基于Web服务的移动目标防御技术研究与实现

发布时间：2020-09-17 21:53

　　伴随着计算机技术的进步,以社交网络、电子商务等为代表的Web服务正迅猛发展,影响并改变着现代人的生产和生活,甚至对整个社会的发展都产生了重要影响。但是,由于网络本身具有开放和共享等特性,加上Web系统自身的漏洞及管理上的不严格,导致Web服务存在极大的安全隐患,网络上针对Web服务的攻击事件时有发生,Web服务安全形势越来越严峻。传统安全技术的应用虽然提高了 Web服务的安全性,但由于这些安全防护措施的研究都是面向于静态网络和服务,一旦信息配置设定完成,即无法动态修改,大大降低了原有安全技术的安全性。本文针对Web服务的主动防御安全问题,重点研究了基于Web服务的移动目标防御技术。Web攻击通常从识别目标网络中的活跃IP地址入手,然后获取目标Web服务的相关信息,接下来进行有针对性的漏洞利用。因此,根据黑客的这种攻击思路,结合移动目标防御技术的思想,提出了基于OF-RHM的OF-WRFRM分层移动目标防御模型,采用基于指纹的Web服务响应信息跳变和IP地址跳变相结合的方式,联动地调整网络地址生命周期和Web服务指纹信息,以达到阻碍攻击者获取有效Web服务器信息的目的,从而加大了攻击者利用Web服务漏洞的难度。应用层,第一次提出基于指纹的Web服务响应信息跳变的新方法;网络层,采用IP地址跳变的方式。同时,考虑到黑客扫描攻击时常会引起网络流量的变化,本文提出基于Hurst值判断网络流量异常状况确定跳变频率的新方法,使得模型能够根据网络状况调整跳变频率,进一步增加了攻击难度,提高攻击者的攻击成本,从而增强了网络的主动防御能力。最后,基于上述移动目标防御模型,本文设计并实现了一个基Web服务的移动目标防御系统,并对其功能进行有效性测试和分析,论证了方案和系统的有效性。
【学位单位】：北京邮电大学
【学位级别】：硕士
【学位年份】：2018
【中图分类】：TP393.08
【部分图文】：

设计图,网络架构,移动目标,设计图

Ｓｅｒｖｅｒ逡逑图４－１移动目标防御网络架构设计图逡逑本系统的整体网络架构如图４－１所示，其中整个网络由ＳＤＮ网络承载，Ｗｅｂ服务逡逑器代理系统负责基于指纹的Ｗｅｂ服务响应信息的跳变，ＳＤＮ邋Ｃｏｎｔｒｏｌｌｅｒ控制整个ＳＤＮ逡逑网络，丨Ｐ地址跳变由ＳＤＮＣｏｎｔｒｏｌｌｅｒ编程控制，每个子网都有一个单独的网络地址，路逡逑由由ＳＤＮ控制器处理。为了模拟外部主机，我们将这些子网之一指定为外部子网。月艮逡逑务器的主机ＩＰ地址是真实不变的，［Ｐ地址跳变在源0Ｆ－ｓｗｉｔｃｈ和目的ＯＦ－ｓｗｉｔｃｈ处执行逡逑ｒｌＰ－ｖｌＰ的翻译实现。流量捕获与处理部分负责实现基于Ｈｕｒｓｔ值的网络流量检测确定跳逡逑变频率的功能。逡逑２９逡逑

序列,预处理,小节,序列

基于第三章第３小节所提出的方法对得到的数据进行预处理工作，我们将得到的数逡逑据保存在文件中，其中预处理的最后一个重要的工作就是对每个时间间隔为Ｔ内的样本逡逑序列进行分割处理。划分如下图４－８所示：逡逑Ｖ邋１邋＾逡逑＃木序列逡逑逦＼逡逑／逡逑逦逦逡逑划分块数＋１逡逑逦N逦丨逡逑保存／Ｉ：数组中逡逑—逡逑（逦ｉａ％逡逑图４－８预处理流程图逡逑我们将得到的样本序列分为ｋ（ｋ＝ｌ，２，３，４）小块，每一小块大小为Ｎ／ｋ，分割好的每逡逑一小块用数组序列保存在数组中。分割好的数据用于下一小节的计算。逡逑３５逡逑

响应信息,通信模型,指纹,跳变

差值法来求Ｈｕｒｓｔ值。子模块的输入是预处理模块得到的ｃｏｕｎｔ差值序列，输出是计算逡逑得到的当前时段的Ｈｕｒｓｔ值和系统的跳变频率。逡逑通过图４－９邋Ｒ／Ｓ分析法的流程图分析可知，首先，我们读取预处理得到的每个时间逡逑序列，针对每个序列的每个子片段，分别按照第三章节的介绍求相应的当所有逡逑的子片段处理完之后，将得到的每个子片段的／＾／＾求均值得到该序列的；？？／■＾值，并记逡逑录点（ｌｏｇｎＪｏｇＣ／＾／Ａ：））。同样的方式处理预处理得到的所有序列，当所有的序列都处理逡逑完毕，使用最小二乘法拟合求Ｈｕｒｓｔ值并确定相应的跳变频率。该部分由Ｃ＋＋编程完成。逡逑Ｎｌ／逦—逡逑读取新序列逡逑ＭＸ逡逑｜读取序列每个丨逡逑片段逡逑、／逡逑计算Ｒｈ／Ｓｈ逡逑——逡逑（ｌｏｇｎ，邋ｌｏｇ（Ｒｎ／Ｓｎ））逡逑逦逦逡逑拟合求Ｈｕｒｓｔ值Ｈ逡逑确定相应跳变频率逡逑（邋结束）逡逑图４－９邋Ｒ／Ｓ分析法的流程图逡逑所以，根据网络流量捕获处理ｃｏｕｎｔ值得到的Ｈｕｒｓｔ指数来确定ＩＰ地址和Ｗｅｂ服务逡逑３６逡逑

【参考文献】