文献类型：期刊文章

作　　者：李凌书[1] 邬江兴[1] 刘文彦[1]

LI Lingshu;WU Jiangxing;LIU Wenyan(National Digital Program-Controlled Switching center People’s Liberation Army Strategic Support Force Information Engineering University,Zheng-zhou 450001,China)

机构地区：[1]国家数字程控交换中心解放军信息工程大学,郑州450001

出　　处：《信息安全学报》

基　　金：国家自然科学基金项目(No.62002383);国家重点研发计划课题(No.2018YFB0804004)资助。

年　　份：2022

卷　　号：7

期　　号：2

起止页码：72-86

语　　种：中文

收录情况：CSCD、CSCD2021_2022、JST、RCCSE、ZGKJHX、普通刊

摘　　要：随着云计算技术在各重点行业领域的普及推广和企业级SaaS业务规模不断扩大,云环境的安全问题也日益突出。针对目标云资源的定位是网络攻击的前置步骤,网络欺骗技术能够有效扰乱攻击者网络嗅探获得的信息,隐藏重要网络资产的指纹信息(服务端口、操作系统类型等)。然而由于虚假指纹和真实设备之间往往存在对应关系,高级攻击者可以通过多维信息定位到伪装过的目标设备。基于容器指纹匿名的欺骗方法的原理是试图将重要的敏感业务隐藏到大量普通的非敏感业务中,利用多种欺骗技术的组合来对抗网络侦察。批量处理的匿名算法会损失云服务快速便捷的特性,云服务需要采用一种实时强的连续匿名方法。为应对重要云资源被定位追踪的问题,本文提出一种基于容器指纹匿名的网络欺骗方法,通过修改云资源池中容器的指纹满足匿名化标准,制造虚假的云资源视图,提高攻击者网络侦查与嗅探的难度。为降低容器指纹修改的开销和可能导致服务延时,提出一种基于语义等级的范畴属性度量方法,并作为容器指纹匿名算法的优化目标。鉴于需要修改伪装的容器指纹信息是一个持续产生的数据流,为实现容器指纹的实时在线快速匿名,提出一种基于数据流匿名的动态指纹欺骗算法CFDAA,通过时延控制和簇分割实现容器指纹的快速修改,保证在线容器始终满足k-匿名和l-多样性。实验结果表明,所提方法能够在开销可控的情况下,有效提高攻击者定位目标云资源的难度。

关 键 词：主动防御 网络欺骗 动态指纹  数据流匿名  

分 类 号：TN915.08]