高级搜索

留言板

尊敬的读者、作者、审稿人, 关于本刊的投稿、审稿、编辑和出版的任何问题, 您可以本页添加留言。我们将尽快给您答复。谢谢您的支持!

姓名
邮箱
手机号码
标题
留言内容
验证码

云原生下基于深度强化学习的移动目标防御策略优化方案

张帅 郭云飞 孙鹏浩 程国振 扈红超

张帅, 郭云飞, 孙鹏浩, 程国振, 扈红超. 云原生下基于深度强化学习的移动目标防御策略优化方案[J]. 电子与信息学报, 2023, 45(2): 608-616. doi: 10.11999/JEIT211589
引用本文: 张帅, 郭云飞, 孙鹏浩, 程国振, 扈红超. 云原生下基于深度强化学习的移动目标防御策略优化方案[J]. 电子与信息学报, 2023, 45(2): 608-616. doi: 10.11999/JEIT211589
ZHANG Shuai, GUO Yunfei, SUN Penghao, CHENG Guozhen, HU Hongchao. Moving Target Defense Strategy Optimization Scheme for Cloud Native Environment Based on Deep Reinforcement Learning[J]. Journal of Electronics & Information Technology, 2023, 45(2): 608-616. doi: 10.11999/JEIT211589
Citation: ZHANG Shuai, GUO Yunfei, SUN Penghao, CHENG Guozhen, HU Hongchao. Moving Target Defense Strategy Optimization Scheme for Cloud Native Environment Based on Deep Reinforcement Learning[J]. Journal of Electronics & Information Technology, 2023, 45(2): 608-616. doi: 10.11999/JEIT211589

云原生下基于深度强化学习的移动目标防御策略优化方案

doi: 10.11999/JEIT211589
基金项目: 国家重点研发计划(2021YFB1006200, 2021YFB1006201),国家自然科学基金(62072467)
详细信息
    作者简介:

    张帅:男,博士生,主要研究方向为云计算、网络安全

    郭云飞:男,教授,博士生导师,主要研究方向为新型网络体系结构、电信网安全、云计算

    孙鹏浩:男,博士,讲师,主要研究方向为新型网络体系结构、强化学习

    程国振:男,博士,硕士生导师,主要研究方向为新型网络体系结构、网络安全

    扈红超:男,研究员,博士生导师,主要研究方向为云计算、网络安全

    通讯作者:

    张帅 2012301200229@whu.edu.cn

  • 中图分类号: TN915.08; TP302

Moving Target Defense Strategy Optimization Scheme for Cloud Native Environment Based on Deep Reinforcement Learning

Funds: The National Key Research and Development Plan (2021YFB1006200, 2021YFB1006201), The National Natural Science Foundation of China (62072467)
  • 摘要: 针对云原生环境下攻击场景的复杂性导致移动目标防御策略配置困难的问题,该文提出一种基于深度强化学习的移动目标防御策略优化方案(SmartSCR)。首先,针对云原生环境容器化、微服务化等特点,对其安全威胁及攻击者攻击路径进行分析;然后,为了定量分析云原生复杂攻击场景下移动目标防御策略的防御效率,提出微服务攻击图模型并对防御效率进行刻画。最后,将移动目标防御策略的优化问题建模为马尔可夫决策过程,并使用深度强化学习解决云原生应用规模较大时带来的状态空间爆炸问题,对最优移动目标防御配置进行求解。实验结果表明,SmartSCR能够在云原生应用规模较大时快速收敛,并实现逼近最优的防御效率。
  • 图  1  云原生环境下微服务攻击面示意图

    图  2  SmartSCR总体架构图

    图  3  DQN学习过程示意图

    图  4  不同算法下的对比

    算法1 基于DQN的安全配置优化算法训练
     输入:微服务间调用关系
     输出:DQN神经网络参数$ {\theta _j} $
     (1) 初始化经验复用池的容量$ D $,最小批量经验数量$ L $,网络更
       新步长$ W $
     (2) for episode in range(STEPS):
     (3)   随机生成微服务防御配置$ H $
     (4)   随机生成每个微服务副本数量,并模拟调度器对副本进行
        调度;
     (5)   基于防御配置与应用状态,生成输入$ {\mathcal{S}_t} $
     (6)   以$ \varepsilon $的概率随机选择一个动作$ {a_t} $,否则选择
        $ {a_t} = {\max _a}Q\left( {{\mathcal{S}_t},a;\theta } \right) $
     (7)   基于动作$ {a_t} $修改防御配置,得出下一个状态$ {\mathcal{S}_{t + 1}} $,并基于
        MAG模型计算对应的奖励$ {r_t} $
     (8)   在经验复用池中存储样本$ \left\langle {{\mathcal{S}_t},{a_t},{r_t},{\mathcal{S}_{t + 1}}} \right\rangle $
     (9)   从经验复用池中随机抽$ L $个样本
     (10)  使用式(10)和式(11)执行梯度下降
     (11)  每$ W $步更新目标网络参数$ \theta $
     (12) End
     (13) 获取最优微服务防御配置
    下载: 导出CSV

    表  1  应用漏洞信息表

    微服务名称漏洞编号漏洞利用困难度漏洞权重微服务攻击困难度
    ATomcatCVE-2021-423400.25646.80.3518
    CVE-2021-306400.45456.0
    CVE-2019-02210.357167.1
    BMemcachedCVE-2016-87040.25648.30.314
    CVE-2016-87050.25648.3
    CVE-2016-87060.45456.8
    CImageMagickCVE-2017-146500.45456.80.4010
    CVE-2017-142240.35718.3
    DMysqlCVE-2020-119740.25647.30.4179
    CVE-2016-66631.00004.3
    CVE-2016-66620.25648.2
    ContainerCVE-2021-4378470.62507.60.4483
    CVE-2020-351970.25647.0
    下载: 导出CSV
  • [1] 中国信息通信研究院. 云计算白皮书[R]. 中国信息通信研究院, 2021.

    China Academy of Information and Communications Technology. Cloud computing white paper[R]. China Academy of Information and Communications Technology, 2021.
    [2] ZHOU Xiang, PENG Xin, XIE Tao, et al. Fault analysis and debugging of microservice systems: Industrial survey, benchmark system, and empirical study[J]. IEEE Transactions on Software Engineering, 2021, 47(2): 243–260. doi: 10.1109/TSE.2018.2887384
    [3] KHAN M G, TAHERI J, Al-DULAIMY A, et al. PerfSim: A performance simulator for cloud native microservice chains[J]. IEEE Transactions on Cloud Computing, To be published.
    [4] AROUK O and NIKAEIN N. Kube5G: A cloud-native 5G service platform[C]. 2020 IEEE Global Communications Conference, Taipei, China, 2020: 1–6.
    [5] GAO Xing, STEENKAMER B, GU Zhongshu, et al. A study on the security implications of information leakages in container clouds[J]. IEEE Transactions on Dependable and Secure Computing, 2021, 18(1): 174–191. doi: 10.1109/TDSC.2018.2879605
    [6] NIFE F N and KOTULSKI Z. Application-aware firewall mechanism for software defined networks[J]. Journal of Network and Systems Management, 2020, 28(3): 605–626. doi: 10.1007/s10922-020-09518-z
    [7] BARDAS A G, SUNDARAMURTHY S C, OU Xinming, et al. MTD CBITS: Moving target defense for cloud-based IT systems[C]. The 22nd European Symposium on Research in Computer Security, Oslo, Norway, 2017: 167–186.
    [8] LU Kangjie, SONG Chengyu, LEE B, et al. ASLR-guard: Stopping address space leakage for code reuse attacks[C]. The 22nd ACM SIGSAC Conference on Computer and Communications Security, Denver, USA, 2015: 280–291.
    [9] LARSEN P, BRUNTHALER S, DAVI L, et al. Automated Software Diversity[M]. Morgan & Claypool, 2015: 1–8.
    [10] MEIER R, TSANKOV P, LENDERS V, et al. NetHide: Secure and practical network topology obfuscation[C]. The 27th USENIX Security Symposium, Baltimore, USA, 2018: 1–18.
    [11] JIN Hai, LI Zhi, ZOU Deqing, et al. DSEOM: A framework for dynamic security evaluation and optimization of MTD in container-based cloud[J]. IEEE Transactions on Dependable and Secure Computing, 2021, 18(3): 1125–1136. doi: 10.1109/TDSC.2019.2916666
    [12] GLUCK A. Introducing domain-oriented microservice architecture[EB/OL].https://eng.uber.com/microservice-architecture, 2021.
    [13] NIST. National vulnerability database[EB/OL]. https://nvd.nist.gov/vuln, 2021.
    [14] PENG Wei, LI Feng, HUANG C T, et al. A moving-target defense strategy for cloud-based services with heterogeneous and dynamic attack surfaces[C]. 2014 IEEE International Conference on Communications, Sydney, Australia, 2014: 804–809.
    [15] 邱航, 汤红波, 游伟. 基于深度Q网络的在线服务功能链部署方法[J]. 电子与信息学报, 2021, 43(11): 3122–3130. doi: 10.11999/JEIT201009

    QIU Hang, TANG Hongbo, and YOU Wei. Online service function chain deployment method based on deep Q network[J]. Journal of Electronics &Information Technology, 2021, 43(11): 3122–3130. doi: 10.11999/JEIT201009
  • 加载中
图(4) / 表(2)
计量
  • 文章访问数:  958
  • HTML全文浏览量:  404
  • PDF下载量:  182
  • 被引次数: 0
出版历程
  • 收稿日期:  2021-12-29
  • 修回日期:  2022-05-19
  • 录用日期:  2022-06-08
  • 网络出版日期:  2022-06-13
  • 刊出日期:  2023-02-07

目录

    /

    返回文章
    返回