web 服务器拟态防御原理验证系统测试与分析1
需积分: 0 90 浏览量
2022-08-03
14:14:36
上传
评论
收藏 3.78MB PDF 举报
第 2 卷 第 1 期 信 息 安 全 学 报 Vo l . 2 No. 1
2017 年 1 月
Journal
of
Cyber
Security
January, 2017
通讯作者: 张铮, 博士, 副教授, Email: ponyzhang@126.com。
本课题得到国家重点研发计划(2016YFB0800104), 上海市科学技术委员会科研计划项目(14DZ1105300)和国家自然科学基金(61572520)
资助。
收稿日期: 2016-09-13; 修改日期: 2016-12-03; 定稿日期: 2016-12-20
web 服务器拟态防御原理验证系统测试与分析
张 铮
1
, 马博林
1
, 邬江兴
2
1
数字工程与先进计算国家重点实验室 郑州 中国 450001
2
国家数字交换系统工程技术研究中心 郑州 中国 450002
摘要 web 服务器拟态防御原理验证系统是基于拟态防御原理的新型 web 安全防御系统, 利用异构性、冗余性、动态性等特性
阻断或扰乱网络攻击, 以达成系统安全风险可控的要求。针对传统的测试方法实施于 web 服务器拟态防御原理验证系统中存在
不足、不适应复杂安全功能测试以及难以实现准确度量等问题, 本文提出了适用于拟态防御架构的 web 服务器测试方法, 基于
让步规则改进了灰盒测试, 还丰富了漏洞和后门利用复杂度的含义。并以此为基础设计适于该系统的测试方案、测试原则和测
试方法, 在性能、兼容性、功能实现、HTTP 协议一致性, 安全性这些方面进行了全面的测试和分析。
关键词 拟态防御原理; 灰盒测试; 利用复杂度; 测试原则; 测试用例; 测试分析; 测试
中图法分类号 TP393 DOI 号 10.19363/j.cnki.cn10-1380/tn.2017.01.002
The Test and Analysis of Prototype of Mimic
Defense in Web Servers
ZHANG Zheng
1
, MA Bolin
1
, WU Jiangxing
2
1
State key Laboratory of Mathematical Engineering and Advanced Computing, Zhengzhou 450001, China
2
National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450002, China
Abstract Prototype of mimic defense in web servers is a new type of web security defense system based on mimic secu-
rity defense theory, which makes use of heterogeneity, redundancy, dynamic and other characteristics to block or disrupt
the network attacks, in order to achieve the requirement of controlling system security risk. The traditional web services
testing methods are inadequate and do not meet the complex security testing requirements and have difficulty in accurate
measurement. This paper presents a web services testing method which is applicable to mimic defense architecture, im-
prove gray-box testing method based on concession rule and enriches the meaning of exploiting complexity of vulnerabil-
ity and back door. Based on this, this paper puts forward the test projects, test principles and test methods for the newly
system. It covers comprehensive test and analysis on aspects of performance, compatibility, function, HTTP protocol con-
formance, security.
Key words Micmic defense theory; Gray-Box testing method; exploiting complexity; test principle; test case; test analy-
sis; test
1 概述
拟态安全防御
[1,2]
是针对网络空间攻击成本和防
御成本的严重不对称性, 以及当前条件下我国信息
领域核心技术与产业基础严重滞后国家安全需求的
严峻性所提出的一种安全策略思路, 目标是利用异
构性、多样性改变系统相似性、单一性, 利用动态性、
随机性改变系统静态性、确定性, 利用非相似余度空
间交叉研判未知、未明威胁, 阻断或扰乱网络攻击,
以达成系统安全风险可控的要求。
web 服务器拟态防御原理验证系统
[3]
是依据拟
态安全防御的基本思想, 通过对异构资源差异最大
化、web 服务器请求分发表决、非相似 web 虚拟机
池调度清洗等关键技术的研究而研制的。作为首创
的拟态防御 web 服务器, 在各关键技术、功能模块、
异构体之间的相互配合、相互影响等测试项目方面
以及 web 服务器整体安全测试方面缺乏相应的测试
手段和实验数据来验证目前的原理验证系统是否达
剩余15页未读,继续阅读
资源评论
