面向安全的軟件服務(wù)動(dòng)態(tài)化防御平臺(tái)

面向安全的軟件服務(wù)動(dòng)態(tài)化防御平臺(tái)交流內(nèi)容1、作品背景2、功能描述3、實(shí)現(xiàn)方案4、系統(tǒng)特色5、現(xiàn)場演示作品背景網(wǎng)絡(luò)服務(wù)在電子商務(wù)、電子政務(wù)、公司業(yè)務(wù)流程電子化等應(yīng)用領(lǐng)域有廣泛的應(yīng)用，已成為互聯(lián)網(wǎng)中重要的環(huán)節(jié)。網(wǎng)絡(luò)攻擊行為成逐年上升趨勢，網(wǎng)絡(luò)個(gè)人隱私泄露嚴(yán)重。網(wǎng)絡(luò)服務(wù)也在經(jīng)受著嚴(yán)峻的考驗(yàn)。內(nèi)存地址隨機(jī)化指令隨機(jī)化。。。緩沖區(qū)溢出代碼注入。。。

口令入侵緩沖區(qū)溢出內(nèi)存地址隨機(jī)化口令入侵緩沖區(qū)溢出內(nèi)存地址隨機(jī)化木馬程序口令入侵緩沖區(qū)溢出內(nèi)存地址隨機(jī)化木馬程序DDOS緩沖區(qū)溢出內(nèi)存地址隨機(jī)化木馬程序DDOS口令入侵口令入侵緩沖區(qū)溢出防御手段木馬程序DDOS變體基于函數(shù)的防御手段

變體為本防御平臺(tái)中最小的執(zhí)行單元，它們相互獨(dú)立、功能單一，通過應(yīng)用程序中特定功能所形成的可執(zhí)行代碼來進(jìn)行變體的生成，得到與原函數(shù)功能相同但組織結(jié)構(gòu)不同的函數(shù)。功能描述1.多變體靜態(tài)防御模式2.多變體動(dòng)態(tài)防御模式1.多變體靜態(tài)防御模式

有效的增加整個(gè)軟件的多樣性。每次調(diào)用不同的變體使軟件的行為難以預(yù)測，因此可以有效的擾亂攻擊者對(duì)于軟件的逆向分析。

數(shù)據(jù)輸入預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)功能函數(shù)隨機(jī)調(diào)用一個(gè)變體數(shù)據(jù)緩存數(shù)據(jù)緩存功能函數(shù)輸入輸出VariantVariantVariant選擇節(jié)點(diǎn)Variant同時(shí)還可以有效的防止攻擊者利用同一漏洞對(duì)軟件進(jìn)行多次攻擊，極大的提高了軟件的安全性。2.多變體動(dòng)態(tài)防御模式數(shù)據(jù)輸入預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)隨機(jī)調(diào)用多個(gè)變體數(shù)據(jù)緩存功能函數(shù)輸入輸出VariantVariantVariantVariant監(jiān)控器Variant變體終止器終止變體預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)數(shù)據(jù)緩存實(shí)現(xiàn)方案

LLVM是構(gòu)架編譯器的框架系統(tǒng)，其核心庫提供了與編譯器相關(guān)的支持，可以作為多種語言編譯器的后臺(tái)來使用。

提供了一套中立的中間代碼和編譯基礎(chǔ)設(shè)施，并圍繞這些設(shè)施提供了一套全新的編譯策略（使得優(yōu)化能夠在編譯、連接、運(yùn)行環(huán)境執(zhí)行過程中以有效的方式進(jìn)行）LLVM層次結(jié)構(gòu)中間層次優(yōu)化指令規(guī)則LLVMPassLLVM的優(yōu)化和轉(zhuǎn)換工作就是由很多個(gè)Pass來一起完成的每個(gè)Pass都可以獨(dú)立存在，所以新建Pass并不用考慮LLVM之前的優(yōu)化和轉(zhuǎn)化是怎么做的，自己可以只運(yùn)行自己新建的Pass，這樣可以方便的實(shí)現(xiàn)自己想要的效果。功能函數(shù)功能函數(shù)功能函數(shù)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)選擇節(jié)點(diǎn)VariantVariantVariantVariant指令規(guī)則call功能函數(shù)功能函數(shù)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)選擇節(jié)點(diǎn)i=Rand()%n;Switch(i);VariantVariantVariant

。。。。。。。。。系統(tǒng)架構(gòu)

DataHandingManagerStateMonitorManager實(shí)時(shí)監(jiān)控信息監(jiān)控輸出數(shù)據(jù)處理后的系統(tǒng)信息信息收集處理模塊VariantKillManager終止異常變體VariantRecoveryManager重置異常變體VariantChoiceManager變體控制模塊選擇調(diào)用變體StrategySelectionManager使能使能選擇調(diào)用策略決策選擇模塊提交數(shù)據(jù)程序起始數(shù)據(jù)輸入預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)數(shù)據(jù)處理Data-WarehouseServersData-WarehouseServers數(shù)據(jù)存儲(chǔ)信息存儲(chǔ)模塊數(shù)據(jù)存儲(chǔ)功能函數(shù)VariantPool變體執(zhí)行模塊輸入輸出信息存儲(chǔ)模塊

數(shù)據(jù)處理Data-WarehouseServersData-WarehouseServers數(shù)據(jù)存儲(chǔ)信息存儲(chǔ)模塊數(shù)據(jù)存儲(chǔ)系統(tǒng)架構(gòu)

DataHandingManagerStateMonitorManager實(shí)時(shí)監(jiān)控信息監(jiān)控輸出數(shù)據(jù)處理后的系統(tǒng)信息信息收集處理模塊VariantKillManager終止異常變體VariantRecoveryManager重置異常變體VariantChoiceManager變體控制模塊選擇調(diào)用變體StrategySelectionManager使能使能選擇調(diào)用策略決策選擇模塊提交數(shù)據(jù)程序起始數(shù)據(jù)輸入預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)數(shù)據(jù)處理Data-WarehouseServersData-WarehouseServers數(shù)據(jù)存儲(chǔ)信息存儲(chǔ)模塊數(shù)據(jù)存儲(chǔ)功能函數(shù)VariantPool變體執(zhí)行模塊輸入輸出變體執(zhí)行模塊

功能函數(shù)VariantPool變體執(zhí)行模塊輸入輸出系統(tǒng)架構(gòu)

DataHandingManagerStateMonitorManager實(shí)時(shí)監(jiān)控信息監(jiān)控輸出數(shù)據(jù)處理后的系統(tǒng)信息信息收集處理模塊VariantKillManager終止異常變體VariantRecoveryManager重置異常變體VariantChoiceManager變體控制模塊選擇調(diào)用變體StrategySelectionManager使能使能選擇調(diào)用策略決策選擇模塊提交數(shù)據(jù)程序起始數(shù)據(jù)輸入預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)數(shù)據(jù)處理Data-WarehouseServersData-WarehouseServers數(shù)據(jù)存儲(chǔ)信息存儲(chǔ)模塊數(shù)據(jù)存儲(chǔ)功能函數(shù)VariantPool變體執(zhí)行模塊輸入輸出

DataHandingManagerStateMonitorManager實(shí)時(shí)監(jiān)控信息監(jiān)控輸出數(shù)據(jù)處理后的系統(tǒng)信息信息收集處理模塊功能函數(shù)數(shù)據(jù)處理中心(DataHandlingManager)功能函數(shù)數(shù)據(jù)緩存DataData。。異常變體Data系統(tǒng)架構(gòu)

DataHandingManagerStateMonitorManager實(shí)時(shí)監(jiān)控信息監(jiān)控輸出數(shù)據(jù)處理后的系統(tǒng)信息信息收集處理模塊VariantKillManager終止異常變體VariantRecoveryManager重置異常變體VariantChoiceManager變體控制模塊選擇調(diào)用變體StrategySelectionManager使能使能選擇調(diào)用策略決策選擇模塊提交數(shù)據(jù)程序起始數(shù)據(jù)輸入預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)數(shù)據(jù)處理Data-WarehouseServersData-WarehouseServers數(shù)據(jù)存儲(chǔ)信息存儲(chǔ)模塊數(shù)據(jù)存儲(chǔ)功能函數(shù)VariantPool變體執(zhí)行模塊輸入輸出

VariantKillManager終止異常變體VariantRecoveryManager重置異常變體VariantChoiceManager變體控制模塊選擇調(diào)用變體VariantPool變體選擇器根據(jù)決策中心提供的變體編號(hào)直接在變體池選擇變體1.變體選擇器變體終止器2.變體終止器時(shí)刻準(zhǔn)備接收由決策中心發(fā)來的終止變體運(yùn)行的信號(hào)⑴

當(dāng)前變體發(fā)生異常。⑵

當(dāng)前變體調(diào)用次數(shù)超過所設(shè)定的閾值。⑶

當(dāng)前變體執(zhí)行過程中長時(shí)間無響應(yīng)，沒有輸出結(jié)果。變體重置器3.變體重置器變體由異常狀態(tài)轉(zhuǎn)變?yōu)檎顟B(tài)時(shí)，決策中心向變體重置器發(fā)出信號(hào)，變體重置器修改當(dāng)前變體管理信息系統(tǒng)架構(gòu)

DataHandingManagerStateMonitorManager實(shí)時(shí)監(jiān)控信息監(jiān)控輸出數(shù)據(jù)處理后的系統(tǒng)信息信息收集處理模塊VariantKillManager終止異常變體VariantRecoveryManager重置異常變體VariantChoiceManager變體控制模塊選擇調(diào)用變體StrategySelectionManager使能使能選擇調(diào)用策略決策選擇模塊提交數(shù)據(jù)程序起始數(shù)據(jù)輸入預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)預(yù)設(shè)節(jié)點(diǎn)功能函數(shù)數(shù)據(jù)處理Data-WarehouseServersData-WarehouseServers數(shù)據(jù)存儲(chǔ)信息存儲(chǔ)模塊數(shù)據(jù)存儲(chǔ)功能函數(shù)VariantPool變體執(zhí)行模塊輸入輸出

StrategySelectionManager使能使能選擇調(diào)用策略決策選擇模塊提交數(shù)據(jù)決策中心為變體的執(zhí)行提供決策選擇變體的決策終止變體的決策重置變體的決策為數(shù)據(jù)的篩選提供指導(dǎo)篩選信息數(shù)據(jù)處理中心系統(tǒng)特色1、基于函數(shù)多變體的新型防御技術(shù)

利用函數(shù)多變體來提高系統(tǒng)的安全性。通過不同的變體調(diào)用策略增加軟件的多樣性、復(fù)雜性，通過變體的冗余執(zhí)行來提系統(tǒng)的安全性，通過對(duì)變體的實(shí)時(shí)監(jiān)控提高系統(tǒng)的可靠性，使攻擊者難以預(yù)測軟件行為。2、有別于現(xiàn)有防御手段的無密防御