CN109450900A - 拟态判决方法、装置及系统 - Google Patents
拟态判决方法、装置及系统 Download PDFInfo
- Publication number
- CN109450900A CN109450900A CN201811336007.5A CN201811336007A CN109450900A CN 109450900 A CN109450900 A CN 109450900A CN 201811336007 A CN201811336007 A CN 201811336007A CN 109450900 A CN109450900 A CN 109450900A
- Authority
- CN
- China
- Prior art keywords
- message
- queue
- line
- sub
- default
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种拟态判决方法、装置及系统;其中,该方法应用于与异构多核处理器连接的芯片;该方法包括:接收预设的主处理器发送的当前报文;根据预先建立的默认字段查找表及子域提取表,对当前报文进行解析,得到通讯协议和多个子行为操作;根据多个子行为操作位于预设的行为操作中的顺序,将当前报文设置于预先建立的第一排序队列中;根据通讯协议及多个子行为操作之间的排序,将子行为操作设置于预先建立的第一归并队列;根据第一排序队列与预设归并队列,对第一排序队列中的报文进行拟态判决。本发明提升了拟态判决的有效性,从而提高了网络空间的安全性。
Description
技术领域
本发明涉及网络空间安全防护技术领域,尤其是涉及一种拟态判决方法、装置及系统。
背景技术
随着网络技术的不断发展,网络空间安全的重要性愈发凸显。采用异构多核处理器产生异构功能等价体,当其中一个处理器遭受攻击时,可以采用其他处理器输出的报文,从而提高了网络空间的安全性。异构多核处理器同时进行运算得出结果,或者在多线程下执行路由表项配置等操作,由于每个处理器的速度不一,线程调度方式不同,对连续操作的任务切分量不同,对异构功能等价体进行拟态判别的难度较大。现多采用基于FPGA(Field-Programmable Gate Array,现场可编程门阵列)或ASIC(Application SpecificIntegrated Circuit,特定用途集成电路)芯片的数据特征提取后直接比对的方法或者采用乱序比对的方法,然而针对对于数据流内部存在相关性的数据,并且一次猝发的数据大小差异很大的数据,采用这些方法进行拟态判别的有效性较差,导致网络空间的安全性较低。
发明内容
有鉴于此,本发明的目的在于提供一种拟态判决方法、装置及系统,以提升拟态判决的有效性,从而提高网络空间的安全性。
第一方面,本发明实施例提供了一种拟态判决方法,该方法应用于与异构多核处理器连接的芯片,该异构多核处理器包括与上述芯片分别连接的主处理器,以及与主处理器并列的多个从处理器;该方法包括:接收预设的主处理器发送的当前报文;当前报文中包括当前报文的通讯协议和多个子行为操作;根据预先建立的默认字段查找表及子域提取表,对当前报文进行解析,得到通讯协议和多个子行为操作;根据多个子行为操作位于预设的行为操作中的顺序,将当前报文设置于预先建立的第一排序队列中;其中,预设的行为操作包括指定数量的具有指定顺序的子行为操作;第一排序队列中还包含有预设报文;预设报文的子行为操作与当前报文的子行为操作同属于同一行为操作类型;预设报文的接收顺序在当前报文之前,且预设报文未被上述芯片转发;根据通讯协议及多个子行为操作之间的排序,将子行为操作设置于预先建立的第一归并队列;其中,第一归并队列中还包含有预设报文中的子行为操作;根据第一排序队列与预设归并队列,对第一排序队列中的报文进行拟态判决;该预设归并队列为异构多核处理器系统中除主处理器以外的从处理器发送的报文组成的归并队列。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,上述根据预先建立的默认字段查找表及子域提取表,对当前报文进行解析,得到通讯协议、多个子行为操作的步骤,包括:在当前报文中依次查找默认字段查找表中各个通讯协议的行为关键词,确定当前报文的通讯协议对应的当前行为关键词;根据当前行为关键词及子域提取表,确定当前报文中的子行为操作及子行为操作位于预设的行为操作中的顺序对应的操作数。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第二种可能的实施方式,其中,上述根据多个子行为操作位于预设的行为操作中的顺序,将当前报文设置于预先建立的第一排序队列中的步骤,包括:根据当前行为关键词及操作数,生成行为特征向量;根据行为特征向量,将当前报文设置于预先建立的第一排序队列中。
结合第一方面的第二种可能的实施方式,本发明实施例提供了第一方面的第三种可能的实施方式,其中,上述根据通讯协议及多个子行为操作之间的排序,将子行为操作设置于预先建立的第一归并队列的步骤,包括:判断行为特征向量与第一归并队列的预设行为特征向量是否相同;预设行为向量为第一归并队列内的报文的行为特征向量;如果相同,将子行为按照操作数设置于第一归并队列中;将操作数连续的子行为归并到同一报文中。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,上述根据第一排序队列与预设归并队列,对第一排序队列中的报文进行拟态判决的步骤,包括:判断第一排序队列的队首报文的子行为操作是否包含在预设归并队列的队首报文中;如果包含,根据第一排序队列的队首报文的子行为操作及预设归并队列的队首报文,确定第一排序队列的第一个报文的拟态判决结果。
结合第一方面的第四种可能的实施方式,本发明实施例提供了第一方面的第五种可能的实施方式,其中,上述根据第一排序队列的队首报文的子行为操作及预设归并队列的队首报文,确定第一排序队列的第一个报文是否正确的步骤,包含:从预设归并队列中查找包含第一排序队列的队首报文的子行为操作的最短报文;将最短报文中不属于第一排序队列的队首报文的子行为操作的部分去除,生成拟态判决从属报文;将第一排序队列的第一个报文的子行为操作与拟态判决从属报文的子行为操作逐拍比对;当第一排序队列的第一个报文的子行为操作与拟态判决从属报文的子行为操作完全相同时,确定第一排序队列的第一个报文的拟态判决结果为正确。
结合第一方面的第六种可能的实施方式,本发明实施例提供了第一方面的第七种可能的实施方式,其中,上述异构多核处理器还包括业务处理器;上述芯片还与业务处理器连接;上述方法还包括:将当前报文设置于预先建立的原始队列的队尾;原始队列中还包含预设报文;当原始队列的队首报文已经被拟态判决,且判决结果为正确时,将原始队列的队首报文转发至预设目的地址对应的业务芯片。
第二方面,本发明实施例还提供一种拟态判决装置,其特征在于,该装置设置于与异构多核处理器连接的芯片,异构多核处理器包括与上述芯片分别连接的主处理器,以及与主处理器并列的多个从处理器;该装置包括:报文接收模块,用于接收预设的主处理器发送的当前报文;当前报文中包括当前报文的通讯协议和多个子行为操作;报文解析模块,用于根据预先建立的默认字段查找表及子域提取表,对当前报文进行解析,得到通讯协议和多个子行为操作;排序模块,用于根据多个子行为操作位于预设的行为操作中的顺序,将当前报文设置于预先建立的第一排序队列中;其中,预设的行为操作包括指定数量的具有指定顺序的子行为操作;第一排序队列中还包含有预设报文;预设报文的子行为操作与当前报文的子行为操作同属于同一行为操作类型;预设报文的接收顺序在当前报文之前,且预设报文未被上述芯片转发;归并模块,用于根据通讯协议及多个子行为操作之间的排序,将子行为操作设置于预先建立的第一归并队列;其中,第一归并队列中还包含有预设报文中的子行为操作;判决模块,用于根据第一排序队列与预设归并队列,对第一排序队列中的报文进行拟态判决;预设归并队列为异构多核处理器系统中除主处理器以外的从处理器发送的报文组成的归并队列。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,上述报文解析模块还用于:在当前报文中依次查找默认字段查找表中各个通讯协议的行为关键词,确定当前报文的通讯协议对应的当前行为关键词;根据当前行为关键词及子域提取表,确定当前报文中的子行为操作及子行为操作位于预设的行为操作中的顺序对应的操作数。
第三方面,本发明实施例还提供一种拟态判决系统,包括异构多核处理器及芯片;上述装置设置于该芯片。
本发明实施例带来了以下有益效果:
本发明实施例提供了一种拟态判决方法、装置及系统;接收预设的主处理器发送的当前报文后,根据预先建立的默认字段查找表及子域提取表,对当前报文进行解析,从而得到通讯协议和多个子行为操作;根据多个子行为操作位于预设的行为操作中的顺序,将当前报文设置于预先建立的第一排序队列中;根据通讯协议及多个子行为操作之间的排序,将子行为操作设置于预先建立的第一归并队列;继而根据第一排序队列与预设归并队列,对第一排序队列中的报文进行拟态判决;该方式提升了拟态判决的有效性,从而提高了网络空间的安全性。
本发明的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本发明的上述技术即可得知。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于硬件实现的多数据源数据比对方法的流程图;
图2为本发明实施例提供的一种拟态判决方法的方法流程图;
图3为本发明实施例提供的另一种拟态判决方法的方法流程图;
图4为本发明实施例提供的一种基于行为分析的拟态判决实现方法的流程框图;
图5为本发明实施例提供的一种基于行为分析的拟态判决实现方法的流程图;
图6为本发明实施例提供的一种拟态判决装置的结构示意图;
图7为本发明实施例提供的一种拟态判决系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,在对异构功能等价体的拟态判决的过程中,多采用基于硬件实现的多数据源数据比对方法;上述方法对于简单数据流之间的数据比对,经过理论和实践证明是有效的。该方法的流程图如图1所示,具体如下:将数据进行缓存并对每个数据提取唯一的数据特征,这些数据特征还会从中提取更小的数据特征(HASH,哈希运算),将此数据特征(HASH运算后结果)作为数据存储地址对原数据进行存储。在进行数据比对时,查找对应存储地址相同的数据特征进行比对;此外,对于非相关数据,并且每次接收数据的大小不大于数据判决判决位宽,基于目前方法的判决是合适的。
然而,在异构多核处理背景下,多个处理器同时进行运算得出结果,或者在多线程下进行路由表项配置等操作,由于每个处理器的速度不一,线程调度方式不同,对连续操作的任务切分量不同,到达FPGA或ASIC芯片的数据不仅是乱序的,而且每次接收的操作命令和数据量是不同的。对于数据流内部存在相关性的数据,并且一次猝发的数据大小差异很大的数据,目前这些方法无法保证比对的有效性,从而拟态判决的有效性较低。基于此,本发明实施例提供了一种拟态判决方法、装置以及系统,可以应用于网络安全的防护领域。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种拟态判决方法进行详细介绍。
参见图2所示的一种拟态判决方法的方法流程图,该方法应用于与异构多核处理器连接的芯片,该异构多核处理器包括与上述芯片分别连接的主处理器,以及与主处理器并列的多个从处理器;该方法包括以下步骤:
步骤S100,接收预设的主处理器发送的当前报文;当前报文中包括当前报文的通讯协议和多个子行为操作。
上述当前报文可以为协议包;协议包由通讯协议及待发送的数据构成;该待发送的数据可以为一个行为操作被切分成的子行为操作的一部分;如当行为操作为路由表项配置时,可能包含50个有固定顺序的子行为操作,操作顺序为0~49,对应的操作数为0~49;根据主处理器的线程调度方式、对连续操作的任务切分量等因素,一个协议包中可能包含若干个完整的子行为操作,子行为的操作范围应是连续的,如果该范围不连续应拆分成操作范围连续的若干个报文,再进行下一步处理;上述通讯协议可以为AXI(AdvancedeXtensible Interface,先进可拓展接口)协议,RS-232-C协议等;通讯协议具有相应的关键字段及格式,子行为操作按照其格式与通讯协议组合在一起,形成协议包。
步骤S102,根据预先建立的默认字段查找表及子域提取表,对当前报文进行解析,得到通讯协议和多个子行为操作。
可以在当前报文中查找默认字段查找表中记录的行为关键词,确定当前报文所用的通讯协议;然后根据子域提取表获取子行为操作所在的位置及表达形式,将子行为操作提取出来。
步骤S104,根据多个子行为操作位于预设的行为操作中的顺序,将当前报文设置于预先建立的第一排序队列中;其中,预设的行为操作包括指定数量的具有指定顺序的子行为操作;第一排序队列中还包含有预设报文;预设报文的子行为操作与当前报文的子行为操作同属于同一行为操作类型;预设报文的接收顺序在当前报文之前,且预设报文未被上述芯片转发;具体地,该顺序信息可以包含在子行为操作的数据中,可以通过子域提取表将该顺序对应的操作数提取出来;将当前报文的操作数范围与第一排序队列中的报文的操作数范围进行比较,从而将当前报文排列在恰当的位置。
步骤S106,根据通讯协议及多个子行为操作之间的排序,将子行为操作设置于预先建立的第一归并队列;其中,第一归并队列中还包含有预设报文中的子行为操作。
实际中,在进行归并操作时,需要判断当前报文的子行为操作是否与预先建立的第一归并队列内的子行为操作同属于一个行为操作;判断依据可以为子行为操作的一些特征;在子行为操作的数据中可以提取作为判断依据的特征;在归并操作的过程中,操作对象可以为各个子行为操作,将在行为操作中顺序相邻的子行为操作合并在一个报文中,设置在第一归并队列中。
步骤S108,根据第一排序队列与预设归并队列,对第一排序队列中的报文进行拟态判决;该预设归并队列为异构多核处理器系统中除主处理器以外的从处理器发送的报文组成的归并队列。
在进行拟态判决的过程中,可以从第一排序队列队首的报文开始,依次判决;此外,只有当预设归并队列,即其他从处理器中的归并队列,包含了主处理器的排序队列队首的报文的时候,才能将该第一排序队列的队首报文子行为操作与预设归并队列中的对应的子行为操作比对,实现拟态判决;当第一排序队列的队首报文子行为操作与预设归并队列中的对应的子行为操作完全相同的时候,判断队首报文为正确;当有所不同的时候,判断队首报文为不正确,拟态判决结束。
本发明实施例提供了一种拟态判决方法;接收预设的主处理器发送的当前报文后,根据预先建立的默认字段查找表及子域提取表,对当前报文进行解析,从而得到通讯协议和多个子行为操作;根据多个子行为操作位于预设的行为操作中的顺序,将当前报文设置于预先建立的第一排序队列中;根据通讯协议及多个子行为操作之间的排序,将子行为操作设置于预先建立的第一归并队列;继而根据第一排序队列与预设归并队列,对第一排序队列中的报文进行拟态判决;该方法提升了拟态判决的有效性,从而提高了网络空间的安全性。
本发明实施例还提供了另一种拟态判决方法,该方法在图2所示的方法的基础上实现,其流程图如图3所示,包括以下步骤:
步骤S200,接收预设的主处理器发送的当前报文。
步骤S202,在当前报文中依次查找默认字段查找表中各个通讯协议的行为关键词,确定当前报文的通讯协议对应的当前行为关键词;具体地,上述默认字段查找表为预先存储在芯片中的,包含可能用到的通讯协议的行为关键词;通过在当前报文中查找依次查找默认字段查找表中各个通讯协议的行为关键词,可以确定当前报文中采用的通讯协议;当前报文中的通许协议可以为一个或多个;多个通讯协议与子行为操作嵌套在一起。
步骤S204,根据当前行为关键词及子域提取表,确定当前报文中的子行为操作及子行为操作位于预设的行为操作中的顺序对应的操作数;具体地,确定了当前报文中采用的通讯协议后,可以根据该通讯协议对应的子域提取表部分,确定子行为操作的位置及形式,从而在将子行为操作及子行为操作位于预设的行为操作中的顺序对应的操作数在当前报文中提取出来。
步骤S206,根据当前行为关键词及操作数,生成行为特征向量;
步骤S208,根据行为特征向量,将当前报文设置于预先建立的第一排序队列中;上述行为特征向量在生成的过程中,同时生成了行为标号;行为标号与当前报文包含的子行为操作的范围有关;根据该行为标号,将当前报文设置于第一排序队列中包含的子行为操作顺序先于当前报文包含的子操作范围的预设报文的位置之后;实际上,第一排序队列通过上述过程建立,因此在该队列中的报文按照其内部包含的子行为操作在总的行为操作中的的先后顺序排列。
步骤S210,判断行为特征向量与第一归并队列的预设行为特征向量是否相同;预设行为向量为第一归并队列内的报文的行为特征向量;具体地,当当前报文的行为特征向量与第一归并队列的预设行为特征向量相同时,既可以判断当前报文中的子行为操作与第一归并队列中的子行为操作同属于一个行为操作。
步骤S212,如果相同,将子行为按照操作数设置于第一归并队列中,将操作数连续的子行为归并到同一报文中;具体地,将子行为操作按照操作数从小到大排列在第一归并队列中,并将该第一归并队列中操作数连续的。
步骤S216,判断第一排序队列的队首报文的子行为操作是否包含在预设归并队列的队首报文中;具体地,当第一排序队列的队首报文的子行为操作都包含在预设归并队列的队首报文中,在拟态判决过程中,才能将第一排序队列的队首报文完整地判决。
步骤S218,如果包含,根据第一排序队列的队首报文的子行为操作及预设归并队列的队首报文,确定第一排序队列的第一个报文的拟态判决结果。
具体地,上述步骤S218可以通过以下方式实现:
(1)从预设归并队列中查找包含第一排序队列的队首报文的子行为操作的最短报文;
(2)将最短报文中不属于第一排序队列的队首报文的子行为操作的部分去除,生成拟态判决从属报文;
(3)将第一排序队列的第一个报文的子行为操作与拟态判决从属报文的子行为操作逐拍比对;
(4)当第一排序队列的第一个报文的子行为操作与拟态判决从属报文的子行为操作完全相同时,确定第一排序队列的第一个报文的拟态判决结果为正确。
进一步地,上述异构多核处理器还包括业务处理器;上述芯片还与业务处理器连接;在接收到当前报文后,将当前报文设置于预先建立的原始队列的队尾;原始队列中还包含预设报文;当原始队列的队首报文已经被拟态判决,且判决结果为正确时,将原始队列的队首报文转发至预设目的地址对应的业务芯片。此外,当原始队列的队首报文被转发出去后,对应的排序队列及归并队列的相应报文也被除去。
该方式通过对子行为操作提取、排序及归并,实现了具有依赖关系的数据包的拟态判决;该方法提升了拟态判决的有效性,从而提高了网络空间的安全性。
本发明实施例还提供了一种基于行为分析的拟态判决实现方法(也称为自适应拟态判决);该方法用于解决协议动态变化且数据动态变化的场景下,多判决通道间的数据流比对。
该方法的流程框图如图4所示,该方法主要通过以下模块实现:CPU配置,行为相关字段提取模块,排序模块,缓存管理模块,切分器模块,拟态判决模块和传输控制模块;其中,上述CPU配置由寄存器配置,默认字段提取表,子域提取表组成;行为相关字段提取模块实现行为KEY(关键词)生成,并通过子域查表选取后得到相关域段,用于后续处理;排序模块依据行为域等生成的排序码,对输入行为操作流进行排序;缓存管理模块用于维护主队列和从队列,每个队列分别包含三个子队列:原始队列、排序队列,归并队列。原始队列用于原始数据缓存和输出,排序队列用于拟态判决,归并队列用于辅助拟态判决和数据切分;顺序拟态判决用于将顺序数据对齐后一一比对;传输控制用于依据拟态判决结果将数据依据原始顺序输出到后继处理。
上述提到的主队列/从队列是指原始队列、排序队列和归并组成的队列簇,每种队列又包含基于子行为分解的子行为队列。主队列还是从队列取决于当前拟态判决的主通道(可信通道)是哪一个。
该方法的流程图如图5所示,包括以下步骤:
步骤1:数据输入:可以采用axi_stream(一种通讯协议的数据流)接口时序方式发送和接收;每个Axi_stream包应包含完整的子行为操作,子行为的操作范围应是连续的,如果不连续应拆分成操作范围连续的若干段axis包,再输入给自适应拟态判决系统;同时原始数据会组织到原始队列中。
步骤2:CPU需要配置默认配置寄存器(包含配置生存期),行为KEY提取表项;当报文进入判决子系统时,首先查看默认配置寄存器是否有效,如果有效且在配置生存期内则提取对应的报文字段,如果接下来在查子域提取表时没有找到表项,则设置默认配置寄存器无效;其次,顺次查找(带优先级的)默认字段提取表,并查子域提取表,如果找到表项则说明行为KEY提取成功,如果查子域提取表,没有找到表项则查找默认字段提取表下一项,并循环查表,直到找到正确的行为KEY,并提取子域提取信息。
步骤3:通过查找子域提取表,可以在子行为操作中分别得到子行为域,操作数域,数据域,和可选的通用判决域;行为KEY,子行为域,操作数域这三个经过简单处理得到行为特征向量,此向量加上顺序的行为标号构成排序的唯一依据。
步骤4:依据子域提取表,得到操作数;具体地,默认情况下进行范围上界计算(下界+(长度<<步长))。可定义若干运算,但只能支持线性运算(数据依赖是线性的,即存在最小元操作,每个子行为操作可分解成其整数次元操作)。
步骤5:行为排序;具体地,在行为特征向量提取后,对相应的队列进行排序,以利于简化数据乱序判决和范围等计算;排序好的队列会组织到排序队列中。
步骤6:归并相邻子行为;具体地,还要对排序队列进行操作运算相关的归并操作,会将操作数域连续的操作归并到一起,这些重新组织的队列构成归并队列。
步骤7:主队列判决完整性检查;具体地,主要进行主排序队列头子行为操作范围与从归并队列头范围比较,如果包含在其中,则提取主排序队列头子行为队列输入拟态判决。
步骤8:队列判决切分;具体地,从归并队列找到最小包含主排序队列头子行为操作范围的队列组,去除多余部分加入拟态判决从输入队列。
步骤9:拟态判决;具体地,采用顺序判决,只需对齐数据去除控制数据,然后逐拍比对即可。判决结果写入错误统计寄存器。
步骤10:原始队列发送;具体地,拟态判决完成后会得到可以发送的子行为队列,原始队列头子行为队列如果已经被判决,则立即发送数据。
步骤11:拟态判决完成后,主排序队列头更新,并将行为簇队列加入主归并队列;从排序队列头检查范围包含关系(相对于主归并队列),包含则更新从队列头。
此外,上述操作步骤均采用流水进行。
该方法基于行为提取、行为分析、行为判决,可以实现对包含协议自定义的乱序且长短不定的数据包,数据包之间存在线性依赖关系的不定输入数据集的拟态判决,并且拟态判决后数据包还能够按照原始顺序输出,提高了拟态判决的准确性,有利于网络安全的维护。
对应于上述实施例,本发明实施例还提供一种拟态判决装置,该装置设置于与异构多核处理器连接的芯片,异构多核处理器包括与上述芯片分别连接的主处理器,以及与主处理器并列的多个从处理器;该装置的结构示意图如图6所示,该装置包括:报文接收模块600,用于接收预设的主处理器发送的当前报文;当前报文中包括当前报文的通讯协议和多个子行为操作;报文解析模块602,用于根据预先建立的默认字段查找表及子域提取表,对当前报文进行解析,得到通讯协议和多个子行为操作;排序模块604,用于根据多个子行为操作位于预设的行为操作中的顺序,将当前报文设置于预先建立的第一排序队列中;其中,预设的行为操作包括指定数量的具有指定顺序的子行为操作;第一排序队列中还包含有预设报文;预设报文的子行为操作与当前报文的子行为操作同属于同一行为操作类型;预设报文的接收顺序在当前报文之前,且预设报文未被上述芯片转发;归并模块606,用于根据通讯协议及多个子行为操作之间的排序,将子行为操作设置于预先建立的第一归并队列;其中,第一归并队列中还包含有预设报文中的子行为操作;判决模块608,用于根据第一排序队列与预设归并队列,对第一排序队列中的报文进行拟态判决;预设归并队列为异构多核处理器系统中除主处理器以外的从处理器发送的报文组成的归并队列。
具体地,上述报文解析模块还用于:在当前报文中依次查找默认字段查找表中各个通讯协议的行为关键词,确定当前报文的通讯协议对应的当前行为关键词;根据当前行为关键词及子域提取表,确定当前报文中的子行为操作及子行为操作位于预设的行为操作中的顺序对应的操作数。
本发明实施例提供的拟态判决装置,与上述实施例提供的拟态判决方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
对应于上述实施例,本发明实施例还提供一种拟态判决系统,其结构示意图如图7所示,包括异构多核处理器70及芯片71;上述装置设置于该芯片。
本发明实施例所提供的拟态判决方法、装置以及系统的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和/或装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种拟态判决方法,其特征在于,所述方法应用于与异构多核处理器连接的芯片,所述异构多核处理器包括与所述芯片分别连接的主处理器,以及与所述主处理器并列的多个从处理器;所述方法包括:
接收预设的主处理器发送的当前报文;所述当前报文中包括所述当前报文的通讯协议和多个子行为操作;
根据预先建立的默认字段查找表及子域提取表,对所述当前报文进行解析,得到所述通讯协议和多个所述子行为操作;
根据多个所述子行为操作位于预设的行为操作中的顺序,将所述当前报文设置于预先建立的第一排序队列中;其中,预设的行为操作包括指定数量的具有指定顺序的子行为操作;所述第一排序队列中还包含有预设报文;所述预设报文的子行为操作与所述当前报文的子行为操作同属于同一行为操作类型;所述预设报文的接收顺序在所述当前报文之前,且所述预设报文未被所述芯片转发;
根据所述通讯协议及多个所述子行为操作之间的排序,将所述子行为操作设置于预先建立的第一归并队列;其中,所述第一归并队列中还包含有所述预设报文中的子行为操作;
根据所述第一排序队列与预设归并队列,对所述第一排序队列中的报文进行拟态判决;所述预设归并队列为所述异构多核处理器系统中除所述主处理器以外的从处理器发送的报文组成的归并队列。
2.根据权利要求1所述的方法,其特征在于,所述根据预先建立的默认字段查找表及子域提取表,对所述当前报文进行解析,得到所述通讯协议、多个所述子行为操作的步骤,包括:
在所述当前报文中依次查找所述默认字段查找表中各个通讯协议的行为关键词,确定所述当前报文的通讯协议对应的当前行为关键词;
根据所述当前行为关键词及所述子域提取表,确定所述当前报文中的子行为操作及所述子行为操作位于预设的行为操作中的顺序对应的操作数。
3.根据权利要求2所述的方法,其特征在于,所述根据多个所述子行为操作位于预设的行为操作中的顺序,将所述当前报文设置于预先建立的第一排序队列中的步骤,包括:
根据所述当前行为关键词及所述操作数,生成行为特征向量;
根据所述行为特征向量,将所述当前报文设置于预先建立的第一排序队列中。
4.根据权利要求3所述的方法,其特征在于,所述根据所述通讯协议及多个所述子行为操作之间的排序,将所述子行为操作设置于预先建立的第一归并队列的步骤,包括:
判断所述行为特征向量与第一归并队列的预设行为特征向量是否相同;所述预设行为向量为所述第一归并队列内的报文的行为特征向量;
如果相同,将所述子行为按照所述操作数设置于所述第一归并队列中;
将所述操作数连续的所述子行为归并到同一报文中。
5.根据权利要求1所述的方法,其特征在于,所述根据所述第一排序队列与预设归并队列,对所述第一排序队列中的报文进行拟态判决的步骤,包括:
判断所述第一排序队列的队首报文的子行为操作是否包含在所述预设归并队列的队首报文中;
如果包含,根据所述第一排序队列的队首报文的子行为操作及所述预设归并队列的队首报文,确定所述第一排序队列的第一个报文的拟态判决结果。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一排序队列的队首报文的子行为操作及所述预设归并队列的队首报文,确定所述第一排序队列的第一个报文是否正确的步骤,包含:
从所述预设归并队列中查找包含所述第一排序队列的队首报文的子行为操作的最短报文;
将所述最短报文中不属于所述第一排序队列的队首报文的子行为操作的部分去除,生成拟态判决从属报文;
将所述第一排序队列的第一个报文的子行为操作与所述拟态判决从属报文的子行为操作逐拍比对;
当所述第一排序队列的第一个报文的子行为操作与所述拟态判决从属报文的子行为操作完全相同时,确定所述第一排序队列的第一个报文的拟态判决结果为正确。
7.根据权利要求6所述的方法,其特征在于,所述异构多核处理器还包括业务处理器;所述芯片还与所述业务处理器连接;
所述方法还包括:
将当前报文设置于预先建立的原始队列的队尾;所述原始队列中还包含所述预设报文;
当所述原始队列的队首报文已经被拟态判决,且判决结果为正确时,将所述原始队列的队首报文转发至预设目的地址对应的业务芯片。
8.一种拟态判决装置,其特征在于,所述装置设置于与异构多核处理器连接的芯片,所述异构多核处理器包括与所述芯片分别连接的主处理器,以及与所述主处理器并列的多个从处理器;所述装置包括:
报文接收模块,用于接收预设的主处理器发送的当前报文;所述当前报文中包括所述当前报文的通讯协议和多个子行为操作;
报文解析模块,用于根据预先建立的默认字段查找表及子域提取表,对所述当前报文进行解析,得到所述通讯协议和多个所述子行为操作;
排序模块,用于根据多个所述子行为操作位于预设的行为操作中的顺序,将所述当前报文设置于预先建立的第一排序队列中;其中,预设的行为操作包括指定数量的具有指定顺序的子行为操作;所述第一排序队列中还包含有预设报文;所述预设报文的子行为操作与所述当前报文的子行为操作同属于同一行为操作类型;所述预设报文的接收顺序在所述当前报文之前,且所述预设报文未被所述芯片转发;
归并模块,用于根据所述通讯协议及多个所述子行为操作之间的排序,将所述子行为操作设置于预先建立的第一归并队列;其中,所述第一归并队列中还包含有所述预设报文中的子行为操作;
判决模块,用于根据所述第一排序队列与预设归并队列,对所述第一排序队列中的报文进行拟态判决;所述预设归并队列为所述异构多核处理器系统中除所述主处理器以外的从处理器发送的报文组成的归并队列。
9.根据权利要求8所述的装置,其特征在于,所述报文解析模块还用于:
在所述当前报文中依次查找所述默认字段查找表中各个通讯协议的行为关键词,确定所述当前报文的通讯协议对应的当前行为关键词;
根据所述当前行为关键词及所述子域提取表,确定所述当前报文中的子行为操作及所述子行为操作位于预设的行为操作中的顺序对应的操作数。
10.一种拟态判决系统,其特征在于,包括异构多核处理器及芯片;权利要求8或9所述的装置设置于所述芯片。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811336007.5A CN109450900B (zh) | 2018-11-09 | 2018-11-09 | 拟态判决方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811336007.5A CN109450900B (zh) | 2018-11-09 | 2018-11-09 | 拟态判决方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109450900A true CN109450900A (zh) | 2019-03-08 |
CN109450900B CN109450900B (zh) | 2020-12-01 |
Family
ID=65551231
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811336007.5A Active CN109450900B (zh) | 2018-11-09 | 2018-11-09 | 拟态判决方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109450900B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110177046A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 |
CN110535843A (zh) * | 2019-08-20 | 2019-12-03 | 之江实验室 | 一种拟态裁决参数消息同步的装置和方法 |
CN110535842A (zh) * | 2019-08-20 | 2019-12-03 | 之江实验室 | 一种基于抽样检测的拟态安全系统和方法 |
CN110557437A (zh) * | 2019-08-05 | 2019-12-10 | 上海拟态数据技术有限公司 | 基于自定义协议的普适性拟态分发表决调度装置及方法 |
CN110650020A (zh) * | 2019-09-25 | 2020-01-03 | 天津市滨海新区信息技术创新中心 | 拟态模糊判决方法、装置及系统 |
CN110995651A (zh) * | 2019-10-31 | 2020-04-10 | 浙江工商大学 | 一种对异构执行体池可靠性进行判决的方法 |
CN111030998A (zh) * | 2019-11-15 | 2020-04-17 | 中国人民解放军战略支援部队信息工程大学 | 一种可配置的协议解析方法及系统 |
CN111782415A (zh) * | 2020-06-04 | 2020-10-16 | 河南信大网御科技有限公司 | 一种裁决策略、裁决器、可读存储介质和拟态防御架构 |
CN112242924A (zh) * | 2020-09-29 | 2021-01-19 | 中国人民解放军战略支援部队信息工程大学 | 一种主备模式的拟态括号实现装置及方法 |
CN114301810A (zh) * | 2021-03-29 | 2022-04-08 | 井芯微电子技术(天津)有限公司 | 数据特征计算一致性的实现方法、装置、设备及存储介质 |
CN115658983A (zh) * | 2022-12-13 | 2023-01-31 | 井芯微电子技术(天津)有限公司 | 一种判决验证的方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102193826A (zh) * | 2011-05-24 | 2011-09-21 | 哈尔滨工程大学 | 一种异构多核处理器高效任务调度方法 |
CN105791279A (zh) * | 2016-02-29 | 2016-07-20 | 中国人民解放军信息工程大学 | 一种拟态化sdn控制器构建方法 |
CN107346272A (zh) * | 2017-06-01 | 2017-11-14 | 上海红阵信息科技有限公司 | 动态异构冗余系统的确定方法和装置 |
CN107360149A (zh) * | 2017-07-05 | 2017-11-17 | 中国人民解放军信息工程大学 | 一种基于输出子集权重分配的拟态判决方法及装置 |
CN107360135A (zh) * | 2017-06-09 | 2017-11-17 | 中国人民解放军信息工程大学 | 拟态化网络操作系统、构建装置及方法 |
-
2018
- 2018-11-09 CN CN201811336007.5A patent/CN109450900B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102193826A (zh) * | 2011-05-24 | 2011-09-21 | 哈尔滨工程大学 | 一种异构多核处理器高效任务调度方法 |
CN105791279A (zh) * | 2016-02-29 | 2016-07-20 | 中国人民解放军信息工程大学 | 一种拟态化sdn控制器构建方法 |
CN107346272A (zh) * | 2017-06-01 | 2017-11-14 | 上海红阵信息科技有限公司 | 动态异构冗余系统的确定方法和装置 |
CN107360135A (zh) * | 2017-06-09 | 2017-11-17 | 中国人民解放军信息工程大学 | 拟态化网络操作系统、构建装置及方法 |
CN107360149A (zh) * | 2017-07-05 | 2017-11-17 | 中国人民解放军信息工程大学 | 一种基于输出子集权重分配的拟态判决方法及装置 |
Non-Patent Citations (1)
Title |
---|
Z.LIN,K.LI,H.HOU,X.YANG AND H.LI: "《MDFS:A mimic defense theory based architecture for distributed file system》", 《2017 IEEE INTERNATIONAL CONFERENCE ON BIG DATA》 * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110177046A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 |
CN110557437A (zh) * | 2019-08-05 | 2019-12-10 | 上海拟态数据技术有限公司 | 基于自定义协议的普适性拟态分发表决调度装置及方法 |
CN110557437B (zh) * | 2019-08-05 | 2021-11-19 | 上海拟态数据技术有限公司 | 基于自定义协议的普适性拟态分发表决调度装置及方法 |
CN110535843A (zh) * | 2019-08-20 | 2019-12-03 | 之江实验室 | 一种拟态裁决参数消息同步的装置和方法 |
CN110535842A (zh) * | 2019-08-20 | 2019-12-03 | 之江实验室 | 一种基于抽样检测的拟态安全系统和方法 |
CN110535843B (zh) * | 2019-08-20 | 2022-03-22 | 之江实验室 | 一种拟态裁决参数消息同步的装置和方法 |
CN110650020A (zh) * | 2019-09-25 | 2020-01-03 | 天津市滨海新区信息技术创新中心 | 拟态模糊判决方法、装置及系统 |
CN110650020B (zh) * | 2019-09-25 | 2022-05-10 | 天津市滨海新区信息技术创新中心 | 拟态模糊判决方法、装置及系统 |
CN110995651B (zh) * | 2019-10-31 | 2021-10-15 | 浙江工商大学 | 一种对异构执行体池可靠性进行判决的方法 |
CN110995651A (zh) * | 2019-10-31 | 2020-04-10 | 浙江工商大学 | 一种对异构执行体池可靠性进行判决的方法 |
CN111030998A (zh) * | 2019-11-15 | 2020-04-17 | 中国人民解放军战略支援部队信息工程大学 | 一种可配置的协议解析方法及系统 |
CN111782415A (zh) * | 2020-06-04 | 2020-10-16 | 河南信大网御科技有限公司 | 一种裁决策略、裁决器、可读存储介质和拟态防御架构 |
CN111782415B (zh) * | 2020-06-04 | 2023-08-04 | 河南信大网御科技有限公司 | 一种裁决方法、裁决器、可读存储介质和拟态防御系统 |
CN112242924A (zh) * | 2020-09-29 | 2021-01-19 | 中国人民解放军战略支援部队信息工程大学 | 一种主备模式的拟态括号实现装置及方法 |
CN112242924B (zh) * | 2020-09-29 | 2022-06-03 | 中国人民解放军战略支援部队信息工程大学 | 一种主备模式的拟态括号实现装置及方法 |
CN114301810A (zh) * | 2021-03-29 | 2022-04-08 | 井芯微电子技术(天津)有限公司 | 数据特征计算一致性的实现方法、装置、设备及存储介质 |
CN115658983A (zh) * | 2022-12-13 | 2023-01-31 | 井芯微电子技术(天津)有限公司 | 一种判决验证的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109450900B (zh) | 2020-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109450900A (zh) | 拟态判决方法、装置及系统 | |
CN109445834B (zh) | 基于抽象语法树的程序代码相似性快速比较方法 | |
CN106709345B (zh) | 基于深度学习方法推断恶意代码规则的方法、系统及设备 | |
CN102647414B (zh) | 协议解析方法、设备及系统 | |
Fan et al. | Answering graph pattern queries using views | |
CN106250319B (zh) | 静态代码扫描结果处理方法和装置 | |
CN111869176B (zh) | 用于恶意软件签名生成的系统和方法 | |
US11093534B2 (en) | System and method for keyword searching using both static and dynamic dictionaries | |
Khan et al. | Cuttlefish: fast, parallel and low-memory compaction of de Bruijn graphs from large-scale genome collections | |
CN101442540A (zh) | 基于现场可编程门阵列的高速模式匹配算法 | |
CN111339248A (zh) | 数据属性填充方法、装置、设备及计算机可读存储介质 | |
CN116756327B (zh) | 基于知识推断的威胁情报关系抽取方法、装置和电子设备 | |
CN113672628A (zh) | 数据血缘分析方法、终端设备及介质 | |
CN112528013A (zh) | 文本摘要提取方法、装置、电子设备及存储介质 | |
CN107977504A (zh) | 一种非对称堆芯燃料管理计算方法、装置及终端设备 | |
CN116149669A (zh) | 一种基于二进制文件的软件成分分析方法、装置以及介质 | |
CN105630797A (zh) | 数据处理方法及系统 | |
CN105468975A (zh) | 恶意代码误报的追踪方法、装置及系统 | |
Zhang et al. | Permission set mining: Discovering practical and useful roles | |
CN109889471B (zh) | 结构化查询语句sql注入检测方法和系统 | |
CN112783989A (zh) | 一种基于区块链的数据处理方法及装置 | |
CN110765276A (zh) | 知识图谱中的实体对齐方法及装置 | |
CN112989731B (zh) | 一种基于抽象语法树的集成电路建模获取方法及系统 | |
Li et al. | A single-scan algorithm for mining sequential patterns from data streams | |
CN112597752B (zh) | 投诉文本的处理方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |