马多贺
- 作品数:57 被引量:93H指数:5
- 供职机构:中国科学院信息工程研究所更多>>
- 发文基金:国家高技术研究发展计划国家重点基础研究发展计划郑州市科技领军人才培育计划更多>>
- 相关领域:自动化与计算机技术电子电信政治法律经济管理更多>>
- 基于网络攻击面自适应转换的移动目标防御技术被引量:13
- 2018年
- 移动目标防御是一种改变网络空间攻防对抗格局的革命性技术,它通过动态改变攻击面使得目标网络更具弹性.网络跳变作为有效抵御主动扫描的防御方法,是实现移动目标防御的关键技术之一.现有跳变机制由于在空间上采用随机选取方法并在时域采用固定跳变周期,极大降低了跳变防御的不可预测性和时效性;与此同时,由于跳变实施过程缺乏约束且跳变部署复杂度高,因此增加了网络开销,降低了跳变防御的可用性和可扩展性.针对以上问题,文中提出了一种基于网络攻击面自适应转换的移动目标防御技术.为了实现网络跳变收益的最大化,在分层跳变的架构上设计了一种网络自适应跳变算法.它由网络威胁感知和跳变策略生成两部分组成.通过设计基于Sibson熵的威胁感知机制分析扫描攻击策略,以指导网络跳变机制的选择;基于网络攻击面和网络探测面定义了网络视图和视图距离,通过设计基于视图距离的跳变策略生成算法,选取使得视图距离最大的跳变端信息集合,以最大化跳变的不可预测性;此外,通过采用跳变周期自拉伸策略保证跳变的时效性.从而通过基于视图距离的跳变策略选取与可变的跳变周期制定实现网络攻击面时空二维的自适应转换,最大化防御收益.为了解决网络资源有限条件下的跳变实施问题,利用可满足性模理论形式化描述跳变实施的约束条件,以保证跳变实施的可用性;通过设计启发式跳变实施部署算法以提高部署效率,以保证跳变防御的可扩展性.最后,理论与实验分析了该技术抵御扫描攻击的能力和跳变成本,通过以不同类型的扫描攻击为例证明了该技术在保证网络服务质量的同时可有效抵御92.1%以上的主动扫描攻击.
- 雷程马多贺马多贺张红旗王利明
- 关键词:网络欺骗
- 一种基于POF的网络窃听防御方法和系统
- 本发明提供一种基于POF的网络窃听防御方法,包括以下步骤:在控制器收到传输路径请求时,计算网络架构中存在的所有传输备选路径;从中随机选取一条,并将该路径的传输方案下发至底层交换机;每隔指定时间,随机切换另一新路径,并以流...
- 王利明徐震宋晨马多贺杨倩姜帆黎海燕荀浩
- 一种多租户云平台安全隔离的主动检测方法
- 本发明公开了一种多租户云平台安全隔离的主动检测方法,实现在运行时对多租户云平台的安全隔离性进行实时检测。方法步骤包括:(1)定义图模型;(2)定义检测基准;(3)初始状态生成;(4)初始隔离检测;(5)运行时隔离检测。本...
- 王利明葛思江李兆璨孔同杨倩马多贺
- 一种云计算虚拟租户网络监控方法及系统
- 本发明公开了一种云计算虚拟租户网络监控方法及系统。本方法为:1)在基础云计算系统的控制节点建立一监控服务器,在计算节点建立一监控代理;2)监控服务器向监控代理发送时间消息和流量采集配置参数;3)各监控代理根据接收的时间消...
- 王利明王淼徐震马多贺陈凯董文婷
- 基于网络空间欺骗的移动目标防御技术研究
- 2025年
- 移动目标防御(Moving Target Defense,MTD)是改变当前网络空间“易攻难守”的攻防不对称局面的革命性技术之一。MTD的基本思想是通过持续不断地转换攻击面,增加攻击者攻击的困难度和复杂度。如何选取转换属性,提高属性攻击面转换空间是MTD领域研究的重点问题。多样化、冗余和欺骗是当前属性攻击面转换空间构造的主要方法。其中,多样化和冗余策略在构建攻击面转换空间时,存在构建成本高以及系统兼容性等问题,使得传统的移动目标防御无论在理论研究,还是在实际应用中都遇到了很大瓶颈。而欺骗策略则为解决这一困难问题提供了契机。欺骗策略由于其虚虚实实的变化,蜜罐、蜜饵、面包屑等多样化的欺骗方式,以及构建成本低、构造欺骗属性容易等特性,被提出用于扩大攻击面转换空间,成为MTD研究的重要技术手段和工具。首先,比较了基于网络空间欺骗的MTD与经典MTD(基于多样化和冗余的MTD)的差异,明确了网络空间欺骗在移动目标防御中发挥的重要价值;然后,基于MTD攻击面理论,提出了欺骗攻击面的概念,并基于此概念对欺骗移动目标防御进行了形式化定义;接着,根据网络空间欺骗机制的作用范围和需应对的攻击威胁,从网络层、系统层、应用层和数据层对基于欺骗的MTD技术及其应用进行了探索与分类,并从理论和实验两个维度总结基于欺骗的MTD有效性的评估方法;最后,归纳了研究面临的主要问题与挑战,并讨论了未来可能的研究方向。
- 张雅勤马多贺Xiaoyan Sun周川周川
- 关键词:网络空间安全
- 基于最优路径跳变的网络移动目标防御技术被引量:10
- 2017年
- 移动目标防御(MTD,moving target defense)是一种改变网络攻防对抗格局的技术,路径跳变则是该领域的研究热点之一。针对现有路径跳变技术,由于路径选取存在盲目性,跳变实施缺乏约束性,难以在保证网络性能的同时最大化防御收益等问题,提出基于最优路径跳变的网络移动目标防御技术。通过可满足性模理论形式化规约路径跳变所需满足的约束,以防止路径跳变引起的瞬态问题;通过基于安全容量矩阵的最优路径跳变生成方法选取最优跳变路径和跳变周期组合,以实现防御收益的最大化。理论与实验分析了该技术抵御被动监听攻击的成本和收益,证明其在保证网络性能的同时实现了跳变收益的最大化。
- 雷程马多贺张红旗韩琦杨英杰
- 关键词:瞬态问题
- 一种基于容器的安全云计算平台设计被引量:4
- 2017年
- 平台即服务是云计算中极为重要的一种服务模式,近年来,容器技术作为一种操作系统级的虚拟化技术,逐渐融入到云计算领域中,为Paa S的构建提供了良好的支持。容器技术在云计算领域具有诸多优势的同时也面临着非常多的安全问题,如权限突破和信息泄露等问题时刻威胁着系统的安全性和稳定性,其重要性和紧迫性不容忽视。本文阐述了容器的概念和特点,介绍了容器面临的安全问题和国内外研究现状。为了解决公共云平台中由容器向系统进行攻击的相关安全问题,提出了一种基于容器的安全云计算平台安全,实现了租户的安全隔离和行为监控分析,并对其架构和关键技术进行了介绍。
- 孔同王利明徐震欧悯洁马多贺
- 关键词:云计算安全防护
- 面向软件定义网络的入侵容忍控制器架构及实现被引量:4
- 2015年
- 针对软件定义网络(SDN)这一集中式网络控制环境中控制平面存在单点失效问题,提出一种基于入侵容忍思想的控制器架构,通过冗余、多样的中央控制器平台来提高网络可用性与可靠性。该架构利用一种控制器消息的比对方法来检测被入侵的控制器。首先,规定了需比对的关键消息类型和字段;其次,运用一致性裁决算法对不同控制器消息进行比对;最后,将消息异常的控制器进行网络隔离并重启恢复。基于Mininet的入侵容忍可靠性测试表明,该入侵容忍控制器架构可检测并过滤异常控制器消息。基于Mininet的控制器响应延迟测试表明,当容忍度设置为1和3时,下层网络请求延时分别增加16%和42%。基于Cbench的控制器响应延迟和吞吐量测试表明,该入侵容忍控制器性能处在各个子控制器(Ryu,Floodlight)性能水平之间,且向性能高的子控制器趋近。在实际应用中,可根据应用场景的安全级别配置子控制器的数量和类型,以满足对响应速度和入侵容忍度的要求。
- 黄亮姜帆荀浩马多贺王利明
- 关键词:入侵容忍控制器
- 一种基于云的网页挂马实时防护方法及系统
- 本发明公开了一种基于云的网页挂马实时防护方法及系统。本发明的系统包含云服务注册模块、挂马链接检测分析模块、实时防护模块。云服务注册模块将WEB服务器注册到云平台,通过DNS代理解析,WEB服务器的请求、响应数据流均转向云...
- 马多贺徐震宋晨郭川陈凯汤伟
- 一种基于前置网关的敏感信息监测及防泄漏方法及系统
- 本发明涉及基于前置网关的敏感信息检测及防泄露方法及系统,系统包括配置模块、非信任列表生成模块和敏感信息防泄漏模块,其步骤为:1)在Web网站服务器的数据流链路中设置一前置网关,前置网关代理客户端向网站服务器发送和/或接受...
- 宋晨马多贺徐震杨婧黄亮
