面向拟态防御系统的异构软件部署策略研究

【摘要】：随着网络安全与大数据、移动互联网、云计算等新技术不断融合,网络攻击技术逐渐向智能化、自动化与多样化发展,网络空间安全防御也逐渐从依赖特征检测的传统防御转变成需要自带“内生安全免疫”功能。拟态防御技术作为“改变网络空间安全游戏规则”的新型主动防御技术,虽然通过了多次专业系统测试和工程实践,但仍存在异构性度量模型适用范围局限、软件部署策略单一等问题。针对上述问题,本文将遵循软件异构性度量、异构软件部署、部署策略安全增益评估的技术路线展开理论研究,并结合拟态表决软件的安全性问题开展理论研究成果的应用探索,以此为拟态防御系统提供一套完整的理论实践方案。主要研究内容及创新点如下:1、提出一种面向拟态防御系统的软件异构性度量模型,解决了现有异构性度量模型难以适用于源码编译生成的软件的问题。拟态防御系统中软件的安全性取决于两个方面,包括单个软件被攻击的可能性和冗余软件之间结构特征的不一致性,本文将其分别归纳为软件异构性的两个特征——复杂性和差异性,以此提出基于软件复杂性和差异性的异构性度量模型。2、提出一种基于异构性和性能的软件部署策略,解决了拟态防御系统异构软件部署策略单一的问题。随着拟态防御系统中软件的异构化和冗余部署,使得针对系统软件的攻击链由可利用转变为不可达或失效,本文将其归纳为拟态防御系统内的异构软件部署行为。为优化拟态防御系统内软件部署效益,引入异构费效比和图异构度的概念,对多样化编译算法异构效益进行评估,并择优选取算法支撑异构软件部署策略研究。实验表明,本文所提部署策略消耗的异构软件数量相比贪婪算法最高缩减10.33倍。此外,根据研究成果设计了一种拟态表决软件的安全运行架构,提高了拟态防御系统中表决软件的安全性。3、提出一种异构软件部署策略安全增益评估方法,完善了部署策略效益的量化评估理论研究。部署策略安全增益作为策略效益的直观体现,也是拟态防御系统安全性的决定因素,其评估方法的研究具有重要意义。因此,引入变体共模逃逸概率的概念,支撑部署策略安全增益评估方法研究。实验表明,运用本文部署策略的系统发生共模逃逸的概率,相比同构情况下最高缩减225倍。