(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111470933.3 (22)申请日 2021.12.0 3 (71)申请人 中国人民解 放军海军工程大 学 地址 430033 湖北省武汉市解 放大道717号 (72)发明人 毕文婷　林海涛　沈钊　张立群　 卞媛　 (74)专利代理 机构 北京金智普华知识产权代理 有限公司 1 1401 代理人 张晓博 (51)Int.Cl. H04L 9/40(2022.01) H04L 45/645(2022.01) H04L 49/25(2022.01) H04L 67/02(2022.01) (54)发明名称 一种面向Web服务的自适应移动目标防御方 法及系统 (57)摘要 本发明属于移动目标防御技术领域， 公开了 一种面向Web服务的自适应移动目标防御方法及 系统， 面向Web服务的自适应移动目标防御系统， 包括OpenFlow交换机、 SDN控制器、 服务器、 自适 应启动引擎以及自适应移动目标防御模块； 自适 应启动引擎包括流量异常检测模块， 自适应移动 目标防御模块包括虚拟机迁移MTD子模块和Web 应用配置MTD子模块。 本发明提供的面向Web服务 的自适应移动目标防御系统， 通过构建多样化和 动态的机制和策略增加系统的异构性和不确定 性， 减少脆弱性暴露及被攻击利用的概率。 本发 明所有的功能模块都部署在SDN的控制平面上， 通过两大模块协同运行来实现系统的MTD功能。 权利要求书2页 说明书11页 附图5页 CN 114244586 A 2022.03.25 CN 114244586 A 1.一种面向Web服务的自适应移动目标防御方法， 其特征在于， 所述面向Web服务的自 适应移动目标防御方法包括以下步骤： 步骤一， SDN控制器通过Op enFlow交换机收集网络中的流量， 每隔一个防御周期进行一 次流量分析和异常检测； 若检测到流量异常， 则与自适应MTD模块进行通信， 报告网络异常 情况及流 量统计数据； 步骤二， 虚拟机迁移MTD子模块接收到流量异常告警后， 根据收集的基础设备信息及流 量数据， 自适应生成当前网络状态下的最优迁移策略， 并将高级 策略解析为低级转 发规则， 更新指令和路由规则， 通过OpenFl ow流表的下发完成MTD过程； 步骤三， Web应用配置MTD子模块收到 防御启动指令后， 根据当前扫描信息及连接的资 源库自适应生成最优跳变策 略， 并下发跳变指令完成Web应用端的MTD过程； 至此一次防御 过程结束， 系统将进入下一个防御周期， 并循环判断新周期的网络状态， 更新防御策略。 2.如权利要求1所述面向Web服务的自适应移动目标防御方法， 其特征在于， 所述步骤 一流量分析和异常检测， 包括： 当网络状态异常时， 启动自适应MTD模块进行高频跳变防御； 当网络状态正常时， 保持 系统以最小开销固定低频跳变， 进行防御； 利用基于网络流量Hurst值的异常检测算法， 将 检测的结果和信息作为启动自适应MTD模块的条件， 进 而确定系统的网络状态。 3.如权利要求1所述面向Web服务的自适应移动目标防御方法， 其特征在于， 所述步骤 一自适应MTD模块的功能， 包括： 针对Web服务最常见的服务器系统攻击和Web应用服务攻击， 自适应MTD技术通过自动 收集系统信息， 生成最优防御策略并执行； 在服务器端， 采用平台层虚拟机主动迁移技术， 通过VM在服务器间迁移实现服务资源跳变； 在Web应用端， 通过应用配置的跳变， 不 断改变 应用版本信息， 使攻击者难以有效利用应用配置漏洞发起 攻击。 4.如权利要求1所述面向Web服务的自适应移动目标防御方法， 其特征在于， 所述步骤 二虚拟机 迁移的MTD子模块的功能， 包括： 周期性地将承载着目标资源的VM从目前部署的物理服务器迁移到另 外一台物理服务 器上， 同时将存储信息、 内存运行信息以及网络状态在内的VM数据传输到目标服务器上； 当 成功迁移到目标服务器时， 所有资源能在新的服务器上重新启动并恢复之前VM的运行， 响 应用户请求； 当自适应MTD模块触发后， 控制平面的MTD策 略生成模块通过与自适应引擎及 底层的基础设施的信息交互， 生成最优迁移频率及最优迁移 位置， 并解析策略内容， 生 成迁 移指令和路由重定向策 略， 基于OpenFlow协议下发流表执行防御动作， 每一次迁移过程完 成后， 除攻击者外的所有常规客户机都将通过OpenFlow交换机利用路由重定向策略重新连 接到所迁移的目标服 务器上。 5.如权利要求1所述面向Web服务的自适应移动目标防御方法， 其特征在于， 所述步骤 三Web应用配置 MTD子模块的功能， 包括： 在Web应用堆栈的不同编程语言的多种配置之间跳变， 限制攻击者的侦察优势； 其中， 所述基于Web应用配置 跳变MTD技 术的工作流 程， 包括： 利用Namp扫描插件收集Web应用配置漏洞， 根据连接的国家安全信息漏洞库进行配置 漏洞分类， 即攻击类型分类， 生成攻防策略； 通过设计的策略生成算法得到最优配置跳变策 略， 下发指令给转 发平面进行配置命令解析； 将解析的配置指 令继续下发给配置管理程序，权　利　要　求　书 1/2 页 2 CN 114244586 A 2实施Web应用配置的跳变防御动作。 6.一种应用如权利要求1～5任意一项所述面向Web服务的自适应移动目标防御 方法的 面向Web服务的自适应移动目标防御系统， 其特征在于， 所述面 向Web服务的自适应移动目 标防御系统， 包括OpenFlow交换机、 SDN控制器、 服务器、 自适应启动引擎以及自适应移动目 标防御模块； 其中， 所述自适应启动引擎包括流量异常检测模块， 所述自适应移动目标防御 模块包括虚拟机 迁移MTD子模块和Web应用配置 MTD子模块； 所述自适应启动引擎， 以流量异常检测功能为基础， 通过对 网络流量的实时监控， 利用 网络流量自相似性， 计算网络流 量Hurst值， 判断当前网络状态； 所述自适应移动目标防御模块， 用于针对流量异常检测的异常结果， 自动收集系统信 息， 做出合理的策略响应， 并执 行策略内容。 7.如权利要求6所述面向Web服务的自适应移动目标防御系统， 其特征在于， 所述网络 流量异常检测模块搭 载在SDN控制器上。 8.一种计算机设备， 其特征在于， 所述计算机设备包括存储器和处理器， 所述存储器存 储有计算机程序， 所述计算机程序被所述处 理器执行时， 使得 所述处理器执行如下步骤： SDN控制器通过OpenFlow交换机收集网络中的流量， 每隔一个防御周期进行一次流量 分析和异常检测； 若检测到流量异常， 则与自适应MTD模块进行通信， 报告网络异常情况及 流量统计数据； 虚拟机迁移MTD 子模块接收到流量异常告警后， 根据收集的基础设备信息及 流量数据， 自适应生成当前网络状态下 的最优迁移策略， 并将 高级策略解析为低级转发规 则， 更新指令和路由规则， 通过OpenFl ow流表的下发完成MTD过程； Web应用配置MTD子模块收到防御启动指令后， 根据当前扫 描信息及连接的资源库自适 应生成最优跳变策略， 并下发跳变指令完成Web应用端的MTD过程； 至此一次防御过程结束， 系统将进入下一个防御周期， 并循环判断新周期的网络状态， 更新防御策略。 9.一种计算机可读存储介质， 存储有计算机程序， 所述计算机程序被处理器执行时， 使 得所述处理器执行如下步骤： SDN控制器通过OpenFlow交换机收集网络中的流量， 每隔一个防御周期进行一次流量 分析和异常检测； 若检测到流量异常， 则与自适应MTD模块进行通信， 报告网络异常情况及 流量统计数据； 虚拟机迁移MTD 子模块接收到流量异常告警后， 根据收集的基础设备信息及 流量数据， 自适应生成当前网络状态下 的最优迁移策略， 并将 高级策略解析为低级转发规 则， 更新指令和路由规则， 通过OpenFl ow流表的下发完成MTD过程； Web应用配置MTD子模块收到防御启动指令后， 根据当前扫 描信息及连接的资源库自适 应生成最优跳变策略， 并下发跳变指令完成Web应用端的MTD过程； 至此一次防御过程结束， 系统将进入下一个防御周期， 并循环判断新周期的网络状态， 更新防御策略。 10.一种信息数据处理终端， 其特征在于， 所述信息数据处理终端用于实现如权利要求 6～7任意 一项所述 面向Web服 务的自适应移动目标防御系统。权　利　要　求　书 2/2 页 3 CN 114244586 A 3