web服务器拟态防御原理验证系统测试与分析.pdf
第2卷 第 1期 信 息 安 全 学 报 、,0l_2NO.1
2017年 1月 JournalofCyberSecurity January,2017
web服务器拟态防御原理验证系统测试与分析
张 铮 ,马博林 ,邬江兴2
。数字工程与先进计算国家重点实验室 郑州 中国 450001
国家数字交换系统工程技术研究中心 郑州 中国450002
摘要 web服务器拟态防御原理验证系统是基于拟态防御原理的新型web安全防御系统,利用异构性、冗余性、动态性等特性
阻断或扰乱网络攻击,以达成系统安全风险可控的要求。针对传统的测试方法实施于web服务器拟态防御原理验证系统中存在
不足、不适应复杂安全功能测试以及难以实现准确度量等问题,本文提出了适用于拟态防御架构的web服务器测试方法,基于
让步规则改进了灰盒测试,还丰富了漏洞和后门利用复杂度的含义。并以此为基础设计适于该系统的测试方案、测试原则和测
试方法,在性能、兼容性、功能实现、HTTP协议一致性,安全性这些方面进行了全面的测试和分析。
关键词 拟态防御原理;灰盒测试;利用复杂度;测试原则;测试用例:测试分析:测试
中图法分类号 TP393 DOI号 10.19363~.cnki.cnl0.1380/tn.2017.01.002
TheTestandAnalysisofPrototypeofM imic
Defensein bServers
ZHANGZheng,MABolin,Wq5Jiangxing
StatekeyLaboratoryofM athematicalEngineeringandAdvancedComputing,Zhengzhou450001,China
NationalDigiatlSwitchingSystem Engineering& TechnologicalR&D Center,Zhengzhou450002.China
Abstract Prototypeofmimicdefenselnwebservers1Sanew typeofwebsecuritydefensesystem basedonmimicsecu-
ritydefensetheory,whichmakesuseofheterogeneity,redundancy,dynamicandothercharacteristicstoblockordisrupt
thenetworkaaacks,inordertoachievetherequirementofcontrollingsystem securityrisk.Thetraditionalwebservices
testingmethodsareinadequateanddonotmeetthecomplexsecuritytestingrequirementsandhavedifficulyt inaccurate
measurement.Thispaperpresentsawebservicestestingmethodwhichisapplicabletomimicdefensearchitecture,im—
provegray-b·oxtestingmethodbasedonconcessionurleandenrichesthemeaningofexploitingcomplexityofvulnerabil-·
ityandbackdoor.Basedonthis,thispaperputsforwardthetestprojects,testprinciplesandtestmethodsforthenewly
system.Itcoverscomprehensivetestandanalysisonaspectsofperformance,compatibility,function,HTTPprotocolcon-
formance,securiyt.
Ke