CN109936517B - 拟态防御中的自适应动态流量分配方法 - Google Patents
拟态防御中的自适应动态流量分配方法 Download PDFInfo
- Publication number
- CN109936517B CN109936517B CN201811559348.9A CN201811559348A CN109936517B CN 109936517 B CN109936517 B CN 109936517B CN 201811559348 A CN201811559348 A CN 201811559348A CN 109936517 B CN109936517 B CN 109936517B
- Authority
- CN
- China
- Prior art keywords
- time
- executors
- flow
- traffic
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000007123 defense Effects 0.000 title claims abstract description 22
- 230000003044 adaptive effect Effects 0.000 title description 3
- 230000004044 response Effects 0.000 abstract description 6
- 230000008901 benefit Effects 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种拟态防御中的自适应动态流量分配方法。本发明综合考虑系统资源与工作效率等因素,通过动态估计执行体的计算能力与正在处理得请求数的比值决定下一个时间窗口的流量分配。与现有流量分配方法相比,具有系统资源开销小、响应时间短、流量分配自适应等优点,能广泛用于各类网络架构。
Description
技术领域
本发明属于网络安全拟态防御技术领域,涉及一种拟态防御中的自适应动态流量分配方法。
背景技术
随着互联网的不断演进、攻击技术的不断进化,网络攻击呈现“隐蔽性、协同性、精确性”等特点,网络安全处于“易攻难守”的态势。为了彻底改变传统的“封堵查杀”等被动应对的防护模式,形成主动防御能力,拟态防御技术应运而生。拟态防御技术是指以系统内部动态异构冗余结构为基础提出的一种主动防御技术,能够应对网络空间中的各类未知威胁。由于采用综合性的防御手段,拟态防御技术具有良好的可靠性与普适性,近年来成为学术界与工业界的研究热点。
流量分配方法是拟态防御技术中的一个重要组成部分。流量是指多个用户对服务器的访问请求。当应用拟态防御技术的服务器接受到访问请求时,需要将请求分配给线上的执行体,由执行体解析数据包并作出响应,得到待返回用户的资源信息。当服务器内部运行多个执行体时,系统资源开销较大,导致服务器处理大流量时性能下降,影响实际应用效益,进而影响拟态防御技术的有效性。另外,流量分配不当还将影响服务器的响应时间,导致系统实时性下降,影响用户的使用体验。因此,流量分配方式的优劣直接影响拟态防御技术性能的高低,提出一种适用于拟态防御的流量分配方法尤为重要。
现有的流量分配方法是服务器将所有的流量转发给所有的执行体执行,服务器内部的执行体对接收到的流量进行数据包解析,得到待返回用户所需的资源信息。接着,与各执行体均相连的表决器收集所有执行体处理得到的结果,依据表决算法对比处理所有执行体的处理结果,从而得到最终得处理结果,并返回给用户。该方法存在着三方面缺陷:首先,流量分配给所有线上的执行体,会增加系统资源的消耗;其次,表决器同时处理大量执行体的结果,会增加表决算法的复杂度;第三,每个执行体的计算能力不同,现有的分配策略不能最大化工作效率。
因此,现有的流量分配方法并不能满足优化资源消耗、最大化工作效率的使用需求。为保证实际拟态防御技术的高可靠性与高可用性,亟需一种高效且动态的流量分配方法,最大化系统响应用户请求的效率,尽可能充分利用各执行体的计算能力,同时尽可能减少系统资源的消耗。
发明内容
本发明的目的是针对拟态防御技术中传统流量分配方法的低效率问题,提供一种拟态防御中的自适应动态流量分配方法,以实现服务器响应的高效率与资源的低需求。本发明方法通过动态估计执行体计算能力实现流量的动态分配,具有系统资源消耗少,响应请求时间短,分配方法智能,普适性强的特点。
本发明的目的是通过以下技术方案来实现的:一种拟态防御中的自适应动态流量分配方法,该方法包括以下步骤:
(1)判断用户IP地址是否属于黑名单:服务器利用基于攻击行为特征的识别技术实时收集攻击流量的信息,动态更新IP黑名单列表;对于用户访问请求,判断IP地址是否属于IP黑名单列表;如果是,将该攻击引入到蜜罐中执行,结束所有步骤;如果不是,则进行后续步骤,分配流量;
(2)服务器检测执行体的执行状态,并根据执行体当前正在处理的流量大小和执行体当前的计算能力进行排序,选择合适的执行体;具体包括以下子步骤:
(2.1)服务器更新执行体的计算能力:用N表示服务器内部的执行体个数,接收到流量时,执行体i(i=1,2,…,N)打开一个长度为T的时间窗口;对于任何一段时间窗口的流量,分配给不同执行体的流量与其计算能力成正比;用Ci表示第i个执行体的计算能力;用Vi表示第i个执行体当前正在处理的请求数;用移动平均法估计Ci,对于最近处理完的连续K个请求,执行体 i执行完所有这K个请求的时间是ti,执行体i的计算能力Ci表示为
(3)从步骤2选出的M个执行体中,随机选取3个执行体作为流量转发的目的地;
(4)对于每个执行体,根据最新处理完的K个请求所花的时间ti,更新执行体的计算能力根据更新的计算能力Ci,继续决定下一次接收流量时即下一个时间窗口的分配方法;同时,流量的接收是连续的,即时间窗口存在重叠,所以每个执行体的Ci也将实时更新,实现分配方法的实时调整。
本发明的有益效果是,本发明方法综合考虑系统资源与工作效率等因素,优化目标是对于任何一个时间窗口T,系统响应所有请求所使用的时间最短,同时减少系统资源的消耗。通过动态估计执行体的计算能力与正在处理得请求数的比值决定下一个时间窗口的流量分配方法。与现有流量分配方法相比,具有以下优点:本发明所需的系统资源小、响应时间短。
附图说明
图1为本发明实施例中流量传输模型示意图。
图2为本发明方法的流程图。
图3为处理流量的时间窗口示意图。
具体实施方式
以下结合附图并举实施例对本发明做进一步详细说明。
本实例工作在拟态防御服务器中,如图1所示,服务器中运行A1~A88个执行体,用户访问请求构成的流量从输入进入服务器;本发明的方法依照如下具体步骤选出A2、A4、A83个执行体并分配相应流量;执行体处理完请求,输出结果至表决器,表决器根据算法输出最终结果,完成对访问请求的处理。
如图2所示,本实例具体通过以下步骤实现:
步骤一、收到用户访问请求,输入代理判断用户IP是否在蜜罐服务器的黑名单中,如果是,则将请求引入蜜罐服务器中执行;如果否,则进入步骤二;
步骤二、时间窗口打开,服务器内部收集每个执行体的i当前正在处理流量(Vi=1~8)和当前计算能力(Ci=1~8),Ci等于执行体i最新处理完K=100个请求所花的时间ti与K=100 的比值;并按照进行排序,选择值最小的M=5个执行体A1、A2、A3、A4、A8;
步骤三、从选出的5个执行体中,随机选择3个执行体A2、A4、A8作为流量分配目的地;
以上所述为本发明的一个实施例,本发明不受上述实施例限制,可将本发明的技术方案与实际应用场景结合确定具体实施方法。
图3给出了服务器处理流量的时间窗口的时序示意。如图3所示,当服务器接收到流量并开始分配时,打开一个时间窗口T1,直到处理完该流量的所有请求;在此过程中,新的流量到达,服务器打开下一个时间窗口T2,而此时执行体的计算能力已经得到动态更新,本方法将分配新的流量给新选择出的执行体。
Claims (1)
1.一种拟态防御中的自适应动态流量分配方法,其特征在于,该方法包括以下步骤:
(1)判断用户IP地址是否属于黑名单:服务器利用基于攻击行为特征的识别技术实时收集攻击流量的信息,动态更新IP黑名单列表;对于用户访问请求,判断IP地址是否属于IP黑名单列表;如果是,将该攻击引入到蜜罐中执行,结束所有步骤;如果不是,则进行后续步骤,分配流量;
(2)服务器检测执行体的执行状态,并根据执行体当前正在处理的流量大小和执行体当前的计算能力进行排序,选择合适的执行体;具体包括以下子步骤:
(2.1)服务器更新执行体的计算能力:用N表示服务器内部的执行体个数,接收到流量时,执行体i(i=1,2,...,N)打开一个长度为T的时间窗口;对于任何一段时间窗口的流量,分配给不同执行体的流量与其计算能力成正比;用Ci表示第i个执行体的计算能力;用Vi表示第i个执行体当前正在处理的请求数;用移动平均法估计Ci,对于最近处理完的连续K个请求,执行体i执行完所有这K个请求的时间是ti,执行体i的计算能力Ci表示为
(3)从步骤2选出的M个执行体中,随机选取3个执行体作为流量转发的目的地;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811559348.9A CN109936517B (zh) | 2018-12-19 | 2018-12-19 | 拟态防御中的自适应动态流量分配方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811559348.9A CN109936517B (zh) | 2018-12-19 | 2018-12-19 | 拟态防御中的自适应动态流量分配方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109936517A CN109936517A (zh) | 2019-06-25 |
CN109936517B true CN109936517B (zh) | 2022-07-08 |
Family
ID=66984847
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811559348.9A Active CN109936517B (zh) | 2018-12-19 | 2018-12-19 | 拟态防御中的自适应动态流量分配方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109936517B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110545268A (zh) * | 2019-08-21 | 2019-12-06 | 之江实验室 | 一种基于过程要素的多维度拟态表决方法 |
CN110519253B (zh) * | 2019-08-21 | 2020-08-28 | 浙江大学 | 拟态防御中的虚拟专用网拟态方法 |
CN110581844A (zh) * | 2019-08-21 | 2019-12-17 | 浙江大学 | 拟态防御中的取证方法 |
CN110581845A (zh) * | 2019-08-21 | 2019-12-17 | 浙江大学 | 拟态控制器执行体的潜在威胁程度的量化表征方法 |
CN110445803A (zh) * | 2019-08-21 | 2019-11-12 | 之江实验室 | 一种异构云平台的业务平滑迁移方法 |
CN110647918B (zh) * | 2019-08-26 | 2020-12-25 | 浙江工业大学 | 面向深度学习模型对抗攻击的拟态防御方法 |
CN111181926B (zh) * | 2019-12-13 | 2022-04-05 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
CN111343139B (zh) * | 2020-01-14 | 2021-03-30 | 浙江大学 | 一种工控拟态安全网关的多模判决方法 |
CN111585952A (zh) * | 2020-03-23 | 2020-08-25 | 浙江大学 | 一种云上Web应用应对虚拟主机层攻击的解决方法 |
CN112367317B (zh) * | 2020-11-09 | 2021-09-03 | 浙江大学 | 一种内生安全waf指纹变换方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
CN106411937A (zh) * | 2016-11-15 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
CN106874755A (zh) * | 2017-01-22 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法 |
CN107113246A (zh) * | 2015-02-13 | 2017-08-29 | 三菱电机株式会社 | 用于网络中数据帧的流量整形的方法及其装置和计算机程序产品 |
-
2018
- 2018-12-19 CN CN201811559348.9A patent/CN109936517B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
CN107113246A (zh) * | 2015-02-13 | 2017-08-29 | 三菱电机株式会社 | 用于网络中数据帧的流量整形的方法及其装置和计算机程序产品 |
CN106411937A (zh) * | 2016-11-15 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
CN106874755A (zh) * | 2017-01-22 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法 |
Non-Patent Citations (2)
Title |
---|
"Mimic defense: a designed-in cybersecurity defense framework";Hongchao Hu 等;《https://ietresearch.onlinelibrary.wiley.com/doi/epdf/10.1049/iet-ifs.2017.0086》;20171008;全文 * |
"基于攻击转移的拟态安全网关技术的研究";陈双喜 等;《通信学报》;20181130;第39卷(第Z2期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN109936517A (zh) | 2019-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109936517B (zh) | 拟态防御中的自适应动态流量分配方法 | |
EP3563554B1 (en) | System and method for detecting unknown iot device types by monitoring their behavior | |
CN108595207B (zh) | 一种灰度发布方法、规则引擎、系统、终端和存储介质 | |
CN110958135B (zh) | 一种特征自适应强化学习DDoS攻击消除方法及系统 | |
Al-Haidari et al. | Evaluation of the impact of EDoS attacks against cloud computing services | |
CN110908795A (zh) | 云计算集群混部作业调度方法、装置、服务器及存储装置 | |
JP6811776B2 (ja) | 早期警戒決定方法、ノード、及びサブシステム | |
US10263809B2 (en) | Selecting an optimal network device for reporting flow table misses upon expiry of a flow in a software defined network | |
US20160241482A1 (en) | Packet communication apparatus and packet communication method | |
US20140139690A1 (en) | Information processing apparatus, camera having communication function, and information processing method | |
CN111711666A (zh) | 一种基于强化学习的车联网云计算资源优化方法 | |
CN109547541B (zh) | 雾计算环境下基于过滤及分配机制的节点低开销协作方法 | |
TW201717066A (zh) | 叢集運算架構的資源規劃方法、系統及裝置 | |
CN112839048A (zh) | 边缘计算环境下基于强化学习的dids任务调度算法 | |
CN112637223B (zh) | 应用协议识别方法、装置、计算机设备和存储介质 | |
CN112492591A (zh) | 一种电力物联网终端接入网络的方法及装置 | |
CN109144989B (zh) | 一种数据清洗的方法及用于数据清洗的装置 | |
CN109298932B (zh) | 基于OpenFlow的资源调度方法、调度器及系统 | |
CN113114696B (zh) | 拟态防御处理方法、装置、电子设备和介质 | |
CN114978561B (zh) | 一种实时高速网络tcp协议旁路批量主机阻断方法及系统 | |
CN111294318A (zh) | 一种网络攻击的ip地址分析方法、装置和存储介质 | |
CA2576800A1 (en) | Accelerated data switching on symmetric multiprocessor systems using port affinity | |
CN110581844A (zh) | 拟态防御中的取证方法 | |
CN112783673A (zh) | 一种调用链的确定方法、装置、计算机设备及存储介质 | |
CN111736981A (zh) | 容器资源配置方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |