CN110535842A - 一种基于抽样检测的拟态安全系统和方法 - Google Patents
一种基于抽样检测的拟态安全系统和方法 Download PDFInfo
- Publication number
- CN110535842A CN110535842A CN201910768634.4A CN201910768634A CN110535842A CN 110535842 A CN110535842 A CN 110535842A CN 201910768634 A CN201910768634 A CN 201910768634A CN 110535842 A CN110535842 A CN 110535842A
- Authority
- CN
- China
- Prior art keywords
- ruling
- data
- equivalents
- sent
- sample survey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明中提供一种基于抽样检测的拟态安全系统和方法,该系统包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器;冗余控制器,用于对异构功能等价体的判定结果进行参数比较,并将裁决结果通知输出代理器;异构功能等价体用于抽样数据选取和同步,对抽样数据进行特征判定,并将判定结果发送给冗余控制器;异构功能等价体的拟态裁决参数为基于存储数据生成的抽样数据,极大的减少了裁决参数所需的存储空间和计算资源,还保障了裁决参数的时效性、准确性,提升大规模数据计算等网络边缘计算场景下的拟态裁决效率,增大拟态安全系统的可用性。
Description
技术领域
本发明涉及网络通讯领域,尤其涉及一种基于抽样检测的拟态安全系统和方法。
背景技术
网络空间在蓬勃发展的同时,正面临着严峻的安全形势,存在大量针对网络空间的恶意攻击事件,另外网络系统复杂,不可避免的存在漏洞,因此网络空间既有来自外部威胁,又与内部安全漏洞问题相互交织,安全风险严峻复杂。在新的网络空间安全形势下,基于先验知识的传统防御手段难以应对各种攻击,需要转变防御思路,定义新的防御边界,巩固防线纵深,从被动迈向内生安全的主动防御。
中国专利CN201610853938.7“一种封装异构功能等价体的装置、方法及设备”提出了拟态安全防御技术,能从主动性、变化性和随机性中获得有利的内生防御态势,通过拟态环境进行动态变化,对攻击者则表现为难以观察和预测,从而大幅度增加包括未知的可利用的漏洞和后门在内的攻击难度和成本。其主要原理如附图1所示,输入代理器收到外部服务请求后,根据冗余控制器的代理策略,将外部服务请求发送给选定的一个或者多个异构功能等价体;异构功能等价体在接收到服务请求后工作运行,输出服务响应发送至输出代理器,并将拟态裁决参数发送给冗余控制器;输出代理器接收到服务响应后,根据冗余控制器的输出裁决策略,选择其中一个异构功能等价体的输出作为外部服务响应进行发送。
中国专利CN201610853938.7很好的解决了网元的安全防护问题,但是目前网络功能越来越复杂,安全攻击的种类也越来越多,例如在网络边缘计算中,网元不仅仅有网络传输功能,还有存储和计算功能,网元存储的数据通常超过G字节甚至T字节,且计算功能复杂,如果仍然采用中国专利CN201610853938.7的拟态裁决功能,则无论在时效性,还是在裁决精度上,都难以满足网络实际的需求。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于抽样检测的拟态安全系统和方法,提升大规模数据计算等网络边缘计算场景下的拟态裁决效率,增大拟态安全系统的可用性。
为了达到上述目的,本发明的技术方案是这样实现的:
一种基于抽样检测的拟态安全系统,包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器;输入代理器用于收到外部服务请求后根据冗余控制器的代理策略,将外部服务请求发送给选定的一个或者多个异构功能等价体;冗余控制器,用于对异构功能等价体的判定结果进行参数比较,并将裁决结果通知输出代理器;异构功能等价体用于抽样数据选取和同步,对抽样数据进行特征判定,并将判定结果发送给冗余控制器;输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送;
进一步地,所述冗余控制器包括:
裁决参数通知模块:定时向某个异构功能等价体发送裁决参数请求消息的通知;
裁决参数比较模块:对异构功能等价体发来的判定结果进行两两相似度比较,裁决出相似度最大的异构功能等价体作为输出响应的等价体,并将该裁决结果通知输出代理器;
进一步地,所述异构功能等价体包括:
裁决参数生成模块:在收到冗余控制器发出的裁决参数请求消息后,该等价体根据存储数据生成一份抽样数据,抽样数据的大小根据裁决参数计算模块的处理能力决定;
裁决参数同步模块:生成抽样数据的等价体,将该抽样数据发送给其他等价体,各个等价体之间完成抽样数据的同步;
裁决参数计算模块:各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器;
一种基于抽样检测的拟态安全方法,包括如下步骤:
(1)冗余控制器定时向其中某个异构功能等价体发送裁决参数请求;
(2)收到裁决参数请求消息的等价体根据存储数据生成一份抽样数据,同时该等价体将生成的抽样数据发送给其他等价体;
(3)各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器;
(4)冗余控制器根据各个等价体发来的判定结果进行两两相似度比较,选择相似度最大的异构功能等价体作为输出响应的等价体,并将裁决结果通知输出代理器;
由于本发明中,异构功能等价体的拟态裁决参数为基于存储数据生成的抽样数据,极大的减少了裁决参数所需的存储空间和计算资源,还保障了裁决参数的时效性、准确性,提升大规模数据计算等网络边缘计算场景下的拟态裁决效率,增大拟态安全系统的可用性。
附图说明
图1为背景技术拟态安全防御原理示意图;
图2为本发明方法的实现模块示意图;
图3为本发明方法的实现流程示意图;
图4为本发明实施例示意图。
具体实施方式
一种基于抽样检测的拟态安全系统,包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器;输入代理器用于收到外部服务请求后根据冗余控制器的代理策略,将外部服务请求发送给选定的一个或者多个异构功能等价体;冗余控制器,用于对异构功能等价体的判定结果进行参数比较,并将裁决结果通知输出代理器;异构功能等价体用于抽样数据选取和同步,对抽样数据进行特征判定,并将判定结果发送给冗余控制器;输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送;
进一步地,如图2所示,所述冗余控制器包括:
裁决参数通知模块:定时向某个异构功能等价体发送裁决参数请求消息的通知;
裁决参数比较模块:对异构功能等价体发来的判定结果进行两两相似度比较,裁决出相似度最大的异构功能等价体作为输出响应的等价体,并将该裁决结果通知输出代理器;
所述异构功能等价体包括:
裁决参数生成模块:在收到冗余控制器发出的裁决参数请求消息后,该等价体根据存储数据生成一份抽样数据,抽样数据的大小根据裁决参数计算模块的处理能力决定;
裁决参数同步模块:生成抽样数据的等价体,将该抽样数据发送给其他等价体,各个等价体之间完成抽样数据的同步;
裁决参数计算模块:各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器;
下面结合实施例对技术方案作进一步的详细描述。
如图4所示,在拟态系统中,3个异构功能等价体需要执行存储和计算功能,例如存储数据为采集到的大量图片,计算功能为在所有图片中找到含有特定物体的图片,输出结果为“是”的图片,由于数据存储量较大,且计算功能复杂,输出数据也较大,无法直接将所有数据和输出结果发送给冗余控制器进行裁决。
根据本发明的拟态裁决参数消息同步机制,流程如下(图3):
(1)冗余控制器定时其中某个异构功能等价体发送裁决参数请求;
(2)收到冗余控制器发出裁决参数请求消息的等价体根据存储数据生成一份抽样数据,同时该等价体将生成的抽样数据发送给其他等价体,抽样数据大小根据冗余控制器的实际裁决处理能力来确定,本实施例中抽样数据大小为5个图片;
(3)各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器;
(4)冗余控制器根据各个等价体发来的判定结果进行两两相似度比较,选择相似度最大的异构功能等价体作为输出响应的等价体,在本实施例中为等价体1,作为被选择的输出响应等价体,并将裁决结果通知输出代理器。
在其他实施方式中,除了上述冗余控制器定时向异构功能等价体发送请求外,还可以通过异构功能等价体定时主动发送裁决参数到冗余控制器来完成冗余控制器与异构功能等价体之间的裁决参数的定时传输。
以上所述,仅为本发明的较佳实施例而已,井非用于限定本发明的保护范围。
综上所述,本发明中提供一种基于抽样检测的拟态安全系统和方法,异构功能等价体的拟态裁决参数为基于存储数据生成的抽样数据,极大的减少了裁决参数所需的存储空间和计算资源,还保障了裁决参数的时效性、准确性,提升大规模数据计算等网络边缘计算场景下的拟态裁决效率,增大拟态安全系统的可用性。
Claims (4)
1.一种基于抽样检测的拟态安全系统,其特征在于,包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器;输入代理器用于收到外部服务请求后根据冗余控制器的代理策略,将外部服务请求发送给选定的一个或者多个异构功能等价体;冗余控制器,用于对异构功能等价体的判定结果进行参数比较,并将裁决结果通知输出代理器;异构功能等价体用于抽样数据选取和同步,对抽样数据进行特征判定,并将判定结果发送给冗余控制器;输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送。
2.根据权利要求1所述的基于抽样检测的拟态安全系统,其特征在于,所述冗余控制器包括:
裁决参数通知模块:定时向某个异构功能等价体发送裁决参数请求消息的通知。
裁决参数比较模块:对异构功能等价体发来的判定结果进行两两相似度比较,裁决出相似度最大的异构功能等价体作为输出响应的等价体,并将该裁决结果通知输出代理器。
3.根据权利要求1所述的基于抽样检测的拟态安全系统,其特征在于,所述异构功能等价体包括:
裁决参数生成模块:在收到冗余控制器发出的裁决参数请求消息后,该等价体根据存储数据生成一份抽样数据,抽样数据的大小根据裁决参数计算模块的处理能力决定。
裁决参数同步模块:生成抽样数据的等价体,将该抽样数据发送给其他等价体,各个等价体之间完成抽样数据的同步。
裁决参数计算模块:各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器。
4.一种基于抽样检测的拟态安全方法,其特征在于,包括如下步骤:
(1)冗余控制器定时向其中某个异构功能等价体发送裁决参数请求。
(2)收到裁决参数请求消息的等价体根据存储数据生成一份抽样数据,同时该等价体将生成的抽样数据发送给其他等价体。
(3)各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器。
(4)冗余控制器根据各个等价体发来的判定结果进行两两相似度比较,选择相似度最大的异构功能等价体作为输出响应的等价体,并将裁决结果通知输出代理器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910768634.4A CN110535842B (zh) | 2019-08-20 | 2019-08-20 | 一种基于抽样检测的拟态安全系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910768634.4A CN110535842B (zh) | 2019-08-20 | 2019-08-20 | 一种基于抽样检测的拟态安全系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110535842A true CN110535842A (zh) | 2019-12-03 |
CN110535842B CN110535842B (zh) | 2021-11-19 |
Family
ID=68663696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910768634.4A Active CN110535842B (zh) | 2019-08-20 | 2019-08-20 | 一种基于抽样检测的拟态安全系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110535842B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111431945A (zh) * | 2020-06-10 | 2020-07-17 | 之江实验室 | 一种报文拟态裁决的装置和方法 |
CN112653707A (zh) * | 2020-12-31 | 2021-04-13 | 河南信大网御科技有限公司 | 一种增强型拟态输入代理 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080189617A1 (en) * | 2007-01-22 | 2008-08-07 | Syracuse University | Distributed Video Content Management and Sharing System |
US20100241849A1 (en) * | 2003-06-05 | 2010-09-23 | Intertrust Technologies Corp. | Interoperable systems and methods for peer-to-peer service orchestration |
CN104615576A (zh) * | 2015-03-02 | 2015-05-13 | 中国人民解放军国防科学技术大学 | 面向cpu+gpu处理器的混合粒度一致性维护方法 |
CN105553689A (zh) * | 2015-12-03 | 2016-05-04 | 中国科学院信息工程研究所 | 一种openflow消息中流规则等价快速判定方法 |
CN106161419A (zh) * | 2015-06-01 | 2016-11-23 | 上海红神信息技术有限公司 | 一种异构功能等价体同步装置 |
CN106534063A (zh) * | 2016-09-27 | 2017-03-22 | 上海红阵信息科技有限公司 | 一种封装异构功能等价体的装置、方法及设备 |
CN108536796A (zh) * | 2018-04-02 | 2018-09-14 | 北京大学 | 一种基于图的异构本体匹配方法及系统 |
CN109067737A (zh) * | 2018-07-28 | 2018-12-21 | 中国人民解放军战略支援部队信息工程大学 | 一种输出非同步保序条件下的拟态判决装置及方法 |
CN109450900A (zh) * | 2018-11-09 | 2019-03-08 | 天津市滨海新区信息技术创新中心 | 拟态判决方法、装置及系统 |
US20190132344A1 (en) * | 2016-12-16 | 2019-05-02 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
-
2019
- 2019-08-20 CN CN201910768634.4A patent/CN110535842B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100241849A1 (en) * | 2003-06-05 | 2010-09-23 | Intertrust Technologies Corp. | Interoperable systems and methods for peer-to-peer service orchestration |
US20120159642A1 (en) * | 2003-06-05 | 2012-06-21 | Intertrust Technologies Corp. | Interoperable Systems and Methods for Peer-to-Peer Service Orchestration |
US20080189617A1 (en) * | 2007-01-22 | 2008-08-07 | Syracuse University | Distributed Video Content Management and Sharing System |
CN104615576A (zh) * | 2015-03-02 | 2015-05-13 | 中国人民解放军国防科学技术大学 | 面向cpu+gpu处理器的混合粒度一致性维护方法 |
CN106161419A (zh) * | 2015-06-01 | 2016-11-23 | 上海红神信息技术有限公司 | 一种异构功能等价体同步装置 |
CN105553689A (zh) * | 2015-12-03 | 2016-05-04 | 中国科学院信息工程研究所 | 一种openflow消息中流规则等价快速判定方法 |
CN106534063A (zh) * | 2016-09-27 | 2017-03-22 | 上海红阵信息科技有限公司 | 一种封装异构功能等价体的装置、方法及设备 |
US20190132344A1 (en) * | 2016-12-16 | 2019-05-02 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
CN108536796A (zh) * | 2018-04-02 | 2018-09-14 | 北京大学 | 一种基于图的异构本体匹配方法及系统 |
CN109067737A (zh) * | 2018-07-28 | 2018-12-21 | 中国人民解放军战略支援部队信息工程大学 | 一种输出非同步保序条件下的拟态判决装置及方法 |
CN109450900A (zh) * | 2018-11-09 | 2019-03-08 | 天津市滨海新区信息技术创新中心 | 拟态判决方法、装置及系统 |
Non-Patent Citations (5)
Title |
---|
C. YANG, P. KUNG, C. LI, C. CHEN AND S. LIN: ""Sampling Heterogeneous Networks"", 《2013 IEEE 13TH INTERNATIONAL 》 * |
王鹏等: "软件定义网络下的拟态防御实现架构", 《网络与信息安全学报》 * |
马海龙等: "路由器拟态防御能力测试与分析", 《信息安全学报》 * |
魏帅等: "面向工控领域的拟态安全处理机架构", 《信息安全学报》 * |
齐超: ""拟态网络操作系统架构及关键技术研究"", 《中国博士学位论文全文数据库(电子期刊) 信息科技辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111431945A (zh) * | 2020-06-10 | 2020-07-17 | 之江实验室 | 一种报文拟态裁决的装置和方法 |
CN112653707A (zh) * | 2020-12-31 | 2021-04-13 | 河南信大网御科技有限公司 | 一种增强型拟态输入代理 |
Also Published As
Publication number | Publication date |
---|---|
CN110535842B (zh) | 2021-11-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3832578A1 (en) | Electronic invoice identifier allocation method, and electronic ticket generating method, device and system | |
US20230224273A1 (en) | Network containers | |
CN111741026B (zh) | 一种跨链事务请求处理方法、装置、设备以及存储介质 | |
JP6716727B2 (ja) | ストリーミングデータ分散処理方法及び装置 | |
CN110535843A (zh) | 一种拟态裁决参数消息同步的装置和方法 | |
CN104011701A (zh) | 内容传送网络 | |
CN106873945A (zh) | 基于批处理和流式处理的数据处理架构及数据处理方法 | |
CN108833610B (zh) | 一种信息更新方法、装置及系统 | |
CN114327803A (zh) | 区块链访问机器学习模型的方法、装置、设备和介质 | |
CN110197075A (zh) | 资源访问方法、装置、计算设备以及存储介质 | |
CN110535842A (zh) | 一种基于抽样检测的拟态安全系统和方法 | |
CN107563218A (zh) | 一种基于大数据的数据脱敏方法和Hbase脱敏处理系统 | |
CN108847952A (zh) | 请求链路上下文的处理方法、装置及系统 | |
CN106921712A (zh) | 一种业务处理方法及装置 | |
CN109167819A (zh) | 数据同步系统、方法、装置及存储介质 | |
CN105320711B (zh) | 巨量数据存取方法以及使用该方法的系统 | |
CN106909436A (zh) | 产生虚拟机消息队列应用程序的相关关系的方法与系统 | |
CN107203437A (zh) | 防止内存数据丢失的方法、装置和系统 | |
CN116723002B (zh) | 基于态势感知的电力报告智能加密方法 | |
CN107422980A (zh) | 物联网数据文件存储系统及其数据文件存储方法 | |
CN117633112A (zh) | 一种系统事件的处理方法、设备及存储介质 | |
CN110570309A (zh) | 用于更换区块链网络的领导者的方法和系统 | |
Lim et al. | Research issues in data provenance for streaming environments | |
WO2013010125A1 (en) | Variable-length nonce generation | |
Kai et al. | Localized Differential Location Privacy Protection Scheme in Mobile Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |