拟态web服务器性能指标,web服务器拟态防御原理验证系统测试与分析.pdf

web服务器拟态防御原理验证系统测试与分析.pdf

第2卷 第 1期 信 息 安 全 学 报 、，0l_2NO．1

2017年 1月 JournalofCyberSecurity January,2017

web服务器拟态防御原理验证系统测试与分析

张 铮 ，马博林 ，邬江兴2

。数字工程与先进计算国家重点实验室 郑州 中国 450001

国家数字交换系统工程技术研究中心 郑州 中国450002

摘要 web服务器拟态防御原理验证系统是基于拟态防御原理的新型web安全防御系统，利用异构性、冗余性、动态性等特性

阻断或扰乱网络攻击，以达成系统安全风险可控的要求。针对传统的测试方法实施于web服务器拟态防御原理验证系统中存在

不足、不适应复杂安全功能测试以及难以实现准确度量等问题，本文提出了适用于拟态防御架构的web服务器测试方法，基于

让步规则改进了灰盒测试，还丰富了漏洞和后门利用复杂度的含义。并以此为基础设计适于该系统的测试方案、测试原则和测

试方法，在性能、兼容性、功能实现、HTTP协议一致性，安全性这些方面进行了全面的测试和分析。

关键词 拟态防御原理；灰盒测试；利用复杂度；测试原则；测试用例：测试分析：测试

中图法分类号 TP393 DOI号 10．19363~．cnki．cnl0．1380／tn．2017．01．002

TheTestandAnalysisofPrototypeofM imic

Defensein bServers

ZHANGZheng，MABolin，Wq5Jiangxing

StatekeyLaboratoryofM athematicalEngineeringandAdvancedComputing，Zhengzhou450001，China

NationalDigiatlSwitchingSystem Engineering& TechnologicalR&D Center,Zhengzhou450002．China

Abstract Prototypeofmimicdefenselnwebservers1Sanew typeofwebsecuritydefensesystem basedonmimicsecu-

ritydefensetheory,whichmakesuseofheterogeneity,redundancy,dynamicandothercharacteristicstoblockordisrupt

thenetworkaaacks，inordertoachievetherequirementofcontrollingsystem securityrisk．Thetraditionalwebservices

testingmethodsareinadequateanddonotmeetthecomplexsecuritytestingrequirementsandhavedifficulyt inaccurate

measurement．Thispaperpresentsawebservicestestingmethodwhichisapplicabletomimicdefensearchitecture，im—

provegray-b·oxtestingmethodbasedonconcessionurleandenrichesthemeaningofexploitingcomplexityofvulnerabil-·

ityandbackdoor．Basedonthis，thispaperputsforwardthetestprojects，testprinciplesandtestmethodsforthenewly

system．Itcoverscomprehensivetestandanalysisonaspectsofperformance，compatibility,function，HTTPprotocolcon-

formance，securiyt．

Ke