CN107358105B - 异构功能等价体相异性测量方法，分配方法、装置及设备 - Google Patents

Abstract

本申请实公开了一种异构功能等价体相异性测量方法，分配方法、装置及设备。所述异构功能等价体分配方法，包括：根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能；将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能。所述方法能够拆解和模糊网络空间架构上的设计漏洞或被植入的后门和陷门带来的未知风险，提前预防网络攻击。

Description

异构功能等价体相异性测量方法，分配方法、装置及设备

技术领域

本申请涉及网络空间安全防护技术领域，尤其涉及一种异构功能等价体相异性测量方法，分配方法、装置及设备。

背景技术

计算机和由计算机构成的网络空间环境为人们的生活、工作和学习带来了极大的便利，计算机构成的网络空间环境包括网络设备终端(如手机、计算机)，运行在终端的与网络相关的软件(如浏览器、通讯软件)，服务器，以及为网络提供互连的各种设备(如交换机、路由器)等。网络空间领域中具有一定服务功能的软硬件装置(功能体)可以是系统、子系统、部件、模块、构件甚至器件。

网络空间环境中也存在各种各样不可避免的安全风险。这些风险包括：硬件、软件或系统上存在的漏洞；程序员在软件内创建的后门，该后门能绕过安全性控制而获取对程序或系统的访问权；以及程序员为了调试和测试程序而设立的陷门，陷门是在某个系统或某个文件中设置的“机关”，允许在提供特定的输入数据时违反安全策略，例如，一个登录处理子系统允许输入特定的用户识别码，以绕过通常的口令检查。

网络空间领域中软硬件装置对外呈现的结构状态称为结构表征。通常一个给定功能的软硬件装置，其外在结构表征与其内部结构形态间存在某种映射关系，且这种映射关系在网络空间领域的技术架构上往往是静态的和确定的。同时，基于该架构之上的设计漏洞或被植入的后门和陷门在体系层面又具有泛在性和稳定性，容易被攻击者所利用，例如攻击者可以基于结构表征与其内部结构形态间确定的映射关系，探测装置内部结构上可能存在的漏洞、陷门或后门来达到攻击企图，一旦攻击者探测到并利用这些的缺陷，将会造成网络空间攻防双方成本的极大不对称，对网络安全环境造成危害。

现有技术中网络空间环境的搭建多基于同构冗余，同构冗余系统在调度时，同构功能等价体的结构相似并具有静态性，容易被攻击者探测到装置内部结构上可能存在的漏洞、陷门或后门。而现有技术对网络空间安全的防御是在检测到存在对网络空间的攻击后，采取相应地保护措施，由此可见，现有技术所搭建的网络空间环境在现有被动防御方式下无法应对由于网络空间架构上的缺陷，亦即设计漏洞或被植入的后门和陷门所带来的未知风险，无法对网络攻击进行提前防御。

发明内容

本申请提供了一种异构功能等价体相异性测量方法，分配方法、装置及设备，以解决无法对网络攻击进行提前防御的问题。

第一方面，本申请提供了一种异构功能等价体相异性测量方法，该方法包括：

获取异构功能等价体的硬件参数和软件参数，所述硬件参数和软件参数预先指定；

获取与所述硬件参数和所述软件参数对应的属性量化值，所述属性值量化预先设定；

根据所述属性量化值按照预设规则计算相异性量化值。例如计算所述属性量化值的和，以所述属性量化值的和为相异性量化值。

第二方面，本申请提供了一种异构功能等价体分配方法，所述方法基于第一方面所述的异构功能体相异性测量方法，该方法包括：

根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能；

将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能。

结合第二方面，在第二方面第一种可能的实现方式中，所述根据服务请求从备选池中确定待选异构功能等价体，包括：

向所述备选池中的所有异构功能等价体发送运行状态查询命令；

接收各个异构功能等价体返回的状态信息；

根据所述状态信息判断各个异构功能等价体是否运行正常；

确定运行正常的异构功能等价体为待选异构功能等价体。

结合第二方面或第二方面第一种可能的实现方式，在第二方面第二种可能的实现方式中，所述将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，包括：

根据所述待选异构功能等价体的相异性值和工作池中异构功能等价体的相异性值，计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值；

比较所述待选异构功能等价体的相异性差异指标值；

将相异性差异指标值最大的一个或多个待选异构功能等价体，移入所述工作池。

结合第二方面第二种可能的实现方式，在第二方面第三种可能的实现方式中，所述计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值，包括：

计算第i个待选异构功能等价体的相异值Xc_i与所述工作池中第j个异构功能等价体的相异值Xw_j的差值Xc_i-Xw_j,其中j＝1,2,……n，亦即j取区间[1,n]内的所有自然数，n为所述工作池中异构功能等价体的个数；

计算第i个待选异构功能等价体的相异性差异指标值

其中，i＝1,2,……m，亦即j取区间[1,m]内的所有自然数，m为待选异构功能体的个数。

结合第二方面第二种可能的实现方式，在第二方面第四种可能的实现方式中，所述计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值，包括：

计算所述工作池中所有异构功能等价体的相异值的算术平均值Aw；

计算第i个待选异构功能等价体的相异性差异指标值Yc_i＝Xc_i-Aw,其中Xc_i为第i个待选异构功能等价体的相异值；

其中，i＝1,2,……m，m为待选异构功能体的个数。

第三方面，本申请提供了一种异构功能等价体分配装置，该装置包括调度器和与所述调度器相连的备选池和工作池，所述备选池中至少有一个异构功能等价体，所述工作池中至少有一个异构功能等价体，

所述调度器，用于根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能；

所述调度器，还用于将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能。

结合第三方面，在第三方面第一种可能的实现方式中，所述调度器在根据所述服务请求从备选池中确定待选异构功能等价体时，具体用于：

向所述备选池中的所有异构功能等价体发送运行状态查询命令；

接收各个异构功能等价体返回的状态信息；

根据所述状态信息判断各个异构功能等价体是否运行正常；

确定运行正常的异构功能等价体为待选异构功能等价体。

结合第三方面或第二方面第一种可能的实现方式，在第三方面第二种可能的实现方式中，所述调度器在将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池时，具体用于：

根据所述待选异构功能等价体的相异性值和工作池中异构功能等价体的相异性值，计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值；

比较所述待选异构功能等价体的相异性差异指标值；

将相异性差异指标值最大的一个或多个待选异构功能等价体，移入所述工作池。

结合第三方面第二种可能的实现方式，在第三方面第三种可能的实现方式中，所述调度器在计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值时，具体用于：

计算第i个待选异构功能等价体的相异值Xc_i与所述工作池中第j个异构功能等价体的相异值Xw_j的差值Xc_i-Xw_j,其中j＝1,2,……n，n为所述工作池中异构功能等价体的个数；

计算第i个待选异构功能等价体的相异性差异指标值

其中，i＝1,2,……m，m为待选异构功能体的个数。

结合第三方面第二种可能的实现方式，在第三方面第四种可能的实现方式中，所述调度器在计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值时，具体用于：

计算所述工作池中所有异构功能等价体的相异值的算术平均值Aw；

计算第i个待选异构功能等价体的相异性差异指标值Yc_i＝Xc_i-Aw,其中Xc_i为第i个待选异构功能等价体的相异值；

其中，i＝1,2,……m，m为待选异构功能体的个数。

结合第三方面第二种可能的实现方式，在第三方面第五种可能的实现方式中，所述的异构功能等价体分配装置，还包括与所述调度器相连的策略生成器，所述调度器用于接收所述策略生成器生成的调度策略，并根据所述调度策略将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池。

第四方面，本申请提供了异构功能等价体分配设备，该设备包括接收器、处理器和存储器，

所述接收器用于接收服务请求；

所述处理器，用于根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能；

所述处理器，还用于将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能；

所述存储器，用于存储所述备选池和所述工作池的相关信息。

结合第四方面，在第四方面第一种可能的实现方式中，所述处理器在根据所述服务请求从备选池中确定待选异构功能等价体时，具体用于：

向所述备选池中的所有异构功能等价体发送运行状态查询命令；

接收各个异构功能等价体返回的状态信息；

根据所述状态信息判断各个异构功能等价体是否运行正常；

确定运行正常的异构功能等价体为待选异构功能等价体。

结合第四方面或第四方面第一种可能的实现方式，在第四方面第二种可能的实现方式中，所述处理器在将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池时，具体用于：

根据所述待选异构功能等价体的相异性值和工作池中异构功能等价体的相异性值，计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值；

比较所述待选异构功能等价体的相异性差异指标值；

将相异性差异指标值最大的一个或多个待选异构功能等价体，移入所述工作池。

结合第四方面第二种可能的实现方式，在第四方面第三种可能的实现方式中，所述处理器在计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值时，具体用于：

计算第i个待选异构功能等价体的相异值Xc_i与所述工作池中第j个异构功能等价体的相异值Xw_j的差值Xc_i-Xw_j,其中j＝1,2,……n，n为所述工作池中异构功能等价体的个数；

