當(dāng)前,信息通信網(wǎng)絡(luò)作為繼陸、海、空、天之后的第五維空間,已由傳統(tǒng)的單一消費(fèi)型信息系統(tǒng)轉(zhuǎn)變成與國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展高度相關(guān)的重大基礎(chǔ)設(shè)施,輻射人類(lèi)生產(chǎn)、生活、社會(huì)活動(dòng)乃至意識(shí)形態(tài)的各個(gè)方面,對(duì)世界各國(guó)政治、經(jīng)濟(jì)、軍事產(chǎn)生了深刻的影響。各類(lèi)新興技術(shù)特別是軟件定義網(wǎng)絡(luò)(Software-Defined Networking,SDN)、網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)、云計(jì)算(Cloud Computing,CC)等蓬勃發(fā)展并廣泛應(yīng)用,使得信息通信網(wǎng)絡(luò)展現(xiàn)出前所未有的發(fā)展生機(jī)。然而,隨著信息通信網(wǎng)絡(luò)規(guī)模的快速膨脹及各種網(wǎng)絡(luò)要素的巨復(fù)雜特性,特別是在信息技術(shù)全球化發(fā)展浪潮下網(wǎng)絡(luò)各類(lèi)軟/硬件系統(tǒng)極易被“毒化污染”,使得近年來(lái)網(wǎng)絡(luò)節(jié)點(diǎn)或鏈路失效以及漏洞、后門(mén)等不確定擾動(dòng)問(wèn)題凸顯,信息通信網(wǎng)絡(luò)魯棒性和安全性成為當(dāng)前亟待解決的問(wèn)題。針對(duì)該問(wèn)題,相關(guān)研究人員前期提出了各類(lèi)解決方案,例如,蜜罐技術(shù),聯(lián)動(dòng)式防御,入侵容忍技術(shù),沙箱隔離防御,可信計(jì)算,移動(dòng)目標(biāo)防御(Moving Target Defense,MTD)。然而,上述方案都具有一定的局限性,特別是難以防御由未知漏洞和后門(mén)導(dǎo)致的不確定失效和未知網(wǎng)絡(luò)威脅。網(wǎng)絡(luò)空間擬態(tài)防御(Cyberspace Mimic Defense,CMD),作為一種新型內(nèi)生安全技術(shù),通過(guò)引入動(dòng)態(tài)異構(gòu)冗余架構(gòu)和負(fù)反饋控制機(jī)制,可以解決網(wǎng)絡(luò)空間不同領(lǐng)域目標(biāo)對(duì)象上基于漏洞后門(mén)或病毒木馬等確定或不確定威脅問(wèn)題。近年來(lái),網(wǎng)絡(luò)空間擬態(tài)防御在理論研究、技術(shù)攻關(guān)和示范應(yīng)用等方面已經(jīng)取得很多創(chuàng)新成果。隨著網(wǎng)絡(luò)空間擬態(tài)防御技術(shù)在信息通信網(wǎng)絡(luò)中進(jìn)一步發(fā)展,對(duì)改變信息通信網(wǎng)絡(luò)“易攻難守”的安全防御困境具有重要意義�；谏鲜隹紤],本課題對(duì)信息通信網(wǎng)絡(luò)中擬態(tài)防御機(jī)理與關(guān)鍵技術(shù)展開(kāi)深入研究,首先提出了一種基于博弈模型的擬態(tài)防御策略評(píng)估方法,然后在此基礎(chǔ)上,進(jìn)一步將擬態(tài)防御思想應(yīng)用到信息通信網(wǎng)絡(luò)的控制層和服務(wù)層,實(shí)現(xiàn)了“網(wǎng)絡(luò)魯棒控制”和“服務(wù)魯棒提供”的安全目標(biāo)。本課題的主要研究成果如下:1.借鑒近年來(lái)在高級(jí)持續(xù)性威脅分析中普遍采用的FlipIt博弈模型,提出針對(duì)擬態(tài)防御場(chǎng)景的攻防博弈改進(jìn)模型M-FlipIt,對(duì)高級(jí)持續(xù)性威脅下的信息通信網(wǎng)絡(luò)擬態(tài)防御系統(tǒng)的安全性進(jìn)行了深入分析。通過(guò)分別討論在完全異構(gòu)和有限異構(gòu)條件下,防御者和攻擊者的收益變化情況,提出了不同異構(gòu)條件下擬態(tài)防御的動(dòng)態(tài)調(diào)度策略,實(shí)現(xiàn)了異構(gòu)性和動(dòng)態(tài)性的良好均衡。2.針對(duì)信息通信網(wǎng)絡(luò)控制層的異構(gòu)控制器存在多樣化差異且評(píng)估困難的問(wèn)題,提出了一種基于網(wǎng)絡(luò)分析法(Analytical Network Process,ANP)的控制器異構(gòu)性評(píng)估方法,不僅考慮選擇條件,還考慮控制器所具有的每個(gè)功能,從而為如何選擇擬態(tài)防御中異構(gòu)控制器確定了一個(gè)多決策準(zhǔn)則。首先使用ANP執(zhí)行基于功能的控制器評(píng)估,然后對(duì)兩個(gè)具有高優(yōu)先級(jí)的控制器,在抖動(dòng)和端到端時(shí)延方面進(jìn)行性能比較。最終,確定具有最優(yōu)功能和最優(yōu)服務(wù)質(zhì)量的控制器。仿真結(jié)果表明,該方法能夠根據(jù)基于ANP計(jì)算得到的限制矩陣,較好完成所需異構(gòu)功能的控制器選擇。3.針對(duì)信息通信網(wǎng)絡(luò)中集中式管控所導(dǎo)致的控制層易受攻擊的問(wèn)題,提出基于擬態(tài)防御的控制層安全機(jī)制,引入共識(shí)機(jī)制,使用多個(gè)異構(gòu)的等價(jià)控制器同時(shí)處理數(shù)據(jù)層請(qǐng)求,通過(guò)對(duì)比它們的流表項(xiàng)來(lái)檢測(cè)主控制器是否存在惡意行為。其中,重點(diǎn)研究了如何在語(yǔ)義層面對(duì)比多個(gè)異構(gòu)控制器的流表項(xiàng),以解決它們?cè)谡Z(yǔ)法上的差異化問(wèn)題。該安全機(jī)制不依賴(lài)于對(duì)惡意行為的先驗(yàn)知識(shí),實(shí)驗(yàn)結(jié)果驗(yàn)證對(duì)惡意行為檢測(cè)的有效性和良好的檢測(cè)性能。4.針對(duì)信息通信網(wǎng)絡(luò)服務(wù)層中虛擬網(wǎng)絡(luò)功能面臨的惡意攻擊和隨機(jī)失效風(fēng)險(xiǎn),提出一種支持節(jié)點(diǎn)分割與異構(gòu)備份的服務(wù)功能鏈部署方法。該方法引入虛擬網(wǎng)絡(luò)功能節(jié)點(diǎn)拆分和擬態(tài)防御思想,在滿足服務(wù)功能鏈部署約束條件下,以最小化鏈路資源開(kāi)銷(xiāo)為目標(biāo)建立了優(yōu)化模型,并設(shè)計(jì)了基于寬容分層序列思想與貪婪選擇的服務(wù)功能鏈部署算法。實(shí)驗(yàn)結(jié)果表明,相比于傳統(tǒng)冗余備份部署方法,該方法在較大幅度提高服務(wù)功能鏈抗攻擊性能的同時(shí),降低了17%的計(jì)算資源開(kāi)銷(xiāo)和10%的鏈路帶寬資源開(kāi)銷(xiāo)。本課題依托國(guó)家自然科學(xué)基金面上項(xiàng)目——信息通信網(wǎng)絡(luò)廣義魯棒控制機(jī)理研究,相關(guān)研究成果可以為網(wǎng)絡(luò)空間擬態(tài)防御提供技術(shù)支撐,拓展擬態(tài)防御在信息通信網(wǎng)絡(luò)領(lǐng)域新的研究方向與應(yīng)用。
【學(xué)位單位】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位年份】：2020
【中圖分類(lèi)】：TP393.0
【部分圖文】：

戰(zhàn)略支援部隊(duì)信息工程大學(xué)博士學(xué)位論文第6頁(yè)將動(dòng)態(tài)異構(gòu)冗余特性引入魯棒控制體系結(jié)構(gòu)設(shè)計(jì)中，實(shí)現(xiàn)了網(wǎng)絡(luò)服務(wù)功能與多冗余配置的實(shí)現(xiàn)結(jié)構(gòu)或算法之間的不確定映射關(guān)系。動(dòng)態(tài)替換，清洗和恢復(fù)策略在實(shí)現(xiàn)目標(biāo)執(zhí)行體或場(chǎng)景的外部服務(wù)功能不變的前提下，使執(zhí)行功能對(duì)等條件下的執(zhí)行體結(jié)構(gòu)表示有更多的不確定性，這使得目標(biāo)對(duì)象呈現(xiàn)動(dòng)態(tài)、隨機(jī)化和多樣化。圖1-4給出了該架構(gòu)運(yùn)行過(guò)程。策略分發(fā)模塊對(duì)應(yīng)輸入代理環(huán)節(jié)，主要功能是根據(jù)策略調(diào)度環(huán)節(jié)的指令決定是否將外部輸入與當(dāng)前服務(wù)集內(nèi)的指定異構(gòu)執(zhí)行體鉸鏈，以實(shí)現(xiàn)激活執(zhí)行體、執(zhí)行體掛起修復(fù)或者執(zhí)行其他給定的任務(wù)，通常是用一個(gè)路徑和模式可定義的交換模塊來(lái)具體完成互聯(lián)分發(fā)功能。當(dāng)前服務(wù)集中的異構(gòu)執(zhí)行體元素用Aj表示(j=1,2,…,k)，每個(gè)執(zhí)行體又可以根據(jù)策略調(diào)度指令被賦予功能等價(jià)的多種場(chǎng)景，用Ei表示(i=1,2,…,m)。場(chǎng)景Ei，一方面可以利用構(gòu)件池中標(biāo)準(zhǔn)或非標(biāo)準(zhǔn)的軟硬件實(shí)體或虛體模塊，通過(guò)基于池化資源的可重構(gòu)、可重組、可重建、可重定義、虛擬化等多維動(dòng)態(tài)重構(gòu)技術(shù)生成m種功能等價(jià)、實(shí)現(xiàn)算法不同的防御場(chǎng)景；另一方面也可以通過(guò)不同級(jí)別的初始化操作、啟動(dòng)或調(diào)用測(cè)試診斷工具、激活相應(yīng)的防護(hù)功能等方式獲得服務(wù)功能不變但運(yùn)行環(huán)境發(fā)生改變的防御場(chǎng)景。圖1-4基于DHR的CMD架構(gòu)運(yùn)行過(guò)程策略調(diào)度器也是DHR體系結(jié)構(gòu)中的反饋控制器。一旦收到表決器的異常狀態(tài)，至少有三個(gè)任務(wù)要完成。首先，判斷是否有合格的輸出向量選擇，根據(jù)給定的投票策略，如果沒(méi)有，需要調(diào)用其他決策算法做出決定。第二，根據(jù)設(shè)定的調(diào)度策略指令，輸入和分發(fā)環(huán)節(jié)，將可疑的問(wèn)題執(zhí)行體從當(dāng)前服務(wù)集中移除，或者將處于備用狀態(tài)的執(zhí)行體鏈接到服務(wù)集中，或者將新的防御場(chǎng)景直接分配給可疑的問(wèn)題執(zhí)行體。必要時(shí)，可以替換服?

第一章緒論第11頁(yè)掃描器一般采用模擬攻擊的形式對(duì)網(wǎng)絡(luò)上的目標(biāo)對(duì)象可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查，目標(biāo)對(duì)象可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用程序等，系統(tǒng)管理員根據(jù)漏洞掃描器提供的安全性分析報(bào)告，進(jìn)行相應(yīng)的安排或處置。在網(wǎng)絡(luò)安全體系中，掃描器具有花費(fèi)低、效果好、見(jiàn)效快、與網(wǎng)絡(luò)運(yùn)行相獨(dú)立、安裝運(yùn)行簡(jiǎn)單等優(yōu)點(diǎn)[29]。圖1-5漏洞掃描的原理1.2.2.2蜜罐技術(shù)蜜罐被定義為一種安全資源。它沒(méi)有商業(yè)目的，其價(jià)值在于吸引攻擊者非法使用。蜜罐技術(shù)實(shí)質(zhì)上是一種針對(duì)潛在攻擊者的欺騙手段，通過(guò)部署一些主機(jī)、網(wǎng)絡(luò)服務(wù)或信息作為誘餌迷惑攻擊者，吸引潛在攻擊者攻擊這些虛假設(shè)施，并實(shí)現(xiàn)攻擊者攻擊行為的捕獲與分析，獲取攻擊者所使用的攻擊方法和相應(yīng)工具，推測(cè)攻擊者的動(dòng)機(jī)和攻擊意圖，使得防御者可以清楚地了解網(wǎng)絡(luò)設(shè)施所面臨的安全風(fēng)險(xiǎn)，進(jìn)而利用管理和技術(shù)手段提高系統(tǒng)的安保能力[70]。蜜罐技術(shù)也是一種主動(dòng)的網(wǎng)絡(luò)防護(hù)技術(shù)。主要研究如何構(gòu)建一個(gè)逼真的欺騙干擾環(huán)境，并誘使?jié)撛诠粽邔?duì)其進(jìn)行攻擊，實(shí)現(xiàn)攻擊行為和攻擊方法的捕獲以及風(fēng)險(xiǎn)預(yù)警，進(jìn)而保護(hù)真實(shí)系統(tǒng)和網(wǎng)絡(luò)。蜜罐類(lèi)似于醫(yī)學(xué)上的“細(xì)菌培養(yǎng)皿”。它可以觀察特定探測(cè)環(huán)境中可能的入侵者的行為，記錄它們的活動(dòng)規(guī)則，盡可能多的收集入侵信息，從而分析入侵者的級(jí)別、目的、工具和手段。蜜罐的典型應(yīng)用場(chǎng)景主要有網(wǎng)絡(luò)入侵檢測(cè)、惡意代碼樣本捕獲、攻擊特征提娶安全威脅跟蹤與分析等[29]。存在問(wèn)題：蜜罐環(huán)境尚未有效解決可控性與仿真度間的矛盾：若構(gòu)建與業(yè)務(wù)系統(tǒng)相一致的高交互度蜜罐，雖然可以達(dá)到很好的偽裝性，但是將會(huì)造成巨大的維護(hù)成本，影響攻擊行為的檢測(cè)粒度。而具有低交互度的輕型蜜罐，雖然維護(hù)成本降低，可控性提高，但是在仿真度上卻又極

戰(zhàn)略支援部隊(duì)信息工程大學(xué)博士學(xué)位論文第12頁(yè)難以避免潛在攻擊者利用漏洞發(fā)起的攻擊，更不可能預(yù)知所有未知形式的攻擊方法，難以避免的存在一些成功實(shí)施的惡意攻擊。因此很有必要研發(fā)即使遭到一定程度的攻擊仍能保證給定服務(wù)魯棒性的系統(tǒng)[71]。從本質(zhì)上講，入侵容忍是一種系統(tǒng)可生存性技術(shù)，如圖1-6所示。根據(jù)安全要求，入侵容忍系統(tǒng)應(yīng)達(dá)到以下目標(biāo)：1）能夠在一定程度上防范攻擊的發(fā)生；2）當(dāng)遭遇攻擊時(shí)，能夠恢復(fù)受攻擊影響的服務(wù)和數(shù)據(jù)；3）遭遇攻擊后，能夠評(píng)估攻擊所造成的影響。為了實(shí)現(xiàn)系統(tǒng)的入侵容忍目標(biāo)，系統(tǒng)需要采用一些安全機(jī)制[29]，例如：入侵檢測(cè)機(jī)制、入侵遏制機(jī)制、安全通信機(jī)制以及錯(cuò)誤處理機(jī)制等。存在問(wèn)題：入侵行為指的是由系統(tǒng)組件遭受外部攻擊，傳統(tǒng)的基于隨機(jī)故障觸發(fā)的容錯(cuò)系統(tǒng)很少考慮這種蓄意攻擊行為。當(dāng)前的容錯(cuò)技術(shù)一般有相關(guān)軟硬構(gòu)件的歷史統(tǒng)計(jì)數(shù)據(jù)、大量的試驗(yàn)和實(shí)驗(yàn)數(shù)據(jù)、經(jīng)實(shí)踐檢驗(yàn)過(guò)的失效模型等先驗(yàn)知識(shí)支持，它的錯(cuò)誤模式相對(duì)容易定義。然而面對(duì)復(fù)雜環(huán)境中的內(nèi)外部攻擊，特別是無(wú)任何特征和先兆的人為攻擊，很難給出有意義的錯(cuò)誤模式。圖1-6入侵容忍理論模型1.2.2.4移動(dòng)目標(biāo)防御移動(dòng)目標(biāo)防御（MTD）作為一種動(dòng)態(tài)、主動(dòng)的防御技術(shù)，能夠通過(guò)不斷轉(zhuǎn)移攻擊表面挫敗攻擊者的攻擊。不同于先前的網(wǎng)絡(luò)安全研究思路，移動(dòng)目標(biāo)防御并不是追求建立一種完全無(wú)缺陷的系統(tǒng)來(lái)抵御攻擊，而是建立一種具有攻擊表面多樣化、不斷變化的目標(biāo)系統(tǒng)，并深入研究和評(píng)價(jià)相關(guān)動(dòng)態(tài)部署機(jī)制、部署策略的影響。移動(dòng)目標(biāo)防御技術(shù)的動(dòng)態(tài)變化特性，通過(guò)主動(dòng)變換目標(biāo)系統(tǒng)攻擊表面的方式克服傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)的缺點(diǎn)，有效改變了防御方的被動(dòng)局面。文獻(xiàn)[72]提出了系統(tǒng)攻擊表面具體的形式化模型。文獻(xiàn)[73]通過(guò)博弈論等方法研究?
【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 晏菁;;產(chǎn)品擬態(tài)化:產(chǎn)品創(chuàng)新的革命[J];銷(xiāo)售與市場(chǎng)(管理版);2010年10期

2 姜國(guó)君;;信用風(fēng)險(xiǎn)中的擬態(tài)現(xiàn)象及其識(shí)別[J];北方經(jīng)濟(jì);2007年08期

3 劉桂敏;關(guān)于擬聲擬態(tài)語(yǔ)(五)[J];日語(yǔ)知識(shí);1998年03期

4 華騰飛;;生物擬態(tài)有妙用[J];少兒科技;2012年03期

5 鄔江興;;網(wǎng)絡(luò)空間擬態(tài)防御原理簡(jiǎn)介(下)[J];網(wǎng)信軍民融合;2017年02期

6 劉德明;;擬態(tài)的生物學(xué)效應(yīng)[J];生物學(xué)教學(xué);2010年04期

7 何永忠;陳美玲;;基于協(xié)議的擬態(tài)研究綜述[J];北京交通大學(xué)學(xué)報(bào);2016年05期

8 蒂莫·馬倫;湯黎;;生物擬態(tài)的符號(hào)學(xué)闡釋[J];鄱陽(yáng)湖學(xué)刊;2014年04期

9 王科奇;;基于感知自然物象的建筑創(chuàng)作方法——擬態(tài)建筑[J];四川建筑科學(xué)研究;2011年06期

10 張華;;“生物擬態(tài)”——中國(guó)小企業(yè)生存模式探索[J];當(dāng)代經(jīng)濟(jì)(下半月);2007年06期

相關(guān)博士學(xué)位論文 前10條

1 丁紹虎;信息通信網(wǎng)絡(luò)中擬態(tài)防御機(jī)理與關(guān)鍵技術(shù)研究[D];戰(zhàn)略支援部隊(duì)信息工程大學(xué);2020年

2 周娟;“消費(fèi)精英”空間生產(chǎn)：權(quán)力場(chǎng)域中的媒介擬態(tài)消費(fèi)環(huán)境建構(gòu)[D];武漢大學(xué);2010年

3 李青峰;軸突導(dǎo)向因子Netrin-1在肺癌血管擬態(tài)和血管新生中的作用及機(jī)制的初步研究[D];華中科技大學(xué);2011年

4 王艷;多目標(biāo)擬態(tài)物理學(xué)優(yōu)化算法及其應(yīng)用研究[D];蘭州理工大學(xué);2011年

5 謝麗萍;基于擬態(tài)物理學(xué)的全局優(yōu)化算法設(shè)計(jì)及性能分析[D];蘭州理工大學(xué);2010年

6 馬希敏;大眾傳媒構(gòu)建的“擬態(tài)”體育環(huán)境研究[D];北京體育大學(xué);2009年

7 張英佳;基于Flickr地理標(biāo)記圖片的城市擬態(tài)空間與擬態(tài)行為研究[D];遼寧師范大學(xué);2016年

8 蘇敏;卵巢癌細(xì)胞形成擬態(tài)血管及其抑制的體內(nèi)研究[D];復(fù)旦大學(xué);2007年

9 張琳;M2樣腫瘤相關(guān)巨噬細(xì)胞對(duì)膠質(zhì)瘤血管擬態(tài)的影響及機(jī)制研究[D];山東大學(xué);2017年

10 葉真龍;Argonaute-2蛋白在肝癌血管生成和擬態(tài)中的功能研究[D];第二軍醫(yī)大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 徐泓穎;關(guān)于宮澤賢治作品中擬聲擬態(tài)語(yǔ)的翻譯研究報(bào)告[D];吉林大學(xué);2013年

2 伍永波;傳粉擬態(tài)系統(tǒng)模型的穩(wěn)定性分析與仿真[D];重慶郵電大學(xué);2017年

3 韓金;自媒體對(duì)擬態(tài)消費(fèi)環(huán)境的建構(gòu)[D];河北師范大學(xué);2020年

4 金愛(ài)花;韓日擬聲擬態(tài)語(yǔ)比較研究[D];延邊大學(xué);2011年

5 邢運(yùn)芳;關(guān)于日語(yǔ)中擬聲擬態(tài)語(yǔ)的音韻和形態(tài)特征[D];湖南師范大學(xué);2008年

6 張艷麗;探析體育內(nèi)涵在擬態(tài)真實(shí)中的實(shí)現(xiàn)[D];吉林大學(xué);2009年

7 王龍江;基于網(wǎng)絡(luò)編碼的數(shù)據(jù)擬態(tài)化存儲(chǔ)關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2017年

8 常晶;新聞發(fā)言人制度對(duì)中國(guó)擬態(tài)國(guó)家形象的影響與塑造[D];外交學(xué)院;2015年

9 張斐;基于約束保持法的矢量擬態(tài)物理學(xué)約束優(yōu)化算法研究[D];太原科技大學(xué);2011年

10 譚健;基于擬態(tài)計(jì)算機(jī)的全流水架構(gòu)MD5算法及口令恢復(fù)研究[D];鄭州大學(xué);2017年

本文編號(hào)：2861281