CN110535842A - 一种基于抽样检测的拟态安全系统和方法 - Google Patents

一种基于抽样检测的拟态安全系统和方法 Download PDF

Info

Publication number
CN110535842A
CN110535842A CN201910768634.4A CN201910768634A CN110535842A CN 110535842 A CN110535842 A CN 110535842A CN 201910768634 A CN201910768634 A CN 201910768634A CN 110535842 A CN110535842 A CN 110535842A
Authority
CN
China
Prior art keywords
ruling
data
equivalents
sent
sample survey
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910768634.4A
Other languages
English (en)
Other versions
CN110535842B (zh
Inventor
吴少勇
王延松
李顺斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhijiang Laboratory
Zhejiang Lab
Original Assignee
Zhijiang Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhijiang Laboratory filed Critical Zhijiang Laboratory
Priority to CN201910768634.4A priority Critical patent/CN110535842B/zh
Publication of CN110535842A publication Critical patent/CN110535842A/zh
Application granted granted Critical
Publication of CN110535842B publication Critical patent/CN110535842B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明中提供一种基于抽样检测的拟态安全系统和方法,该系统包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器;冗余控制器,用于对异构功能等价体的判定结果进行参数比较,并将裁决结果通知输出代理器;异构功能等价体用于抽样数据选取和同步,对抽样数据进行特征判定,并将判定结果发送给冗余控制器;异构功能等价体的拟态裁决参数为基于存储数据生成的抽样数据,极大的减少了裁决参数所需的存储空间和计算资源,还保障了裁决参数的时效性、准确性,提升大规模数据计算等网络边缘计算场景下的拟态裁决效率,增大拟态安全系统的可用性。

Description

一种基于抽样检测的拟态安全系统和方法
技术领域
本发明涉及网络通讯领域,尤其涉及一种基于抽样检测的拟态安全系统和方法。
背景技术
网络空间在蓬勃发展的同时,正面临着严峻的安全形势,存在大量针对网络空间的恶意攻击事件,另外网络系统复杂,不可避免的存在漏洞,因此网络空间既有来自外部威胁,又与内部安全漏洞问题相互交织,安全风险严峻复杂。在新的网络空间安全形势下,基于先验知识的传统防御手段难以应对各种攻击,需要转变防御思路,定义新的防御边界,巩固防线纵深,从被动迈向内生安全的主动防御。
中国专利CN201610853938.7“一种封装异构功能等价体的装置、方法及设备”提出了拟态安全防御技术,能从主动性、变化性和随机性中获得有利的内生防御态势,通过拟态环境进行动态变化,对攻击者则表现为难以观察和预测,从而大幅度增加包括未知的可利用的漏洞和后门在内的攻击难度和成本。其主要原理如附图1所示,输入代理器收到外部服务请求后,根据冗余控制器的代理策略,将外部服务请求发送给选定的一个或者多个异构功能等价体;异构功能等价体在接收到服务请求后工作运行,输出服务响应发送至输出代理器,并将拟态裁决参数发送给冗余控制器;输出代理器接收到服务响应后,根据冗余控制器的输出裁决策略,选择其中一个异构功能等价体的输出作为外部服务响应进行发送。
中国专利CN201610853938.7很好的解决了网元的安全防护问题,但是目前网络功能越来越复杂,安全攻击的种类也越来越多,例如在网络边缘计算中,网元不仅仅有网络传输功能,还有存储和计算功能,网元存储的数据通常超过G字节甚至T字节,且计算功能复杂,如果仍然采用中国专利CN201610853938.7的拟态裁决功能,则无论在时效性,还是在裁决精度上,都难以满足网络实际的需求。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于抽样检测的拟态安全系统和方法,提升大规模数据计算等网络边缘计算场景下的拟态裁决效率,增大拟态安全系统的可用性。
为了达到上述目的,本发明的技术方案是这样实现的:
一种基于抽样检测的拟态安全系统,包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器;输入代理器用于收到外部服务请求后根据冗余控制器的代理策略,将外部服务请求发送给选定的一个或者多个异构功能等价体;冗余控制器,用于对异构功能等价体的判定结果进行参数比较,并将裁决结果通知输出代理器;异构功能等价体用于抽样数据选取和同步,对抽样数据进行特征判定,并将判定结果发送给冗余控制器;输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送;
进一步地,所述冗余控制器包括:
裁决参数通知模块:定时向某个异构功能等价体发送裁决参数请求消息的通知;
裁决参数比较模块:对异构功能等价体发来的判定结果进行两两相似度比较,裁决出相似度最大的异构功能等价体作为输出响应的等价体,并将该裁决结果通知输出代理器;
进一步地,所述异构功能等价体包括:
裁决参数生成模块:在收到冗余控制器发出的裁决参数请求消息后,该等价体根据存储数据生成一份抽样数据,抽样数据的大小根据裁决参数计算模块的处理能力决定;
裁决参数同步模块:生成抽样数据的等价体,将该抽样数据发送给其他等价体,各个等价体之间完成抽样数据的同步;
裁决参数计算模块:各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器;
一种基于抽样检测的拟态安全方法,包括如下步骤:
(1)冗余控制器定时向其中某个异构功能等价体发送裁决参数请求;
(2)收到裁决参数请求消息的等价体根据存储数据生成一份抽样数据,同时该等价体将生成的抽样数据发送给其他等价体;
(3)各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器;
(4)冗余控制器根据各个等价体发来的判定结果进行两两相似度比较,选择相似度最大的异构功能等价体作为输出响应的等价体,并将裁决结果通知输出代理器;
由于本发明中,异构功能等价体的拟态裁决参数为基于存储数据生成的抽样数据,极大的减少了裁决参数所需的存储空间和计算资源,还保障了裁决参数的时效性、准确性,提升大规模数据计算等网络边缘计算场景下的拟态裁决效率,增大拟态安全系统的可用性。
附图说明
图1为背景技术拟态安全防御原理示意图;
图2为本发明方法的实现模块示意图;
图3为本发明方法的实现流程示意图;
图4为本发明实施例示意图。
具体实施方式
一种基于抽样检测的拟态安全系统,包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器;输入代理器用于收到外部服务请求后根据冗余控制器的代理策略,将外部服务请求发送给选定的一个或者多个异构功能等价体;冗余控制器,用于对异构功能等价体的判定结果进行参数比较,并将裁决结果通知输出代理器;异构功能等价体用于抽样数据选取和同步,对抽样数据进行特征判定,并将判定结果发送给冗余控制器;输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送;
进一步地,如图2所示,所述冗余控制器包括:
裁决参数通知模块:定时向某个异构功能等价体发送裁决参数请求消息的通知;
裁决参数比较模块:对异构功能等价体发来的判定结果进行两两相似度比较,裁决出相似度最大的异构功能等价体作为输出响应的等价体,并将该裁决结果通知输出代理器;
所述异构功能等价体包括:
裁决参数生成模块:在收到冗余控制器发出的裁决参数请求消息后,该等价体根据存储数据生成一份抽样数据,抽样数据的大小根据裁决参数计算模块的处理能力决定;
裁决参数同步模块:生成抽样数据的等价体,将该抽样数据发送给其他等价体,各个等价体之间完成抽样数据的同步;
裁决参数计算模块:各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器;
下面结合实施例对技术方案作进一步的详细描述。
如图4所示,在拟态系统中,3个异构功能等价体需要执行存储和计算功能,例如存储数据为采集到的大量图片,计算功能为在所有图片中找到含有特定物体的图片,输出结果为“是”的图片,由于数据存储量较大,且计算功能复杂,输出数据也较大,无法直接将所有数据和输出结果发送给冗余控制器进行裁决。
根据本发明的拟态裁决参数消息同步机制,流程如下(图3):
(1)冗余控制器定时其中某个异构功能等价体发送裁决参数请求;
(2)收到冗余控制器发出裁决参数请求消息的等价体根据存储数据生成一份抽样数据,同时该等价体将生成的抽样数据发送给其他等价体,抽样数据大小根据冗余控制器的实际裁决处理能力来确定,本实施例中抽样数据大小为5个图片;
(3)各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器;
(4)冗余控制器根据各个等价体发来的判定结果进行两两相似度比较,选择相似度最大的异构功能等价体作为输出响应的等价体,在本实施例中为等价体1,作为被选择的输出响应等价体,并将裁决结果通知输出代理器。
在其他实施方式中,除了上述冗余控制器定时向异构功能等价体发送请求外,还可以通过异构功能等价体定时主动发送裁决参数到冗余控制器来完成冗余控制器与异构功能等价体之间的裁决参数的定时传输。
以上所述,仅为本发明的较佳实施例而已,井非用于限定本发明的保护范围。
综上所述,本发明中提供一种基于抽样检测的拟态安全系统和方法,异构功能等价体的拟态裁决参数为基于存储数据生成的抽样数据,极大的减少了裁决参数所需的存储空间和计算资源,还保障了裁决参数的时效性、准确性,提升大规模数据计算等网络边缘计算场景下的拟态裁决效率,增大拟态安全系统的可用性。

Claims (4)

1.一种基于抽样检测的拟态安全系统,其特征在于,包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器;输入代理器用于收到外部服务请求后根据冗余控制器的代理策略,将外部服务请求发送给选定的一个或者多个异构功能等价体;冗余控制器,用于对异构功能等价体的判定结果进行参数比较,并将裁决结果通知输出代理器;异构功能等价体用于抽样数据选取和同步,对抽样数据进行特征判定,并将判定结果发送给冗余控制器;输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送。
2.根据权利要求1所述的基于抽样检测的拟态安全系统,其特征在于,所述冗余控制器包括:
裁决参数通知模块:定时向某个异构功能等价体发送裁决参数请求消息的通知。
裁决参数比较模块:对异构功能等价体发来的判定结果进行两两相似度比较,裁决出相似度最大的异构功能等价体作为输出响应的等价体,并将该裁决结果通知输出代理器。
3.根据权利要求1所述的基于抽样检测的拟态安全系统,其特征在于,所述异构功能等价体包括:
裁决参数生成模块:在收到冗余控制器发出的裁决参数请求消息后,该等价体根据存储数据生成一份抽样数据,抽样数据的大小根据裁决参数计算模块的处理能力决定。
裁决参数同步模块:生成抽样数据的等价体,将该抽样数据发送给其他等价体,各个等价体之间完成抽样数据的同步。
裁决参数计算模块:各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器。
4.一种基于抽样检测的拟态安全方法,其特征在于,包括如下步骤:
(1)冗余控制器定时向其中某个异构功能等价体发送裁决参数请求。
(2)收到裁决参数请求消息的等价体根据存储数据生成一份抽样数据,同时该等价体将生成的抽样数据发送给其他等价体。
(3)各个等价体对抽样数据进行特征判定,并将该判定结果发送给冗余控制器。
(4)冗余控制器根据各个等价体发来的判定结果进行两两相似度比较,选择相似度最大的异构功能等价体作为输出响应的等价体,并将裁决结果通知输出代理器。
CN201910768634.4A 2019-08-20 2019-08-20 一种基于抽样检测的拟态安全系统和方法 Active CN110535842B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910768634.4A CN110535842B (zh) 2019-08-20 2019-08-20 一种基于抽样检测的拟态安全系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910768634.4A CN110535842B (zh) 2019-08-20 2019-08-20 一种基于抽样检测的拟态安全系统和方法

Publications (2)

Publication Number Publication Date
CN110535842A true CN110535842A (zh) 2019-12-03
CN110535842B CN110535842B (zh) 2021-11-19

Family

ID=68663696

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910768634.4A Active CN110535842B (zh) 2019-08-20 2019-08-20 一种基于抽样检测的拟态安全系统和方法

Country Status (1)

Country Link
CN (1) CN110535842B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111431945A (zh) * 2020-06-10 2020-07-17 之江实验室 一种报文拟态裁决的装置和方法
CN112653707A (zh) * 2020-12-31 2021-04-13 河南信大网御科技有限公司 一种增强型拟态输入代理

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080189617A1 (en) * 2007-01-22 2008-08-07 Syracuse University Distributed Video Content Management and Sharing System
US20100241849A1 (en) * 2003-06-05 2010-09-23 Intertrust Technologies Corp. Interoperable systems and methods for peer-to-peer service orchestration
CN104615576A (zh) * 2015-03-02 2015-05-13 中国人民解放军国防科学技术大学 面向cpu+gpu处理器的混合粒度一致性维护方法
CN105553689A (zh) * 2015-12-03 2016-05-04 中国科学院信息工程研究所 一种openflow消息中流规则等价快速判定方法
CN106161419A (zh) * 2015-06-01 2016-11-23 上海红神信息技术有限公司 一种异构功能等价体同步装置
CN106534063A (zh) * 2016-09-27 2017-03-22 上海红阵信息科技有限公司 一种封装异构功能等价体的装置、方法及设备
CN108536796A (zh) * 2018-04-02 2018-09-14 北京大学 一种基于图的异构本体匹配方法及系统
CN109067737A (zh) * 2018-07-28 2018-12-21 中国人民解放军战略支援部队信息工程大学 一种输出非同步保序条件下的拟态判决装置及方法
CN109450900A (zh) * 2018-11-09 2019-03-08 天津市滨海新区信息技术创新中心 拟态判决方法、装置及系统
US20190132344A1 (en) * 2016-12-16 2019-05-02 Patternex, Inc. Method and system for employing graph analysis for detecting malicious activity in time evolving networks

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100241849A1 (en) * 2003-06-05 2010-09-23 Intertrust Technologies Corp. Interoperable systems and methods for peer-to-peer service orchestration
US20120159642A1 (en) * 2003-06-05 2012-06-21 Intertrust Technologies Corp. Interoperable Systems and Methods for Peer-to-Peer Service Orchestration
US20080189617A1 (en) * 2007-01-22 2008-08-07 Syracuse University Distributed Video Content Management and Sharing System
CN104615576A (zh) * 2015-03-02 2015-05-13 中国人民解放军国防科学技术大学 面向cpu+gpu处理器的混合粒度一致性维护方法
CN106161419A (zh) * 2015-06-01 2016-11-23 上海红神信息技术有限公司 一种异构功能等价体同步装置
CN105553689A (zh) * 2015-12-03 2016-05-04 中国科学院信息工程研究所 一种openflow消息中流规则等价快速判定方法
CN106534063A (zh) * 2016-09-27 2017-03-22 上海红阵信息科技有限公司 一种封装异构功能等价体的装置、方法及设备
US20190132344A1 (en) * 2016-12-16 2019-05-02 Patternex, Inc. Method and system for employing graph analysis for detecting malicious activity in time evolving networks
CN108536796A (zh) * 2018-04-02 2018-09-14 北京大学 一种基于图的异构本体匹配方法及系统
CN109067737A (zh) * 2018-07-28 2018-12-21 中国人民解放军战略支援部队信息工程大学 一种输出非同步保序条件下的拟态判决装置及方法
CN109450900A (zh) * 2018-11-09 2019-03-08 天津市滨海新区信息技术创新中心 拟态判决方法、装置及系统

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
C. YANG, P. KUNG, C. LI, C. CHEN AND S. LIN: ""Sampling Heterogeneous Networks"", 《2013 IEEE 13TH INTERNATIONAL 》 *
王鹏等: "软件定义网络下的拟态防御实现架构", 《网络与信息安全学报》 *
马海龙等: "路由器拟态防御能力测试与分析", 《信息安全学报》 *
魏帅等: "面向工控领域的拟态安全处理机架构", 《信息安全学报》 *
齐超: ""拟态网络操作系统架构及关键技术研究"", 《中国博士学位论文全文数据库(电子期刊) 信息科技辑》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111431945A (zh) * 2020-06-10 2020-07-17 之江实验室 一种报文拟态裁决的装置和方法
CN112653707A (zh) * 2020-12-31 2021-04-13 河南信大网御科技有限公司 一种增强型拟态输入代理

Also Published As

Publication number Publication date
CN110535842B (zh) 2021-11-19

Similar Documents

Publication Publication Date Title
EP3832578A1 (en) Electronic invoice identifier allocation method, and electronic ticket generating method, device and system
US20230224273A1 (en) Network containers
CN110535843A (zh) 一种拟态裁决参数消息同步的装置和方法
CN105447046A (zh) 一种分布式系统数据一致性处理方法、装置和系统
CN104346365A (zh) 确定与特定业务相关的关联日志的方法和装置
CN106873945A (zh) 基于批处理和流式处理的数据处理架构及数据处理方法
CN104166738A (zh) 数据库查询处理的方法及装置
CN108833610B (zh) 一种信息更新方法、装置及系统
CN114327803A (zh) 区块链访问机器学习模型的方法、装置、设备和介质
CN110197075A (zh) 资源访问方法、装置、计算设备以及存储介质
CN110535842A (zh) 一种基于抽样检测的拟态安全系统和方法
CN112764887A (zh) 事务请求的构建方法、处理方法、装置、设备和存储介质
CN107563218A (zh) 一种基于大数据的数据脱敏方法和Hbase脱敏处理系统
CN108847952A (zh) 请求链路上下文的处理方法、装置及系统
CN109167819A (zh) 数据同步系统、方法、装置及存储介质
CN114143090B (zh) 基于网络安全架构的防火墙部署方法、装置、设备及介质
CN115334025A (zh) 去中心化的即时通信方法、装置、设备及存储介质
CN106909436A (zh) 产生虚拟机消息队列应用程序的相关关系的方法与系统
Deng et al. A novel consensus algorithm based on segmented DAG and BP neural network for consortium blockchain
WO2023159812A1 (zh) 一种ami网络入侵检测的方法、装置及介质
CN107273047A (zh) 一种缓存管理方法、缓存管理器及存储管理软件
EP2732576A1 (en) Variable-length nonce generation
Mannanuddin et al. Fundamental perception of EDGE computing
US20140108420A1 (en) Index creation method and system
CN105678155A (zh) 一种信息存储和校验的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant