一种基于虚拟环境的主动防御木马的方法

一种基于虚拟环境的主动防御木马的方法
【专利摘要】本发明公开了一种基于虚拟环境的主动防御木马的方法，本发明首次将被保护的网络服务器部署在动态变化下的异构配置环境的虚拟异构系统之中。当访问请求产生时，随机映射到不同的虚拟系统之中，使得每次访问的环境均不同。将多个虚拟系统封装为一个网络服务器结点，增加了攻击者利用环境漏洞的难度。同时，通过改变系统和配置结构让木马失去生存环境，进而达到主动木马防御的目的。
【专利说明】
-种基于虚拟环境的主动防御木马的方法
技术领域
[0001] 本发明设及网络安全技术领域，尤其设及一种基于虚拟环境的网络安全主动防御 木马的方法。
【背景技术】
[0002] 随着互联网技术与社会各行业的紧密结合和应用，网络安全已经成为影响各行业 互联网化的一个重要影响要素。木马作为一个网络攻击者常用的技术手段，具有体量小、隐 蔽性强、危害性大等特点，难W进行有效的防范。基于网络服务器的应用，如B/S架构中的服 务器端、C/S架构中的服务器端，一旦被攻击者植入木马，便会被攻击者进行远程控制、修改 文件、盗取各种重要数据甚至控制远程硬件设备等非法安全行为。因此，网络服务器需要一 种高效的方法防范木马。
[0003] 常见的木马防御方法有：
[0004] 1、不到不受信任的网站上下载软件运行；
[0005] 2、不随便点击来历不明邮件所带的附件；
[0006] 3、及时安装相应的系统补下程序；
[0007] 4、为系统选用合适的正版杀毒软件，并及时升级相关的病毒库；
[000引5、为系统所有的用户设置合理的用户口令。
[0009] 运些方法还停留在尽可能阻止被木马植入W及被植入后再查找、打补下的被动防 御阶段，因此一种主动防御木马的技术便显得尤为重要。
[0010] 木马病毒通常包括控制端和被控制端程序。其中，控制端主要进行目标机器漏桐 发现、利用漏桐植入木马病毒、与植入木马的被控制端进行交互和实施攻击行为。被控制端 主要进行自我隐藏、自动传播、与控制端进行交互和实施攻击行为。其中木马实施的关键要 素:一是需要知道被攻击对象的相关属性信息进而发现漏桐;二是木马植入与存活依赖于 具体的运行环境。本发明根据木马实施的要素特点，不断改变被攻击对象的运行环境属性， 使其难W发现漏桐并植入木马；即使木马已经植入到运行环境中，通过改变配置环境和恢 复初始状态的方法，让木马无法存活并消失。

【发明内容】

[0011] 本发明目的在于针对现有技术的不足，提供一种基于虚拟环境的主动防御木马的 方法。本发明通过不断改变应用程序的运行环境和运行环境的回滚还原，使得攻击者难W 发现运行环境的漏桐，难W针对运行环境的漏桐植入木马病毒，即使植入也难W存活和存 在，大大提高网络服务器的安全性。
[0012] 本发明的目的是通过W下技术方案来实现的：一种基于虚拟环境的主动防御木马 的方法，包括W下步骤：
[0013] (1)在系统初始化或运行过程中，自动搭建虚拟环境;该步骤通过W下子步骤来实 现：
[0014] (1.1)搭建虚拟环境￥={>1|1 = 1，2，***，11}，其中，11为搭建的虚拟系统的数 量，Vi为第i台虚拟环境；
[00巧](1.2)在每个虚拟环境中使用不同的操作系统Sys={sysi|i = l，2，《 ? .,n}，其 中，sysi为第i台虚拟环境的操作系统；
[0016] (1.3)在每个虚拟环境中使用不同的配置环境Ev={evi|i = l，2, . . .，n}，其 中，evi为第i台虚拟环境的配置参数；
[0017] (1.4)在虚拟环境Vi中部署应用服务，并为每个节点分配一个IP地址IP= Upi Ii = 1,2, ? ? ?，n巧P-个端口地址Pt={pti|i = l，2, ? ? ?，n}，其中，ipi代表第i个虚拟环境 的IP地址，Pti代表第i个虚拟环境的端口地址；
[001引（1.5)为服务提供独立的数据交互通道Pi = {pii|i = l，2, ? ? ?，n}，其中，Pii代 表用户与第i个虚拟环境的IP和端口中建立的独立通道；
[0019] (2)将每次访问映射到不同的虚拟环境中。
[0020] (3)、通过通道Pipe进行数据转发，使得第i台虚拟环境Vi为用户提供服务。
[0021 ] (4)、在连接超时、遭遇非法攻击行为等条件下自动销毁通道Pipe。
[0022] (5)、在自身出现异常、遭遇非法攻击行为、遭遇非法操作行为、达到规定生命期限 等条件下自动销毁虚拟系统sysi。
[0023] 进一步地，所述步骤(2)通过W下子步骤来实现：
[0024] (2.1)获取虚拟环境属性信息，具体为：
[00巧](2.1.2)获取虚拟环境的环境参数:evi= {evij I j = l，2, ? ? ?，n}，其中evij表示 第i台虚拟环境Vi的第j台虚拟环境之间的环境参数；
[0026] (2.1.3)获取虚拟环境的环境安全系数:56={561|1 = 1，2，---，11}，其中561表 示第i台虚拟环境Vi的安全系数;其中，Se为自然数，值越大越不安全；
[0027] (2.1.4)获取虚拟环境的环境参数的权重系数:胖1={机山' =1，2，---，11}，其中 WiJ表示第i台虚拟环境Vi的第j个环境参数的权重系数，其中：
[002引
[0029] (2.2)获得虚拟环境的性能指标P(Vi),V康示第i台虚拟环境，其中：
[0030]
[0031] (2.3)获得虚拟环境负载指标为L={li|i = l，2, ? ? ?，n}，li表示第i台虚拟环境 的负载指标；
[0032] (2.4)虚拟环境Vi每隔一个时间周期T将性能指标P(Vi)和负载指标为Ii发给分配 器；
[0033] (2.5)由下式计算负载安全冗余值：
[0034] R(Vi)= A tXliXSei/P(vi)
[0035] 式中，R(Vi)为第i台虚拟环境Vi的负载安全冗余值；
[0036] (2.6)为了使各台虚拟环境在一定安全级别下负载均衡，设置一个最小的负载安 全冗余值Rmin、一个最大负载安全冗余值Rmax ;
[0037] (2.7)构建通道，该步骤具体为：当第i台虚拟环境节点的负载冗余值R(Vi)小于 Rmin时，该虚拟环境有权接收任务分配;分配器将访问请求端口和虚拟环境端口间建立独立 通道Pipe = (pipex，Vi)，其中pipex表示第X个用户的独立通道,Vi表示第i台虚拟环境。
[0038] 本发明的有益效果是:本发明通过将多个虚拟环境对外封装为一个网络服务应用 节点，将一个公网IP地址访问映射为多个内部局域网IP地址进行数据转发，能大大增加攻 击者发现、利用环境漏桐的难度，也改变了木马病毒所依赖的运行环境，加固了传统网络应 用服务器的安全性。
【附图说明】
[0039] 图1是虚拟环境生命周期图；
[0040] 图2是主动防御层次结构图。
【具体实施方式】
[0041] 下面根据附图1和2,详细描述本发明的具体实施过程。
[0042] 本发明基于虚拟环境的主动防御木马的方法，包括W下步骤：
[0043] 1、在系统初始化或运行过程中，自动搭建虚拟环境;该步骤通过W下子步骤来实 现：
[0044] (1.1)搭建虚拟环境V={vi|i = l，2, ? ? ?，n}，其中，n为搭建的虚拟系统的数 量，Vi为第i台虚拟环境；
[0045] (1.2)在每个虚拟环境中使用不同的操作系统Sys={sysi|i = l，2, ? ? ?，n}，其 中，sysi为第i台虚拟环境的操作系统；
[0046] (1.3)在每个虚拟环境中使用不同的配置环境Ev={evi|i = l，2, ? ? ?，n}，其 中，evi为第i台虚拟环境的配置参数；
[0047] (1.4)在虚拟环境Vi中部署应用服务，并为每个节点分配一个IP地址IP= Upi Ii = 1,2, ? ? ?，n巧P-个端口地址Pt={pti|i = l，2, ? ? ?，n}，其中，ipi代表第i个虚拟环境 的IP地址，Pti代表第i个虚拟环境的端口地址；
[004引（1.5)为服务提供独立的数据交互通道Pi = {pii|i = l，2, . . .，n}，其中，Pii代 表用户与第i个虚拟环境的IP和端口中建立的独立通道；
[0049] 2、将每次访问映射到不同的虚拟环境中，该步骤通过W下子步骤来实现：
[0050] (2.1)获取虚拟环境属性信息，具体为：
[0051] (2.1.2)获取虚拟环境的环境参数:evi= {evij I j = l，2, ? ? ?，n}，其中evij表示 第i台虚拟环境Vi的第j台虚拟环境之间的环境参数；
[0052] (2.1.3)获取虚拟环境的环境安全系数:56={561|1 = 1，2，---，11}，其中561表 示第i台虚拟环境Vi的安全系数;其中，Se为自然数，值越大越不安全；
[0053] (2.1.4)获取虚拟环境的环境参数的权重系数:胖1={机山' =1，2，---，11}，其中 WiJ表示第i台虚拟环境Vi的第j个环境参数的权重系数，其中：
[0化4]
[0055] (2.2)获得虚拟环境的性能指标P(Vi),Vi表示第i台虚拟环境，其中：
[0化6]
[0057] (2.3)获得虚拟环境负载指标为L={li|i = l，2, ? ? ?，n}，l康示第i台虚拟环境 的负载指标；
[0058] (2.4)虚拟环境Vi每隔一个时间周期T将性能指标P(Vi)和负载指标为Ii发给分配 器；
[0059] (2.5)由下式计算负载安全冗余值：
[0060] R(Vi) = A t X Ii X Sei/P(Vi)
[0061] 式中，R(Vi)为第i台虚拟环境Vi的负载安全冗余值；
[0062] (2.6)为了使各台虚拟环境在一定安全级别下负载均衡，设置一个最小的负载安 全冗余值Rmin、一个最大负载安全冗余值Rmax ;
[0063] (2.7)构建通道，该步骤具体为：当第i台虚拟环境节点的负载冗余值R(Vi)小于 Rmin时，该虚拟环境有权接收任务分配;分配器将访问请求端口和虚拟环境端口间建立独立 通道Pipe = (pipex，Vi)，其中pipex表示第X个用户的独立通道，Vi表示第i台虚拟环境；
[0064] 3、通过通道Pipe进行数据转发，使得第i台虚拟环境Vi为用户提供服务；
[0065] 4、在连接超时、遭遇非法攻击行为等条件下自动销毁通道Pipe;
[0066] 5、在自身出现异常、遭遇非法攻击行为、遭遇非法操作行为、达到规定生命期限等 条件下自动销毁虚拟系统sysi。
[0067] 图1是虚拟环境生命周期图，该图说明了虚拟环境的完整的生命周期。具体分为如 下=个阶段：
[0068] (1)创建阶段:在系统初始化或者在运行过程中，虚拟环境自动的完成异构操作系 统和配置环境的创建。该阶段通过虚拟不同的状态，完成漏桐的伪装，增加攻击者的漏桐发 现难度。
[0069] (2)执行阶段:建立用户和虚拟环境下的应用程序间的独立通道。通过建立独立的 通道确保用户请求独立于其他请求，降低禪合度，进而确保防御过程的独立性。当通道执行 过程中，通过行为检测和态势感知，判断访问行为的安全合法性，若发现通道中出现不安全 行为，将转入通道销毁过程；当虚拟环境在运行过程中，通过系统检测和态势感知，判断系 统的安全合法性，若发现系统处于不安全状态，将转入系统销毁过程；
[0070] (3)销毁阶段：当通道处于销毁阶段或者请求超时的条件下，通道将进行自我销 毁。当虚拟环境处于不安全状态或者规定生命期限到达时，虚拟环境进行自我销毁。
[0071] 图2是主动防御层次结构图。该图说明了防御的层次结构。主要包括=个层次的防 御：
[0072] (1)现有防护层:主要通过现有的防火墙、WAF、指纹欺骗、蜜罐等技术手段完成的 防护；
[0073] (2)拟态防护层：主要通过改变虚拟环境配置参数，让增加攻击者的漏桐发现成 本；
[0074] (3)生存环境防护层:主要通过改变虚拟系统的类型，改变木马的生存环境，从而 达到木马无法运行的目的。同时，通过虚拟系统还原恢复让已经植入的木马被自动销毁。
【主权项】
1. 一种基于虚拟环境的主动防御木马的方法，其特征在于，包括W下步骤： (1) 在系统初始化或运行过程中，自动搭建虚拟环境;该步骤通过W下子步骤来实现： (1.1) 搭建虚拟环境V={vi|i = l，2，· · ·，η}，其中，η为搭建的虚拟系统的数量，VI为 第i台虚拟环境； (1.2) 在每个虚拟环境中使用不同的操作系统Sys={sysi|i = l，2，· · ·，η}，其中， sysi为第i台虚拟环境的操作系统； (1.3) 在每个虚拟环境中使用不同的配置环境Ev={evi|i = l，2，· · ·，η}，其中，evi 为第i台虚拟环境的配置参数； (1.4) 在虚拟环境VI中部署应用服务，并为每个节点分配一个IP地址IP={ipi|i = l， 2, · · ·，n巧P-个端口地址Pt={pti|i = l，2, · · ·，n}，其中，ipi代表第i个虚拟环境的 IP地址，pti代表第i个虚拟环境的端口地址； (1.5) 为服务提供独立的数据交互通道Pi = {pii|i = l，2，· · ·，η}，其中，pii代表用 户与第i个虚拟环境的IP和端口中建立的独立通道； (2) 将每次访问映射到不同的虚拟环境中。 (3) 、通过通道Pipe进行数据转发，使得第i台虚拟环境VI为用户提供服务。 (4) 、在连接超时、遭遇非法攻击行为等条件下自动销毁通道Pipe。 (5) 、在自身出现异常、遭遇非法攻击行为、遭遇非法操作行为、达到规定生命期限等条 件下自动销毁虚拟系统sysi。2. 根据权利要求1所述的基于虚拟环境的主动防御木马的方法，其特征在于，所述步骤 (2)通过W下子步骤来实现： (2.1)获取虚拟环境属性信息，具体为： (2.1.2) 获取虚拟环境的环境参数:6￥1={6￥：^|^'=1，2，《??，]1}，其中6￥^表示第；[台 虚拟环境Vi的第j台虚拟环境之间的环境参数； (2.1.3) 获取虚拟环境的环境安全系数:56={561|1 = 1，2，---，11}，其中561表示第1 台虚拟环境VI的安全系数;其中，Se为自然数，值越大越不安全； (2.1.4) 获取虚拟环境的环境参数的权重系数:胖1={￥^|^' = 1，2，《??，11}，其中*^表 示第i台虚拟环境VI的第j个环境参数的权重系数，其中：(2.2) 获得虚拟环境的性能指标P(Vl)，v康示第i台虚拟环境，其中：(2.3) 获得虚拟环境负载指标为L=Ui|i = l，2，· · ·，η}，1ι表示第i台虚拟环境的负 载指标； (2.4) 虚拟环境VI每隔一个时间周期T将性能指标P(vi)和负载指标为h发给分配器； (2.5) 由下式计算负载安全冗余值： R(vi) = Δ t X li X Sei/P(vi) 式中，R(Vi)为第i台虚拟环境Vi的负载安全冗余值； (2.6) 为了使各台虚拟环境在一定安全级别下负载均衡，设置一个最小的负载安全冗 余值Rmin、一个最大负载安全冗余值Rmax ; (2.7)构建通道，该步骤具体为：当第i台虚拟环境节点的负载冗余值R(Vi)小于Rmin时， 该虚拟环境有权接收任务分配;分配器将访问请求端口和虚拟环境端口间建立独立通道 Pipe = (pipex, Vi)，其中pipex表示第X个用户的独立通道,Vi表示第i台虚拟环境。
【文档编号】G06F21/56GK105847248SQ201610163933
【公开日】2016年8月10日
【申请日】2016年3月19日
【发明人】吴春明, 陈双喜
【申请人】浙江大学