一种面向Web服务的自适应移动目标防御方法及系统技术方案

本发明专利技术属于移动目标防御技术领域，公开了一种面向Web服务的自适应移动目标防御方法及系统，面向Web服务的自适应移动目标防御系统，包括OpenFlow交换机、SDN控制器、服务器、自适应启动引擎以及自适应移动目标防御模块；自适应启动引擎包括流量异常检测模块，自适应移动目标防御模块包括虚拟机迁移MTD子模块和Web应用配置MTD子模块。本发明专利技术提供的面向Web服务的自适应移动目标防御系统，通过构建多样化和动态的机制和策略增加系统的异构性和不确定性，减少脆弱性暴露及被攻击利用的概率。本发明专利技术所有的功能模块都部署在SDN的控制平面上，通过两大模块协同运行来实现系统的MTD功能。通过两大模块协同运行来实现系统的MTD功能。通过两大模块协同运行来实现系统的MTD功能。

【技术实现步骤摘要】
一种面向Web服务的自适应移动目标防御方法及系统


[0001]本专利技术属于移动目标防御
，尤其涉及一种面向Web服务的自适应移动目标防御方法及系统。

技术介绍

[0002]目前，伴随着计算机技术及网络技术的发展，以社交网络、电子商务等为代表的Web服务已经渗透到人们日常生活的方方面面，并逐渐影响着社会的各个领域。与此同时，日益复杂的网络攻击和零日漏洞也带来了严峻的网络安全问题。Web服务系统存储着大量高价值数据信息且安全机制不完善，导致其存在着极大的安全隐患。以防火墙、IDS为主的传统安全防御技术以其“一劳永逸”式的静态防御模式，难以应对日益涌现出的新型攻击和未知漏洞，易造成网络安全“易攻难守”的不平衡局面。因此，亟需一种新的面向Web服务的自适应移动目标防御方法及系统。
[0003]通过上述分析，现有技术存在的问题及缺陷为：
[0004](1)Web服务系统的安全机制不完善，导致其存在着极大的安全隐患，且日益复杂的网络攻击和零日漏洞也带来严峻的网络安全问题。
[0005](2)以防火墙、IDS为主的传统安全防御技术的静态防御模式难以应对日益涌现的新型攻击和未知漏洞，易造成网络安全“易攻难守”的不平衡局面。
[0006]解决以上问题及缺陷的难度为：
[0007]从防御的角度来说，Web服务的安全防御很难考虑得面面俱到。修复单个出现的漏洞通常很容易，然而，动态Web站点的不同组件之间存在的大量交互使得应用安全的设计与实施越来越困难。尽管市面上已经存在许多用于识别系统漏洞的静态(白盒)和动态(黑盒)分析工具，但随着网络架构和Web应用程序的复杂性不断增加，这些方法的有效性也越来越低。而且网络还在不断地发展，随着浏览器新特性、新协议和新标准的快速增加，新的漏洞也会越来越多。传统静态被动防御手段在面对各种潜在不可预知的攻击时已略显不足，因此需要一种动态的防御理念及主动防御的防护措施来保障Web服务安全。
[0008]解决以上问题及缺陷的意义为：
[0009]因此，本技术考虑到当前Web服务的安全的需求，克服了传统静态防御策略的不足，引入新的主动防御思想，设计一个自适应MTD系统，研究了服务端及应用程序端的动态防御方法来解决当前Web服务面临的安全问题和威胁，在保证系统安全和抵御未知攻击方面具有重要的意义。

技术实现思路

[0010]针对现有技术存在的问题，本专利技术提供了一种面向Web服务的自适应移动目标防御方法及系统。
[0011]本专利技术是这样实现的，一种面向Web服务的自适应移动目标防御方法，所述面向Web服务的自适应移动目标防御方法包括以下步骤：
[0012]步骤一，SDN控制器通过OpenFlow交换机收集网络中的流量，每隔一个防御周期进行一次流量分析和异常检测；若检测到流量异常，则与自适应MTD模块进行通信，报告网络异常情况及流量统计数据；
[0013]步骤二，虚拟机迁移MTD子模块接收到流量异常告警后，根据收集的基础设备信息及流量数据，自适应生成当前网络状态下的最优迁移策略，并将高级策略解析为低级转发规则，更新指令和路由规则，通过OpenFlow流表的下发完成MTD过程；
[0014]步骤三，Web应用配置MTD子模块收到防御启动指令后，根据当前扫描信息及连接的资源库自适应生成最优跳变策略，并下发跳变指令完成Web应用端的MTD过程；至此一次防御过程结束，系统将进入下一个防御周期，并循环判断新周期的网络状态，更新防御策略。
[0015]进一步，步骤一所述流量分析和异常检测，包括：
[0016]当网络状态异常时，启动自适应MTD模块进行高频跳变防御；当网络状态正常时，保持系统以最小开销固定低频跳变，进行防御；利用基于网络流量Hurst值的异常检测算法，将检测的结果和信息作为启动自适应MTD模块的条件，进而确定系统的网络状态。
[0017]进一步，步骤一所述自适应MTD模块的功能，包括：
[0018]针对Web服务最常见的服务器系统攻击和Web应用服务攻击，自适应MTD技术通过自动收集系统信息，生成最优防御策略并执行；在服务器端，采用平台层虚拟机主动迁移技术，通过VM在服务器间迁移实现服务资源跳变；在Web应用端，通过应用配置的跳变，不断改变应用版本信息，使攻击者难以有效利用应用配置漏洞发起攻击。
[0019]进一步，步骤二所述虚拟机迁移的MTD子模块的功能，包括：
[0020]周期性地将承载着目标资源的VM从目前部署的物理服务器迁移到另外一台物理服务器上，同时将存储信息、内存运行信息以及网络状态在内的VM数据传输到目标服务器上；当成功迁移到目标服务器时，所有资源能在新的服务器上重新启动并恢复之前VM的运行，响应用户请求；当自适应MTD模块触发后，控制平面的MTD策略生成模块通过与自适应引擎及底层的基础设施的信息交互，生成最优迁移频率及最优迁移位置，并解析策略内容，生成迁移指令和路由重定向策略，基于OpenFlow协议下发流表执行防御动作，每一次迁移过程完成后，除攻击者外的所有常规客户机都将通过OpenFlow交换机利用路由重定向策略重新连接到所迁移的目标服务器上。
[0021]进一步，步骤三所述Web应用配置MTD子模块的功能，包括：
[0022]在Web应用堆栈的不同编程语言的多种配置之间跳变，限制攻击者的侦察优势；其中，所述基于Web应用配置跳变MTD技术的工作流程，包括：
[0023]利用Namp扫描插件收集Web应用配置漏洞，根据连接的国家安全信息漏洞库进行配置漏洞分类，即攻击类型分类，生成攻防策略；通过设计的策略生成算法得到最优配置跳变策略，下发指令给转发平面进行配置命令解析；将解析的配置指令继续下发给配置管理程序，实施Web应用配置的跳变防御动作。
[0024]本专利技术的另一目的在于提供一种应用所述面向Web服务的自适应移动目标防御方法的面向Web服务的自适应移动目标防御系统，所述面向Web服务的自适应移动目标防御系统，包括OpenFlow交换机、SDN控制器、服务器、自适应启动引擎以及自适应移动目标防御模块；其中，所述自适应启动引擎包括流量异常检测模块，所述自适应移动目标防御模块包括
虚拟机迁移MTD子模块和Web应用配置MTD子模块。
[0025]所述自适应启动引擎，以流量异常检测功能为基础，通过对网络流量的实时监控，利用网络流量自相似性，计算网络流量Hurst值，判断当前网络状态；
[0026]所述自适应移动目标防御模块，用于针对流量异常检测的异常结果，自动收集系统信息，做出合理的策略响应，并执行策略内容。
[0027]进一步，所述网络流量异常检测模块搭载在SDN控制器上。
[0028]本专利技术的另一目的在于提供一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：
[0029]SDN控制器通过OpenFlow交换机收集本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向Web服务的自适应移动目标防御方法，其特征在于，所述面向Web服务的自适应移动目标防御方法包括以下步骤：步骤一，SDN控制器通过OpenFlow交换机收集网络中的流量，每隔一个防御周期进行一次流量分析和异常检测；若检测到流量异常，则与自适应MTD模块进行通信，报告网络异常情况及流量统计数据；步骤二，虚拟机迁移MTD子模块接收到流量异常告警后，根据收集的基础设备信息及流量数据，自适应生成当前网络状态下的最优迁移策略，并将高级策略解析为低级转发规则，更新指令和路由规则，通过OpenFlow流表的下发完成MTD过程；步骤三，Web应用配置MTD子模块收到防御启动指令后，根据当前扫描信息及连接的资源库自适应生成最优跳变策略，并下发跳变指令完成Web应用端的MTD过程；至此一次防御过程结束，系统将进入下一个防御周期，并循环判断新周期的网络状态，更新防御策略。2.如权利要求1所述面向Web服务的自适应移动目标防御方法，其特征在于，所述步骤一流量分析和异常检测，包括：当网络状态异常时，启动自适应MTD模块进行高频跳变防御；当网络状态正常时，保持系统以最小开销固定低频跳变，进行防御；利用基于网络流量Hurst值的异常检测算法，将检测的结果和信息作为启动自适应MTD模块的条件，进而确定系统的网络状态。3.如权利要求1所述面向Web服务的自适应移动目标防御方法，其特征在于，所述步骤一自适应MTD模块的功能，包括：针对Web服务最常见的服务器系统攻击和Web应用服务攻击，自适应MTD技术通过自动收集系统信息，生成最优防御策略并执行；在服务器端，采用平台层虚拟机主动迁移技术，通过VM在服务器间迁移实现服务资源跳变；在Web应用端，通过应用配置的跳变，不断改变应用版本信息，使攻击者难以有效利用应用配置漏洞发起攻击。4.如权利要求1所述面向Web服务的自适应移动目标防御方法，其特征在于，所述步骤二虚拟机迁移的MTD子模块的功能，包括：周期性地将承载着目标资源的VM从目前部署的物理服务器迁移到另外一台物理服务器上，同时将存储信息、内存运行信息以及网络状态在内的VM数据传输到目标服务器上；当成功迁移到目标服务器时，所有资源能在新的服务器上重新启动并恢复之前VM的运行，响应用户请求；当自适应MTD模块触发后，控制平面的MTD策略生成模块通过与自适应引擎及底层的基础设施的信息交互，生成最优迁移频率及最优迁移位置，并解析策略内容，生成迁移指令和路由重定向策略，基于OpenFlow协议下发流表执行防御动作，每一次迁移过程完成后，除攻击者外的所有常规客户机都将通过OpenFlow交换机利用路由重定向策略重新连接到所迁移的目标服务器上。5.如权利要求1所述面向Web服务的自适应移动目标防御方法，其特征在于，所述步骤三Web应用配置MTD子模块的功能，包括：在Web应用堆栈的不同编程语言的多种配置之间跳变，限制攻击者的侦察优势；其中，所述基于Web应用配置跳变MTD技术的工作流程，包括：利用Namp扫描插件收集Web应用配置漏洞，根据连接的国家安全信息漏洞库进行配置漏洞分类，即攻击类型分类，生成攻...

【专利技术属性】
技术研发人员：毕文婷，林海涛，沈钊，张立群，卞媛，
申请(专利权)人：中国人民解放军海军工程大学，
类型：发明
国别省市：