CN107995202A - 一种采用Hash表组合实现拟态防御模型表决器的方法 - Google Patents

一种采用Hash表组合实现拟态防御模型表决器的方法 Download PDF

Info

Publication number
CN107995202A
CN107995202A CN201711293887.8A CN201711293887A CN107995202A CN 107995202 A CN107995202 A CN 107995202A CN 201711293887 A CN201711293887 A CN 201711293887A CN 107995202 A CN107995202 A CN 107995202A
Authority
CN
China
Prior art keywords
data packet
queue
hash
data
buffering area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711293887.8A
Other languages
English (en)
Inventor
张旻
梁惠兵
姜明
汤景凡
胡恩超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dianzi University
Original Assignee
Hangzhou Dianzi University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dianzi University filed Critical Hangzhou Dianzi University
Priority to CN201711293887.8A priority Critical patent/CN107995202A/zh
Publication of CN107995202A publication Critical patent/CN107995202A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • H04L45/7453Address table lookup; Address filtering using hashing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/72Admission control; Resource allocation using reservation actions during connection setup
    • H04L47/722Admission control; Resource allocation using reservation actions during connection setup at the destination endpoint, e.g. reservation of terminal resources or buffer space
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种采用Hash表组合实现拟态防御模型表决器的方法。本发明步骤如下:步骤(1)将每个服务器发来的数据包存放到缓冲区块中;步骤(2)将队列中的数据包依次散列到Hash表中进行表决;步骤(3)在Hash表和存储队列数据的缓冲区之间保持映射;步骤(4)当数据包从Pi到达时,先在Hash表项的标识字段中查找Pi,如果找到这个条目,则将数据包次数加1,并更新缓冲区位置;否则分配一个新的缓冲区Bk,并输入一个条目Pi‑>(Bk,1)。一旦次数超过N/2,需要将此数据包返回给用户,本次表决完成,删除Hash表映射条目Pi‑>(Bk,n)。本发明降低延时、提高效率,为整套系统提供了更加高效的解决方案。

Description

一种采用Hash表组合实现拟态防御模型表决器的方法
技术领域
本发明属于计算机软件技术领域,具体是一种采用Hash表组合实现拟态防御模型表决器的方法。
背景技术
Web服务器系统面临的安全问题日益严重,而传统防御技术又处在被动防御位置,难以很好地应对未知攻击威胁的问题。于是美国提出了移动目标防御(moving targetdefense,MTD)的设想,这是美国针对防御者当前所处劣势地位而提出的一个“改变游戏规则”的网络安全发展方向,期望通过实施持续、动态的变化迷惑攻击者,以增加其攻击成本和复杂度,降低其攻击成功率。
有人提出了基于“动态异构冗余”结构的拟态防御模型,期望通过在主动和被动触发条件下动态地、伪随机地选择执行各种硬件变体以及相应的软件变体,使得内外部攻击者观察到的硬件执行环境和软件工作状况非常不确定,无法或很难构建起基于漏洞(bug)或后门的攻击链,以达成降低系统安全风险的目的。“动态异构冗余”结构在“处理”环节使用异构执行体集合进行处理,将同一输入通过输入代理复制为N份,并分发给执行体集中的N个异构执行体进行处理,将处理结果收集至表决器进行表决,得到唯一的相对正确的输出。这样就可以大大提高Web服务器的安全性。
发明内容
本发明的目的是针对现有技术的不足,提供一种采用Hash表组合实现拟态防御模型表决器的方法。
本发明解决其技术问题所采用的技术方案包括如下步骤:
步骤(1)对于每个服务器发来的数据包,将其存放到缓冲区中,缓冲区分成多个块,每个块保存一个服务器中传来的数据包,队列Q1,Q2...Qn中的元素与缓冲区一一对应,即同一个缓冲区的数据只会按顺序传输到一个队列。
步骤(2)将队列中的数据包依次散列到Hash表中进行表决,如果有超过N/2的数据包映射到Hash表的同一位置,则将其返回给用户。由于使用多线程,所以队列中的数据包,无需等待所有的队列中的包到达就能够开始对比,但是要确保每个队列都要取出一个数据包,而且当本次表决返回正确的结果后,需要设置flag值;某些队列中还未进入Hash表的数据包将被丢弃,从而确保每个队列取出一个数据包进行按序比较,并且减少了不必要的比较。
步骤(3)在Hash表和存储队列数据的缓冲区之间保持映射,用Pi->(Bk,n)表示。其中每个条目包含两个数据字段:Pi数据包的标识、映射到此处的次数n及其对应数据包缓冲区位置Bk
当数据包比较完成后,其映射条目将从Hash表中删除,相应的缓冲区位置将被释放。
步骤(4)当一个数据包从Pi到达时,先在Hash表项的标识字段中查找Pi是,如果在Hash表中找到这个条目,则将数据包的次数加1,并更新缓冲区位置;否则分配一个新的缓冲区Bk,并输入一个条目Pi->(Bk,1)。一旦次数超过N/2,代表大多数服务器都存在此数据包,需要将此数据包返回给用户,本次表决完成,删除Hash表映射条目Pi->(Bk,n)。
本发明有益效果:
本发明通过采用缓冲区临时存放文件服务器发来的数据包,再为每个服务器创建一个队列,并将数据包散列到Hash表中,Hash表采用红黑树减少操作复杂度,实现了表决器模块,从而尽可能降低延时、提高效率,为整套系统提供了更加高效的解决方案。
本发明借助缓冲区和Hash表的精细操作,实现了拟态防御模型的表决器模块。
附图说明
图1为本发明示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。
如图1所示,一种采用Hash表组合实现拟态防御模型表决器的方法,包括如下步骤:
步骤(1)对于每个服务器发来的数据包,将其存放到缓冲区中,缓冲区分成多个块,每个块保存一个服务器中传来的数据包,队列Q1,Q2...Qn中的元素与缓冲区一一对应,即同一个缓冲区的数据只会按顺序传输到一个队列。
步骤(2)将队列中的数据包依次散列到Hash表中进行表决,如果有超过N/2的数据包映射到Hash表的同一位置,则将其返回给用户。由于使用多线程,所以队列中的数据包,无需等待所有的队列中的包到达就能够开始对比,但是要确保每个队列都要取出一个数据包,而且当本次表决返回正确的结果后,需要设置flag值;某些队列中还未进入Hash表的数据包将被丢弃,从而确保每个队列取出一个数据包进行按序比较,并且减少了不必要的比较。
步骤(3)在Hash表和存储队列数据的缓冲区之间保持映射,用Pi->(Bk,n)表示。其中每个条目包含两个数据字段:Pi数据包的标识、映射到此处的次数n及其对应数据包缓冲区位置Bk
当数据包比较完成后,其映射条目将从Hash表中删除,相应的缓冲区位置将被释放。
步骤(4)当一个数据包从Pi到达时,先在Hash表项的标识字段中查找Pi是,如果在Hash表中找到这个条目,则将数据包的次数加1,并更新缓冲区位置;否则分配一个新的缓冲区Bk,并输入一个条目Pi->(Bk,1)。一旦次数超过N/2,代表大多数服务器都存在此数据包,需要将此数据包返回给用户,本次表决完成,删除Hash表映射条目Pi->(Bk,n)。

Claims (1)

1.一种采用Hash表组合实现拟态防御模型表决器的方法,其特征在于包括如下步骤:
步骤(1)对于每个服务器发来的数据包,将其存放到缓冲区中,缓冲区分成多个块,每个块保存一个服务器中传来的数据包,队列Q1,Q2...Qn中的元素与缓冲区一一对应,即同一个缓冲区的数据只会按顺序传输到一个队列;
步骤(2)将队列中的数据包依次散列到Hash表中进行表决,如果有超过N/2的数据包映射到Hash表的同一位置,则将其返回给用户;由于使用多线程,所以队列中的数据包,无需等待所有的队列中的包到达就能够开始对比,但是要确保每个队列都要取出一个数据包,而且当本次表决返回正确的结果后,需要设置flag值;某些队列中还未进入Hash表的数据包将被丢弃,从而确保每个队列取出一个数据包进行按序比较,并且减少了不必要的比较;
步骤(3)在Hash表和存储队列数据的缓冲区之间保持映射,用Pi->(Bk,n)表示;其中每个条目包含两个数据字段:Pi数据包的标识、映射到此处的次数n及其对应数据包缓冲区位置Bk
当数据包比较完成后,其映射条目将从Hash表中删除,相应的缓冲区位置将被释放;
步骤(4)当一个数据包从Pi到达时,先在Hash表项的标识字段中查找Pi是,如果在Hash表中找到这个条目,则将数据包的次数加1,并更新缓冲区位置;否则分配一个新的缓冲区Bk,并输入一个条目Pi->(Bk,1);一旦次数超过N/2,代表大多数服务器都存在此数据包,需要将此数据包返回给用户,本次表决完成,删除Hash表映射条目Pi->(Bk,n)。
CN201711293887.8A 2017-12-08 2017-12-08 一种采用Hash表组合实现拟态防御模型表决器的方法 Pending CN107995202A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711293887.8A CN107995202A (zh) 2017-12-08 2017-12-08 一种采用Hash表组合实现拟态防御模型表决器的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711293887.8A CN107995202A (zh) 2017-12-08 2017-12-08 一种采用Hash表组合实现拟态防御模型表决器的方法

Publications (1)

Publication Number Publication Date
CN107995202A true CN107995202A (zh) 2018-05-04

Family

ID=62036801

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711293887.8A Pending CN107995202A (zh) 2017-12-08 2017-12-08 一种采用Hash表组合实现拟态防御模型表决器的方法

Country Status (1)

Country Link
CN (1) CN107995202A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110650020A (zh) * 2019-09-25 2020-01-03 天津市滨海新区信息技术创新中心 拟态模糊判决方法、装置及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101159539A (zh) * 2007-11-20 2008-04-09 中国人民解放军信息工程大学 基于j2ee中间件规范的容忍入侵应用服务器及容忍入侵方法
CN101355713A (zh) * 2007-07-23 2009-01-28 神乎科技股份有限公司 一种证券信息广播系统与方法
CN101369241A (zh) * 2007-09-21 2009-02-18 中国科学院计算技术研究所 一种机群容错系统、装置及方法
US20130251214A1 (en) * 2012-03-26 2013-09-26 Amerasia International Technology, Inc. Biometric registration and verification system and method
CN107092518A (zh) * 2017-04-17 2017-08-25 上海红神信息技术有限公司 一种保护拟态防御系统软件层安全的编译方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355713A (zh) * 2007-07-23 2009-01-28 神乎科技股份有限公司 一种证券信息广播系统与方法
CN101369241A (zh) * 2007-09-21 2009-02-18 中国科学院计算技术研究所 一种机群容错系统、装置及方法
CN101159539A (zh) * 2007-11-20 2008-04-09 中国人民解放军信息工程大学 基于j2ee中间件规范的容忍入侵应用服务器及容忍入侵方法
US20130251214A1 (en) * 2012-03-26 2013-09-26 Amerasia International Technology, Inc. Biometric registration and verification system and method
CN107092518A (zh) * 2017-04-17 2017-08-25 上海红神信息技术有限公司 一种保护拟态防御系统软件层安全的编译方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MING JIANG ETC.: ""The Implement of Voting Device in Mimicry Defense Model"", 《REVISTA DE LA FACULTAD DE INGENIERÍA U.C.V.》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110650020A (zh) * 2019-09-25 2020-01-03 天津市滨海新区信息技术创新中心 拟态模糊判决方法、装置及系统
CN110650020B (zh) * 2019-09-25 2022-05-10 天津市滨海新区信息技术创新中心 拟态模糊判决方法、装置及系统

Similar Documents

Publication Publication Date Title
KR102454779B1 (ko) 이벤트들의 삭제를 가능하게 하는 분산 데이터베이스를 위한 방법 및 장치
KR102437812B1 (ko) 자산 관리 방법과 장치, 및 전자 디바이스
WO2018076760A1 (zh) 基于区块链的交易事务处理方法、系统、电子装置及存储介质
CN104052734B (zh) 使用全球设备指纹识别的攻击检测和防止
CN108134797A (zh) 基于蜜罐技术的攻击反制实现系统及方法
Weng et al. Efficient distributed approaches to core maintenance on large dynamic graphs
US20220158836A1 (en) Fork Processing Method And Blockchain Node
CN106576051B (zh) 一种检测零日威胁的方法、网络设备、非暂态机器可读介质
US9705795B2 (en) Look-up table creation method and query method, controller, forwarding device, and system
Dadlani et al. System dynamics of a refined epidemic model for infection propagation over complex networks
CN107147498A (zh) 一种基于Hash函数和动态共享密钥的强匿名RFID认证协议
CN107995202A (zh) 一种采用Hash表组合实现拟态防御模型表决器的方法
CN104994179B (zh) 一种数据处理方法及服务器
CN107682266A (zh) 流表项的匹配方法及装置、计算机可读存储介质
CN114547082A (zh) 一种数据聚合的方法、相关装置、设备以及存储介质
Enyioha et al. Bio-inspired strategy for control of viral spreading in networks
CN110247818A (zh) 一种数据监控方法、装置、存储介质和服务器
Deelman et al. Breadth-first rollback in spatially explicit simulations
CN109510805A (zh) 一种基于安全基线模型的网络数据安全检测方法及系统
CN111151007B (zh) 一种对象选择方法、装置、终端及存储介质
US11563715B2 (en) Pattern matching by a network device for domain names with wildcard characters
CN112386906B (zh) 媒体资源播放方法和装置、存储介质及电子设备
Yang et al. The analysis of propagation model for internet worm based on active vaccination
Fairouz et al. An FPGA-based coprocessor for hash unit acceleration
Yao et al. Privacy-Preserving Content-Based Similarity Detection Over in-the-Cloud Middleboxes

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180504

WD01 Invention patent application deemed withdrawn after publication