一种实现移动目标防御的方法及装置制造方法及图纸

本发明专利技术公开了一种实现移动目标防御的方法及装置，包括：建立若干个异构的虚拟运行环境的镜像，以及若干个异构的用户业务的镜像；设置用于标识需要监控的系统调用的监控系统调用信息，以及需要创建的虚拟运行环境的目标个数；根据建立的虚拟运行环境的镜像和用户业务的镜像创建目标个数个虚拟运行环境，并按照监控系统调用信息对创建的虚拟运行环境中的系统调用进行监控，以确定可能存在安全问题的虚拟运行环境。本发明专利技术提供的技术方案，从用户业务和虚拟运行环境等多个角度运用移动目标防御的思想，实现了动态改变实现移动目标防御的装置对外暴露的可攻击表面以及攻击路径，便于及时发现安全威胁，提高了整个系统的安全级别。

【技术实现步骤摘要】
一种实现移动目标防御的方法及装置
本专利技术涉及信息安全技术，尤指一种实现移动目标防御的方法及装置。
技术介绍
目前，信息安全领域主要的防护方法都是建立在已知病毒、已知漏洞、已知攻击方式之上，这种基于先验知识的防御手段投入成本较高且无法防御未知的安全隐患。以病毒扫描为例，需要针对已知的病毒知识建立病毒样本库，在利用样本库中的特征与系统当前操作状态进行匹配检查，这种方式对病毒的发现效率低，且无法防御未知的安全风险。定期更新补丁也需要软件发布商对系统中代码进行充分的保护，发现漏洞及时通知用户更新漏洞；而近年来零日漏洞逐年上升，软件开发商的防守修复速度已滞后于漏洞发现的速度。2010年5月美国总统网络空间政策规划回顾会(President’sCyberPolicyReview)宣布了一个“改变游戏规则”的网络安全防御思路：移动目标防御(MTD，MovingTargetDefense)。攻击者在庞大的软件系统中仅仅需要找到一个漏洞，就能够通过很少几行代码完全“攻陷”；而防御者需要对百万行、千万行的代码进行充分的保护，才能防止漏洞被利用。移动目标防御倡导随时间变化，不断的转换不同的机制和策略，使系统体现出随机性、多样性和动态性的特征。通过不断变化的攻击表面，显著的增加了攻击的难度，同时也降低了漏洞被利用的可能性。操作系统是整个系统的底层支撑基础，并掌管了系统所有的特权操作。因此，操作系统的安全改进方案一直是业界的热点。目前已有一些应用于操作系统的移动目标防御方法，通过动态改变操作系统，从而动态变化其对外暴露的可攻击表面。相关技术中，针对云计算中安全威胁在多个虚拟机之间传播的问题，提出一种基于嵌套虚拟化的移动目标技术方案。第一级虚拟机包括HyperShell、第二级目标虚拟机以及多个提供扩展服务的嵌套虚拟机。通过HyperShell动态的将第二级虚拟机和各种扩展服务的嵌套虚拟机，动态的在不同的物理机上迁移以及动态的在不同的虚拟嵌套层级上迁移。该方法利用虚拟化的技术动态改变客户机操作系统，并将扩展服务在多个客户机操作系统之间进行动态迁移，变化系统对外暴露的可攻击表面，这样，加大了攻击者在系统探测、漏洞挖掘的技术难度。但当攻击者掌握存在的某个漏洞，在某个时刻是可以攻击成功的。不断变化的攻击表面无法充分保障系统的安全性，在持续威胁情况下仍然可能攻击成功。相关技术提出了一种基于多操作系统运转的移动目标防御方法。外部用户通过网络，访问采用该方法对应的装置，该装置由一个管理设备和多个运行不同操作系统主机系统组成，通过管理设备同步状态在多个主机系统轮流对外提供服务。该方法通过多个物理主机系统部署不同的操作系统，从而实现动态改变操作系统对外暴露的可攻击表面，使得攻击者无法预测当前服务的操作系统情况。这种实现方式需要设置多个主机系统，成本较高；而且，也存在当某个时刻攻击者命中当前操作系统或上层服务的漏洞时，系统被成功攻击的问题。通过上述分析可以看出，相关技术中实现移动目标防御的方案，均是通过操作系统的外部技术方案(如虚拟化创建多个虚拟操作系统，或者多个物理环境运行多个实际操作系统等)来动态变化操作系统以及上层业务服务，从而动态变化系统对外暴露的可攻击表面，进而使得攻击可达路径和攻击时间窗都处于动态变化的状态，最终实现防御未知安全威胁的目的，提高系统的安全性。但是，相关技术存在两个问题：第一，不能及时发现已发生或正在发生的安全威胁；第二、不能对命中的威胁进行防御，如当某个特定的时刻下攻击者命中被攻击对象的安全漏洞时，系统的安全性会被完全破坏。
技术实现思路
为了解决上述技术问题，本专利技术提供一种实现移动目标防御的方法及装置，能够及时发现安全威胁，提高整个系统的安全级别。为了达到本专利技术目的，本专利技术提供了一种实现移动目标防御的装置，包括：设置在主机操作系统内的虚拟运行环境管理模块、系统调用管理模块，以及虚拟运行环境模块、用户业务模块；其中，虚拟运行环境模块，包括两个或两个以上异构的虚拟运行环境模块的镜像，用于负责对上层的用户业务模块提供虚拟的运行环境；用户业务模块，包括两个或两个以上异构的用户业务模块的镜像，用于负责实际的用户业务功能；虚拟运行环境管理模块，用于按照生成的虚拟运行环境的目标个数，根据建立的虚拟运行环境模块的镜像和用户业务模块的镜像创建目标个数个虚拟运行环境；按照来自系统调用管理模块的通知，管理可能存在安全问题的虚拟运行环境；系统调用管理模块，其中设置有用于标识需要监控的系统调用的监控系统调用信息，用于按照监控系统调用信息对创建的虚拟运行环境中的系统调用进行管理，以确定可能存在安全问题的虚拟运行环境并通知虚拟运行环境管理模块；其中，异构为功能相同但内部结构不同。可选地，所述虚拟运行环境模块的镜像为轻量级虚拟化的基础设施组件。可选地，所述异构的虚拟运行环境模块的镜像包括：基础设施组件的配置选项不同、基础设施组件的源代码版本不同、基础设施组件的编译选项不同。可选地，所述异构的业务模块的镜像包括：编译优化选项不同、编译器版本不同。可选地，所述虚拟运行环境管理模块中的创建目标个数个虚拟运行环境包括：初始化所述虚拟运行环境模块以及所述用户业务模块，以形成不可预测的攻击面；加载和运行建立的若干个所述虚拟运行环境，依次设置创建的虚拟运行环境的状态为正常可用状态。可选地，所述虚拟运行环境管理模块中的初始化所述虚拟运行环境模块以及所述用户业务模块包括：从所述两个或两个以上异构的虚拟运行环境模块的镜像中，随机选择一个镜像作为即将运行的虚拟运行环境模块的镜像；从所述两个或两个以上异构的用户业务模块的镜像中，随机选择一个镜像作为即将运行的用户业务模块的镜像；根据选择出的镜像创建一个虚拟运行环境，直到创建的虚拟运行环境的个数达到所述目标个数个。可选地，所述系统调用管理模块中的对创建的虚拟运行环境中的系统调用进行管理包括：基于所述监控系统调用信息识别虚拟运行环境运行中发生的受控的系统调用；收集受控的系统调用的信息；基于所有虚拟运行环境的受控的系统调用的信息进行判决，将可能存在安全问题的虚拟运行环境通知给所述虚拟运行环境管理模块。可选地，所述监控系统调用信息包括：用户业务的关键操作系统调用、用户业务的关键输出系统调用、操作系统管理的设备特权系统调用。可选地，当某所述虚拟运行环境中的用户业务版本发送系统调用时，所述系统调用管理模块具体用于：获取当前受控的系统调用的相关信息；使用当前访问的系统调用情况与已有的监控系统调用信息中进行匹配，如果匹配不成功，则允许执行当前系统调用，继续执行原有的系统调用以及用户业务流程；如果匹配成功，则，检查其他虚拟运行环境是否已处于系统调用等待判决的状态，如果其他虚拟运行环境并未处于系统调用等待判决状态，则设置当前虚拟运行环境为等待判决状态，设置超时定时器；直到超时定时器到期，检查其他虚拟运行环境是否处于系统调用等待判决状态；针对超时仍未进入系统调用等待状态的虚拟运行环境被认为是非法虚拟运行环境并通知所述虚拟运行环境管理模块；如果其他虚拟运行环境均已进入系统调用等待判决状态，对所有虚拟运行环境下的当前系统调用情况进行判决，并将判决结果通知给所述虚拟运行环境管理模块；相应地，所述虚拟运行环境管理模块具体用于：对判决为合法的虚本文档来自技高网...

【技术保护点】
1.一种实现移动目标防御的装置，其特征在于，包括：设置在主机操作系统内的虚拟运行环境管理模块、系统调用管理模块，以及虚拟运行环境模块、用户业务模块；其中，虚拟运行环境模块，包括两个或两个以上异构的虚拟运行环境模块的镜像，用于负责对上层的用户业务模块提供虚拟的运行环境；用户业务模块，包括两个或两个以上异构的用户业务模块的镜像，用于负责实际的用户业务功能；虚拟运行环境管理模块，用于按照生成的虚拟运行环境的目标个数，根据建立的虚拟运行环境模块的镜像和用户业务模块的镜像创建目标个数个虚拟运行环境；按照来自系统调用管理模块的通知，管理可能存在安全问题的虚拟运行环境；系统调用管理模块，其中设置有用于标识需要监控的系统调用的监控系统调用信息，用于按照监控系统调用信息对创建的虚拟运行环境中的系统调用进行管理，以确定可能存在安全问题的虚拟运行环境并通知虚拟运行环境管理模块；其中，异构为功能相同但内部结构不同。

【技术特征摘要】
1.一种实现移动目标防御的装置，其特征在于，包括：设置在主机操作系统内的虚拟运行环境管理模块、系统调用管理模块，以及虚拟运行环境模块、用户业务模块；其中，虚拟运行环境模块，包括两个或两个以上异构的虚拟运行环境模块的镜像，用于负责对上层的用户业务模块提供虚拟的运行环境；用户业务模块，包括两个或两个以上异构的用户业务模块的镜像，用于负责实际的用户业务功能；虚拟运行环境管理模块，用于按照生成的虚拟运行环境的目标个数，根据建立的虚拟运行环境模块的镜像和用户业务模块的镜像创建目标个数个虚拟运行环境；按照来自系统调用管理模块的通知，管理可能存在安全问题的虚拟运行环境；系统调用管理模块，其中设置有用于标识需要监控的系统调用的监控系统调用信息，用于按照监控系统调用信息对创建的虚拟运行环境中的系统调用进行管理，以确定可能存在安全问题的虚拟运行环境并通知虚拟运行环境管理模块；其中，异构为功能相同但内部结构不同。2.根据权利要求1所述的装置，其特征在于，所述虚拟运行环境模块的镜像为轻量级虚拟化的基础设施组件。3.根据权利要求1所述的装置，其特征在于，所述异构的虚拟运行环境模块的镜像包括：基础设施组件的配置选项不同、基础设施组件的源代码版本不同、基础设施组件的编译选项不同。4.根据权利要求1所述的装置，其特征在于，所述异构的业务模块的镜像包括：编译优化选项不同、编译器版本不同。5.根据权利要求1所述的装置，其特征在于，所述虚拟运行环境管理模块中的创建目标个数个虚拟运行环境包括：初始化所述虚拟运行环境模块以及所述用户业务模块，以形成不可预测的攻击面；加载和运行建立的若干个所述虚拟运行环境，依次设置创建的虚拟运行环境的状态为正常可用状态。6.根据权利要求5所述的装置，其特征在于，所述虚拟运行环境管理模块中的初始化所述虚拟运行环境模块以及所述用户业务模块包括：从所述两个或两个以上异构的虚拟运行环境模块的镜像中，随机选择一个镜像作为即将运行的虚拟运行环境模块的镜像；从所述两个或两个以上异构的用户业务模块的镜像中，随机选择一个镜像作为即将运行的用户业务模块的镜像；根据选择出的镜像创建一个虚拟运行环境，直到创建的虚拟运行环境的个数达到所述目标个数个。7.根据权利要求1所述的装置，其特征在于，所述系统调用管理模块中的对创建的虚拟运行环境中的系统调用进行管理包括：基于所述监控系统调用信息识别虚拟运行环境运行中发生的受控的系统调用；收集受控的系统调用的信息；基于所有虚拟运行环境的受控的系统调用的信息进行判决，将可能存在安全问题的虚拟运行环境通知给所述虚拟运行环境管理模块。8.根据权利要求7所述的装置，其特征在于，所述监控系统调用信息包括：用户业务的关键操作系统调用、用户业务的关键输出系统调用、操作系统管理的设备特权系统调用。9.根据权利要求7或8所述的装置，其特征在于，当某所述虚拟运行环境中的用户业务版本发送系统调用时，所述系统调用管理模块具体用于：获取当前受控的系统调用的相关信息；使用当前访问的系统调用情况与已有的监控系统调用信息中进行匹配，如果匹配不成功，则允许执行当前系统调用，继续执行原有的系统调用以及用户业务流程；如果匹配成功，则，检查其他虚拟运行环境是否已处于系统调用等待判决的状态，如果其他虚拟运行环境并未处于系统调用等待判决状态，则设置当前虚拟运行环境为等待判决状态，设置超时定时器；直到超时定时器到期，检查其他虚拟运行环境是否处于系统调用等待判决状态；针对超时仍未进入系统调用等待状态的虚拟运行环境被认为是非法虚拟运行环境并通知所述虚拟运行环境管理模块；如果其他虚拟运行环境均已进入系统调用等待判决状态，对所有虚拟运行环境下的当前系统调用情况进行判决，并将判决结果通知给所述虚拟运行环境管理模块；相应地，所述虚拟运行环境管理模块具体用于：对判决为合法的虚拟运行环境标记为正常状态，按照系统调用的原有流程进行处理；将判决为非法的虚拟运行环境设置为异常状态，对异常状态的虚拟运行环境的进行清洗。10.根据权利要求9所述的装置，其特征在于，所述虚拟运行环境管理模块还用于：启动清洗后的异常状态虚拟运行环境和用户业务并重新设置为正常状态。11.根据权利要求9所述的装置，其特征在于，所述判决包括：择多判决：在所有的虚拟运行环境中，认为多数相同的系统调用情况为合法访问，而与多数系统调用不同的系统调用...

【专利技术属性】
技术研发人员：崔云峰，钟卫东，刘东，王继刚，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44