计算第i个待选异构功能等价体的相异性差异指标值

其中，i＝1,2,……m，m为待选异构功能体的个数。

结合第四方面第二种可能的实现方式，在第四方面第四种可能的实现方式中，所述处理器在计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值时，具体用于：

计算所述工作池中所有异构功能等价体的相异值的算术平均值Aw；

计算第i个待选异构功能等价体的相异性差异指标值Yc_i＝Xc_i-Aw,其中Xc_i为第i个待选异构功能等价体的相异值；

其中，i＝1,2,……m，m为待选异构功能体的个数。

结合第四方面第二种可能的实现方式，在第四方面第五种可能的实现方式中，所述接收器还用于接收调度策略，所述处理器用于根据所述调度策略将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池。

本申请实施例所提供的异构功能等价体相异性测量方法，将异构功能等价体的相异性量化并能够根据异构功能等价体的参数进行测量，相比对相异性的描述性定义，使用该方法更好地反映异构功能等价体的相异性差别。本申请实施例所提供的异构功能等价体分配技术方案，根据服务请求以相异性差异最大化原则选取备选池中的异构功能等价体加入工作池中，这种方式所搭建网络空间环境不仅由异构功能等价体组成，而且彼此相异性差异很大，有利于拆解和模糊网络空间架构上的设计漏洞或被植入的后门和陷门带来的未知风险，使攻击者无法提前预知漏洞、后门或陷门所在，实现对网络攻击的提前预防。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请异构功能等价体测量方法的一个实施例的流程示意图；

图2为本申请异构功能等价体分配装置的一个实施例的结构示意图；

图3为本申请异构功能等价体分配装置的另一个实施例的结构示意图；

图4为本申请异构功能等价体分配方法的一个实施例的流程示意图；

图5为图4中步骤S402的一种实施方式的流程示意图；

图6为本申请异构功能等价体分配设备的一个实施例的结构示意图。

具体实施方式

本申请实施例提供一种异构功能等价体相异性测量方法，以及异构功能等价体分配方法、装置和设备。所述异构功能等价体相异性测量方法对异构功能等价体的相异性进行量化其中，异构功能等价体在根据服务请求提供服务的功能上具有等价性，异构功能等价体的异构性表现但不限定在以下方面：第一、关键算法不同，该关键算法包括流表规则匹配算法、文件系统页分配算法等；第二、实现方式不同，例如数据结构、编程语言、编译选项、软件架构、硬件加速方式等实现方式；第三、运行环境不同，例如操作系统类型版本、硬件体系结构环境等。每个异构功能等价体的规模可以是系统、子系统、模块、函数、中间件、构件或器件等。异构功能等价体的实现方式可以是软件、硬件、软硬件结合等。异构功能等价体的构建形态可以是刚性的，也可以是通过重构或重组等软件可定义的方式。所述服务请求可以是由外部设备给出的或是人为给定的，例如：内存访问、路由计算、web请求等。异构功能等价体的相异性指能够衡量其与其他异构功能等价体不同之处的标量。

所述异构功能等价体分配方法、装置和设备基于所述测量方法使用异构功能等价体相异性的量化值(相异性值)，根据服务请求从备选池中选择相比工作池中的异构功能等价体相异性差异大的异构功能等价体到工作池中，以此来搭建网络空间环境。由于网络空间环境由异构功能等价体组成，且彼此相异性差异大，网络空间架构上的设计漏洞或被植入的后门和陷门带来的未知风险被拆解和模糊，使攻击者无法提前预知漏洞、后门或陷门所在，从而实现对网络攻击的提前预防。

参见图1，为本申请实施例所提供的一种异构功能等价体相异性测量方法的流程示意图。所述方法包括：

步骤S101，获取异构功能等价体的硬件参数和软件参数，所述硬件参数和软件参数预先指定；

步骤S102，获取与所述硬件参数和所述软件参数对应的属性量化值，所述属性值量化预先设定；

步骤S103，根据所述属性量化值按照预设规则计算相异性量化值。

异构功能等价体的硬件和软件通常是不同的，硬件方面，例如操作系统(Linux、Windows等)和/或平台层不同(X86、ARM、龙芯等)；软件方面，例如所使用的程序语言(Perl、Python等)不同。可以预先根据测量的应用目的规定使用哪些硬件和软件参数来进行表征相异性，并为这些硬件和软件参数预先设定对应的不同的属性量化值，例如，X86平台层对应的平台属性量化值为1，ARM平台层对应的平台属性量化值为2；WINDOWS7操作系统对应的操作系统属性量化值为1.5，RedHat操作系统对应的操作系统属性量化值为2，等等；Perl语言对应的语言属性量化值为1，Python语言对应的语言属性量化至为2，等等。硬件和软件参数对应的属性量化值具体设置为多少可以根据大量实验得到的。为便于异构功能等价体相异性的测量，可以根据硬件和软件参数及其对应的属性量化值建立参数-属性量化值表，如下表1。

表1参数-属性量化值表

首先对异构功能等价体获取指定的硬件参数和软件参数，然后根据获取到的硬件参数和软件参数获取各参数对应的属性量化值，例如在参数-属性量化值表中查找到对应的属性量化值，从而得到异构功能等价体各个指定参数的属性量化值，将各属性量化值进行组合，作为异构功能等价体的相异性值。例如，异构功能等价体的操作系统为WindowsXP，平台层为X86，程序语言为Php，则获取对应的属性量化值分为1、1、1，可以将操作系统属性量化值作为第一元素，平台层属性量化值作为第二元素，语言属性量化值作为第三元素，组成一维数组，作为异构功能等价体的相异性属性，然后根据所述属性量化值按照预设规则计算相异性量化值，例如计算各属性量化值的和值，得到异构功能等价体的相异性值为3，或者计算各属性量化值的加权和，相异性值＝操作系统属性量化值×1，平台层属性量化值×1+语言属性量化值×2，得到异构功能等价体的相异性值为4。所述预设规则还可以为计算各属性量化值的加权乘积，或者其他用户定义的公式。

参见图2，为本申请实施例所提供的一种异构功能等价体分配装置的结构示意图。该装置100包括调度器20，与所述调度器相连的备选池40和工作池30，所述备选池中至少有一个异构功能等价体，所述工作池中至少有一个异构功能等价体。其中，

所述调度器，用于根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能；

所述调度器，还用于将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能。

其中，所述工作池中可以为预先根据各种服务功能已构造的工作池；所述工作池也可以在调度器收到服务请求后新建，调度器根据服务请求从备选池中确定待选异构功能等价体，并从这些待选异构功能等价体中随机选取一个或多个异构功能等价体放入工作池中，或者从从这些待选异构功能等价体中相异性值最大的一个或多个异构功能等价体放入工作池中，以使所述工作池不为空。

所述调度器在收到服务请求后，根据所述服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体是能够提高所述服务请求所请求的服务的异构功能等价体，调度器可以根据备选池中异构功能等价体的状态，确定能够提供服务请求所请求服务的待选异构功能等价体，所述状态可以是异构功能等价体所处状态的一组数据，具体地，调度器向所述备选池中的所有异构功能等价体发送运行状态查询命令，然后接收各个异构功能等价体返回的状态信息，根据所述状态信息判断各个异构功能等价体是否运行正常，将运行正常的异构功能等价体确定为待选异构功能等价体。

调度器在确定待选异构功能等价体之后，可以计算每个待选异构功能等价体的相异性值，并根据所述相异性值计算待选异构功能等价体相比于工作池中的异构功能等价体相异性差异指标，所述相异性差异指标表征了待选异构功能等价体相比工作池中的异构功能等价体在结构上的差异程度。在计算得到每个待选异构功能等价体的相异性差异指标后，比较各个相异性差异指标值，将相异性差异指标值最大的一个或多个待选异构功能等价体，移入所述工作池。

具体地，在一种实施方式中，调度器对所述相异性差异指标的计算过程可以包括：

(a1)计算第i个待选异构功能等价体的相异值Xc_i与所述工作池中第j个异构功能等价体的相异值Xw_j的差值Xc_i-Xw_j,其中j＝1,2,……n，n为所述工作池中异构功能等价体的个数；

(a2)计算第i个待选异构功能等价体的相异性差异指标值

其中，i＝1,2,……m，m为待选异构功能体的个数。

也就是对某个待选异构功能等价体，计算其与工作池中各个异构功能等价体相异值的差值，然后将这些差值求和，作为该待选异构功能等价体的相异性差异指标值。计算所述差值的和值作为相异性差异指标值，反映的是待选异构功能等价体相比于工作池中异构功能等价体在相异性上的平均差异情况，而实际上可能待选异构功能等价体相比于工作池中少数异构功能等价体的差异较小，而相比于大部分工作池中的异构功能等价体的差异很大，或者反之，这种情况下，使用上述差值求和法计算得到的相异性差异指标值便不能合理地反映待选异构功能等价体相比于工作池中异构功能等价体的差异情况。

因此，在另一种实施方式中，调度器对所述相异性差异指标的计算过程可以包括：

(b1)计算所述工作池中所有异构功能等价体的相异值的算术平均值Aw；

(b2)计算第i个待选异构功能等价体的相异性差异指标值Yc_i＝Xc_i-Aw,其中Xc_i为第i个待选异构功能等价体的相异值，其中，i＝1,2,……m，m为待选异构功能体的个数。

该过程将待选异构功能等价体与工作池中异构功能等价体相异值的平均值比较，反映的是待选异构功能等价体相比于工作池中异构功能等价体平均相异情况的差异程度，能更合理地反映待选异构功能等价体与工作池中异构功能等价体相异性的差异情况。

调度器在比较各个待选异构功能等价体的相异性差异指标值后，根据实际情况可以选取所述相异性差异指标值最大的一个，加入到工作池中。当需要往工作池加入多个待选异构功能等价体到工作池中时，如果备选池中不会再被加入新的异构功能等价体，则可以一次性选取待选异构功能等价体重相异性差异指标值最大的多个加入工作池中；如果备选池中会动态地加入新的异构功能等价体，则调度器在选取一个当前相异性差异指标值最大的待选异构功能等价体加入工作池后，重新确定备选池中的待选异构功能等价体，并再计算待选异构功能等价体的相异性差异指标值，将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池。

在一种可能的实施方式中，不论备选池还是工作池中的异构功能等价体，在生成所述异构功能等价体的时候便已计算好其相异性值，并将相异性值作为异构功能等价体的相异性属性的值保存在异构功能等价体中，这样调度器不需再计算异构功能等价体的相异性值，直接读取异构功能等价体的相异性属性便可以得到该异构功能等价体的相异性值。

所述调度器还可以用于向服务请求发送装置或设备返回服务响应，所述服务响应包括分配后工作池中异构功能等价体的信息。

本申请实施例所提供的异构功能等价体分配装置，根据服务请求以相异性差异最大化原则选取备选池中的异构功能等价体加入工作池中，这种方式所搭建网络空间环境不仅由异构功能等价体组成，而且彼此相异性差异很大，有利于拆解和模糊网络空间架构上的设计漏洞或被植入的后门和陷门带来的未知风险，使攻击者无法提前预知漏洞、后门或陷门所在，实现对网络攻击的提前预防。

参见图3，为本申请实施例所提供的另一种异构功能等价体分配装置的结构示意图。该装置100包括策略生成器10，与所述策略生成器连接的调度器20，以及与所述调度器相连的备选池40和工作池30，所述备选池中至少有一个异构功能等价体，所述工作池中至少有一个异构功能等价体。

图2所示的异构功能等价体分配装置，调度器进行相关计算和分配的调度策略可以保存在调度器中，图3所示的异构功能等价体则将调度策略与调度器分离，由策略生成器生成，调度器则接收所述策略生成器生成的调度策略，并根据将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，确定待选异构功能等价体的过程也可以作为调度策略的一部分。用户可以通过策略生成器设置调度策略，来决定调度器的计算方式，例如是按(a1)至(a2)的步骤计算相异性差异指标值，还是按(b1)至(b2)的步骤计算相异性差异指标值。

参见图4，为本申请实施例所提供的一种异构功能等价体分配方法的流程示意图。所述方法对应于上述装置的实施例，包括：

步骤401，根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能。

其中，所述根据服务请求从备选池中确定能够提供服务请求所请求服务的待选异构功能等价体，可以包括：

(c1)向所述备选池中的所有异构功能等价体发送运行状态查询命令；

(c2)接收各个异构功能等价体返回的状态信息；

(c3)根据所述状态信息判断各个异构功能等价体是否运行正常；

(c4)确定运行正常的异构功能等价体为待选异构功能等价体。

步骤402，将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能。

其中，所述将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，如图5所示，可以包括：

步骤S4021，根据所述待选异构功能等价体的相异性值和工作池中异构功能等价体的相异性值，计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值；

步骤S4022，比较所述待选异构功能等价体的相异性差异指标值；

步骤S4023，将相异性差异指标值最大的一个或多个待选异构功能等价体，移入所述工作池。

其中，在一种可能的实施方式中，所述计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值，可以包括：

计算第i个待选异构功能等价体的相异值Xc_i与所述工作池中第j个异构功能等价体的相异值Xw_j的差值Xc_i-Xw_j,其中j＝1,2,……n，n为所述工作池中异构功能等价体的个数；

计算第i个待选异构功能等价体的相异性差异指标值

其中，i＝1,2,……m，m为待选异构功能体的个数。

这种方式计算所述差值的和值作为相异性差异指标值，反映的是待选异构功能等价体相比于工作池中异构功能等价体在相异性上的平均差异情况，为了能够更合理地反映待选异构功能等价体与工作池中异构功能等价体相异性的差异情况，在另一种可能的实施方式中，所述计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值，可以包括：

计算所述工作池中所有异构功能等价体的相异值的算术平均值Aw；

计算第i个待选异构功能等价体的相异性差异指标值Yc_i＝Xc_i-Aw,其中Xc_i为第i个待选异构功能等价体的相异值；其中，i＝1,2,……m，m为待选异构功能体的个数。

这种方式将待选异构功能等价体与工作池中异构功能等价体相异值的平均值比较，反映的是待选异构功能等价相比于工作池中异构功能等价体平均相异情况的差异程度，更为合理。

步骤402在比较各个待选异构功能等价体的相异性差异指标值后，根据实际情况可以选取所述相异性差异指标值最大的一个，加入到工作池中。当需要往工作池加入多个待选异构功能等价体到工作池中时，如果备选池中不会再被加入新的异构功能等价体，则可以一次性选取待选异构功能等价体重相异性差异指标值最大的多个加入工作池中；如果备选池中会动态地加入新的异构功能等价体，则在选取一个当前相异性差异指标值最大的待选异构功能等价体加入工作池后，重新开始步骤S401确定备选池中的待选异构功能等价体，再执行步骤S402。

在一种可能的实施方式中，不论备选池还是工作池中的异构功能等价体，在生成所述异构功能等价体的时候便已计算好其相异性值，并将相异性值作为异构功能等价体的相异性属性的值保存在异构功能等价体中，这样在步骤S402中不需再计算异构功能等价体的相异性值，直接读取异构功能等价体的相异性属性便可以得到该异构功能等价体的相异性值。

从上述实施例可以看出，所述异构功能等价体分配方法，选取备选池中与工作池中异构功能等价体差异大的异构功能等价体，加入工作池，作为实现服务请求的冗余执行体，这种方式所搭建网络空间环境由异构功能等价体组成，而且彼此相异性差异很大，有利于拆解和模糊网络空间架构上的设计漏洞或被植入的后门和陷门带来的未知风险，实现对网络攻击的提前预防。

参见图6，为本申请提供的一种异构功能等价体设备一个实施例的结构示意图。如图6所示，所述设备包括接收器、处理器和存储器，所述接收器、处理器和存储器通过数据线连接，其中，

所述接收器用于接收服务请求；

所述处理器，用于根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能；

所述处理器，还用于将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能；

所述存储器，用于存储所述备选池和所述工作池的相关信息。

其中，所述处理器在根据所述服务请求从备选池中确定待选异构功能等价体时，可以具体用于：

向所述备选池中的所有异构功能等价体发送运行状态查询命令；

接收各个异构功能等价体返回的状态信息；

根据所述状态信息判断各个异构功能等价体是否运行正常；

确定运行正常的异构功能等价体为待选异构功能等价体。

其中，所述处理器在将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池时，可以具体用于：

根据所述待选异构功能等价体的相异性值和工作池中异构功能等价体的相异性值，计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值；

比较所述待选异构功能等价体的相异性差异指标值；

将相异性差异指标值最大的一个或多个待选异构功能等价体，移入所述工作池。

具体地，在一种实施方式中，所述处理器在计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值时，可以用于：

计算第i个待选异构功能等价体的相异值Xc_i与所述工作池中第j个异构功能等价体的相异值Xw_j的差值Xc_i-Xw_j,其中j＝1,2,……n，n为所述工作池中异构功能等价体的个数；

计算第i个待选异构功能等价体的相异性差异指标值

其中，i＝1,2,……m，m为待选异构功能体的个数。

具体地，在另一种实施方式中，所述处理器在计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值时，可以用于：

计算所述工作池中所有异构功能等价体的相异值的算术平均值Aw；

计算第i个待选异构功能等价体的相异性差异指标值Yc_i＝Xc_i-Aw,其中Xc_i为第i个待选异构功能等价体的相异值；其中，i＝1,2,……m，m为待选异构功能体的个数。

所述处理器在比较各个待选异构功能等价体的相异性差异指标值后，根据实际情况可以选取所述相异性差异指标值最大的一个，加入到工作池中。当需要往工作池加入多个待选异构功能等价体到工作池中时，如果备选池中不会再被加入新的异构功能等价体，则可以一次性选取待选异构功能等价体重相异性差异指标值最大的多个加入工作池中；如果备选池中会动态地加入新的异构功能等价体，则在选取一个当前相异性差异指标值最大的待选异构功能等价体加入工作池后，重新确定备选池中的待选异构功能等价体，再进行分配。

在一种可能的实施方式中，不论备选池还是工作池中的异构功能等价体，在生成所述异构功能等价体的时候便已计算好其相异性值，并将相异性值作为异构功能等价体的相异性属性的值保存在异构功能等价体中，这样所述处理器可以不需再计算异构功能等价体的相异性值，直接读取异构功能等价体的相异性属性便可以得到该异构功能等价体的相异性值。

在一种可能的实施方式中，所述接收器还用于接收调度策略。所述处理器用于根据所述调度策略将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池；或者，处理器用于根据所述调度策略从备选池中确定待选异构功能等价体，以及将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池。

所述处理器可以为中央处理器(英文：central processing unit，CPU)，网络处理器(英文：network processor，NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文：application-specific integratedcircuit，ASIC)，可编程逻辑器件(英文：programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文：complex programmable logic device，CPLD)，现场可编程逻辑门阵列(英文：field-programmable gate array，FPGA)，通用阵列逻辑(英文：generic array logic，GAL)或其任意组合。

所述存储器用于存储备选池和工作池中异构功能等价体的相关信息，具体地，可以包括备选池数据库和工作池数据库，所述备选池数据库中存储有备选池中异构功能等价体的属性和属性值，所述工作池数据库中存储有工作池中异构功能等价体的属性和属性值。如果异构功能等价体的相异性值在异构功能等价体生成后便计算完成，则所述属性可以包括相异性，相应地所述属性值包括相异性值。如果调度策略由接收器接收，所述存储器中还可以存储所述调度策略。

所述存储器可以为易失性存储器(volatile memory)，非易失性存储器(non-volatile memory)或其组合。其中，易失性存储器可以是随机存取存储器(random-accessmemory，RAM)；非易失性存储器可以是只读存储器(read-only memory，ROM)、快闪存储器(flash memory)、硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)。

如果所述异构功能等价体为硬件，则备选池和工作池可以独立于所述异构功能等价体分配设备之外，并与所述处理器连接。如果所述异构功能等价体为软件、程序或数据，则所述备选池和所述工作池可以存储于所述存储器中。

所述异构功能等价体还可以包括发送器，所述发送器用于向服务请求发送装置或设备返回服务响应，所述服务响应包括分配后工作池中异构功能等价体的信息。

具体实现中，本申请还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本发明提供的呼叫方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文：read-only memory，简称：ROM)或随机存储记忆体(英文：random access memory，简称：RAM)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于方法和设备实施例而言，由于其基本相似于装置实施例，所以描述的比较简单，相关之处参见装置实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (14)

1.一种异构功能等价体分配方法，所述方法使用异构功能体相异性测量方法，其特征在于，包括：

根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能；

将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能；

其中，所述根据服务请求从备选池中确定待选异构功能等价体，包括：

向所述备选池中的所有异构功能等价体发送运行状态查询命令；

接收各个异构功能等价体返回的状态信息；

根据所述状态信息判断各个异构功能等价体是否运行正常；

确定运行正常的异构功能等价体为待选异构功能等价体。

2.如权利要求1所述的异构功能等价体分配方法，其特征在于，所述将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，包括：

根据所述待选异构功能等价体的相异性值和工作池中异构功能等价体的相异性值，计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值；

比较所述待选异构功能等价体的相异性差异指标值；

将相异性差异指标值最大的一个或多个待选异构功能等价体，移入所述工作池。

3.如权利要求2所述的异构功能等价体分配方法，其特征在于，所述计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值，包括：

计算第i个待选异构功能等价体的相异值Xc_i与所述工作池中第j个异构功能等价体的相异值Xw_j的差值Xc_i-Xw_j,其中j＝1,2,……n，n为所述工作池中异构功能等价体的个数；

计算第i个待选异构功能等价体的相异性差异指标值

其中，i＝1,2,……m，m为待选异构功能体的个数。

4.如权利要求2所述的异构功能等价体分配方法，其特征在于，所述计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值，包括：

计算所述工作池中所有异构功能等价体的相异值的算术平均值Aw；

计算第i个待选异构功能等价体的相异性差异指标值Yc_i＝Xc_i-Aw,其中Xc_i为第i个待选异构功能等价体的相异值；

其中，i＝1,2,……m，m为待选异构功能体的个数。

5.一种异构功能等价体分配装置，其特征在于，包括调度器和与所述调度器相连的备选池和工作池，所述备选池中至少有一个异构功能等价体，所述工作池中至少有一个异构功能等价体，

所述调度器，用于根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能；

所述调度器，还用于将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能；

其中，所述调度器根据所述服务请求从备选池中确定待选异构功能等价体，具体为：

向所述备选池中的所有异构功能等价体发送运行状态查询命令；

接收各个异构功能等价体返回的状态信息；

根据所述状态信息判断各个异构功能等价体是否运行正常；

确定运行正常的异构功能等价体为待选异构功能等价体。

6.如权利要求5所述的异构功能等价体分配装置，其特征在于，所述调度器将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，具体为：

根据所述待选异构功能等价体的相异性值和工作池中异构功能等价体的相异性值，计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值；

比较所述待选异构功能等价体的相异性差异指标值；

将相异性差异指标值最大的一个或多个待选异构功能等价体，移入所述工作池。

7.如权利要求6所述的异构功能等价体分配装置，其特征在于，所述调度器在计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值时，具体用于：

计算第i个待选异构功能等价体的相异值Xc_i与所述工作池中第j个异构功能等价体的相异值Xw_j的差值Xc_i-Xw_j,其中j＝1,2,……n，n为所述工作池中异构功能等价体的个数；

计算第i个待选异构功能等价体的相异性差异指标值

其中，i＝1,2,……m，m为待选异构功能体的个数。

8.如权利要求6所述的异构功能等价体分配装置，其特征在于，所述调度器计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值，具体为：

计算所述工作池中所有异构功能等价体的相异值的算术平均值Aw；

计算第i个待选异构功能等价体的相异性差异指标值Yc_i＝Xc_i-Aw,其中Xc_i为第i个待选异构功能等价体的相异值；

其中，i＝1,2,……m，m为待选异构功能体的个数。

9.如权利要求6所述的异构功能等价体分配装置，其特征在于，还包括与所述调度器相连的策略生成器，所述调度器用于接收所述策略生成器生成的调度策略，并根据所述调度策略将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池。

10.一种异构功能等价体分配设备，其特征在于，包括接收器、处理器和存储器，

所述接收器用于接收服务请求；

所述处理器，用于根据服务请求从备选池中确定待选异构功能等价体，所述待选异构功能等价体具备提供服务请求所请求的服务的功能；

所述处理器，还用于将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池，所述工作池中的异构功能等价体具备提供所述服务请求所请求的服务的功能；

所述存储器，用于存储所述备选池和所述工作池的相关信息；

其中，所述处理器在根据所述服务请求从备选池中确定待选异构功能等价体时，具体用于：

向所述备选池中的所有异构功能等价体发送运行状态查询命令；

接收各个异构功能等价体返回的状态信息；

根据所述状态信息判断各个异构功能等价体是否运行正常；

确定运行正常的异构功能等价体为待选异构功能等价体。

11.如权利要求10所述的异构功能等价体分配设备，其特征在于，所述处理器在将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池时，具体用于：

根据所述待选异构功能等价体的相异性值和工作池中异构功能等价体的相异性值，计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值；

比较所述待选异构功能等价体的相异性差异指标值；

将相异性差异指标值最大的一个或多个待选异构功能等价体，移入所述工作池。

12.如权利要求11所述的异构功能等价体分配设备，其特征在于，所述处理器在计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值时，具体用于：

计算第i个待选异构功能等价体的相异值Xc_i与所述工作池中第j个异构功能等价体的相异值Xw_j的差值Xc_i-Xw_j,其中j＝1,2,……n，n为所述工作池中异构功能等价体的个数；

计算第i个待选异构功能等价体的相异性差异指标值

其中，i＝1,2,……m，m为待选异构功能体的个数。

13.如权利要求11所述的异构功能等价体分配设备，其特征在于，所述处理器在计算所述待选异构功能等价体相比于所述工作池中异构功能等价体的相异性差异指标值时，具体用于：

计算所述工作池中所有异构功能等价体的相异值的算术平均值Aw；

计算第i个待选异构功能等价体的相异性差异指标值Yc_i＝Xc_i-Aw,其中Xc_i为第i个待选异构功能等价体的相异值；其中，i＝1,2,……m，m为待选异构功能体的个数。

14.如权利要求11所述异构功能等价体分配设备，其特征在于，所述接收器还用于接收调度策略，所述处理器用于根据所述调度策略将所述待选异构功能等价体中相比于工作池中的异构功能等价体相异性差异最大的一个或多个，移入所述工作池。

Images