當(dāng)前,信息通信網(wǎng)絡(luò)作為繼陸、海、空、天之后的第五維空間,已由傳統(tǒng)的單一消費型信息系統(tǒng)轉(zhuǎn)變成與國民經(jīng)濟和社會發(fā)展高度相關(guān)的重大基礎(chǔ)設(shè)施,輻射人類生產(chǎn)、生活、社會活動乃至意識形態(tài)的各個方面,對世界各國政治、經(jīng)濟、軍事產(chǎn)生了深刻的影響。各類新興技術(shù)特別是軟件定義網(wǎng)絡(luò)(Software-Defined Networking,SDN)、網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)、云計算(Cloud Computing,CC)等蓬勃發(fā)展并廣泛應(yīng)用,使得信息通信網(wǎng)絡(luò)展現(xiàn)出前所未有的發(fā)展生機。然而,隨著信息通信網(wǎng)絡(luò)規(guī)模的快速膨脹及各種網(wǎng)絡(luò)要素的巨復(fù)雜特性,特別是在信息技術(shù)全球化發(fā)展浪潮下網(wǎng)絡(luò)各類軟/硬件系統(tǒng)極易被“毒化污染”,使得近年來網(wǎng)絡(luò)節(jié)點或鏈路失效以及漏洞、后門等不確定擾動問題凸顯,信息通信網(wǎng)絡(luò)魯棒性和安全性成為當(dāng)前亟待解決的問題。針對該問題,相關(guān)研究人員前期提出了各類解決方案,例如,蜜罐技術(shù),聯(lián)動式防御,入侵容忍技術(shù),沙箱隔離防御,可信計算,移動目標(biāo)防御(Moving Target Defense,MTD)。然而,上述方案都具有一定的局限性,特別是難以防御由未知漏洞和后門導(dǎo)致的不確定失效和未知網(wǎng)絡(luò)威脅。網(wǎng)絡(luò)空間擬態(tài)防御(Cyberspace Mimic Defense,CMD),作為一種新型內(nèi)生安全技術(shù),通過引入動態(tài)異構(gòu)冗余架構(gòu)和負反饋控制機制,可以解決網(wǎng)絡(luò)空間不同領(lǐng)域目標(biāo)對象上基于漏洞后門或病毒木馬等確定或不確定威脅問題。近年來,網(wǎng)絡(luò)空間擬態(tài)防御在理論研究、技術(shù)攻關(guān)和示范應(yīng)用等方面已經(jīng)取得很多創(chuàng)新成果。隨著網(wǎng)絡(luò)空間擬態(tài)防御技術(shù)在信息通信網(wǎng)絡(luò)中進一步發(fā)展,對改變信息通信網(wǎng)絡(luò)“易攻難守”的安全防御困境具有重要意義�；谏鲜隹紤],本課題對信息通信網(wǎng)絡(luò)中擬態(tài)防御機理與關(guān)鍵技術(shù)展開深入研究,首先提出了一種基于博弈模型的擬態(tài)防御策略評估方法,然后在此基礎(chǔ)上,進一步將擬態(tài)防御思想應(yīng)用到信息通信網(wǎng)絡(luò)的控制層和服務(wù)層,實現(xiàn)了“網(wǎng)絡(luò)魯棒控制”和“服務(wù)魯棒提供”的安全目標(biāo)。本課題的主要研究成果如下:1.借鑒近年來在高級持續(xù)性威脅分析中普遍采用的FlipIt博弈模型,提出針對擬態(tài)防御場景的攻防博弈改進模型M-FlipIt,對高級持續(xù)性威脅下的信息通信網(wǎng)絡(luò)擬態(tài)防御系統(tǒng)的安全性進行了深入分析。通過分別討論在完全異構(gòu)和有限異構(gòu)條件下,防御者和攻擊者的收益變化情況,提出了不同異構(gòu)條件下擬態(tài)防御的動態(tài)調(diào)度策略,實現(xiàn)了異構(gòu)性和動態(tài)性的良好均衡。2.針對信息通信網(wǎng)絡(luò)控制層的異構(gòu)控制器存在多樣化差異且評估困難的問題,提出了一種基于網(wǎng)絡(luò)分析法(Analytical Network Process,ANP)的控制器異構(gòu)性評估方法,不僅考慮選擇條件,還考慮控制器所具有的每個功能,從而為如何選擇擬態(tài)防御中異構(gòu)控制器確定了一個多決策準則。首先使用ANP執(zhí)行基于功能的控制器評估,然后對兩個具有高優(yōu)先級的控制器,在抖動和端到端時延方面進行性能比較。最終,確定具有最優(yōu)功能和最優(yōu)服務(wù)質(zhì)量的控制器。仿真結(jié)果表明,該方法能夠根據(jù)基于ANP計算得到的限制矩陣,較好完成所需異構(gòu)功能的控制器選擇。3.針對信息通信網(wǎng)絡(luò)中集中式管控所導(dǎo)致的控制層易受攻擊的問題,提出基于擬態(tài)防御的控制層安全機制,引入共識機制,使用多個異構(gòu)的等價控制器同時處理數(shù)據(jù)層請求,通過對比它們的流表項來檢測主控制器是否存在惡意行為。其中,重點研究了如何在語義層面對比多個異構(gòu)控制器的流表項,以解決它們在語法上的差異化問題。該安全機制不依賴于對惡意行為的先驗知識,實驗結(jié)果驗證對惡意行為檢測的有效性和良好的檢測性能。4.針對信息通信網(wǎng)絡(luò)服務(wù)層中虛擬網(wǎng)絡(luò)功能面臨的惡意攻擊和隨機失效風(fēng)險,提出一種支持節(jié)點分割與異構(gòu)備份的服務(wù)功能鏈部署方法。該方法引入虛擬網(wǎng)絡(luò)功能節(jié)點拆分和擬態(tài)防御思想,在滿足服務(wù)功能鏈部署約束條件下,以最小化鏈路資源開銷為目標(biāo)建立了優(yōu)化模型,并設(shè)計了基于寬容分層序列思想與貪婪選擇的服務(wù)功能鏈部署算法。實驗結(jié)果表明,相比于傳統(tǒng)冗余備份部署方法,該方法在較大幅度提高服務(wù)功能鏈抗攻擊性能的同時,降低了17%的計算資源開銷和10%的鏈路帶寬資源開銷。本課題依托國家自然科學(xué)基金面上項目——信息通信網(wǎng)絡(luò)廣義魯棒控制機理研究,相關(guān)研究成果可以為網(wǎng)絡(luò)空間擬態(tài)防御提供技術(shù)支撐,拓展擬態(tài)防御在信息通信網(wǎng)絡(luò)領(lǐng)域新的研究方向與應(yīng)用。
【學(xué)位單位】：戰(zhàn)略支援部隊信息工程大學(xué)
【學(xué)位級別】：博士
【學(xué)位年份】：2020
【中圖分類】：TP393.0
【部分圖文】：

戰(zhàn)略支援部隊信息工程大學(xué)博士學(xué)位論文第6頁將動態(tài)異構(gòu)冗余特性引入魯棒控制體系結(jié)構(gòu)設(shè)計中，實現(xiàn)了網(wǎng)絡(luò)服務(wù)功能與多冗余配置的實現(xiàn)結(jié)構(gòu)或算法之間的不確定映射關(guān)系。動態(tài)替換，清洗和恢復(fù)策略在實現(xiàn)目標(biāo)執(zhí)行體或場景的外部服務(wù)功能不變的前提下，使執(zhí)行功能對等條件下的執(zhí)行體結(jié)構(gòu)表示有更多的不確定性，這使得目標(biāo)對象呈現(xiàn)動態(tài)、隨機化和多樣化。圖1-4給出了該架構(gòu)運行過程。策略分發(fā)模塊對應(yīng)輸入代理環(huán)節(jié)，主要功能是根據(jù)策略調(diào)度環(huán)節(jié)的指令決定是否將外部輸入與當(dāng)前服務(wù)集內(nèi)的指定異構(gòu)執(zhí)行體鉸鏈，以實現(xiàn)激活執(zhí)行體、執(zhí)行體掛起修復(fù)或者執(zhí)行其他給定的任務(wù)，通常是用一個路徑和模式可定義的交換模塊來具體完成互聯(lián)分發(fā)功能。當(dāng)前服務(wù)集中的異構(gòu)執(zhí)行體元素用Aj表示(j=1,2,…,k)，每個執(zhí)行體又可以根據(jù)策略調(diào)度指令被賦予功能等價的多種場景，用Ei表示(i=1,2,…,m)。場景Ei，一方面可以利用構(gòu)件池中標(biāo)準或非標(biāo)準的軟硬件實體或虛體模塊，通過基于池化資源的可重構(gòu)、可重組、可重建、可重定義、虛擬化等多維動態(tài)重構(gòu)技術(shù)生成m種功能等價、實現(xiàn)算法不同的防御場景；另一方面也可以通過不同級別的初始化操作、啟動或調(diào)用測試診斷工具、激活相應(yīng)的防護功能等方式獲得服務(wù)功能不變但運行環(huán)境發(fā)生改變的防御場景。圖1-4基于DHR的CMD架構(gòu)運行過程策略調(diào)度器也是DHR體系結(jié)構(gòu)中的反饋控制器。一旦收到表決器的異常狀態(tài)，至少有三個任務(wù)要完成。首先，判斷是否有合格的輸出向量選擇，根據(jù)給定的投票策略，如果沒有，需要調(diào)用其他決策算法做出決定。第二，根據(jù)設(shè)定的調(diào)度策略指令，輸入和分發(fā)環(huán)節(jié)，將可疑的問題執(zhí)行體從當(dāng)前服務(wù)集中移除，或者將處于備用狀態(tài)的執(zhí)行體鏈接到服務(wù)集中，或者將新的防御場景直接分配給可疑的問題執(zhí)行體。必要時，可以替換服?

第一章緒論第11頁掃描器一般采用模擬攻擊的形式對網(wǎng)絡(luò)上的目標(biāo)對象可能存在的已知安全漏洞進行逐項檢查，目標(biāo)對象可以是工作站、服務(wù)器、交換機、數(shù)據(jù)庫、應(yīng)用程序等，系統(tǒng)管理員根據(jù)漏洞掃描器提供的安全性分析報告，進行相應(yīng)的安排或處置。在網(wǎng)絡(luò)安全體系中，掃描器具有花費低、效果好、見效快、與網(wǎng)絡(luò)運行相獨立、安裝運行簡單等優(yōu)點[29]。圖1-5漏洞掃描的原理1.2.2.2蜜罐技術(shù)蜜罐被定義為一種安全資源。它沒有商業(yè)目的，其價值在于吸引攻擊者非法使用。蜜罐技術(shù)實質(zhì)上是一種針對潛在攻擊者的欺騙手段，通過部署一些主機、網(wǎng)絡(luò)服務(wù)或信息作為誘餌迷惑攻擊者，吸引潛在攻擊者攻擊這些虛假設(shè)施，并實現(xiàn)攻擊者攻擊行為的捕獲與分析，獲取攻擊者所使用的攻擊方法和相應(yīng)工具，推測攻擊者的動機和攻擊意圖，使得防御者可以清楚地了解網(wǎng)絡(luò)設(shè)施所面臨的安全風(fēng)險，進而利用管理和技術(shù)手段提高系統(tǒng)的安保能力[70]。蜜罐技術(shù)也是一種主動的網(wǎng)絡(luò)防護技術(shù)。主要研究如何構(gòu)建一個逼真的欺騙干擾環(huán)境，并誘使?jié)撛诠粽邔ζ溥M行攻擊，實現(xiàn)攻擊行為和攻擊方法的捕獲以及風(fēng)險預(yù)警，進而保護真實系統(tǒng)和網(wǎng)絡(luò)。蜜罐類似于醫(yī)學(xué)上的“細菌培養(yǎng)皿”。它可以觀察特定探測環(huán)境中可能的入侵者的行為，記錄它們的活動規(guī)則，盡可能多的收集入侵信息，從而分析入侵者的級別、目的、工具和手段。蜜罐的典型應(yīng)用場景主要有網(wǎng)絡(luò)入侵檢測、惡意代碼樣本捕獲、攻擊特征提娶安全威脅跟蹤與分析等[29]。存在問題：蜜罐環(huán)境尚未有效解決可控性與仿真度間的矛盾：若構(gòu)建與業(yè)務(wù)系統(tǒng)相一致的高交互度蜜罐，雖然可以達到很好的偽裝性，但是將會造成巨大的維護成本，影響攻擊行為的檢測粒度。而具有低交互度的輕型蜜罐，雖然維護成本降低，可控性提高，但是在仿真度上卻又極

戰(zhàn)略支援部隊信息工程大學(xué)博士學(xué)位論文第12頁難以避免潛在攻擊者利用漏洞發(fā)起的攻擊，更不可能預(yù)知所有未知形式的攻擊方法，難以避免的存在一些成功實施的惡意攻擊。因此很有必要研發(fā)即使遭到一定程度的攻擊仍能保證給定服務(wù)魯棒性的系統(tǒng)[71]。從本質(zhì)上講，入侵容忍是一種系統(tǒng)可生存性技術(shù)，如圖1-6所示。根據(jù)安全要求，入侵容忍系統(tǒng)應(yīng)達到以下目標(biāo)：1）能夠在一定程度上防范攻擊的發(fā)生；2）當(dāng)遭遇攻擊時，能夠恢復(fù)受攻擊影響的服務(wù)和數(shù)據(jù)；3）遭遇攻擊后，能夠評估攻擊所造成的影響。為了實現(xiàn)系統(tǒng)的入侵容忍目標(biāo)，系統(tǒng)需要采用一些安全機制[29]，例如：入侵檢測機制、入侵遏制機制、安全通信機制以及錯誤處理機制等。存在問題：入侵行為指的是由系統(tǒng)組件遭受外部攻擊，傳統(tǒng)的基于隨機故障觸發(fā)的容錯系統(tǒng)很少考慮這種蓄意攻擊行為。當(dāng)前的容錯技術(shù)一般有相關(guān)軟硬構(gòu)件的歷史統(tǒng)計數(shù)據(jù)、大量的試驗和實驗數(shù)據(jù)、經(jīng)實踐檢驗過的失效模型等先驗知識支持，它的錯誤模式相對容易定義。然而面對復(fù)雜環(huán)境中的內(nèi)外部攻擊，特別是無任何特征和先兆的人為攻擊，很難給出有意義的錯誤模式。圖1-6入侵容忍理論模型1.2.2.4移動目標(biāo)防御移動目標(biāo)防御（MTD）作為一種動態(tài)、主動的防御技術(shù)，能夠通過不斷轉(zhuǎn)移攻擊表面挫敗攻擊者的攻擊。不同于先前的網(wǎng)絡(luò)安全研究思路，移動目標(biāo)防御并不是追求建立一種完全無缺陷的系統(tǒng)來抵御攻擊，而是建立一種具有攻擊表面多樣化、不斷變化的目標(biāo)系統(tǒng)，并深入研究和評價相關(guān)動態(tài)部署機制、部署策略的影響。移動目標(biāo)防御技術(shù)的動態(tài)變化特性，通過主動變換目標(biāo)系統(tǒng)攻擊表面的方式克服傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)的缺點，有效改變了防御方的被動局面。文獻[72]提出了系統(tǒng)攻擊表面具體的形式化模型。文獻[73]通過博弈論等方法研究?
【相似文獻】

相關(guān)期刊論文 前10條

1 晏菁;;產(chǎn)品擬態(tài)化:產(chǎn)品創(chuàng)新的革命[J];銷售與市場(管理版);2010年10期

2 姜國君;;信用風(fēng)險中的擬態(tài)現(xiàn)象及其識別[J];北方經(jīng)濟;2007年08期

3 劉桂敏;關(guān)于擬聲擬態(tài)語(五)[J];日語知識;1998年03期

4 華騰飛;;生物擬態(tài)有妙用[J];少兒科技;2012年03期

5 鄔江興;;網(wǎng)絡(luò)空間擬態(tài)防御原理簡介(下)[J];網(wǎng)信軍民融合;2017年02期

6 劉德明;;擬態(tài)的生物學(xué)效應(yīng)[J];生物學(xué)教學(xué);2010年04期

7 何永忠;陳美玲;;基于協(xié)議的擬態(tài)研究綜述[J];北京交通大學(xué)學(xué)報;2016年05期

8 蒂莫·馬倫;湯黎;;生物擬態(tài)的符號學(xué)闡釋[J];鄱陽湖學(xué)刊;2014年04期

9 王科奇;;基于感知自然物象的建筑創(chuàng)作方法——擬態(tài)建筑[J];四川建筑科學(xué)研究;2011年06期

10 張華;;“生物擬態(tài)”——中國小企業(yè)生存模式探索[J];當(dāng)代經(jīng)濟(下半月);2007年06期

相關(guān)博士學(xué)位論文 前10條

1 丁紹虎;信息通信網(wǎng)絡(luò)中擬態(tài)防御機理與關(guān)鍵技術(shù)研究[D];戰(zhàn)略支援部隊信息工程大學(xué);2020年

2 周娟;“消費精英”空間生產(chǎn)：權(quán)力場域中的媒介擬態(tài)消費環(huán)境建構(gòu)[D];武漢大學(xué);2010年

3 李青峰;軸突導(dǎo)向因子Netrin-1在肺癌血管擬態(tài)和血管新生中的作用及機制的初步研究[D];華中科技大學(xué);2011年

4 王艷;多目標(biāo)擬態(tài)物理學(xué)優(yōu)化算法及其應(yīng)用研究[D];蘭州理工大學(xué);2011年

5 謝麗萍;基于擬態(tài)物理學(xué)的全局優(yōu)化算法設(shè)計及性能分析[D];蘭州理工大學(xué);2010年

6 馬希敏;大眾傳媒構(gòu)建的“擬態(tài)”體育環(huán)境研究[D];北京體育大學(xué);2009年

7 張英佳;基于Flickr地理標(biāo)記圖片的城市擬態(tài)空間與擬態(tài)行為研究[D];遼寧師范大學(xué);2016年

8 蘇敏;卵巢癌細胞形成擬態(tài)血管及其抑制的體內(nèi)研究[D];復(fù)旦大學(xué);2007年

9 張琳;M2樣腫瘤相關(guān)巨噬細胞對膠質(zhì)瘤血管擬態(tài)的影響及機制研究[D];山東大學(xué);2017年

10 葉真龍;Argonaute-2蛋白在肝癌血管生成和擬態(tài)中的功能研究[D];第二軍醫(yī)大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 徐泓穎;關(guān)于宮澤賢治作品中擬聲擬態(tài)語的翻譯研究報告[D];吉林大學(xué);2013年

2 伍永波;傳粉擬態(tài)系統(tǒng)模型的穩(wěn)定性分析與仿真[D];重慶郵電大學(xué);2017年

3 韓金;自媒體對擬態(tài)消費環(huán)境的建構(gòu)[D];河北師范大學(xué);2020年

4 金愛花;韓日擬聲擬態(tài)語比較研究[D];延邊大學(xué);2011年

5 邢運芳;關(guān)于日語中擬聲擬態(tài)語的音韻和形態(tài)特征[D];湖南師范大學(xué);2008年

6 張艷麗;探析體育內(nèi)涵在擬態(tài)真實中的實現(xiàn)[D];吉林大學(xué);2009年

7 王龍江;基于網(wǎng)絡(luò)編碼的數(shù)據(jù)擬態(tài)化存儲關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2017年

8 常晶;新聞發(fā)言人制度對中國擬態(tài)國家形象的影響與塑造[D];外交學(xué)院;2015年

9 張斐;基于約束保持法的矢量擬態(tài)物理學(xué)約束優(yōu)化算法研究[D];太原科技大學(xué);2011年

10 譚健;基于擬態(tài)計算機的全流水架構(gòu)MD5算法及口令恢復(fù)研究[D];鄭州大學(xué);2017年

本文編號：2861281