CN108134740B - 一种基于物理异构冗余的加权裁决及随机调度方法 - Google Patents
一种基于物理异构冗余的加权裁决及随机调度方法 Download PDFInfo
- Publication number
- CN108134740B CN108134740B CN201711296601.1A CN201711296601A CN108134740B CN 108134740 B CN108134740 B CN 108134740B CN 201711296601 A CN201711296601 A CN 201711296601A CN 108134740 B CN108134740 B CN 108134740B
- Authority
- CN
- China
- Prior art keywords
- routing protocol
- protocol processing
- arbitration
- routing
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/52—Multiprotocol routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/16—Multipoint routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/61—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources taking into account QoS or priority requirements
Abstract
本发明公开了一种基于物理异构冗余的加权裁决及随机调度方法,在每个路由协议处理单元上执行不同的单播、组播路由协议,并将计算结果输出给多模裁决单元;多模裁决单元对每个路由协议处理单元的计算结果进行裁决,给出最终裁决结果并输出给数据转发平面;冗余调度单元构建路由协议池、对每个路由协议处理单元进行协议设置,并对每次裁决结果进行记录和计算,然后根据计算结果动态随机调度路由处理单元。本发明通过设计异构冗余判决功能的路由机制,提出一种加权多模裁决方法对比多个异构路由功能执行体的输出结果,对最终的路由选路进行多模裁决,并通过信任度权值对执行体进行动态随机调度选择,实现交换机路由控制平面的拟态防御能力。
Description
技术领域
本发明涉及一种基于物理异构冗余的加权裁决及随机调度方法。
背景技术
交换机作为局域网、内部网络的重要网络元素,被大量部署在园区网、企业网、信息中心等场所。其作为网络中信息基础设备的核心设备,对网络中交换信息的安全起着至关重要的作用,因此,也成为网络攻击的重要目标之一。如果其漏洞或后门被利用,将会给个人或企业甚至是国家带来难以估计的损失和危害。
交换机的安全性包括了其提供的安全防御能力及自身的安全防御能力两方面。在提供安全防御能力方面,可通过集成硬件密码模块,实现网络协议安全加固、终端准入控制、安全配置管理、敏感文件安全存储等安全防御能力;在自身安全防御能力方面,由于关键软硬件使用了国外产品,容易遭受到已知和未知漏洞和后门的攻击,虽然可通过采取国产化交换芯片、国产化处理器、国产化嵌入式操作系统、自主网络协议栈、国产化电源模块等国产化部件来提高自身安全性,但仍无法从根本上解决未知漏洞、后门或病毒木马的攻击威胁。
拟态安全防御旨在解决网络空间不同领域相关应用层次上的基于未知漏洞、后门或病毒木马等不确定性威胁,在功能等价的条件下混淆提供,以提供目标环境的动态性、非确定性、异构性和非持续性为目的。通过网络、平台、环境、软件、数据等机构的主动跳变或快速迁移来实现拟态环境,以防御者可控的方式进行动态变化。对攻击者表现为难以观察和预测目标变化,从而大幅度增加包括未知的可利用的漏洞和后门在内的攻击难度和成本。
通过在交换机中引入异构性、多样或多元性改变交换机系统的相似性、单一性;以动态性、随机性改变交换机系统的静态性、确定性;以异构冗余的多模裁决机制来识别和屏蔽未知缺陷和不明威胁,从而提升交换机针对未知漏洞、后门或病毒木马的防御能力。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于物理异构冗余的加权裁决及随机调度方法。
本发明解决其技术问题所采用的技术方案是:一种基于物理异构冗余的加权裁决及随机调度方法,包括至少三个路由协议处理单元、一个多模裁决单元和一个冗余调度单元,其中,在每个路由协议处理单元上执行不同的单播、组播路由协议,并将计算结果输出给多模裁决单元;多模裁决单元对每个路由协议处理单元的计算结果进行裁决,给出最终裁决结果并输出给数据转发平面,同时将裁决结果输出给冗余调度单元;冗余调度单元构建路由协议池、对每个路由协议处理单元进行协议设置,并对每次裁决结果进行记录和计算,然后根据计算结果动态随机调度路由处理单元。
与现有技术相比,本发明的积极效果是:
1、本发明在路由裁决和冗余调度两个关键点上提出了基于权值的计算方法,基于加权的裁决方法从计算效果的角度充分考虑了执行体的信任度,保证了计算结果的有效可信;基于执行效率的随机调度方法从执行效率的角度出发,充分考虑了每个执行体之间的效率差异性,根据执行效率进行随机调度,使得执行效率高的执行体优先被调度,保证了系统整体的执行效率。本发明提出的方法简单易于实现和理解。
