CN116938608B - 基于拟态防御的网络安全防护方法及系统 - Google Patents
基于拟态防御的网络安全防护方法及系统 Download PDFInfo
- Publication number
- CN116938608B CN116938608B CN202311204087.XA CN202311204087A CN116938608B CN 116938608 B CN116938608 B CN 116938608B CN 202311204087 A CN202311204087 A CN 202311204087A CN 116938608 B CN116938608 B CN 116938608B
- Authority
- CN
- China
- Prior art keywords
- whale
- execution
- heterogeneous
- attack
- execution result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000007123 defense Effects 0.000 title claims abstract description 26
- 230000008569 process Effects 0.000 claims abstract description 20
- 238000001514 detection method Methods 0.000 claims abstract description 15
- 230000007246 mechanism Effects 0.000 claims abstract description 10
- 238000010276 construction Methods 0.000 claims abstract description 6
- 241000283153 Cetacea Species 0.000 claims description 87
- 230000006399 behavior Effects 0.000 claims description 21
- 238000005457 optimization Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 13
- 241000251468 Actinopterygii Species 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 230000007547 defect Effects 0.000 abstract description 8
- 230000001419 dependent effect Effects 0.000 abstract description 2
- 230000000875 corresponding effect Effects 0.000 description 19
- 239000000523 sample Substances 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 239000013598 vector Substances 0.000 description 8
- 238000007726 management method Methods 0.000 description 6
- 238000009826 distribution Methods 0.000 description 5
- 230000003068 static effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000005065 mining Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000002513 implantation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000764238 Isis Species 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000008602 contraction Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000010845 search algorithm Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全领域,具体涉及基于拟态防御的网络安全防护方法及系统。本发明利用DHR模型为NFV架构的边缘计算网络构造异构实体集,异构实体由各层组件组合而成,所述的组件为NFV软硬件层的各层次服务功能元件,通过形成具有多种组合的、功能等价的执行体集,采用多模判决机制对执行体集的输出结果进行一致性判决,以主动方式实时监测系统的安全状态;通过异构执行体的动态调度阻断攻击者的攻击过程,能够大幅增加攻击者利用未知安全缺陷的难度,攻击检测和防护不再依赖于攻击特征和安全缺陷的先验知识,具有内在的威胁检测能力;采用DHR能够基于不安全的边缘计算网络构件构建相对安全的信息系统。
Description
技术领域
本发明属于网络安全领域,具体涉及基于拟态防御的网络安全防护方法及系统。
背景技术
自边缘计算技术诞生以来,边缘计算网络的安全性一直是限制其投入使用和发展的关键问题。传统的网络安全防御技术是有针对性的、被动的和隔离的,每种防御机制仅对已知的一种或几种攻击有效。针对边缘计算网络面临的大多数新型攻击以及潜在未知的安全威胁,传统的安全技术手段不能起到有效的防范。
网络功能虚拟化(Network Functions Virtualization,NFV)技术在边缘计算网络的引入打破了传统网络基于物理边界的安全隔离现状,其本质就是利用虚拟化技术从底层硬件平台中分离软件资源和硬件资源,抽象网络服务和功能,共享计算、存储以及网络资源,改变目前的网络运营架构模式,通过发展标准IT虚拟化技术,使得目前多样的网络设备功能能够在符合行业标准的服务器、交换机以及存储设备上部署、迁移,而不需要安装新的专业硬件设备。这种开放化、分层解耦的资源模块能够建立一套灵活、可伸缩、可管理的云化数据中心,但同时也使得基础设备之间的物理边界逐渐模糊,导致传统的网络信任关系和安全边界难以为继,由此给NFV架构的边缘计算网络带来更多安全问题,如数据及隐私泄露、隔离失效、非法监听、恶意攻击等。此外,云环境租户共存资源共享的运营模式也引入了新的安全威胁,如共存攻击、侧信道攻击等,以及虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其他虚拟机资源不足等问题。目前,现有的基于NFV的安全研究,大多数利用NFV架构和软件化的特性实现安全防护策略,如使用虚拟化防火墙来保护VM。还有关于SDNFV相关的网络安全架构研究,利用两种技术的结合改良网络架构,增加网络整体安全性能,但是这些安全策略都是通过被动方式来修补系统漏洞,即利用已知的攻击特征来检测攻击行为,然而在面对边缘计算网络未知安全威胁时难以发挥作用,无法防御未知安全威胁对系统的破坏,且在无法保证避免设计缺陷的情况下,边缘计算网络的漏洞也就无法从根本上消除,那么边缘计算网络中始终会存在各种不确定性的威胁,给网络安全防御带来困难。
发明内容
本发明目的在于为克服现有的NFV安全策略对未知威胁的防御能力差,防御存在滞后性的问题,提供一种基于拟态防御的网络安全防护方法及其系统,采用动态异构冗余(Dynamic Heterogeneous Redundancy,DHR)模型为NFV构建多个功能等价的异构执行体,利用多模判决机制对多个异构执行体的输出结果进行判决, 以检测系统是否被攻击。
为实现上述目的,本发明提供的一种基于拟态防御的网络安全防护方法,所述方法包括:
步骤1)建立NFV架构的边缘计算网络,所述边缘计算网络包括基础设施层、虚拟网络层和VNF层;
步骤2)利用DHR模型为边缘计算网络构造异构实体集,所述异构实体集包括由各层组件组合而成的异构实体,各层组件用于实现服务功能;
步骤3)从异构实体集中选取异构实体组成执行体集,将设定的有限个攻击样本输入执行体集中的各执行体并输出执行结果集,分析执行结果集的信息熵,以信息熵作为适应度,选取的执行体集作为鲸鱼个体的位置,利用鲸鱼算法对执行体集进行寻优,在设定的最大次数迭代运算完成后,选择适应度最高的执行体集输入至DHR模型;
步骤4)根据构建的DHR模型检测输入的服务请求是否存在攻击行为。
进一步优选地,所述基础设施层包括用于支撑VNF运行的硬件资源;所述虚拟网络层包括与硬件资源构成映射关系的虚拟机,所述VNF层包括与每个服务功能对应的VNF,所述的VNF为运行在虚拟机上的软件实例。
进一步优选地,所述的异构实体生成过程包括:
由每一服务功能生成对应的VNF,每个VNF通过虚拟网络层在先定义的应用程序接口请求包含虚拟资源的虚拟机,将VNF及其被分配的虚拟机、虚拟机映射的硬件资源组成子异构实体;
根据端到端的网络服务需求,通过虚拟链路对VNF进行连接形成服务功能链,将服务功能链中所有VNF的子异构实体组成异构实体。
进一步优选地,所述攻击样本是模拟攻击者利用已知的执行体漏洞,生成向执行体发起攻击的服务请求,所述的漏洞通过扫描获得。
进一步优选地,所述执行结果集的信息熵生成过程包括:
将执行结果集中执行结果按照一致性分组,对组内元素进行计数,并与执行结果集内元素总数的比值作为当前组的发生概率;
将所有组的发生概率输入信息熵算法,生成执行结果集对应的信息熵值。
进一步优选地,所述鲸鱼算法对执行体集寻优的过程包括:
步骤101)设置有限数量的鲸鱼个体并对其位置进行初始化,鲸鱼个体的位置表示在多维解空间中的执行体集,根据初始化的执行体集生成对应的信息熵,并作为鲸鱼个体的适应度;
步骤102)选择适应度最高的鲸鱼节点作为领头鲸,其位置作为当前最优解,采用搜索猎物方式更新鲸鱼个体的位置,或者采用包围捕食或气泡网攻击方式更新鲸鱼个体的位置;
步骤103)比较位置更新前后鲸鱼个体的适应度,选择适应度高的鲸鱼个体加入鱼群;
步骤104)将领头鲸加入鱼群,对鱼群内所有鲸鱼个体的适应度进行排序,判断是否达到算法的最大迭代次数,如果未达到,则依照步骤102)继续执行下一次迭代运算,否则执行步骤105);
步骤105)终止鲸鱼优化算法,选择最后一次迭代运算中适应度最高的鲸鱼个体的位置作为最优解,输出最优解对应的执行体集。
进一步优选地,所述的步骤4)中的检测采用多模判决机制对执行体的执行结果进行一致性判决,当最大一致性执行结果计数值少于设定阈值时,判定输入的服务请求存在攻击行为,否则选择最大的一致性执行结果作为最终输出结果。
进一步优选地,还包括:在判定输入的服务请求存在攻击行为时,对输出最大一致性执行结果的执行体进行漏洞扫描。
本发明还提供了一种基于拟态防御的网络安全防护系统,所述网络安全防护系统包括:
NFV构建模块:用于建立NFV架构的边缘计算网络,所述边缘计算网络包括基础设施层、虚拟网络层和VNF层的三层结构;
异构实体集构造模块:利用DHR模型为边缘计算网络构造异构实体集,所述异构实体集包括由各层组件组合而成的异构实体,各层组件用于实现对应的服务功能;
执行体集调度模块:从异构实体集中选取异构实体组成有限个执行体集,将设定的有限个攻击样本输入执行体集中的各执行体并输出执行结果集,分析执行结果集的信息熵,以信息熵作为适应度,选取的执行体集作为鲸鱼个体的位置,利用鲸鱼算法对执行体集进行寻优,在设定的最大次数迭代运算完成后,选择适应度最高的执行体集输入至DHR模型;
输入模块:用于接收攻击样本或用户的服务请求,复制出有限个服务请求并发送至处理模块;
处理模块:将有限个服务请求分发给服务体中所有执行体,由执行体返回服务结果;
判决器:根据构建的DHR模型检测输入的服务请求是否存在攻击行为;
输出模块:用于输出执行结果或判决器的检测结果。
本发明的网络安全防护方法及其系统有益效果:
利用DHR模型为NFV架构的边缘计算网络构造异构实体集,异构实体由各层组件组合而成,所述的组件为NFV软硬件层的各层次服务功能元件,通过形成具有多种组合的、功能等价的执行体集,采用多模判决机制对执行体集的输出结果进行一致性判决,以主动方式实时监测系统的安全状态;通过异构执行体的动态调度阻断攻击者的攻击过程,能够大幅增加攻击者利用未知安全缺陷的难度,攻击检测和防护不再依赖于攻击特征和安全缺陷的先验知识,具有内在的威胁检测能力;采用DHR能够基于不安全的边缘计算网络构件构建相对安全的信息系统。
由于网络环境和运行机制与网络攻击的成功率强关联,本发明将有限个攻击样本输入执行体集,分析执行结果集的信息熵,利用鲸鱼优化算法对输出的执行结果集进行训练,以信息熵作为鲸鱼个体的寻优对象,在设定的最大次数迭代运算内选择适应度最高的执行体集确定为最优解,信息熵越大表明执行结果种类越多、发生概率的分布越分散,执行体间漏洞的关联度也就越低,给攻击者呈现出较大的不确定性,使得攻击者无法从分散化的执行结果中分析出某些关联度高的特定漏洞,进一步提高了系统的安全性。
附图说明
图1为本发明提供的基于拟态防御的网络安全防护方法流程图;
图2为本发明提供的NFV架构的边缘计算网络结构示意图;
图3为本发明提供的基于DHR模型的网络安全防护系统原理图;
图4为NFV系统架构下的端到端的服务功能链结构示意图。
图5为本发明提供的基于拟态防御的网络安全防护系统结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在基于NFV技术的网络中,不同种类的网络元件均被转换成了独立的功能模块,可以在统一构建的硬件平台上灵活部署,每个应用可以通过快速增加或减少虚拟资源来达到快速扩容缩容的目的,提升网络的弹性。NFV技术下可以提供端到端的网络服务,NFV通过管理和编排模块将一个端到端的网络服务转变成由虚拟链路相互连接的VNFs集合,其中的每一个VNF通过虚拟层在先前定义的应用程序接口向下层的资源池请求虚拟计算、虚拟存储以及虚拟网络资源等。NFV技术并不是简单的在设备中增加虚拟机,而是通过网络功能与硬件完全解耦,改变了目前行业中的设备提供模式,即软件和硬件解绑定,使得网络服务能够以软件形式部署于通用硬件之上,为网络服务的设计、部署和管理带来更大的灵活性,不再受到专用设备或网络拓扑结构的限制,有效改善边缘计算网络中资源的分配效率,但同时也使得基础设备之间的物理边界逐渐模糊,导致传统的网络信任关系和安全边界难以为继,由此给NFV架构的边缘计算网络带来更多安全问题。一方面是由于网络空间组成要素的基因单一性,如采用相同的计算架构、硬件、操作系统、软件、网络协议等,攻击者极易利用挖掘的同一安全缺陷,针对不同信息系统发起多次攻击;另一方面是网络组成要素的静态性,如采用静态IP 地址、静态端口、静态路由机制等,攻击者很容易进行探测和持续入侵;而以杀毒软件、防火墙为代表的被动式防护只能做到“亡羊补牢”,通过配置策略(如防火墙)、规则(如入侵检测)或打补丁的方式发现并弥补漏洞,即便如此,攻击者也容易利用NFV构建的多元环境发现新的安全漏洞,而系统对于攻击特征未知或缺陷未知的攻击行为束手无策。
为此,本发明提供一种基于拟态防御的网络安全防护方法,该方法采用动态异构冗余(DHR, Dynamic Heterogeneous Redundancy)模型构建安全防御体系,能使安全防御系统实现外部表现和内部服务体的随机可变,解决了传统防御方式的静态性、相似性、确定性的缺点,改变了目前网络安全防御中的“易攻难守”状况。具体地,如图1所示,所述方法包括以下实施步骤:
步骤1)建立NFV架构的边缘计算网络,所述边缘计算网络包括基础设施层、虚拟网络层和VNF层的三层结构;
步骤2)利用DHR模型为边缘计算网络构造异构实体集,所述异构实体集中的异构实体由各层组件组合而成,所述组件用于实现对应的服务功能;
步骤3)从异构实体集中选取异构实体组成有限个执行体集,将设定的有限个攻击样本输入执行体集中的各执行体并输出执行结果集,分析执行结果集的信息熵,以信息熵作为适应度,选取的执行体集作为鲸鱼个体的位置,利用鲸鱼算法对执行体集进行寻优,在设定的最大次数迭代运算完成后,选择适应度最高的执行体集输入至DHR模型;
步骤4)根据构建的DHR模型检测输入的服务请求是否存在攻击行为。
DHR拟态防御模型的安全性很大程度上受到系统的动态性、随机性和异构性的影响,通过在时间和空间维度进行调度来改变系统当前服务体,使系统具有动态性;利用不同的实现方式使得各个执行体在面对同一个攻击手段时给出不同的安全响应,使系统具有异构性;在运行时从异构实体集中随机选择若干个执行体作为当前服务体,使系统具有随机性。在本发明中,服务体由三层组件组合而成,即具有功能等价的执行体,且执行体间的差异越大,其执行结果的异构性也就越强。而这种异构性只能在具有攻击特征的服务请求上体现出来,对于用户的正常服务请求在功能等价的执行体间输出的执行结果是一致的。因此,本发明采用攻击样本对异构实体集进行训练,以执行结果集合的不一致程度作为优化目标,采用鲸鱼算法对目标进行优化,选择最大目标值对应的执行体集作为DHR模型的服务体集,使得优选的服务体集拥有最强的异构性。
在本发明提供的一个实施例中,NFV架构的边缘计算网络被划分为三层网络结构,具体地,所述基础设施层位于三层结构的底层,包括用于支撑VNF运行的硬件资源;所述虚拟网络层位于三层结构的中间层,包括与硬件资源构成映射关系的虚拟机,所述VNF层位于三层结构的顶层,包括与每个服务功能对应的VNF,所述的VNF为运行在虚拟机上的软件实例。如图2所示,上述三层结构具体被描述为:
基础设施层,该部分是由硬件资源构成的用以支撑VNF运行的资源集合平台。典型的硬件资源分为三种,即计算、存储和网络资源,由常见的物理设备比如物理服务器、存储的磁盘阵列等硬件以及交换机/路由器等网络连接设备构成。
虚拟网络层,也被称之为虚拟化管理程序(Hypervisor),处于硬件资源与软件资源的中间,它的主要功能是将底层的硬件资源形成资源池,分离了VNF与底层硬件资源,极大方便了VNF的调用,提高了底层硬件资源的利用效率;与硬件资源相对应的软件资源指的是经过Hypervisor抽象后的虚拟资源,表现形式为不同操作系统的VM以及虚拟交换机(v-Switch),其中,VM 用来运行 VNF,v-Switch负责VM之间以及与外部网络之间互通。
VNF层,该部分是由虚拟网络功能VNF与网元管理系统(Element Management, EM)构成。VNF是指在基于NFV的架构中运行在虚拟机(Virtual Machine, VM)上的软件实例,提供真实的网络功能,一个或多个VNF可以组合成网络服务(Network Service, NS)。在传统网络中,这些网络功能是运行在各种专用的网络硬件设备上,VNF的接口与传统基于硬件的网络功能的接口保持一致,采用3GPP+ITU-T定义的信令接口。EM要求实现一个或多个VNF模块的业务层管理,同时EM可以通过接口与VNF控制器相连,实现业务层和资源层的协作管理。
NFV技术中的核心就是为服务请求提供端到端的网络功能服务。具体来讲,通常一个服务请求需要经过若干个网络功能的处理,传统上网络功能需要用硬件实现,而NFV架构下将这些网络功能用软件实现并实例化为虚拟网络功能(Virtual Network Function,VNF),通过虚拟链路对 VNF 进行连接从而形成一条虚拟服务功能链(Service FunctionChain, SFC)。如图4所示,端到端的网络服务是由端系统和网络功能转发图这两部分构成,网络功能转发图是由网络功能节点以及其之间的逻辑链路(虚线部分)连接组成,形成一组有序的服务功能的链式集合,网络功能与端系统可以被认为是节点与底层的单个或多个基础设施相关联,每一个VNF都与虚拟网络层中的虚拟机组件、基础设施层中的网络硬件设备关联,能够形成一个子异构实体,而根据服务功能链可为任意服务请求建立起一个由多个子异构实体组成的异构实体。
具体地,由每一服务功能生成对应的VNF,每个VNF通过虚拟网络层在先定义的应用程序接口请求包含虚拟资源的虚拟机,将VNF及其被分配的虚拟机、虚拟机映射的硬件资源组成子异构实体;根据端到端的网络服务需求,通过虚拟链路对VNF进行连接形成服务功能链,将服务功能链中所有VNF的子异构实体组成异构实体。
DHR模型是一个典型的IPO(In Process Out)模型,如图3所示,其主要由异构实体集构造模块、执行体集调度模块、输入模块、处理模块和输出模块构成。
异构实体集构造模块:从三层异构功能组件集中选择组件构建系统的异构实体集,其中n是指系统能够组成的异构实体的最大数目,E中各异构实体都可独立处理系统的输入服务请求,并返回服务结果。
执行体集调度模块:根据调度策略从系统异构实体集中选择m个异构实体作为执行体,组成处理模块中的服务体S,参数m称为系统的服务体模。调度策略主要包括异构执行体的选择和调度时间的确定。常用的调度策略是在异构实体集中随机选取m个异构执行体组成执行体集/>,/>为第i个执行体,在调度时间截止后,服务体S的所有执行体均下线清洗还原。
输入模块:解析接收到的输入服务请求,生成m个输入服务请求并发送至处理模块。
处理模块:将m个输入服务请求发送至当前服务体S的m个执行体,并返回服务结果到输出模块。
输出模块:调用判决器对处理结果进行表决,参数k称为系统判决模,若m个输出结果中存在k个及以上的一致性执行结果,则判定当前请求中未发生攻击,输出最大的一致性执行结果,否则判定当前请求中存在攻击行为,阻断系统输出任何执行结果。
在本发明提供的一个实施例中,执行体的调度策略采用鲸鱼算法(WhaleOptimization Algorithm,WOA)进行优化,选择执行结果差异最大化的执行体集作为服务体S,能够大幅度增加攻击者利用未知安全缺陷的难度。鲸鱼优化算法本质上是一种启发式搜索算法,在状态空间中对每一个搜索的位置进行评估,得到最好的位置,再从当前最优位置出发继续进行搜寻直至找到理想的目标,通过设定足够的迭代次数并合理的增加跳出局部最优解的能力,即可获得较好结果。由于鲸鱼优化算法的原理相对简单、容易实现、需要调整的参数比较少,在函数优化方面,相比较于粒子群、差分进化、遗传等算法,其具有更高的稳定性和求解精度,特别是该算法还包含随机探索能力的搜索猎物模型,在前期运算中使鲸鱼更容易碰撞到最优位置上,以减少在后期聚集捕食阶段陷入局部最优区域的情况。
另外,本发明将有限个攻击样本输入执行体集,分析执行结果集的信息熵,以信息熵作为鲸鱼算法的优化目标。信息熵通过采用数值形式表达随机变量取值的不确定性程度,目的是刻画信息含量的多少,熵值就是随机变量给系统带来的不确定性因素,表示一个系统的混乱程度,其中系统越混乱,其熵值也就越高。而在本发明中信息熵越大表明执行结果种类越多、发生概率的分布越分散,执行体间漏洞的关联度也就越低,给攻击者呈现出较大的不确定性,使得攻击者无法从分散化的执行结果中分析出某些关联度高的特定漏洞,进一步提高了系统的安全性。
以下具体阐述利用鲸鱼算法对执行体集寻优的过程:
步骤101)设置有限数量的鲸鱼个体并对其位置进行初始化,鲸鱼个体的位置表示在多维解空间中的执行体集,根据初始化的执行体集生成对应的信息熵,并作为鲸鱼个体的适应度。
在初始化阶段,为鲸鱼优化算法生成系数向量和/>,定义为:
其中,r为的随机向量,收敛系数/>,随算法迭代次数由2线性递减至0,t表示算法当前迭代次数,/>表示算法最大迭代次数;
步骤102)选择适应度最高的鲸鱼节点作为领头鲸,其位置作为当前最优解,采用搜索猎物方式更新鲸鱼个体的位置,或者采用包围捕食或气泡网攻击方式更新鲸鱼个体的位置。
依据鲸鱼猎物捕食行为的特点,WOA主要包含搜索猎物、包围捕食或气泡网攻击三个阶段。
包围捕食:鲸鱼在捕食的过程中需要确定猎物的位置才能包围捕获猎物,然而猎物在搜索空间中的位置通常是未知的。WOA假设当前种群中适应度最优候选解为猎物位置或已逼近目标猎物的位置,将其他种群搜索体的位置根据当前最优候选解更新自身位置。包围捕食通过减小收敛系数a值实现,此过程系数向量A的取值为的随机向量。当时,根据概率变化选择包围捕食方式对鲸鱼个体i执行第/>次位置更新表示为:
其中,表示当前最优解的位置向量,/>为鲸鱼个体i与领头鲸(或称猎物)附近随机位置的间距,/>,随机位置由系数向量C确定,/>为鲸鱼个体/>的位置向量;
气泡网攻击:根据鲸鱼气泡网狩猎的捕食行为,WOA设计螺旋更新位置策略。在螺旋更新位置中,模拟鲸鱼螺旋运动状态构造螺旋式数学模型。当时,根据概率变化选择气泡网攻击方式对鲸鱼个体i执行第/>次位置更新:
其中,b表示对数螺旋形状的常量系数,l为的随机数,/>为鲸鱼个体/>与领头鲸的间距,/>。
由于鲸鱼在沿着螺旋路径移动的同时缩小包围圈,为了模拟这种同步过程,WOA选择相同的概率p进行收缩包围和螺旋位置更新,因此上式可进一步表示为:
其中,p为的随机概率。
搜索猎物:当时,WOA不再选择目标猎物来更新自身位置,而是在群体中随机选择一个搜索体来替代旧的目标猎物,鲸鱼个体为了找寻猎物迫使其偏离原本的目标猎物,以便增强算法的全局探索能力,采用搜索猎物方式对鲸鱼个体i执行第/>次位置更新表示为:
其中,为鲸鱼个体i与随机鲸鱼个体的间距,/>,为随机鲸鱼个体的位置向量。
步骤103)比较位置更新前后鲸鱼个体的适应度,选择适应度高的鲸鱼个体加入鱼群;
步骤104)将领头鲸加入鱼群,对鱼群内所有鲸鱼个体的适应度进行排序,判断是否达到算法的最大迭代次数,如果未达到,则依照步骤102)继续执行下一次迭代运算,否则执行步骤105);
步骤105)终止鲸鱼优化算法,选择最后一次迭代运算中适应度最高的鲸鱼个体的位置作为最优解,输出最优解对应的执行体集。
上述鲸鱼个体的适应度使用执行结果集的信息熵,所述执行结果集的信息熵生成过程具体为:
将执行结果集中一致性执行结果划分至同一组内,对组内元素进行计数,并与执行结果集内元素总数的比值作为当前组的发生概率;
所述的执行结果集为所有执行体根据输入的服务请求返回的服务结果总和,执行结果集,/>为第i个执行结果,由执行体/>生成,将相同的执行结果划分到同一组内,然后生成对应组的发生概率:
其中,为第j个分组内元素计数,u表示分组总数,/>表示第j个分组的发生概率;
将所有组的发生概率输入信息熵算法,生成执行结果集对应的信息熵值;
利用概率分布结果计算执行结果集的熵量,对于u种状态下的概率分布,需满足/>,/>,对系统具有不确定性的熵值H可表示为/>。信息熵的特征有:当至少任意一项/>为1时,H取值必为0,信息熵达到最小值,即所有执行体输出结果均相同,此时判决器完全失去了对攻击样本的识别能力,当所有/>都相等时,即概率/>,H取值为,信息熵在当前概率分布状态下达到最大值,且当/>时,即所有执行体输出结果均不相同的情况下,/>达到所有状态下的最大值,该最大值对应的执行结果集为理想调度决策,因此,利用鲸鱼算法进行决策优化的过程其实就是要找到逼近理想结果的决策。
在系统运行期间,从异构实体集中选择m个不同的异构执行体运行,隐藏信息系统内部的实现结构,采用冗余判决机制对m个在线的异构执行体的输出结果进行一致性判决,若不考虑非攻击因素导致的执行体失效问题,“攻击者攻击成功”等价于“判决器判决法则失效”。在本发明提供的一个实施例中,判决器判决法则被设定为:当最大一致性执行结果计数值少于设定阈值k时,判定输入的服务请求存在攻击行为,否则选择最大的一致性执行结果作为最终输出结果。k值可以设置为,即存在半数以上的一致性执行结果,才认定当前服务请求为正常。在观察者看来,受保护元功能的物理实现结构、算法对外呈现出不确定性,难以获得一致、确定性的视图,不仅攻击者可利用的漏洞和后门也呈现不确定性,而且攻击者的攻击链难以保持连续性和完整性。
在本发明提供的另一个实施例中,所述攻击样本是模拟攻击者利用已知的执行体漏洞,生成向执行体发起攻击的服务请求,所述的漏洞通过扫描获得。常见的攻击方式包括恶意钓鱼、病毒感染、植入木马或恶意软件、拒绝服务攻击、社会工程学攻击以及渗透攻击等,虽然攻击方式和种类千差万别,但根据攻击者与系统的交互过程普遍采用攻击链模式实施攻击行为,攻击链可以分为扫描探测、漏洞挖掘、攻击植入和攻击维持四个阶段。
扫描探测:对于一个攻击目标,攻击者通常会通过扫描探测等方式获取系统的详细信息,如操作系统版本号、使用的各类软件版本信息等,进一步可通过释放探针等方法获取系统的组成结构等;在漏洞扫描阶段,同样采用该探测方式对异构执行体进行扫描,以获取有用的系统信息。
漏洞挖掘:基于已获取的信息,攻击者通过在线交互或离线的方式搜寻目标存在的可利用的漏洞,包括应用程序、协议、硬件等的各种漏洞;此阶段能够获取异构执行体对应的漏洞。
攻击植入:攻击者通过利用漏洞将恶意代码或恶意数据传输给系统,试图破坏系统功能或获取敏感信息。该阶段可能只是植入后门或使攻击具备条件,不一定会使系统发生功能故障、服务受损或其他违反系统安全策略的异常行为;在该阶段生成攻击样本对应的服务请求。
攻击维持:攻击者达到入侵目的后,可能会埋下后门作为下一次的入口,或安装恶意程序使攻击持续发作;在当前阶段,系统输出执行结果集,并通过判决器执行多模判决。
本发明采用上述攻击链机制生成具有攻击特征的服务请求,由于攻击者对系统内部结构未知,为了模拟真实的攻击环境,采用与攻击者相同的盲攻击策略,即采用等概率选择攻击序列对执行体集实施攻击。
在本发明提供的另一个实施例中,在判定输入的服务请求存在攻击行为时,对输出最大一致性执行结果的执行体进行漏洞扫描。在DHR安全模型中,每个功能等价的异构执行体都可能存在不确定的漏洞,但异构性设计尽最大能力使这些漏洞各不相同,使网络攻击面临着非配合条件下异构多元目标的协同化攻击难度。如果相同的攻击手段作用于不同的异构执行体产生一致的执行结果,那么很可能在这些异构执行体上存在同样的安全漏洞,这就为配合条件下的攻击行为提供了有利环境,在整个服务体中存在相同漏洞的异构执行体越多,越容易被攻击者发现和利用,给系统造成的安全隐患也就越大,此时最大的一致性执行结果总数小于且最接近k值,给系统带来的安全隐患也就是最大的。因此,通过系统扫描将最大的潜在漏洞挖掘出来,然后利用新挖掘的系统漏洞生成具有攻击特征的新的服务请求,为下一轮异构执行体调度策略提供优化素材。
在设定的调度时间t结束后,服务体S的所有执行体均下线清洗还原,结合新旧攻击样本执行新一轮的执行体动态调度优化过程。动态调度元功能的不同异构执行体在线运行,并从异构实体集中选择一个有效的组件来替换受到入侵的执行体,遏止相同的攻击手段连续发生。另一方面,动态调度过程引入的动态性使得系统在攻击环境中的多个时间段呈现出不同的属性,从而干扰攻击者的判断,是防御网络扫描攻击的有效手段。总之,只要确保执行体间的异构性、独立性,即不存在相关性、协同性,攻击者将很难同时作用于多数执行体产生完全一致的异常输出。
为了实现上述网络安全防护方法,本发明还提供了一种基于拟态防御的网络安全防护系统,如图5所示,所述系统具体包括:
NFV构建模块:用于建立NFV架构的边缘计算网络,所述边缘计算网络包括基础设施层、虚拟网络层和VNF层的三层结构;
异构实体集构造模块:利用DHR模型为边缘计算网络构造异构实体集,所述异构实体集中的异构实体由各层组件组合而成,所述组件用于实现对应的服务功能;
执行体集调度模块:从异构实体集中选取异构实体组成有限个执行体集,将设定的有限个攻击样本输入执行体集中的各执行体并输出执行结果集,分析执行结果集的信息熵,以信息熵作为适应度,选取的执行体集作为鲸鱼个体的位置,利用鲸鱼算法对执行体集进行寻优,在设定的最大次数迭代运算完成后,选择适应度最高的执行体集输入至DHR模型;
输入模块:用于接收攻击样本或用户的服务请求,复制出有限个服务请求并发送至处理模块;
处理模块:将有限个服务请求分发给服务体中所有执行体,由执行体返回服务结果;
判决器:根据构建的DHR模型检测输入的服务请求是否存在攻击行为;
输出模块:用于输出执行结果或判决器的检测结果。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (7)
1.一种基于拟态防御的网络安全防护方法,其特征在于,所述方法包括:
步骤1)建立NFV架构的边缘计算网络,所述边缘计算网络包括基础设施层、虚拟网络层和VNF层;
步骤2)利用动态异构冗余DHR模型为边缘计算网络构造异构实体集,所述异构实体集包括由各层组件组合而成的异构实体,各层组件用于实现服务功能;
步骤3)从异构实体集中选取异构实体组成执行体集,将设定的有限个攻击样本输入执行体集中的各执行体并输出执行结果集,分析执行结果集的信息熵,以信息熵作为适应度和鲸鱼算法的优化目标,选取的执行体集作为鲸鱼个体的位置,利用鲸鱼算法对执行体集进行寻优,在设定的最大次数迭代运算完成后,选择适应度最高的执行体集输入至DHR模型;
步骤4)根据构建的DHR模型检测输入的服务请求是否存在攻击行为;
所述执行结果集的信息熵生成过程包括:
将执行结果集中执行结果按照一致性分组,对组内元素进行计数,并与执行结果集内元素总数的比值作为当前组的发生概率;
将所有组的发生概率输入信息熵算法,生成执行结果集对应的信息熵值;
所述的步骤4)中的检测采用多模判决机制对执行体的执行结果进行一致性判决,当最大一致性执行结果计数值少于设定阈值时,判定输入的服务请求存在攻击行为,否则选择最大的一致性执行结果作为最终输出结果。
2.根据权利要求1所述的基于拟态防御的网络安全防护方法,其特征在于,所述基础设施层包括用于支撑VNF运行的硬件资源;所述虚拟网络层包括与硬件资源构成映射关系的虚拟机,所述VNF层包括与每个服务功能对应的VNF,所述的VNF为运行在虚拟机上的软件实例。
3.根据权利要求2所述的基于拟态防御的网络安全防护方法,其特征在于,所述的异构实体生成过程包括:
由每一服务功能生成对应的VNF,每个VNF通过虚拟网络层在先定义的应用程序接口请求包含虚拟资源的虚拟机,将VNF及其被分配的虚拟机、虚拟机映射的硬件资源组成子异构实体;
根据端到端的网络服务需求,通过虚拟链路对VNF进行连接形成服务功能链,将服务功能链中所有VNF的子异构实体组成异构实体。
4.根据权利要求1所述的基于拟态防御的网络安全防护方法,其特征在于,所述攻击样本是模拟攻击者利用已知的执行体漏洞,生成向执行体发起攻击的服务请求,所述的漏洞通过扫描获得。
5.根据权利要求1所述的基于拟态防御的网络安全防护方法,其特征在于,所述鲸鱼算法对执行体集寻优的过程包括:
步骤101)设置有限数量的鲸鱼个体并对其位置进行初始化,鲸鱼个体的位置表示在多维解空间中的执行体集,根据初始化的执行体集生成对应的信息熵,并作为鲸鱼个体的适应度;
步骤102)选择适应度最高的鲸鱼节点作为领头鲸,其位置作为当前最优解,采用搜索猎物方式更新鲸鱼个体的位置,或者采用包围捕食或气泡网攻击方式更新鲸鱼个体的位置;
步骤103)比较位置更新前后鲸鱼个体的适应度,选择适应度高的鲸鱼个体加入鱼群;
步骤104)将领头鲸加入鱼群,对鱼群内所有鲸鱼个体的适应度进行排序,判断是否达到算法的最大迭代次数,如果未达到,则依照步骤102)继续执行下一次迭代运算,否则执行步骤105);
步骤105)终止鲸鱼优化算法,选择最后一次迭代运算中适应度最高的鲸鱼个体的位置作为最优解,输出最优解对应的执行体集。
6.根据权利要求1所述的基于拟态防御的网络安全防护方法,其特征在于,还包括:在判定输入的服务请求存在攻击行为时,对输出最大一致性执行结果的执行体进行漏洞扫描。
7.一种基于拟态防御的网络安全防护系统,其特征在于,所述网络安全防护系统包括:
NFV构建模块:用于建立NFV架构的边缘计算网络,所述边缘计算网络包括基础设施层、虚拟网络层和VNF层的三层结构;
异构实体集构造模块:利用动态异构冗余DHR模型为边缘计算网络构造异构实体集,所述异构实体集包括由各层组件组合而成的异构实体,各层组件用于实现对应的服务功能;
执行体集调度模块:从异构实体集中选取异构实体组成执行体集,将设定的有限个攻击样本输入执行体集中的各执行体并输出执行结果集,分析执行结果集的信息熵,以信息熵作为适应度和鲸鱼算法的优化目标,选取的执行体集作为鲸鱼个体的位置,利用鲸鱼算法对执行体集进行寻优,在设定的最大次数迭代运算完成后,选择适应度最高的执行体集输入至DHR模型;所述执行结果集的信息熵生成过程包括:将执行结果集中执行结果按照一致性分组,对组内元素进行计数,并与执行结果集内元素总数的比值作为当前组的发生概率;将所有组的发生概率输入信息熵算法,生成执行结果集对应的信息熵值;
输入模块:用于接收攻击样本或用户的服务请求,复制出有限个服务请求并发送至处理模块;
处理模块:将有限个服务请求分发给服务体中所有执行体,由执行体返回服务结果;
判决器:根据构建的DHR模型检测输入的服务请求是否存在攻击行为;所述的检测采用多模判决机制对执行体的执行结果进行一致性判决,当最大一致性执行结果计数值少于设定阈值时,判定输入的服务请求存在攻击行为,否则选择最大的一致性执行结果作为最终输出结果;
输出模块:用于输出执行结果或判决器的检测结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311204087.XA CN116938608B (zh) | 2023-09-19 | 2023-09-19 | 基于拟态防御的网络安全防护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311204087.XA CN116938608B (zh) | 2023-09-19 | 2023-09-19 | 基于拟态防御的网络安全防护方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116938608A CN116938608A (zh) | 2023-10-24 |
CN116938608B true CN116938608B (zh) | 2024-02-23 |
Family
ID=88390089
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311204087.XA Active CN116938608B (zh) | 2023-09-19 | 2023-09-19 | 基于拟态防御的网络安全防护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116938608B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117879974B (zh) * | 2024-03-11 | 2024-05-14 | 西昌学院 | 一种基于边缘计算的网络安全防护方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519220A (zh) * | 2019-07-10 | 2019-11-29 | 中国人民解放军战略支援部队信息工程大学 | 基于漏洞一致率的网络空间拟态防御安全性建模量化方法 |
CN113783853A (zh) * | 2021-08-30 | 2021-12-10 | 杭州电子科技大学 | 针对黑盒情况的动态异构冗余系统安全性分析方法及装置 |
CN113810389A (zh) * | 2021-08-31 | 2021-12-17 | 杭州电子科技大学 | 一种dhr系统漏洞修补过程中漏洞选取方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160216988A1 (en) * | 2015-01-28 | 2016-07-28 | Microsoft Technology Licensing, Llc | Exposing storage entity consistency capability status |
US20220078210A1 (en) * | 2015-10-28 | 2022-03-10 | Qomplx, Inc. | System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces |
-
2023
- 2023-09-19 CN CN202311204087.XA patent/CN116938608B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519220A (zh) * | 2019-07-10 | 2019-11-29 | 中国人民解放军战略支援部队信息工程大学 | 基于漏洞一致率的网络空间拟态防御安全性建模量化方法 |
CN113783853A (zh) * | 2021-08-30 | 2021-12-10 | 杭州电子科技大学 | 针对黑盒情况的动态异构冗余系统安全性分析方法及装置 |
CN113810389A (zh) * | 2021-08-31 | 2021-12-17 | 杭州电子科技大学 | 一种dhr系统漏洞修补过程中漏洞选取方法及装置 |
Non-Patent Citations (4)
Title |
---|
张杰鑫 ; 庞建民 ; 张铮 ; .拟态构造的Web服务器异构性量化方法.软件学报.2020,(第02期),全文. * |
扈红超 ; 陈福才 ; 王鹏 ; .拟态防御DHR模型若干问题探讨和性能评估.信息安全学报.2016,(第04期),全文. * |
拟态构造的Web服务器异构性量化方法;张杰鑫;庞建民;张铮;;软件学报(第02期);全文 * |
拟态防御DHR模型若干问题探讨和性能评估;扈红超;陈福才;王鹏;;信息安全学报(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116938608A (zh) | 2023-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sengupta et al. | A survey of moving target defenses for network security | |
CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
Alshamrani et al. | A survey on advanced persistent threats: Techniques, solutions, challenges, and research opportunities | |
Miehling et al. | A POMDP approach to the dynamic defense of large-scale cyber networks | |
RU2706896C1 (ru) | Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле | |
Chowdhary et al. | SDN based scalable MTD solution in cloud network | |
US8813234B1 (en) | Graph-based approach to deterring persistent security threats | |
Ferguson-Walter et al. | Game theory for adaptive defensive cyber deception | |
Clark et al. | A game-theoretic approach to IP address randomization in decoy-based cyber defense | |
JP2017503222A (ja) | ネットワークセキュリティシステム、方法、及び装置 | |
CN116938608B (zh) | 基于拟态防御的网络安全防护方法及系统 | |
Zagrouba et al. | Machine learning based attacks detection and countermeasures in IoT | |
Rethinavalli et al. | Botnet attack detection in internet of things using optimization techniques | |
Acosta et al. | Cybersecurity deception experimentation system | |
Snehi et al. | Introspecting intrusion detection systems in dealing with security concerns in cloud environment | |
Kong et al. | Automated honeynet deployment strategy for active defense in container-based cloud | |
Karthika et al. | Simulation of SDN in mininet and detection of DDoS attack using machine learning | |
Biedermann et al. | Detecting computer worms in the cloud | |
RU2705773C1 (ru) | Способ защиты информационно-вычислительной сети от вторжений | |
Xing et al. | Black bird attack: A vital threat to blockchain technology | |
Liu et al. | Deception Maze: A Stackelberg Game-Theoretic Defense Mechanism for Intranet Threats | |
Kamatchi et al. | An efficient security framework to detect intrusions at virtual network layer of cloud computing | |
Rawski | Network topology mutation as moving target defense for corporate networks | |
Heenan et al. | A survey of Intrusion Detection System technologies | |
Shakarian et al. | Keeping intruders at large: A graph-theoretic approach to reducing the probability of successful network intrusions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20240123 Address after: Chinatelecom tower, No. 19, Chaoyangmen North Street, Dongcheng District, Beijing 100010 Applicant after: Tianyi Safety Technology Co.,Ltd. Country or region after: China Address before: Room 3-610, 6th Floor, Building 7, No. 10 Fenfenyuan South Road, Fangshan District, Beijing, 102401 Applicant before: Beijing Huijia Technology Co.,Ltd. Country or region before: China |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |