摘要：随着互联网技术的普及和发展,用户数据和隐私的保护已经成为一个热门的研究领域。网络空间安全防御从被动防御发展到主动防御,防御性能和成功率获得了显著的提升。然而,传统的被动防御和主动防御本质上都是功能和安全松耦合的外壳式防御,对未知攻击的防御性能较差。网络空间拟态防御(cyberspace mimic defense,CMD)是在传统网络安全防御方式上发展出来的网络内生安全实现形式,核心架构为动态异构冗余架构,架构实现主体主要由异构执行体集合、分发器、拟态变换器和表决器4部分组成,同时以CMD三定理及网络安全不完全交集定理为理论基础。其中,通过异构执行体增加系统的异构性,并由表决算法决定异构执行体中上下线的个体,最终由调度算法完成系统中执行体的上下线过程。本文主要从网络空间安全发展的历史沿革出发,对比传统防御方式与拟态防御的差异,着重介绍拟态架构中异构策略、调度策略以及表决策略的具体实现形式,并罗列在实践过程中融合拟态防御思想的应用实例。拟态防御已经在各个领域有了较为广泛的应用基础,在此基础上的研究可以将现有网络安全体系推进到新的阶段。

摘要：网络流量异常检测是负载均衡、入侵检测、流量工程等应用的基础,但现有检测方案在遭受网络攻击、服务器发生软错误等异常情况下缺乏足够鲁棒性.为此,引入拟态防御思想,提出一种基于拟态防御的网络流量异常检测架构.通过设计多个异构检测模块,以增强检测鲁棒性.为减少拟态化构造引入的额外开销,设计了索引数据结构、迷你执行体.基于真实流量数据的初步实验结果表明,采用的多模裁决机制减少了检测假阳性,所提架构平均准确率强于传统异常检测方案.

摘要：网络空间拟态防御技术是一种基于动态异构冗余的新型主动防御技术,通过引入多个异构冗余的执行体,增强广义鲁棒性,通过对多个执行体的策略或者周期性调度,对外呈现特征的不确定性变化,增强安全性。路由协议安全是网络安全的重要组成部分,OSPF协议作为网络空间中部署最广泛、实现最复杂的路由协议,如何实现各异构执行体OSPF协议功能的等价,是支持拟态防御的网络设备亟需解决的问题。首先,科学阐述了拟态防御的设计思想,详细描述了支持拟态防御的路由器的体系结构,论述了OSPF协议在拟态防御体系结构中的处理方法,通过引入OSPF协议代理实现各异构执行体OSPF协议功能的等价,在支持拟态防御的路由器原型样机中验证了该方法的可行性和高性能。最后,结合几种经典的OSPF路由攻击产生的路由器安全风险进行了具体说明及实验验证,实验表明该方法能够有效提高其应对OSPF网络攻击的能力。

摘要：构建网络功能虚拟化(NFV)拟态防御架构能够打破防御滞后于攻击的攻防不对等格局,其中动态调度策略是关键实现技术。然而,现有拟态防御架构中的动态调度策略大多根据执行体自身固有的特点进行调度,没有进一步利用裁决机制对异常执行体的定位感知能力做优化调整。通过引入演化博弈理论,设计一种新的NFV拟态防御架构动态调度策略。在NFV拟态防御架构中增加一个分析器,用于对历史裁决信息进行分析研究。根据分析器中得到的反馈信息,从攻防双方的有限理性出发构建多状态动态调度演化博弈模型,并采用复制动态方程求解该博弈模型的演化均衡策略,利用李雅普诺夫间接法对均衡策略进行稳定性分析,提出基于演化博弈的动态调度策略选取算法。仿真结果表明,该策略能够利用裁决机制对异常执行体的定位感知能力,通过深入分析研究和不断调整优化选择具有适应性和针对性的调度策略,有效提升系统的安全收益和防御效能。

摘要：VPN技术能够有效保障通信流量的保密性和完整性,但是近年来出现的名为blind in/on-path的流量劫持攻击利用VPN协议规则,通过将伪造报文注入加密隧道的方式来实施攻击,严重威胁了VPN技术的安全性。针对此类威胁,提出了基于拟态防御的VPN流量劫持防御技术,并设计了拟态VPN架构(Mimic VPN,M-VPN)。该架构由选调器和包含多个异构的VPN加解密节点的节点池组成。首先选调器根据节点的可信度动态地选取若干加解密节点,来并行处理加密流量;然后对各加解密节点的处理结果进行综合裁决;最后将裁决结果作为响应报文以及更新可信度的依据。通过对来自不同节点的同一响应进行裁决,有效阻止了攻击者注入伪造报文。实验仿真结果表明,相比传统的VPN架构,M-VPN可以降低blind in/on-path攻击成功率约12个数量级。

摘要：Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护Web服务器系统的安全.首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于"动态异构冗余"结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御Web服务器,介绍了其架构,分析了拟态原理在Web服务器上的实现.安全性和性能测试结果显示,拟态防御Web服务器能够在较小开销的前提下防御测试中的全部攻击类型.说明拟态防御Web服务器能够有效地提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.

摘要：针对软硬件差异化容易导致拟态裁决结果不一致所造成的假阳现象被误认为网络攻击的问题,提出了一种基于深度学习的拟态裁决方法。通过构建无监督的自编码-解码深度学习模型,挖掘不同执行体输出多样化正常响应数据的深度语义特征,分析归纳其统计规律,并通过设计基于离线学习-在线裁决联动的训练机制和基于反馈优化机制来解决假阳现象,从而准确检测网络攻击,提高目标系统的安全弹性。鉴于软硬件差异导致正常响应数据间的统计规律已被深度学习模型理解掌握,因此不同执行体间拟态裁决结果将保持一致,即目标系统处于安全状态。一旦目标系统受到网络攻击,执行体的响应数据将偏离深度学习模型的统计规律,致使拟态裁决结果不一致,即目标系统存在潜在安全威胁。实验结果表明,所提方法的检测性能显著优于主流的拟态裁决方法,且平均预测准确度提升了14.89%,有利于将该方法集成到真实应用的拟态化改造来增强系统的防护能力。

摘要：针对以太网交换机面临的未知漏洞和未知后门安全威胁,提出了一种基于拟态防御理论的交换机内生安全体系结构。介绍了所提体系结构的理论基础、构建方式、安全机理;提出并分析了TAMA的算法策略及安全提升效果;设计实现了拟态交换机原型样机并进行了白盒插桩及攻击链安全性测试。理论分析及测试结果表明,在各种攻击场景下,所提体系结构具有良好的未知漏洞和未知后门防御能力。

摘要：针对传统物理访问控制系统的认证方法易受攻击的安全问题,基于拟态防御技术及其动态异构冗余架构(DHR)原理,以移动端二维码为接口、以动态口令为内核设计了一种拟态防御认证方法。首先,构建认证服务器的执行体池;然后,利用由输入分发代理、选调器和表决器等功能模块组成的中心控制器,实现从执行体池中动态调度异构冗余执行体;最后,表决器对异构冗余执行体输出进行多模裁决决定认证结果。实验结果表明,对比传统物理访问控制系统的认证方法,所提认证方法具有更高的安全性和可靠性。此外,所提认证方法能与其他认证方法组合使用。

摘要：提出了一种支撑多路径负载均衡配置的SDN拟态防御架构,首先,针对以往强化学习方法的状态空间狭小,难以提取人工特征性等问题,利用深度强化学习方法,结合网络链路负载和流量特征,进行多路径的自适应配置,以确保网络服务的负载均衡。而后,将动态异构冗余架构引入SDN控制层,来确保生成的路径配置信息准确性,并利用Openflow中的packet_in消息进行数据转发路径效验机制的设计,由此建构SDN拟态防御架构;最后,通过仿真对比实验得出SDN拟态防御框架下的失效概率始终处于稳定的低位状态的结论,可见安全防御性能更优。