2、本发明基于多个从硬件和软件上异构冗余路由协议执行体组成协议执行单元,这种异构性决定了不同的路由协议执行单元不具备相同的漏洞和后门,极大的降低了多个执行体同时受到攻击或治乱的可能性,有效的提高对“有毒带菌”环境下的安全防御能力;并且,在某个执行体失效的情况下,系统仍能有效的工作,提高了系统整体的健壮性。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明方法的原理图;
图2为加权裁决的流程图;
图3为冗余调度的流程图。
具体实施方式
本发明将一种基于物理异构冗余的加权裁决及随机调度方法引入到交换机的架构设计中,通过设计异构冗余判决功能的路由机制,提出一种加权多模裁决方法对比多个异构路由功能执行体的输出结果,对最终的路由选路进行多模裁决,并通过信任度权值对执行体进行动态随机调度选择,实现交换机路由控制平面的拟态防御能力。
交换机从功能上主要包括三个平面,分别是管理平面、控制平面和数据转发平面。在本方法中重点设计集中在控制平面,主要包括三个方面的设计。首先,引入异构冗余机制,设计多个(三种以上)从硬件、软件上均异构的冗余功能等价体,在多个不同的功能等价体上执行不同的单播、组播的路由协议;其次,多模裁决单元根据加权裁决方法对不同的单播、组播协议输出的路由结果进行综合裁决,并给出最终结果输出给数据转发平台;最后,冗余调度单元对单播、组播协议在不同等价功能体间进行随机设置并进行定期或不定期的更换,并根据每个执行体不同的执行效率权值进行动态随机调度优先选择执行效率高的执行体,从而提高交换机拟态防御执行效率。
本方案提出的一种基于物理异构冗余的加权裁决及随机调度方法,该方法包括了N个(N≥3)功能等价路由协议处理部件、一个冗余调度单元、一个多模裁决单元,其中,功能等价路由协议处理部件为硬件、软件均不同的处理单元,在每个单元上执行不同的单播、组播路由协议,并将结果输出给多模裁决单元;多模裁决单元对不同的路由协议处理部件输出结果依据加权裁决算法进行裁决,给出最终裁决结果并输出给数据转发平面;冗余调度单元对每个路由协议处理单元进行协议设置,每次从协议池中随机挑选出N个协议(N≥3),并对每次裁决的结果进行记录,如果出现多次多个路由处理单元结果均不一致的情况,会对每个路由处理单元的路由协议进行重置操作;冗余调度单元会根据每个路由处理单元的执行效率进行权值设置,并根据权值进行随机调度,优先调度执行效率高的执行体,从而提高交换机整体执行效率。本方法原理图如图1所示。
本发明方法的具体步骤如下:
步骤一:冗余调度单元构建路由协议池,包括多种单播、组播协议,从协议池中随机挑选N个协议(N≥3)赋给每个路由协议处理部件。
所述协议池和赋给每个路由协议单元处理部件的协议遵循以下要求:
1、协议池中的协议均不相同;
2、协议池中的协议总数应大于等于分配给不同路由协议单元处理部件协议的总和;
3、每个路由协议单元处理部件执行的协议数应大于等于三种,保证充分的随机变换异构性。
步骤二:将同一数据输入给每个不同的功能等价路由协议处理部件,各个处理部件设置了多个不同路由协议,从中随机选择一个协议进行计算,将计算结果输出给多模裁决单元,同时,记录计算执行效率,并将效率数据输出给冗余调度单元;
步骤三:多模裁决单元根据加权裁决方法对每个路由协议处理部件的计算结果进行裁决。加权裁决方法的基本思想是:每个随机被选择的执行体的输出结果均带有权值,该权值代表该执行体的信任程度,该信任度由每次计算结果的与其他执行体结果的相同度来衡量,与其他执行体结果相同次数越多,信任度越高,权值越重,反之,信任度越低,权值越小;在权值差异较大的情况下,选择权值最高且大于等于设定阈值的执行体结果直接输出;在权值相同或相近及小于阈值的情况下,进行择多裁决,如果多个执行体结果有半数以上计算结果一致,则输出多数执行体结果给数据转发部件;否则,将计算结果丢弃。每次裁决结果均输出给冗余调度单元进行记录并计算。
以下结合图2详细说明如下:
一种基于加权的裁决方法,该方法包括权值计算、权值差异判断、择多裁决等主要模块。每个模块的主要思路如下:
1、权值计算:每个路由协议处理部件均带有一个权值,该权值以每次计算结果相同度进行累计,若相同度大于设定阈值,则累计加1;否则,不累计,此处阈值可设为与半数以上功能执行体计算结果相同;
2、权值差异判断:计算所有功能执行体权重的方差,该方差反应了执行体间计算结果差异情况。方差大,说明执行体计算结果差异大,信任度变化大;方差小,说明执行体计算结果相似度高,信任度变化小;在信任度变化大的情况下,直接选择权值最高且大于可信阈值(信任度最高)的执行体结果输出;否则,进行择多裁决输出结果。
3、择多裁决:如果有半数以上的执行体的计算结果相同,则将该计算结果输出给数据转发部件,否则,将计算结果丢弃。
步骤四:冗余调度单元功能包括两部分:对裁决结果进行统计分析和动态随机调度执行体。对每次裁决结果进行统计分析主要是协议安全性恢复功能,如果裁决结果中被丢弃的次数大于设定的阈值,则对所有异构等价路由协议处理部件进行协议重置(步骤一)。动态随机调度从执行效率的角度出发,冗余调度单元会记录每个路由协议处理部件的执行效率,并根据效率赋予每个执行体相应的权重,效率越高,权重越大,基于效率权重的调度方法,可优先调度效率高的执行体,达到提高整体执行效率的目的。调度流程如图3所示。
Claims (7)
1.一种基于物理异构冗余的加权裁决及随机调度方法,其特征在于:包括至少三个路由协议处理单元、一个多模裁决单元和一个冗余调度单元,其中,在每个异构的路由协议处理单元上执行不同的单播、组播路由协议,并将计算结果输出给多模裁决单元;多模裁决单元对每个路由协议处理单元的计算结果进行加权裁决,给出最终裁决结果并输出给数据转发平面,同时将裁决结果输出给冗余调度单元;冗余调度单元构建路由协议池、对每个路由协议处理单元进行协议设置,并对每次裁决结果进行记录和计算,然后根据计算结果动态随机调度路由协议处理单元;每个路由协议处理单元执行的协议数大于等于三个,针对同一数据输入,每个路由协议处理单元随机选择一个协议进行计算,然后在将计算结果输出给多模裁决单元的同时,记录计算执行效率,并将效率数据输出给冗余调度单元,其中:
所述多模裁决单元对每个路由协议处理单元的计算结果进行裁决的方法为:多模裁决单元利用路由协议处理单元的计算结果中带有的权值计算权值方差,然后判断权值方差是否大于设定的差异阈值:如果大于,则选择权值最高且大于设定的可信阈值的路由协议处理单元的计算结果输出;否则,进行择多裁决输出结果。
2.根据权利要求1所述的一种基于物理异构冗余的加权裁决及随机调度方法,其特征在于:所述协议池中的协议均不相同,且协议总数大于等于分配给所有路由协议处理单元协议的总和。
3.根据权利要求1所述的一种基于物理异构冗余的加权裁决及随机调度方法,其特征在于:所述路由协议处理单元为硬件和软件均不相同的功能等价路由协议处理单元。
4.根据权利要求1所述的一种基于物理异构冗余的加权裁决及随机调度方法,其特征在于:所述冗余调度单元动态随机调度路由协议处理单元的方法包括如下步骤:
步骤一、对裁决结果进行统计;
步骤二、判断裁决结果中被丢弃的次数是否大于设定的阈值:如是,则对所有路由协议处理单元进行协议重置和权值清零,然后进入步骤三;如否,则进入步骤三;
步骤三、统计每个路由协议处理单元的执行效率;
步骤四、计算调度优先级权值;
步骤五、根据优先级权值对路由协议处理单元进行调度。
5.根据权利要求1所述的一种基于物理异构冗余的加权裁决及随机调度方法,其特征在于:所述择多裁决是指如果有半数以上的路由协议处理单元的计算结果相同,则将该计算结果输出给数据转发部件。
6.根据权利要求1所述的一种基于物理异构冗余的加权裁决及随机调度方法,其特征在于:所述权值的计算方法为:以每次计算结果相同度进行累计,若相同度大于设定阈值,则累计加1;否则,不累计。
7.根据权利要求6所述的基于物理异构冗余的加权裁决及随机调度方法,其特征在于:所述设定阈值为与半数以上路由协议处理单元的计算结果相同的阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711296601.1A CN108134740B (zh) | 2017-12-08 | 2017-12-08 | 一种基于物理异构冗余的加权裁决及随机调度方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711296601.1A CN108134740B (zh) | 2017-12-08 | 2017-12-08 | 一种基于物理异构冗余的加权裁决及随机调度方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108134740A CN108134740A (zh) | 2018-06-08 |
| CN108134740B true CN108134740B (zh) | 2020-08-14 |
Family
ID=62389379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711296601.1A Active CN108134740B (zh) | 2017-12-08 | 2017-12-08 | 一种基于物理异构冗余的加权裁决及随机调度方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108134740B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108848093B (zh) * | 2018-06-21 | 2021-02-09 | 中国人民解放军战略支援部队信息工程大学 | 路由计算单元和网络节点设备 |
| CN109587061B (zh) * | 2018-11-08 | 2022-04-22 | 华为技术有限公司 | 一种路由处理的方法、装置及设备 |
| CN110011965B (zh) * | 2019-02-28 | 2021-09-24 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度的执行体完全非一致输出裁决方法及装置 |
| CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
| CN110380961B (zh) * | 2019-07-05 | 2021-05-07 | 中国人民解放军战略支援部队信息工程大学 | 一种传统路由器拟态化改造的装置及方法 |
| CN110401601B (zh) * | 2019-08-20 | 2021-09-03 | 之江实验室 | 一种拟态路由协议系统和方法 |
| CN111124663B (zh) * | 2019-11-15 | 2023-08-11 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 拟态资源调度方法、系统及介质 |
| CN112217604B (zh) * | 2020-06-09 | 2022-09-20 | 国家数字交换系统工程技术研究中心 | 应用于网络安全防御系统的输入输出系统 |
| CN111884996B (zh) * | 2020-06-12 | 2022-04-08 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度量的拟态交换机裁决系统及方法 |
| CN112118219B (zh) * | 2020-07-29 | 2023-03-24 | 天津芯海创科技有限公司 | 拟态判决方法、装置、电子设备及计算机可读存储介质 |
| CN112073394B (zh) * | 2020-08-27 | 2022-06-21 | 之江实验室 | 一种基于执行体共识的拟态裁决方法及裁决器 |
| CN112398911B (zh) * | 2020-10-22 | 2022-07-15 | 成都中讯创新科技股份有限公司 | 一种基于fc网络的多通道网络调度方法 |
| CN112291253B (zh) * | 2020-11-05 | 2022-05-27 | 南京邮电大学 | 基于异构冗余的多接入边缘计算中服务器安全调度方法 |
| CN112187833B (zh) * | 2020-11-09 | 2021-12-17 | 浙江大学 | 一种拟态waf中的ai+正则双匹配检测方法 |
| CN112929208B (zh) * | 2021-01-25 | 2022-02-11 | 浙江大学 | 一种拟态虚拟交换机的同分异构体裁决方法 |
| CN113792290B (zh) * | 2021-06-02 | 2024-02-02 | 国网河南省电力公司信息通信公司 | 拟态防御的裁决方法及调度系统 |
| CN114793248B (zh) * | 2022-03-02 | 2024-02-23 | 上海图灵智算量子科技有限公司 | 基于拟态的加密通讯方法 |
| CN115085989B (zh) * | 2022-06-07 | 2023-08-01 | 珠海高凌信息科技股份有限公司 | 一种基于矩阵的高扩展性拟态大数裁决优化方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2860919A1 (en) * | 2013-10-13 | 2015-04-15 | Nicira Inc. | Asymmetric connection with external networks |
| CN106161418A (zh) * | 2015-06-01 | 2016-11-23 | 上海红神信息技术有限公司 | 一种异构功能等价体输出服务响应的装置及方法 |
| CN106161417A (zh) * | 2015-06-01 | 2016-11-23 | 上海红神信息技术有限公司 | 一种异构功能等价体调度装置及其方法 |
| CN106534063A (zh) * | 2016-09-27 | 2017-03-22 | 上海红阵信息科技有限公司 | 一种封装异构功能等价体的装置、方法及设备 |
| CN106656834A (zh) * | 2016-11-16 | 2017-05-10 | 上海红阵信息科技有限公司 | Is‑is路由协议异构功能等价体并行归一化装置及方法 |
-
2017
- 2017-12-08 CN CN201711296601.1A patent/CN108134740B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2860919A1 (en) * | 2013-10-13 | 2015-04-15 | Nicira Inc. | Asymmetric connection with external networks |
| CN106161418A (zh) * | 2015-06-01 | 2016-11-23 | 上海红神信息技术有限公司 | 一种异构功能等价体输出服务响应的装置及方法 |
| CN106161417A (zh) * | 2015-06-01 | 2016-11-23 | 上海红神信息技术有限公司 | 一种异构功能等价体调度装置及其方法 |
| CN106534063A (zh) * | 2016-09-27 | 2017-03-22 | 上海红阵信息科技有限公司 | 一种封装异构功能等价体的装置、方法及设备 |
| CN106656834A (zh) * | 2016-11-16 | 2017-05-10 | 上海红阵信息科技有限公司 | Is‑is路由协议异构功能等价体并行归一化装置及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 网络空间拟态防御研究;邬江兴;《信息安全学报》;20161031;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108134740A (zh) | 2018-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108134740B (zh) | 一种基于物理异构冗余的加权裁决及随机调度方法 | |
| Somani et al. | DDoS attacks in cloud computing: Issues, taxonomy, and future directions | |
| CA3016392C (en) | Systems and methods for cyber intrusion detection and prevention | |
| CN109413024B (zh) | 异构功能等价体多模判决结果的逆向数据校验方法及系统 | |
| EP3468102B1 (en) | Negative feedback control method and system based on output arbitration | |
| US20140157415A1 (en) | Information security analysis using game theory and simulation | |
| US11483346B2 (en) | Reinforcement learning for application responses using deception technology | |
| EP4214620A1 (en) | Security policies for software call stacks | |
| CN111478970A (zh) | 一种电网Web应用拟态防御系统 | |
| CN112491803A (zh) | 拟态waf中执行体的裁决方法 | |
| Madden et al. | Adding security to networks-on-chip using neural networks | |
| US20230370490A1 (en) | System and method for cyber exploitation path analysis and task plan optimization | |
| Jamali et al. | PSO-SFDD: Defense against SYN flooding DoS attacks by employing PSO algorithm | |
| Kondakci | Analysis of information security reliability: A tutorial | |
| Anderson et al. | Parameterizing moving target defenses | |
| Hizal et al. | A new deep learning based Intrusion Detection System for Cloud Security | |
| WO2019186535A1 (en) | Bio-inspired agile cyber-security assurance framework | |
| Jasiul et al. | Formal specification of malware models in the form of colored Petri nets | |
| Papadogiannakis et al. | Tolerating overload attacks against packet capturing systems | |
| Note et al. | Comparative analysis of intrusion detection system using machine learning and deep learning algorithms | |
| Eke et al. | Framework for Detecting APTs Based on Steps Analysis and Correlation | |
| Nagarajan et al. | SCIT and IDS architectures for reduced data ex-filtration | |
| Sridharan et al. | Game-theoretic approach to malicious controller detection in software defined networks | |
| Kamhoua et al. | Survivability in cyberspace using diverse replicas: A game-theoretic approach | |
| Rodríguez et al. | Survivability analysis of a computer system under an advanced persistent threat attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |