精华内容
下载资源
问答
  • 弹性防御
    2022-05-20 14:17:31

    100gddos高防ip多少钱

    每家公司的费用标准都不一样,像阿里的30G防御起步就20800了 不是一般人用的而且还是弹性收费,攻击超过30G 多出来的攻击 弹性收费 一天下来就得个几w,真的很贵

    我们这种是按月的 独立清洗防御 每秒ddos攻击量不超100G都没事 无视cc攻击 超了提供临时防御 先防攻击 在选择升级还是不升级

    升级是补差价升级 对接一对一24小时售后 100G防御只需不到3k就可以了

    提供试用 防渗透入侵 防注入攻击 防跨站攻击 防漏洞扫描 防ddos cc

    2000Gddos流量清洗能力 cc攻击无限防 0误封 不用担心防不住攻击

    更多相关内容
  • 基于攻击视角完善信息安全弹性防御体系的思考.docx
  • 银行行业月报:弹性缺乏,防御配置.pdf
  • 网络技术-网络设备-弹性供应网络系统的防御策略和应急方法研究.pdf
  • 银行行业月报:弹性缺乏,防御配置-20190904-中银国际-25页.pdf
  • 2021-2025年中国PVC弹性地板行业调研及防御型战略咨询报告.pdf
  • 「数据安全」一种基于负载特征预测的容器云弹性伸缩策略 - 安全防御 网站安全 安全研究 防火墙 恶意软件 安全开发
  • 基于BETA分布(SCI)的防御信誉随时间变化攻击的弹性信任管理方案
  • 钢铁产业专题报告:钢铁股具备较好防御性,业绩未来向上弹性较大
  • 钢铁产业专题报告:钢铁股具备较好防御性,业绩未来向上弹性较大.pdf
  • 钢铁产业专题报告:钢铁股具备较好防御性,业绩未来向上弹性较大(2021)(14页).pdf
  • 综合考虑SNOP的功能特性与运行边界,建立了面向配电网弹性提升的SNOP配置三层防御-攻击-防御优化模型,并提出了求解该模型的两阶段鲁棒优化方法——列约束生成(CCG)算法。以IEEE 33节点为例,对所述模型和求解算法...
  • 主动防御简述

    千次阅读 2020-06-29 13:01:20
    主动防御一、定义二、主动...主动防御是在入侵行为对计算机系统造成恶劣影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险的安全措施。 主动防御也是一种变相的攻击型安全措施


    主动防御可以指军事或网络安全领域中的防御战略。在网络安全领域,主动防御也称为 Active Cyber Defense,主动防御是与被动防御相对应的概念。

    图片来源IISL,如有侵犯,请联系我删除

    一、定义

    主动防御是在入侵行为对计算机系统造成恶劣影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险的安全措施。

    主动防御也是一种变相的攻击型安全措施(offensive security)。攻击型安全措施的重点是寻找入侵者,计算机系统在某些情况下会使他们丧失入侵能力或者破坏他们的入侵行动。

    二、主动防御和被动防御的比较

    被动防御是计算机在受到攻击后,受到攻击后,计算机系统采取的安全措施。例如,系统内部的安全审计工具(防火墙或者杀毒软件)扫描或监测出计算机系统内存在木马或者病毒文件,再将它们杀死或者永久删除。修复系统漏洞或者bug也是被动防御。被动防御也是大部分人口中默认的网络安全防御措施。
    被动防御技术主要有以下四种:

    1. 防火墙技术(传统防火墙)
    2. 传统入侵检测技术(IDS)
    3. 恶意代码扫描技术
    4. 网络监控技术

    主动防御和被动防御的区别在于,前者可以提前防范威胁,将潜在的威胁扼杀在摇篮里,后者是计算机在被入侵后被动的采取安全措施。举个简单的例子,对于大部分杀毒软件(以下简称杀软)而言,只能被动的查杀已知病毒。这里的被动的是指,先有新病毒,然后杀软安全厂商提取病毒的特征码后录入到自家的杀软数据库中,最后用户使用杀软对计算机进行查杀病毒。而主动防御是主动捕获流量的变化和程序行为,并对此分析,如果有疑似病毒行为的操作则立刻通知用户进行处理,进而达到将威胁扼杀到摇篮里的目的。

    主动防御弥补了传统“特征码查杀”技术对新病毒滞后性的特点。

    三、主动防御的方法

    主动防御主要是对整个计算机系统进行实时监控,能快速捕获网络流量的变化,对程序行为进行分析,禁止一切可疑行为,从而达到保护计算机系统安全的目的。同时主动防御系统也会收集可疑行为的连接计算机的方式(潜在入侵行为)以及其它有用信息(了解入侵者的信息等)。用户可以通过该信息利用一些“攻击”手段来对抗入侵者,使其入侵难以进行。
    主动防御技术主要有以下8种:

    1. 数据加密
    2. 访问控制
    3. 权限设置
    4. 漏洞扫描技术(网络安全扫描技术)
    5. 蜜罐技术
    6. 审计追踪技术
    7. 入侵防护技术(布防的新型入侵检测技术)(IPS)
    8. 防火墙与入侵检测联动技术

    四、主动防御的作用

    • 让入侵者的入侵速度变慢或入侵脱轨,使其无法继续入侵或者完成入侵行动,从而增加入侵者犯错的概率并暴露其存在(IP地址)或暴露他们的入侵媒介[3]。
    • 增加入侵成本。主动防御也可能意味着"非对称防御",通过增加入侵者攻击的成本和时间。
    • 可以检测和阻止内外威胁。不仅能检测和阻止互联网中(外部威胁)的入侵者对局域网的入侵行为,还能检测局域网中(内部威胁)的攻击行为,包括勒索软件,勒索和加密劫持等。
    • 收集取证入侵者犯罪行为。主动防御使系统能够提前主动检测和破坏入侵行动,收集和了解了入侵手法和威胁情报并记录到主动防御系统的数据库中,主动防御系统会做出对应防范策略,以防止类似事件再次发生。
    • 向入侵者发动反击。某些特殊场合,主动防御系统会向入侵者发动反击行为。这通常是为军事和执法部门保留的权利,这些部门有资源也有权限确认攻击来源并采取适当的行动。
      备注:个人的反击行为可能会触犯当地法律。建议不要私自采取反击行动。

    五、主动防御带来的隐患

    主要隐患在于主动防御的目的中的第5点——向入侵者发动反击。主动防御的特点之一是通过主动防御系统,被入侵者可以获得入侵者的大部分信息,包括入侵者的地址,入侵的媒介等。主动防御在破环入侵行为的同时,也可以根据收集的有效信息,对入侵者进行反击,从而击退入侵者。当主动防御系统对入侵者进行反击时,虽然是出于安全目的,但是本质上也等同于网络攻击。

    也就是说,这些防御方法是否合法,是否达成了社会性的共识是一个问题。换言之,作为安全策略(即反击行为),对入侵者反击的程度的底线在哪里,如果安全策略不合法,则被入侵者可能会被起诉为攻击者,有被认定为犯罪的风险。此外通过防御系统反击入侵行为,也可能会激怒入侵者,从而引发报复行为。

    目前没有法律明确定义了防守反击的度量是什么。什么样的情况下可以被认为是正当的安全策略。大家目前只能在模糊的边界来回徘徊。

    六、关于主动防御中防守反击的建议

    普通用户,包括个人,企业等在应用主动防御系统时,主要使用了主动防御作用中1-4点。在发现计算机系统被入侵的时候,主动防御系统会收集取证入侵者留下来的痕迹,这些痕迹可以作为法律关键证据,用来起诉入侵者。最典型的案例是,1994年,米特尼克向圣地牙哥超级电脑中心入侵,戏弄在此工作的日裔美籍电脑安全专家下村努,并盗走他电脑的文件,还使用会话劫持技术盗走他网站的流量。后来下村努设立“蜜罐”让米特尼克中计引诱他上钩,用“电子隐形化”技术进行跟踪,结果1995年米特尼克再次被逮捕。类似的像蜜罐技术和欺骗技术这些是主动防御中的合法行为。很多杀软安全厂商们会在互联网上设置各种类型的蜜罐,用来捕获互联网中的黑客入侵手法,新的病毒和木马。以此来完善他们的防病毒数据库。

    特殊用户,包括军方,政府安全部门等启用主动防御系统时,在使用主动防御作用中的1-4点的同时,也会利用主动防御的防守反击。以此来查找入侵者,并对其进行反入侵,破坏黑客们的入侵攻势,甚至通过技术手段反入侵到黑客的电脑中。对于这些特殊用户,他们的这种行为是合法的,军方和政府安全部门是以维护国家安全为目的,因此在法律中他们享有一些权限。或者说有特殊的法律支持他们的反击行为。

    七、主动防御在国内外的发展

    国内比较著名的主动防御厂商是一个名叫微点的反病毒软件公司。北京东方微点信息技术有限责任公司,简称东方微点,英文名Micropoint。据东方微点在其官网上的介绍,刘旭(东方微点创始人)与其团队“采用‘程序行为自主分析判定’技术,于2005年3月,研制成功微点主动防御软件”。微点主动防御软件是北京奥运会开闭幕式运营中心唯一使用的反病毒软件。微点官方声称其“主动防御”技术通过分析程序行为判断病毒,一改过去反病毒软件依据“特征码”判断病毒因而具有的“滞后性”,在防范病毒变种及未知病毒方面具有革命性优势。微点是国际上唯一一款不经升级即能防范“熊猫烧香”病毒的杀毒软件。东方微点的主防在国内称得上屈指可数,但是杀毒能力却一般。

    国外知名网络设备供应商思科公司的新一代安全产品中均加入了主动防御系统。根据思科在2019年2月发布的《2019年思科网络安全报告系列 • 威胁报告》[5],下面三种工具中均含有主动防御的功能。

    1. 恶意软件检测和保护技术(例如思科高级恶意软件防护 [AMP])可以跟踪未知的文件,阻止已知的恶意文件,并防止在终端和网络设备上执行恶意软件。
    2. 高级恶意软件检测和防护技术(例如面向终端的思科 AMP)可以防止在终端上执行恶意软件。它还可以帮助隔离、调查和修复受感染的终端,处理绕过最强防御措施的 1% 的攻击
    3. 思科下一代防火墙 (NGFW) 和思科下一代入侵防御系统 (NGIPS) 等网络安全解决方案可以检测试图通过互联网进入网络或在网络中移动的恶意文件。网络可视性和安全分析平台(例如思科 Stealthwatch)可以检测出可能表示恶意软件正在激活其负载的内部网络异常情况。最后,网络分段可以防止威胁在网络中横向移动,并遏制攻击的传播。

    其中AMP的构建基于无与伦比的安全情报和动态恶意软件分析。思科 Talos 安全情报和研究团队以及 AMP Threat Grid 威胁情报源代表了行业领先的实时威胁情报和大数据分析集合。此数据将从云推送至 AMP 客户端,以便您通过最新的威胁情报,主动防御各种威胁。用户将从以下优势中获益:

    • 每天150万个传入恶意软件样本;
    • 全球有160万个传感器;
    • 每天100TB的数据;
    • 130亿Web请求;
    • 工程师、技术人员和研究人员组成的全球团队;
    • 24小时运行;

    八、总结

    主动防御一词最早出现在军事用语,后来因为互联网的兴起,互联网安全也愈发受到关注。因为受到技术的原因,早期的互联网安全策略均为被动防御。21世纪初期,国内外防病毒软件厂商们纷纷在自家的杀毒软件中加入主动防御技术。随着大数据分析技术、云计算技术、SDN技术、安全情报收集的发展,信息系统安全检测技术对安全态势的分析越来越准确,对安全事件预警越来越及时精准,安全防御逐渐由被动防御向主动防御转变。

    一般的,主动防御技术不是单独存在的,它应用于现有的安全系统中。主动防御技术和传统被动防御技术相结合,形成了新一代的安全系统。例如思科公司的下一代防火墙NGFW——Firepower。

    与以往的被动安全策略相比,主动防御虽然被认为是有效的安全策略,但法律上或技术上仍存在问题。如果以主动防御的防守反击作用为突破口,用户承认采取过度的安全策略的话,反而有可能有被入侵者倒打一耙的风险。为了今后能有效地利用主动防御技术,不仅需要从技术角度出发,还需要慎重讨论,制定相关的法律规定。

    参考文献:
    [1]: 主动防御.
    [2]: 信息安全工程师笔记关于主动防御与被动防御、主动攻击与被动攻击的分析, 披着文科的技工.
    [3]: active defense.
    [4]: 2019 年思科网络安全报告系列 • 威胁报告.
    [5]: 思科高级恶意软件防护.
    [6]: アクティブディフェンスとは?メリットデメリットや今後の展望について徹底解説.

    展开全文
  • 加高堤防是洪水防御的主要方式,也是洪水管理的主要措施,但是其在提高防洪安全、减小洪灾概率的同时,洪灾的潜在损失却越来越大,洪水风险越来越高。 面临洪水威胁的荷兰,随着防洪标准的不断提高,持续的加高堤防遇到...
  • 网络安全、有弹性的能源对美国的繁荣至关重要。 随着网络对手经验和复杂程度的增加,美国电力系统的防御、态势感知以及响应和恢复策略也必须如此。 传统上,在当今的工业实体(包括电力公司)中,电力系统通过与大型...
  • 我们的方法确定了最容易受到对抗性噪声影响的预训练卷积特征,并部署了可训练的特征再生单元,将这些DNN滤波器激活转换为对通用扰动具有鲁棒性的弹性特征。 在最多6个DNN层中仅再生对攻击敏感度最高的50%的激活,而...
  • 自适应安全架构依托持续性监测与回溯分析形成了集防御、监测、响应、预测为一体的安全防护体系,对于高级定向攻击具备智能与弹性安全防护能力。通过对自适应安全及软件定义安全框架进行研究,结合现有网络安全现状,...
  • An Elastic Heterogeneous Architecture for DNN Accelerator against Adversarial Attacks》(DNN Guard: DNN加速器防御对抗攻击的弹性异构体系结构)。 侯锐,中国科学院信息工程研究所研究员、博导,信息安全...


    与6位图灵奖得主和100多位专家

    共同探讨人工智能的下一个十年

    长按图片,内行盛会,首次免费注册


    计算机体系结构领域国际顶级会议每次往往仅录用几十篇论文,录用率在20%左右,难度极大。国内学者在顶会上开始发表论文,是最近十几年的事情。

    ASPLOS与HPCA是计算机体系结构领域的旗舰会议。其中ASPLOS综合了体系结构、编程语言、编译、操作系统等多个方向,HPCA则主要针对高性能体系结构设计。过去的三十多年里,它们推动了多项计算机系统技术的发展,RISC、RAID、大规模多处理器、Cluster架构网络存储、机器学习加速器等诸多计算机体系结构领域的重大技术突破,都最早发表在这两个会议之上。

    2020年4月12日上午,北京智源人工智能研究院和北京大学高能效计算与应用中心联合主办了“AI芯片体系架构和软件专题报告会”,五位学者结合在2020年计算机体系结构顶级会议(ASPLOS和HPCA)中发表的最新研究成果,针对AI芯片和体系结构领域的几个关键挑战:芯片加速、能耗和反对抗攻击等,详细介绍了他们的最新思考和解决方案。超过1900名观众在线观摩了学者们的报告。报告主题分别是:

    • 本次报告会主席、智源青年科学家和北京大学研究员梁云《FlexTensor: An Automatic Schedule Exploration and Optimization  Framework for Tensor Computation on Heterogeneous System》

    • 美国南加州大学PhD Candidate骆沁毅《Prague: High-Performance Heterogeneity-Aware Asynchronous Decentralized Training》

    • 清华大学交叉信息研究院助理教授高鸣宇《Interstellar: Using Halide's Scheduling Language to Analyze DNN Accelerators》

    • 智源青年科学家、中国科学院计算技术研究所副研究员陈晓明《Communication Lower Bound in Convolution Accelerators》

    • 中国科学院信息工程研究所研究员和信息安全国家重点实验室副主任侯锐《DNN Guard: An Elastic Heterogeneous Architecture for DNN Accelerator against Adversarial Attacks》

    本篇是此次活动演讲内容的第三篇文章,今天我们将介绍中国科学院信息工程研究所研究员和信息安全国家重点实验室副主任侯锐的《DNN Guard: An Elastic Heterogeneous Architecture for DNN Accelerator against Adversarial Attacks》(DNN Guard: DNN加速器防御对抗攻击的弹性异构体系结构)。

    侯锐,中国科学院信息工程研究所研究员、博导,信息安全国家重点实验室副主任。主要研究方向包括处理器芯片设计与安全、AI芯片安全与数据隐私,以及数据中心服务器等领域,长期从事国产自主可控的高性能处理器芯片的研制和开发,主持、参与了多款芯片的设计研发工作。

    本次报告中,侯锐带来了他与中科院、南加州大学同事们的合作成果——DNN Guard,该成果已经发表在ASPLOS 2020上。侯锐在报告中认为,深度神经网络(DNN)容易受到对抗样本的攻击,但现有的DNN加速器在对抗样本攻击检测中会出现成本、计算效率和信息安全性等诸多方面的问题。而且,现有的DNN加速器也无法为检测方法所需的特殊计算提供有效的支持。为了应对这些挑战,侯锐和他的同事们提出了一种弹性异构DNN加速器体系结构DNNGuard,它可以有效地协调原始DNN网络(目标网络)与检测算法或检测网络(对抗样本攻击的网络)同时执行,该体系结构将DNN加速器与CPU核心紧密地耦合在一个芯片中,以实现高效的数据传输和信息保护;此外,它还支持非DNN计算,并允许CPU核有效地支持神经网络的特殊层,并通过一种动态资源调度机制,可以减少片外通信量,提高资源利用率。

     整理:智源社区李泽远、罗丽

    一、 研究的背景与动机

     图1:深度学习安全性研究概况

    在进入DNNGuard的介绍之前,侯锐简单介绍了深度学习安全性领域近年来的发展状况。他总结到,目前有一类广泛使用、使用性强的攻击,叫对抗样本攻击。侯锐举了三个例子:图1中,把鸭子和噪声混合之后,人肉眼看到的还是鸭子,但是机器会把鸭子识别为马;穿灰色衬衫的人的图像进行翻转后,机器的识别就会失效;在语音领域,一段歌曲加入噪声之后会被自动驾驶的系统识别为打开车门或者刹车等类似的危险动作。简而言之,对抗样本攻击是很强的一类攻击。

    图2:对抗样本攻击检测方法

    目前主流的对抗样本攻击检测方法可划分为三大类别:

    第一类是用深度神经网络作为检测机制;

    第二类是使用传统的机器学习方法,比如决策树、随机森林等;

    第三类是将深度神经网络与机器学习方法相结合,即混合检测方法,这也是当前最新的一类。

    可以看到,对抗样本攻与防的问题层出不穷,但是到目前为止,尚未出现一个适合所有问题的检测方法。从趋势上来说,DNN和机器学习的有效结合以用于对抗样本攻击检测将是未来的一个大的趋势。

     

    图3:对抗样本攻击检测中存在的问题

     

    那么在真实的场景下,如何进行对抗样本的检测呢?目前大部分的算法是基于GPU的运算方法,但是越来越多的深度学习加速器是ASIC加速器。由于ASIC端还没有太多深入的工作,这也导致对抗样本检测存在较大问题。

    在检测领域,目前主要存在如下两大问题:

    第一个问题是成本和效率上的问题。无论是 GPU还是ASIC加速器,用两块显卡来做检测问题时,成本比较高昂。此外现在ASIC加速器大部分只支持几类神经网络,不是一个通用的机器学习的加速器或者通用的人工智能加速器。

    第二个问题是安全性问题。目标网络和检测网络二者必须是紧耦合的结构,不能是松耦合的。举个例子,检测网络与目标网络分别部署在同一个主机的两块显卡上时,若检测网络识别出危险需要目标网络进行防御,当数据通过操作系统传输到目标网络的显卡上时,中间的通信道路是不安全的,如果操作系统被攻陷或者用户被攻陷可能就会出现风险。所以目标网络和检测网络二者必须是紧耦合的结构。

     

    图4: 传统目标网络和检测网络工作原理

    上图是传统目标网络和检测网络工作原理图。目标网络进行逐层计算时,中间的某几层需要检测网络读取OF Map,获得中间数据后,检测网络开始运行。过程根据算法的不同,可能是目标网络运行几层,然后读取中间数据检测网络并开始运行,也有可能目标网络和检测网络可以同时运行。简而言之即是在目标网络运行过程中,或并行或串行将数据读取出来进行分析,最后检测网络则会判断输入的查询是否安全,如果查询被判定为噪声最终的结果将不会被输出。

    基于上面的应用场景,对硬件提出了三大方面的需求:

    1. 共享需求。硬件需要在两个网络之间支持高带宽的数据共享,主要是高带宽高效率地访问OF Map;

    2. 弹性需求。硬件设计时需要有一定的通用性,当不知道检测网络和目标网络所需资源时,可以弹性地对资源进行划分;

    3. CPU需求。ASIC的加速器都是PE,支持不了机器学习的算法,因此需要一个异构的体系架构来运行机器学习检测算法。

     图5: DNN 加速器设计目标与特性

    因此,现在需要重新考虑安全的AI DNN加速器。设计目标是开发一个能够高效地支持目标网络和检测机制同时运行的新的结构,且这个结构应该足够通用,并适应不同的检测算法。而这就是DNNGuard, 一种抵御对抗样本攻击的异构的、弹性深度神经网络加速器架构。

     

    二、 DNNGuard概览

     

    图6:DNNGuard结构图

    图6为DNNGuard结构图,灰色部分是传统经典的DNN加速器,黄色部分侧是新设计的部分。

    DNNGuard具有三大特性:

    1. 紧耦合。这是一个异构架构,DNN旁有一个小的CPU的核,用于运行传统的机器学习算法。在PE阵列上进行了动态划分,一部分运行检测网络,一部分运行目标网络;

    2. 任务集的数据通信和共享机制。目标网络和检测网络需要做高带宽的数据通信,如果在内存里进行是不高效的。我们希望有更高效的数据支持,更高效的硬件支持,能够充分利用本地数据,提供更高的并发支持,支持一些Corner Case的数据依赖关系;

    3. 任务级的同步。目标网络会让检测网络进行等待,或检测网络会让目标网络进行等待。

     

    三、DNNGuard微结构设计与实现

    在了解了DNNGuard的结构图及其特性后,侯锐介绍了DNNGuard在微结构设计中需要考虑的三个主要问题。 

    1. 如何进行弹性的片上缓存,怎样把片上缓存设计得可以高效地支持目标网络和检测网络的同时访问?

    侯锐认为,弹性Buffer是由一大堆SRAM Bank组成的,SRAM Bank通过资源配置将其划分为目标网络和检测网络,对于目标网络,通过Double Buffer的设计来增加并发性提高效率。为了进行访问,需要多个Bank来组成一个片上路由的网络。具体为,每个SRAM都有一个Bank ID具体去做路由和访问特定的地址,以此来实现动态划分。

     

    图7:弹性片上缓冲器

    在图7的目标网络中,2个NBIn_target和4个NBOut_target都是由Double Buffer组成的,每次都会产生不同的应用场景,但其核心方法是通过Bank ID和路由机制来实现动态划分。对于出现的Corner Case,比如中间数据Buffer放不下必须要写到片外时(尽管这种情况会比较少,但也是做硬件所需要考虑的),要在每个Buffer加上一个State寄存器去进行控制,比如在没有读完目标网络之前,检测网络不能再去写,所以需要利用full State状态位去控制目标网络。

    2. PE阵列怎样去做弹性划分?

     

    图8: 具有弹性PE结构的DNN加速器

    典型的PE阵列有累加器和乘加器,需要做一个Switch的单元动态划分,比如在图8中需要为Mac(地址表)单元上面加一个交换开关,选择来自多个地方的输入,包括累加时需要做输出的选择,即在多个地方写时,可以通过路由Logic(逻辑),也就是最开始编译设定的指令,来支持动态划分。

    3. CPU和PE之间如何进行通信?

     

    图9:事件队列通信机制

    在机器学习中,碰到PE阵列支持不了的算法时,需要通过哈希、SVM等将Event控制信号通过Event Queue(事件队列)传给CPU核,CPU核通过Completion Queue将信号传输Scheduler,实现二者之间的通信。其格式包括:任务的开始、暂停、继续、停止等等信号和类型。除此之外,因为CPU和PE之间要进行访问,尤其CPU要访问PE上面的Global Buffer(全局缓冲器),因为是在不同的地址空间,所以需要翻译地址的转换单元支持跨空间去读写。在此基础上需要扩展AI指令集。

    图10:AI 指令集的扩展

    为了支持CPU和PE之间高速的通信同步,指令集的扩展包括三个层面:控制层面、数据层面和配置层面。

    1. 控制层面:通过配置指令去配置目标网络和检测网络各占多少PE资源和缓存资源。

    2. 数据层面:提供Global Buffer到CPU的读写操作。

    3. 控制层面:包含一个Event_Dispatch命令,一个Sync同步命令和一个Polling_Check命令。目标网络在等待检测网络的执行时,需要不停地Polling_Check(轮询检查)状态位,所以会有不同的扩展指令集。

    再次回到DNNGuard的结构图中,目标网络和编译网络依照调度器指令发给检测网络阵列,如果检测网络之间可以通过片上缓存共享数据,检测网络通过CPU通道把共享数据发到Core上,通过ATU去访问,最后都是通过Scheduler内的控制器进行通信同步。目标网络和检测网络间控制流和数据流的展示如图11所示。

    图11:DNNGuard的运行示例

    下面来介绍软件站,DNNGuard的软件站是基于NVDIA-RA来进行扩展。如图所示,输入的是目标网络和检测网络,通过TensorFlow训练好,并通过Converter把数据图和依赖关系提取出来,送到Compiler 中,Compiler里加了一个分析模块Analytical model,该分析模块决定目标网络和检测网络各需要多少资源(需要通过静态划分而不是通过动态划分,动态划分会有各种各样的问题),分析模块通过参数,再通过弹性算法不停地模拟,外面外挂的模拟器可以检测目标网络和检测网络各需要多少资源,最终达到一个值,并给出合理的划分,如果有放不下资源,就需要进行同步通信。

     

     图12:软件站示意图

    四、DNNGuard的评估

    DNNGuard的评估是基于RISC-V核和NVDLA核,总体来说检测网络要比目标网络小很多。

    图13:DNNGuard体系结构的弹性NVDLA和RISC-V的应用

     

    评估实验一:在弹性DNN加速器上运行的目标网络和检测网络

    当两个网络同时在DNN和PE阵列上运行时,通过片外的DRAM通信,就是通过优化之后的方案on-chip buffer通信。

     

    图14:弹性NVDLA和SNVDLA的性能比较

    实验分析发现:

    (1)假定两个网络在硬件资源(PE 和on-chip buffer)相同的情况下,由于扩展的AI指令或弹性资源管理,ENVDLA的速度提高了1.42倍。对应的VGG性能提升1.61倍,因为片外带宽减少了36%;

    (2)扩展的AI指令集平均占2.3%。

     

    评估实验二:在弹性DNN加速器和CPU上运行的检测机制比较

    当检测网络在PE上运行又在CPU上运行,即采用混合方法时,实验分析如下:

     

    图15:紧密耦合的DNN加速器体系结构的性能改进

    与基于片上共享存储器的通信相比,基于片上缓冲区的通信的平均性能提升约为2.04倍,因为DRAM减小了92%。

     

    评估实验三:仅在CPU上运行的非DNN防御方法

     

    图16:CPU上非DNN防御的性能比较

     

    实验分析发现:

    检测任务是小型目标网络的性能瓶颈。当目标网络比较小时,检测网络实际上是一个可能的性能评级,因为目标网络太小时,检测网络要进行等待,因此会影响性能。

     

    评估实验四:敏感性分析

    结构设计是为了同时支持目标网络和检测网络有效运行,那么单纯运行目标网络其性能会不会也有提升?

     

    图17:敏感度分析实验图

    图17表明,实际上可以加速单个任务的执行,在提高PE资源后,单任务的网络性能会持续增长。但对On_Chip Buffer Size和DRAM带宽持续增加到一定阀值后,网络性能的增长效果并不大,所以这部分资源可以进行同时多线程运行检测或者是其它的任务,比如提高并发度。

     

    结语

    演讲最后,侯锐总结了他们关于DNNGuard的工作:主要聚焦于怎样在微结构设计的层面支持对抗样本攻击高效的检测,其要点是提供一个异构的、紧耦合的、弹性资源分配的方案,然后在RISC-V核和NVDLA核中进行评估。

     

    Q&A

     

    Q1:关于检测网络训练问题,能不能把检测网络的训练和目标网络的训练融合在一起?

    A1:可以,最新的算法就是这么做的,不再分检测网络和目标网络,就是一体化的,我们的Paper从做到录用再到发表的过程中,我们的算法一直是在变化的,有攻有防,不停地攻防博弈,最新的算法确实是一体化的。

     

    Q2:一体化的设计会对架构带来一些什么新的问题?

    A2:还有继续优化的空间,我们也在考虑这方面的工作,有进一步的进展再和大家分享。

     

    Q3:RISC-V是用SiFive的IP Core吗?

    A3:不是,我们还是用开源的,因为我们主要的研究方向是CPU的安全,我们基于RISC-V开发了一个新的版本,现在马上就要流片了,这个芯片上面我们做了一系列的安全机制。

     

    Q4:请问检测网络和目标网络的计算类型有什么差别?

    A4:目标网络是传统的纯粹DNN或者深度学习的内容,但是检测网络可能是DNN也可能是机器学习,还有可能是二者的混合,当传统的经典ASIC的算法无法支持时,就需要做一些改动。

     

    - 活动推荐 -

    展开全文
  • 一种基于负载特征预测的容器云弹性伸缩策略 APT 应急响应 安全体系 系统安全 安全人才
  • 安全人才 测试达尔文主义:网络弹性的历史与演变 - https 工控安全 安全研究 防火墙 业务风控 安全教育
  • 「安全管理」弹性计算云安全的反思与展望 - 数据泄露 数据安全 安全众测 系统安全 防火墙 安全运营
  • 网络防御对欧盟的繁荣和安全都至关重要。 然而,它所面临的威胁空间范围广泛、相互关联、高度复杂且发展Swift。 欧盟目前的网络防御... 这将标志着朝着更有效和协作的方法来增强欧盟的网络安全和弹性迈出的关键一步。
  • 基于随机平滑的数据中毒防御有多强健? 抽象的 可证明可靠的分类器的预测在一个点附近保持不变,从而使它们在保证测试时间的情况下具有弹性。 在这项工作中,我们提出了对健壮的机器学习模型的前所未有的威胁,突显...
  • 网络空间安全进入动态防御时代

    千次阅读 2019-09-22 20:53:37
    美国国家技术委员会在2011提出了“移动目标防御”(MTD)的概念,也有学者将MTD技术称为“动态防御技术”、“动态弹性安全防御技术”或者“动态赋能网络防御技术”。动态防御不同于以往的网络安全研究思路,它旨在部署和...

    现代计算机网络中包括各种各样的设备和软件。这些设备和软件存在着大量的未知和已知漏洞,漏洞是安全问题的根本,在漏洞面前,攻守双方并不平等,一个弱点被黑客利用,最终可以导致危险在整个网络扩散。漏洞具有的高威胁性、突发性、高破坏性、大规模性的主要特点。地下黑市交易的零日漏洞、厂商设置的后门漏洞以及网络间谍的APT攻击威胁着国家、企业和个人的网络安全。

    2017年2月,360互联网威胁情报中心发布《2016年中国互联网安全报告》,报告详细披露了我国当前面临的严峻网络安全形势,认为我国政企机构需重视APT、DDoS以及工业互联网等三大安全威胁。中国成为全球网络攻击的第一目标国。报告认为,网络空间目前已经成为大国博弈的新战场。日益频繁的APT等网络攻击,正在导致政企行业机密情报被窃取、工业系统被破坏、金融系统遭受经济损失,甚至对地缘政治产生影响。

    2017年5月12日,中国、英国、意大利、俄罗斯等100多国爆发WannaCry勒索病毒攻击,并迅速蔓延,中毒的机器中的磁盘文件会被加密,只有缴纳高额赎金(有的要比特币)才能解密资料和数据。我国大量行业企业内网大规模感染:大批高校出现感染情况,造成了教学系统瘫痪,众多师生的电脑文件被勒索病毒加密;国内多地公安网系统受影响瘫痪;多地中石油加油站加油无法网络支付;部分医院因为受到攻击延迟了手术。此次勒索病毒爆发是由于美国国家安全局(NSA)旗下“方程式黑客组织”所使用的部分网络武器被公开导致,其中包括可以远程攻破全球约70% 使用Windows系统机器的漏洞利用工具。不法分子正是其中一款工具——“永恒之蓝”进行攻击。2017年6月27日,代号为“Petya”的病毒在全球多国肆虐。这一系列事件为我们敲响了网络安全的警钟。

    ▲犯罪分子将使用机器学习技术进行自动化攻击和绕过检测。近年来不断纰漏的网络安全事件及由此带来的严重后果也逐渐暴露了传统的网络安全防御技术存在的问题,凸显了传统防御技术难以有效抵御系统未知的软硬件漏洞的攻击,难以预防潜在的各类后门攻击,难以有效应对各类越来越复杂和智能化的渗透式网络入侵

    传统防御的不足之处

    传统的网络安全防御思想是在现有网络体系架构的基础上建立包括防火墙和安全网关、入侵检测、病毒查杀、访问控制、数据加密等多层次的防御体系来提升网络及应用的安全性。传统防御技术都是基于静态网络配置下的,即网络中的节点地址、网络结构、网络协议等均固定不变,这些配置信息一旦被入侵者搜集得到,就可以根据网络特点有针对性地入侵,达到事半功倍的效果。再者,传统防御的思想是根据已知病毒的数据、代码、行为等特征对攻击进行识别,对于未知的0day漏洞、后门漏洞没有有效的解决方案,往往攻击发生之后,经过安全审计才有可能发现攻击的线索,然后再进行亡羊补牢。

    据统计,95%以上的企业只能通过外部通报或看到显著损失后才能发现其自身正在面临的网络威胁。新型的技术也不断被黑客利用,《迈克菲实验室2017威胁预测报告》中写道,犯罪分子将使用机器学习技术进行自动化攻击和绕过检测。近年来不断纰漏的网络安全事件及由此带来的严重后果也逐渐暴露了传统的网络安全防御技术存在的问题,凸显了传统防御技术难以有效抵御系统未知的软硬件漏洞的攻击,难以预防潜在的各类后门攻击,难以有效应对各类越来越复杂和智能化的渗透式网络入侵。

    动态防御 改变游戏规则的主动防御

    美国国家技术委员会在2011提出了“移动目标防御”(MTD)的概念,也有学者将MTD技术称为“动态防御技术”、“动态弹性安全防御技术”或者“动态赋能网络防御技术”。动态防御不同于以往的网络安全研究思路,它旨在部署和运行不确定、随机动态的网络和系统,让攻击者难以发现目标。动态防御还可以主动欺骗攻击者,扰乱攻击者的视线,将其引入死胡同,并可以设置一个伪目标/诱饵,诱骗攻击者对其实施攻击,从而触发攻击告警。动态防御改变了网络防御被动的态势,改变了攻防双方的“游戏规则”,真正实现“主动”防御。

    美国政府和美军将动态防御技术作为网络安全研究的重点。以美国为主的一些研发团队纷纷投入到MTD技术的先期研发当中。例如,美国堪萨斯州大学2012年开始的“自适应计算机网络”项目,开启了MTD学术研究活动的先河。佛罗里达理工学院2013年与美国防部签订了总金额190万美元、为期3年的合同,引领一个全新的网络安全研究项目———设计、实现一个用于计算机网络移动目标防御管理和协调的指挥控制框架。美国陆军在2012年投资310万美元,授予雷声公司基于移动目标防御技术的变形网络项目。美国空军致力于在2015年~2020年,用5年的时间将移动目标防御技术与现有指挥框架集成。西北太平洋国家实验室(PNNL)开发了基于蚁群社会性行为的分散式协同网络架构,支持移动目标防御。这些团队取得了MTD技术的很多新进展,包括自适应计算机网络、IPv6移动目标防御和变形网络等等。

    自从美国提出MTD的概念,动态防御技术已经成为网络安全理论研究的热点和技术的制高点。国际上许多网络安全研究机构都正在研究基于动态防御的理论和技术,比较著名的有美国SCIT实验室、IBM公司沃森实验室、美国麻省理工大学、堪萨斯州立大学、加州大学、弗吉尼亚大学、卡内基-梅隆大学、哥伦比亚大学、以及乔治·梅森大学。

    我国也对动态防御技术进行了重点研究,邬江兴院士提出了网络空间拟态防御(CMD)思想。CMD理论在可靠性领域非相似余度架构基础上导入异构冗余动态重构机制,造成在功能不变条件下,目标对象内部的非相似余度构造元素始终在作数量或类型、时间或空间维度上的策略性变化或变换,用不确定防御原理来对抗网络空间的确定或不确定威胁。

    美国阿贡国家实验室2016年3月22日报道,更多的动态防御技术被美国国家专利局授权。2015年美国新型动态防御公司吸引到投资界的关注,动态防御概念的3家公司获得超过5000万美元的融资。其中,CrowdStrike(动态防御概念)获得3000万美元天使轮融资,Morphisec获得800万美元融资,ShapeSecurity获得2600万美元融资。北京卫达科技有限公司将动态防御技术应用到内网防御、边界防御、工控防御、DDos防御、web应用防御、云安全等应用场景,研发了6个系列的产品。

    动态防御的系统架构

    一种随机变化形式的动态防御系统顶层结构,如图1所示。该防御系统会形成随机的变化。形成随机适配的关键基础是“逻辑任务模型”,该模型按网络的功能需求捕获物理网络当前状态的概貌。其驱动器就是“适配引擎”,它以随机的时间间隔,定制网络配置的随机变化。变化由“配置管理器”实施,它负责控制“物理网络”的配置。

    图1显示的是一个完整的智能动态防御系统的结构组成。“适配引擎”对物理网络输入随机变化参数,使网络状态进行随机变化,“分析引擎”能够从“物理网络”获取实时事件、从“配置管理器”获取当前的配置,确定可能的脆弱性和正在进行的攻击。“适配引擎”扩展功能是观察网络当前状态以及安全状态,和“逻辑安全模型”捕获的一样。“逻辑安全模型”也由2个运行时间模型组成:一个是目标模型,一个是系统脆弱性模型。

    目前对动态弹性安全防御思想的解释,主要从系统攻击面和攻击生存期来进行理解。系统通过改变自身各种资源配置、系统属性,向攻击者呈现不断变化的攻击面,使攻击者更难发起有效的攻击。攻击者制定有效攻击方案所需的时间较长,当建立攻击模型时,系统在这段时间已经发生足够的变化,这些变化足以破坏攻击模型的有效性。关于系统攻击面(系统安全指标,攻击面越大,系统越不安全),从直观上看,攻击面是攻击系统时使用的系统资源(程序、通道和数据)的子集。同时,防御者可以不断转移系统攻击面,以增加攻击者利用系统漏洞的难度。防御者转移攻击面示意图如图2所示。图2中,若防御者转移系统的攻击面,则原本有效的攻击,如攻击1,可能将不复存在。为此,攻击者需要花费更多心思使原来的攻击重新有效或寻求新的攻击途径,如攻击4。

    图3显示了攻击生存期示意图。在时刻时间t0,系统防御者生成防御方案k0,并启动多样化服务STk0。te定义为攻击者从开始发动攻击到系统受损之间的时间,也可以认为攻击者从服务器获得秘密账户信息所需要的时间。

    从图3可以看出,对于一次成功攻击,从探测到攻击完成总用时t1+te<tk0,在服务sTk0结束之前就完成了攻击过程。而对于一次受挫攻击,从探测到攻击完成总用时t2+te>Tk0,在服务STk0结束之前未能完成攻击过程。

    通过上述模型,我们可以看出:动态防御使系统防御者以可控的方式随机的改变系统配置和结构,可以增加系统的不确定性和复杂度,从而增加攻击者的攻击复杂度和攻击花销,限制系统漏洞的暴露和遭受攻击的机会,增加系统的弹性。

    动态防御的关键技术

    动态防御技术是以保护信息系统中的某种实体为目的。一般来说,信息系统中的实体主要包括软件、网络、计算平台与数据等。下面我们从软件、网络、平台与数据层四个层面对现有的动态防御关键技术进行了梳理。

    软件动态防御技术

    软件动态防御技术是指动态更改应用程序自身及其执行环境的技术。相关的技术主要有地址空间布局随机化(ASLR)、指令集随机化技术、就地代码随机化技术、软件多态化技术等。

    地址空间布局随机化是为了防止攻击者在内存中能够可靠地对跳转到特定利用函数,随机排列程序的关键数据区域的位置,包括可执行的部分、堆、栈及共享库的位置,Linux和Windows操作系统已经广泛应用了地址空间布局随机化技术。

    指令集随机化是一种通过掩盖目标的指令集应对代码注入攻击的动态防御方法,随机化指令集不仅能够阻止代码注入攻击,而且能够降低网络蠕虫利用某一漏洞进行大规模扩散的可能性。

    基于编译器的软件多态化主要包含了MVEE和MSSD两类技术,这两类技术都依赖于自动化的编译器产生功能相同但代码不同的程序。MVEE属于运行时的技术,其原理是一个程序构建多个变体,系统接收到的输入同时被送给所有的变体,这就使得入侵者几乎不可能针对所有的变体设计不同的入侵程序,然后在系统监控中比较所有变体的输出,如果输出不同,则预示着系统可能受到了入侵。MSSD是一种大规模的静态的软件多态化技术,其基本原理是,如果同一个软件产品可以有不同的副本(这些副本都可以实现相同的功能),那么入侵者要么对所有的副本进行研究,找出每一个副本的漏洞,然后入侵;要么找到一个非常巧妙的方法和漏洞,能够同时入侵不同的副本,这就增大了入侵者的入侵难度,能够更好地保护系统和软件的正常运行。

    网络动态防御技术

    网络动态防御是指在网络层面实施动态防御,具体是指在网络拓扑、网络配置、网络资源、网络节点、网络业务等网络要素方面,通过动态化、虚拟化和随机化方法,破除网络配置的静态性、确定性和相似性,提升攻击者进行网络探测和内网节点渗透的难度,进一步阻碍入侵者扫描、发现和渗透网络。

    美国堪萨斯州大学开展了“自适应计算机网络”项目,并在2012年4月与空军科学研究办公室签订了为期5年金额超过100万美元的合同,开始了“了解和量化移动目标防御对计算机网络的影响”的专项研究,目的是研究计算机网络通过自动改变自身设置和结构来对抗在线攻击的可行性,并开发有效的分析模型,以确定MTD系统的有效性。

    2012年8月,美陆军授予雷声公司价值310万美元的“限制敌方侦察的变形网络设施”(MORPHINATOR)项目,为其研制具有“变形”能力的计算机网络原型机。该项目主要研究在敌方无法探测和预知的情况下,网络管理员有目的地对网络、主机和应用程序进行动态调整和配置,从而预防、延迟或制止网络攻击。

    北京卫达科技有限公司综合利用了动态防御、软件定义网络(SDN)、网络功能虚拟化(NFV)、欺骗、微隔离等技术研制了“内网动态防御系统”。该系统实现了网络拓扑和网络地址随机跳变,实时发现内网横向渗透行为,并可以实时阻断攻击行为,在全球范围内首先将网络动态防御产品化。首先,结合SDN技术,保持原有网络配置的完整性,在内网中隐藏终端的真实IP地址,为终端分配虚拟IP地址,并使正常网络应用不受影响的情况下,实现网络拓扑和终端的IP地址高速随机跳变,大幅提高攻击者发现目标的难度,从而大大地降低攻击成功地概率。其次,在内网中部署大量的伪装节点和虚开的端口,这些节点和端口能够迷惑攻击者,伪装节点的IP地址也能够和真实的节点IP一起随机跳变,极大地增加网络的复杂性,从而能够完全打破攻击者对网络的认知。无论攻击者用任何形式的方式(无论是利用已知病毒还是未知病毒)内网进行扫描或渗透,会以极大的概率碰到伪装的节点或者虚开的端口,伪装的节点或虚开的端口会向系统发出警报。另外,利用微隔离技术,每个节点都被定义为一个逻辑隔离的子网,一旦某个节点发起扫描或渗透行为,系统可以自动地、实时地对攻击者进行定位和封堵,斩断攻击链的第一环,从而可以进行事前防御,并防御未知新型病毒的威胁。

    ▲2017年5月12日,中国、英国、意大利、俄罗斯等100多国爆发WannaCry勒索病毒攻击,并迅速蔓延,中毒的机器中的磁盘文件会被加密,只有缴纳高额赎金才能解密资料和数据

    平台动态防御技术

    平台,主要指能够承载应用运行的软/硬件环境,包括处理器、操作系统、虚拟化平台以及具体应用的开发环境。目前,应用系统的设计往往采用单一的设计架构,在交付使用后长期保持不变,这就给恶意攻击者提供了足够的时间来探测和学习系统的构造和漏洞。平台动态防御系统通过构建动态变化的系统运行平台,在保证服务可用性的前提下,持续改变服务的可见特征,如运行平台、应用类型、版本信息等,防止攻击者对服务的有效探测及渗透。虚拟化技术为服务多样化提供了支撑保障。

    基于可重构计算的平台动态化技术通过多样化的软/硬件任务划分和差异化的逻辑电路设计,设计满足应用任务,运行于通用处理器和可编程逻辑器件中的多个可执行文件和配置数据,并在系统运行过程中,随便变化加载在系统中的可执行文件和对应的配置数据文件。

    基于异构平台的应用热迁移技术,是指通过构造异构的多种系统平台,包括异构的硬件和操作系统,并使运行在其中的应用程序能够以可控的方式随机地在不同的平台间迁移,从而减少单一平台暴露的时间窗口,使得恶意攻击者难以对系统进行有效侦查,最终达到提升系统防御能力的目的。

    Web应用平台动态防御可以从Web应用、Web服务、OS和虚拟化基础层构建虚拟服务器,然后将每一个虚拟服务器都配置成具有唯一的软件特性,这样多个虚拟服务器就会呈现出不同的攻击面。采用动态替换轮循等机制随机选择若干个服务器构成一个在线服务器集,对外提供服务。

    数据动态防御技术

    数据动态防御,主要是指能够根据系统防御需求,动态化地更改相关数据的格式、句法、编码或者表现形式,从而达到加强攻击者攻击难度的效果。数据动态防御技术特点在于:一、寻找一种保持数据语义不变的策略,使数据动态化行为不影响数据语义本身;二、通过对选定数据的动态化,能规避漏洞或者有效发现攻击。数据动态防御的效果体现在以下三个方面:一、防止系统有意而为之的设计错误;二、防止攻击者恶意注入代码二进行缓冲区溢出攻击;三、防止Web应用程序中SQL注入和跨站脚本攻击。

    结 语

    基于先验知识和精确识别的传统防护手段,难以应对未知漏洞和未知威胁;基于静态性、相似性、确定性构建的信息系统,难以应对动态的、智能的、高强度攻击。动态防御是对网络空间安全防御技术和体系的一种探索,是将安全能力作为信息系统自身标准属性的一种设想。动态防御可以有效降低系统的确定性、相似性和静态性,让信息系统呈现不可预测的变化状态,让攻击者难以发现系统漏洞,并可以结合欺骗的战术战法,将攻击者引入死胡同,触发警告并实施阻断攻击。未来的网络空间防御体系一定是在动态防御思想指导下的安全体系。随着SDN、NFV、虚拟化、人工智能等技术的高速发展,动态防御思想将不断地与这些技术结合,推动动态防御技术广泛应用。

    展开全文
  • 在安全访问路径中引入了心跳机制,利用虚拟机技术实现弹性的虚拟节点,完成在云平台中被攻击节点之间的无缝切换,保证用户对云计算平台的安全访问。针对VHSAP防御DDoS的性能进行了仿真实验,重点研究了在散列安全...
  • 网络防火墙是防御针对网络服务器的不良和恶意流量的主要防线的结果。 预测整体防火墙的整体性能对于社区安全工程师和设计师评估社区防火墙对抗分布式拒绝服务(分配拒绝运营商)攻击的有效性和弹性至关重要,因为...
  • 华为云弹性云服务器有什么优势?弹性云服务器(Elastic Cloud Server)是一种可随时自助获取、可弹性伸缩的云服务器,可帮助您打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。什么是弹性...
  • Flexbox会自动拉伸/收缩盒子元素,能够精确到浮点数,指定具体值会破坏原本的“弹性”。 Flexbox的盒子元素要定义间距。 案例分析: 优化后: 参考代码,总结用法: .new-overview-v2-center-box .left .top { /*...
  • 悬镜安全作为特邀嘉宾参加“实战驱动下的安全运营论坛”,技术合伙人李浩在线上分享了悬镜在帮助企业用户落地积极防御体系过程中对BAS(入侵与攻击模拟)技术的创新和应用
  • 阿里云弹性公网IP是可以独立购买和持有的公网IP地址资源,弹性公网IP和ECS独立公网IP有什么区别?云吞铺子分享: 什么是弹性公网IP? 弹性公网IP(EIP):即Elastic IP Address,简称EIP,EIP是可以独立购买和持有...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 6,346
精华内容 2,538
关键字:

弹性防御