云环境下基于动态异构的拜占庭系统

doi:10.11959/j.issn.2096-109x.2018036

网络与信息安全学报 ›› 2018, Vol. 4 ›› Issue (5): 1-9.doi: 10.11959/j.issn.2096-109x.2018036

• 学术论文 • 下一篇

云环境下基于动态异构的拜占庭系统

陈扬,扈红超,刘文彦,霍树民,梁浩

国家数字交换系统工程技术研究中心，河南郑州 450002

修回日期:2018-02-04 出版日期:2018-05-01 发布日期:2018-08-04
作者简介:陈扬（1994-），男，四川南充人，国家数字交换系统工程技术研究中心硕士生，主要研究方向为云计算、入侵容忍、网络安全。|扈红超（1982-），男，河南商丘人，博士，国家数字交换系统工程技术研究中心研究员，主要研究方向为云计算、网络安全。|刘文彦（1986-），男，河南周口人，博士，国家数字交换系统工程技术研究中心研究员，主要研究方向为云计算、网络安全。|霍树民（1985-），男，山西长治人，博士，国家数字交换系统工程技术研究中心研究员，主要研究方向为云计算、网络安全。|梁浩（1987-），男，河南郑州人，博士，国家数字交换系统工程技术研究中心研究员，主要研究方向为云计算、网络安全。
基金资助:
国家自然科学基金资助项目(61602509);国家自然科学基金创新群体资助项目(61521003);国家重点研发计划基金资助项目(2016YFB0800100);国家重点研发计划基金资助项目(2016YFB0800101)

Dynamic and heterogeneous Byzantine system in cloud

Yang CHEN,Hongchao HU,Wenyan LIU,Shumin HUO,Hao LIANG

National Digital Switching System Engineering ＆Technological R＆D Center,Zhangzhou 450002,China

Revised:2018-02-04 Online:2018-05-01 Published:2018-08-04
Supported by:
The National Natural Science Foundation of China(61602509);The Innovative Research Groups of the National Natural Science Foundation of China(61521003);The National Key Research and Development Program of China(2016YFB0800100);The National Key Research and Development Program of China(2016YFB0800101)

摘要/Abstract

摘要：

拜占庭系统被广泛应用于提高云平台的入侵容忍能力。但现阶段的拜占庭系统难以有效防御一种潜伏式攻击，即攻击者通过累积控制个数超过容忍上限的执行体来破坏拜占庭系统。针对此问题提出云环境下具有动态异构性质的拜占庭系统，即将拜占庭系统中的执行体进行最大化多样性配置，同时利用系统漏洞和攻击技能水平来衡量执行体生命周期，将执行体进行动态轮换。仿真结果表明，提出的动态异构拜占庭系统能有效提升系统安全性。

关键词: 动态异构, 拜占庭, 入侵容忍, 攻击面, 平均攻击时间

Abstract:

In order to improve the intrusion tolerance performance of cloud platforms,the Byzantine system model has been widely used.But the current Byzantine system is difficult to prevent a latent attack effectively,which can destroy the Byzantine system by accumulating the number of executive modules which the attacker controls and making it exceed the tolerance upper limit.To solve the problem,a dynamic and heterogeneous Byzantine system was proposed.In which the executive modules were maximized diversified in configurations such as different operating systems and so on.Meanwhile,every executive module was assigned a lifetime based on the attacker’s ability and the vulnerabilities of the module.The novel system can significantly enhance the intrusion tolerance of the cloud service by diverse and dynamic attack surface,which is verified by simulations.

Key words: dynamic heterogeneous, Byzantine, intrusion tolerance, attack surface, MTTC

中图分类号:

TP302.8

陈扬,扈红超,刘文彦,霍树民,梁浩. 云环境下基于动态异构的拜占庭系统[J]. 网络与信息安全学报, 2018, 4(5): 1-9.

Yang CHEN,Hongchao HU,Wenyan LIU,Shumin HUO,Hao LIANG. Dynamic and heterogeneous Byzantine system in cloud[J]. Chinese Journal of Network and Information Security, 2018, 4(5): 1-9.

图/表 8

表1

图1

表2

表3

图2

图3

图4

图5

参考文献 12

[1]	王秀苹 . 云计算下基于拜占庭算法的容忍入侵技术研究[D]. 包头:内蒙古科技大学, 2012.
	WANG X P . Research on intrusion tolerance based on Byzantine algorithm in c1oud computing[D]. Baotou:Inner Mongolia University of Science and Technology, 2012.
[2]	ZHANG Y , ZHENG Z , LYU M R . BFTCloud:a Byzantine fault tolerance framework for voluntary-resource cloud computing[C]// International Conference on Cloud Computing. 2011: 444-451.
[3]	ALZAIN M A , SOH B , PARDEDE E . A Byzantine fault tolerance model for a multi-cloud computing[C]// International Conference on Computational Science and Engineering. 2013: 130-137.
[4]	KAPITZA R , BEHL J , CACHIN C ,et al. CheapBFT:resourceefficient Byzantine fault tolerance[J]. IEEE Transactions on Computers, 2016,65(9): 2807-2819.
[5]	MERIDETH M G , IYENGAR A , MIKALSEN T ,et al. Thema:Byzantine-fault-tolerant middleware for Web-service applications[C]// IEEE Symposium on Reliable Distributed Systems. 2005: 131-142.
[6]	ZHAO W , . BFT-WS:A Byzantine fault tolerance framework for Web services[C]// Eleventh International IEEE Edoc Conference Workshop. 2007: 89-96.
[7]	PALLEMULLE S L , THORVALDSSON H D , GOLDMAN K J . Byzantine fault-tolerant Web services for n-tier and service oriented architectures[C]// The International Conference on Distributed Computing Systems. 2008: 260-268.
[8]	PENG W , LI F , HUANG C T ,et al. A moving-target defense strategy for cloud-based services with heterogeneous and dynamic attack surfaces[C]// IEEE International Conference on Communications. 2014: 804-809.
[9]	仝青, 张铮, 张为华 ,等. 拟态防御 Web 服务器设计与实现[J]. 软件学报, 2017,28(4): 883-897.
	TONG Q , ZHANG Z , ZHANG W H ,et al. The design and implementation of mimic defense Web server[J]. Journal of Software, 2017,28(4): 883-897.
[10]	LEINSTER T , COBBOLD C A . Measuring diversity:the importance of species similarity[J]. Ecology, 2012,93(3): 477.
[11]	ZHANG M , WANG L , JAJODIA S ,et al. Network diversity:a security metric for evaluating the resilience of networks against zero-day attacks[J]. IEEE Transactions on Information Forensics ＆Security, 2016,11(5): 1071-1086.
[12]	MCQUEEN M A , BOYER W F , FLYNN M A ,et al. Time-tocompromise model for cyber risk reduction estimation[M]// Quality of Protection. Berlin: Springer, 2006: 49-64.

系统名称	与Ubuntu的共同漏洞数/个	与Debian的共同漏洞数/个	与RedHat的共同漏洞数/个	与Solaris的共同漏洞数/个
Ubuntu	840	303	179	1
Debian	303	995	220	1
RedHat	179	220	1 518	1
Solaris	1	1	1	100

数据库	应用脚本	服务器软件	虚拟操作系统
MySQL	PHP	Tomcat	Windows 10
PostgreSQL	Perl	Apache	RedHat
…	…	…	…
MariaDB	ASP	IIS	Ubuntu
Oracle	JSP	Nginx	Centos

变量	定义	值
V	目标执行体漏洞个数	—
V_LR,V_MR,V_HR	分别代表低、中、高危漏洞个数	—
m	m是攻击者已经拥有的可利用漏洞数	150（初级），250（中级），450（专家）
K	不重复漏洞的总数	9 447
V_A	攻击者根据技能水平可以利用开发的漏洞	—
V_N	攻击者技能级别无法使用的漏洞数	V?V_A
	可利用漏洞率	0.3（初级），0.55（中级），1（专家）

云环境下基于动态异构的拜占庭系统

Dynamic and heterogeneous Byzantine system in cloud

在线阅读

pdf下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 8

参考文献 12

相关文章 9

Metrics

推荐阅读 0

[1]	邢福康, 张铮, 隋然, 曲晟, 季新生. 面向进程多变体软件系统的攻击面定性建模分析[J]. 网络与信息安全学报, 2022, 8(5): 121-128.
[2]	陈立全, 李潇, 杨哲懿, 钱思杰. 基于区块链的高透明度PKI认证协议[J]. 网络与信息安全学报, 2022, 8(4): 1-11.
[3]	王涛, 陈鸿昶. 考虑拜占庭属性的SDN安全控制器多目标优化部署方案[J]. 网络与信息安全学报, 2021, 7(3): 72-84.
[4]	周旺, 胡红钢, 俞能海. 快速响应的高效多值拜占庭共识方案[J]. 网络与信息安全学报, 2021, 7(1): 57-64.
[5]	钱思杰,陈立全,王诗卉. 基于改进PBFT算法的PKI跨域认证方案[J]. 网络与信息安全学报, 2020, 6(4): 37-44.
[6]	周余阳, 程光, 郭春生. 基于贝叶斯攻击图的网络攻击面风险评估方法[J]. 网络与信息安全学报, 2018, 4(6): 11-22.
[7]	吕迎迎,郭云飞,王禛鹏,程国振,王亚文. SDN中基于历史信息的负反馈调度算法[J]. 网络与信息安全学报, 2018, 4(6): 45-51.
[8]	王禛鹏,扈红超,程国振,张传浩. 软件定义网络下的拟态防御实现架构[J]. 网络与信息安全学报, 2017, 3(10): 52-61.
[9]	武霞,贾恒越,朱建明. 量子拜占庭协议中的纠缠态探测[J]. 网络与信息安全学报, 2016, 2(11): 30-38.