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于拟态防御机制的漏洞攻击检测系统、方法及介质 |
-
2021
- 2021-08-31 CN CN202111012105.5A patent/CN113810389B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106611126A (zh) * | 2016-12-22 | 2017-05-03 | 西北大学 | 一种漏洞严重性评估及修补方法 |
WO2021135257A1 (zh) * | 2019-12-30 | 2021-07-08 | 华为技术有限公司 | 一种漏洞处理方法及相关设备 |
CN111274134A (zh) * | 2020-01-17 | 2020-06-12 | 扬州大学 | 基于图神经网络的漏洞识别与预测方法、系统、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113810389A (zh) | 2021-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Feige et al. | Learning and inference in the presence of corrupted inputs | |
CN112101530B (zh) | 神经网络训练方法、装置、设备及存储介质 | |
CN113810389B (zh) | 一种dhr系统漏洞修补过程中漏洞选取方法及装置 | |
CN110048992B (zh) | 一种构建动态异构冗余架构的方法 | |
CN110109822B (zh) | 基于蚁群算法进行测试用例优先级排序的回归测试方法 | |
CN107273974B (zh) | 一种安全应急处置评价体系构建方法及系统 | |
CN106997437B (zh) | 一种系统漏洞防护方法和装置 | |
CN109698823B (zh) | 一种网络威胁发现方法 | |
CN111340493A (zh) | 一种多维度分布式异常交易行为检测方法 | |
US11294763B2 (en) | Determining significance levels of error values in processes that include multiple layers | |
CN112926055B (zh) | 基于时间概率攻击图的病毒攻击防御方法 | |
CN113098882B (zh) | 基于博弈论的网络空间拟态防御方法、装置、介质及终端 | |
CN112131799A (zh) | 一种正交增量的随机配置网络建模方法 | |
CN111935071B (zh) | 多层拟态防御方法、装置、存储介质及多层拟态系统 | |
CN111314337B (zh) | 一种基于可信度和可信系数的拟态调度方法 | |
Mittal et al. | Prioritizing test cases for regression techniques using metaheuristic techniques | |
Su et al. | Federated regularization learning: An accurate and safe method for federated learning | |
Zhao et al. | Controllability and stabilizability of probabilistic logical control networks | |
CN112422540B (zh) | 一种拟态waf中的执行体动态变换方法 | |
CN113783853A (zh) | 针对黑盒情况的动态异构冗余系统安全性分析方法及装置 | |
US11494654B2 (en) | Method for machine failure prediction using memory depth values | |
CN110580528A (zh) | 网络模型生成方法及装置 | |
KR102442891B1 (ko) | 인공 신경망의 웨이트 갱신 시스템 및 방법 | |
CN110852361B (zh) | 基于改进深度神经网络的图像分类方法、装置与电子设备 | |
CN116962024A (zh) | 一种拟态waf中可信裁决环境的构建方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |