CN110650020A - 拟态模糊判决方法、装置及系统 - Google Patents
拟态模糊判决方法、装置及系统 Download PDFInfo
- Publication number
- CN110650020A CN110650020A CN201910914601.6A CN201910914601A CN110650020A CN 110650020 A CN110650020 A CN 110650020A CN 201910914601 A CN201910914601 A CN 201910914601A CN 110650020 A CN110650020 A CN 110650020A
- Authority
- CN
- China
- Prior art keywords
- message
- packet
- sub
- channel protocol
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种拟态模糊判决方法、装置及系统;其中,该方法应用于与异构多核处理器连接的芯片;异构多核处理器包括多个处理器;多个处理器分别与芯片连接;该方法包括:接收当前处理器发送的第一通道协议报文;根据报文头及报文载荷,对第一通道协议报文进行分解,生成多个子报文;生成每个子报文的哈希值;根据预设的合并算法及子报文的哈希值,生成第一通道协议报文的第一整包特征;根据第一整包特征、第二整包特征及预设判决阈值,对第一通道协议报文进行拟态判决;第二整包特征根据除当前处理器之外的处理器发送的第二通道协议报文生成。本发明提高了在协议动态变化并且数据动态变化的场景下,拟态判决的有效性。
Description
技术领域
本发明涉及网络空间安全防护技术领域,尤其是涉及一种拟态模糊判决方法、装置及系统。
背景技术
在异构多核处理器背景下,多个处理器采用多线程进行运算或配置。由于每个处理器的速度不一,线程调度方式不同,对连续操作的任务切分量不同,到达FPGA(FieldProgrammable Gate Array,现场可编程门阵列)或ASIC(Application SpecificIntegrated Circuit,特定用途集成电路)芯片的数据常常是乱序的。每个异构多核处理器进行相同的操作时,即便按顺序发送数据,其数据也可能是不同的;通常为对于数据流内部存在相关性的数据,或者一次猝发的数据大小差异很大的数据。现有的拟态判决方式多采用基于数据特征提取后乱序比对的方法,然而该方式在协议动态变化并且数据动态变化的场景,拟态判决的有效性较低。
发明内容
有鉴于此,本发明的目的在于提供一种拟态模糊判决方法、装置及系统,以提高在协议动态变化并且数据动态变化的场景下,拟态判决的有效性。
第一方面,本发明实施例提供了一种拟态模糊判决方法,该方法应用于与异构多核处理器连接的芯片;异构多核处理器包括多个处理器;多个处理器分别与芯片连接;该方法包括:接收当前处理器发送的第一通道协议报文;第一通道协议报文包括报文头及报文载荷;根据报文头及报文载荷,对协议报文进行分解,生成多个子报文;生成每个子报文的哈希值;根据预设的合并算法及子报文的哈希值,生成第一通道协议报文的第一整包特征;根据第一整包特征、第二整包特征及预设判决阈值,对第一通道协议报文进行拟态判决;第二整包特征根据除当前处理器之外的处理器发送的第二通道协议报文生成;第二通道协议报文与第一整包特征所属的第一通道协议报文相对应。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,上述根据报文头,对协议报文进行分解,生成多个子报文的步骤,包括:根据报文头的协议头层次及报文载荷的数据结构格式,对第一通道协议报文进行分解,得到初始子报文;根据协议头层次,将初始子报文中的随机序列及校验数据掩码掉,得到子报文。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,上述根据预设的合并算法及子报文的哈希值,生成第一通道协议报文的第一整包特征,包括:通过预设的积累算法对子报文的哈希值进行处理,得到整包哈希值;通过预设的快照特征算法对子报文的哈希值及整包哈希值进行处理,得到第一通道协议报文的第一整包特征。
结合第一方面的第二种可能的实施方式,本发明实施例提供了第一方面的第三种可能的实施方式,其中,上述根据第一整包特征、第二整包特征及预设判决阈值,对第一通道协议报文进行拟态判决的步骤,包括:将整包哈希值作为存储地址,将第一整包特征存储至预设的第一特征存储表;对第一特征存储表及第二特征存储表进行周期性的数据一致性检查,得到数据一致性百分比;第二特征存储表中存储第二整包特征;判断数据一致性百分比是否大于或等于预设判决阈值;如果大于或等于,则确定当前处理器和发送第二通道协议报文的处理器输出的数据流等价。
结合第一方面的第三种可能的实施方式,本发明实施例提供了第一方面的第四种可能的实施方式,其中,在预设的时间周期内,存储在第一特征存储表的第一整包特征的数量为多个,存储在第二特征存储表的第二整包特征的数量为多个;上述对第一特征存储表及第二特征存储表进行周期性的数据一致性检查,得到数据一致性百分比的步骤,包括:将在预设的时间周期内存储在第一特征存储表及第二特征存储表中存储地址相同的第一整包特征及第二整包特征进行一一比对,得到数据一致性百分比。
第二方面,本发明实施例还提供一种拟态模糊判决装置,该装置设置于与异构多核处理器连接的芯片;异构多核处理器包括多个处理器;多个处理器分别与芯片连接;该装置包括:报文接收模块,用于接收当前处理器发送的第一通道协议报文;第一通道协议报文包括报文头及报文载荷;报文分解模块,用于根据报文头,对第一通道协议报文进行分解,生成多个子报文;哈希值生成模块,用于生成每个子报文的哈希值;整包特征生成模块,用于根据预设的合并算法及子报文的哈希值,生成第一通道协议报文的第一整包特征;拟态判决模块,用于根据第一整包特征、第二整包特征及预设判决阈值,对第一通道协议报文进行拟态判决;第二整包特征根据除当前处理器之外的处理器发送的第二通道协议报文生成;第二通道协议报文与第一整包特征所属的第一通道协议报文相对应。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,上述报文分解模块还用于:根据报文头的协议头层次及报文载荷的数据结构格式,对第一通道协议报文进行分解,得到初始子报文;根据协议头层次,将初始子报文中的随机序列及校验数据掩码掉,得到子报文。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,上述整包特征生成模块还用于:通过预设的积累算法对子报文的哈希值进行处理,得到整包哈希值;通过预设的快照特征算法对子报文的哈希值及整包哈希值进行处理,得到第一通道协议报文的第一整包特征。
结合第二方面的第二种可能的实施方式,本发明实施例提供了第二方面的第三种可能的实施方式,其中,上述拟态判决模块还用于:将整包哈希值作为存储地址,将第一整包特征存储至预设的第一特征存储表;对第一特征存储表及第二特征存储表进行周期性的数据一致性检查,得到数据一致性百分比;第二特征存储表中存储第二整包特征;判断数据一致性百分比是否大于或等于预设判决阈值;如果大于或等于,则确定当前处理器和发送第二通道协议报文的处理器输出的数据流等价。
第三方面,本发明实施例还提供一种拟态模糊判决系统,包括异构多核处理器及芯片;上述装置设置于芯片。
本发明实施例带来了以下有益效果:
本发明实施例提供了一种拟态模糊判决方法、装置及系统;接收当前处理器发送的第一通道协议报文后,根据报文头及报文载荷,对第一通道协议报文进行分解,生成多个子报文;然后通过哈希算法生成每个子报文的哈希值;根据预设的合并算法及子报文的哈希值,生成第一通道协议报文的第一整包特征;最后根据第一整包特征、第二整包特征及预设判决阈值,对第一通道协议报文进行拟态判决。该方式提高了在协议动态变化并且数据动态变化的场景下,拟态判决的有效性。
本发明的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本发明的上述技术即可得知。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种拟态模糊判决方法的流程图;
图2为本发明实施例提供的另一种拟态模糊判决方法的流程图;
图3为本发明实施例提供的一种基于协议解析的拟态模糊判决实现方法的流程图;
图4为本发明实施例提供的一种基于协议解析的拟态模糊判决实现装置的整体框图;
图5为本发明实施例提供的一种拟态模糊判决装置的结构示意图;
图6为本发明实施例提供的一种拟态模糊判决系统的结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,基于硬件实现的多数据源数据比对方法多采用基于数据特征提取后乱序比对的方法。上述方法对于简单数据流之间的数据比对,经过理论和实践证明是有效的。该方法将数据进行缓存并对每个数据提取唯一的数据特征,这些数据特征还会从中提取更小的数据特征(HASH运算),将此数据特征(HASH运算后结果)作为数据存储地址对原数据进行存储。在进行数据比对时,查找对应存储地址相同的数据特征进行比对。对于前后非相关数据报文,基于目前方法的判决是合适的。
在异构多核处理器背景下,多个处理器采用多线程进行运算或配置。由于每个处理器的速度不一,线程调度方式不同,对连续操作的任务切分量不同,到达FPGA或ASIC芯片的数据通常是乱序的;并且每个异构多核处理器进行相同的操作的情况下,即便按顺序发送数据,其数据也可能是不同的。对于数据流内部存在相关性的数据,或者一次猝发的数据大小差异很大的数据,目前这些方法无法保证比对的有效性。
基于此,本发明实施例提供了一种拟态模糊判决方法、装置以及系统,可以应用于异构多核处理器的拟态判决或其他以太网报文的异构功能等价体的拟态判决。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种拟态模糊判决方法进行详细介绍。
参见图1所示的一种拟态模糊判决方法的流程图,该方法应用于与异构多核处理器连接的芯片;异构多核处理器包括多个处理器;多个处理器分别与芯片连接;该方法包括以下步骤:
步骤S100:接收当前处理器发送的第一通道协议报文;第一通道协议报文包括报文头及报文载荷。
上述当前处理器为异构多核处理器中的一个;将发送当前处理的协议报文处理器作为当前处理器,将当前处理的协议报文称为第一通道协议报文,与其他协议报文进行区分。上述协议报文由报文头及报文载荷构成;通常情况下,协议报文是根据通讯协议生成的,其格式与通讯协议中规定的格式相同;可以在报文头中获取到通讯协议的信息;报文载荷主要为待传输的数据。
步骤S102:根据报文头及报文载荷,对第一通道协议报文进行分解,生成多个子报文。
从报文头中获取到通讯协议的信息,确定报文载荷的数据结构格式后,可以基于该通讯协议所规定的报文结构对协议报文进行分解,生成多个子报文。在生成报文的过程中,还会这些子报文中可能会乱序的结构,并将随机序列和校验和等数据掩码掉。
步骤S104:生成每个子报文的哈希值。
上述哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值的;得到的较小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。要找到散列为同一个值的两个不同的输入,在计算上是不可能的,因此根据两段数据的哈希值可以判断两段数据是否完全一致。
步骤S106:根据预设的合并算法及子报文的哈希值,生成第一通道协议报文的第一整包特征。
上述合并算法包括快照特征、积累算法等;通过该合并算法对各个子报文的哈希值进行处理,得到子报文所属的协议报文的整包特征;通过对整包特征分析,可以得到子报文的数据内容有关信息。
步骤S108:根据第一整包特征、第二整包特征及预设判决阈值,对第一通道协议报文进行拟态判决;第二整包特征根据除当前处理器之外的处理器发送的第二通道协议报文;第二通道协议报文与第一整包特征所属的第一通道协议报文相对应。
具体地,上述第二通道协议报文为除了当前处理器的其他处理器发送至芯片的;第二通道协议报文与第一通道协议报文都是基于相同的待传输数据生成的。理论上,基于异构多核处理器的功能,第一整包特征与第二整包特征应该是相同的;然而在协议动态变化并且数据动态变化的场景中,在第一通道协议报文及第二通道协议报文等价的情况下,第一整包特征与第二整包特征也不会完全相同,而是有一定的数据相同比例。
在采用上述方法进行拟态判决的过程中,可以比对第一整包特征及第二整包特征,得到数据相同比例;然后判断数据相同比例是否大于或等于预设判决阈值;如果是,则确定第一通道协议报文与第二通道协议报文为等价的;上述预设判决阈值可以根据需求确定,阈值越高,则判定结果越严格。进一步地,为了研究当前处理器与其他处理器在一定的时间段内的数据流等价情况,还可以将在预设的时间周期内依次接收到的当前处理器发送的协议报文的整包特征存储起来,与其他处理器发送的协议报文的整包特征对应地一一比对,根据比对结果的数据相同比例再进行拟态判决。进一步地,为了确定异构多核处理器中每两个处理器在一定时间段内的数据流等价情况,均可以采用上述方式;还可以对根据每两个处理器发送的协议报文生成的整包特征进行周期性比对,从而对异构多核处理器输出的数据流的等价情况进行动态了解。
本发明实施例提供了一种拟态模糊判决方法;接收当前处理器发送的第一通道协议报文后,根据报文头及报文载荷,对第一通道协议报文进行分解,生成多个子报文;然后通过哈希算法生成每个子报文的哈希值;根据预设的合并算法及子报文的哈希值,生成第一通道协议报文的第一整包特征;最后根据第一整包特征、第二整包特征及预设判决阈值,对第一通道协议报文进行拟态判决。该方法提高了在协议动态变化并且数据动态变化的场景下,拟态判决的有效性。
本发明实施例还提供了另一种拟态模糊判决方法,该方法在图1所示的方法基础上实现,其流程图如图2所示;该方法包括以下步骤:
步骤S200:接收当前处理器发送的第一通道协议报文;第一通道协议报文包括报文头及报文载荷。
步骤S202:根据报文头的协议头层次及报文载荷的数据结构格式,对第一通道协议报文进行分解,得到初始子报文;该分解过程为提取缓存中的数据,分析相关字段,得到协议类型、协议层边界、报文长度等重要的描述符信息;根据数据解析生成的描述符,对协议层数据处理并根据可能乱序的数据结构进行分解。
步骤S204:根据协议头层次,将初始子报文中的随机序列及校验数据掩码掉,得到子报文;该过程可以保证异构功能等价处理器发送的相同功能的数据包能够得到正确的判决。
步骤S206:生成每个子报文的哈希值。
步骤S208:通过预设的积累算法对子报文的哈希值进行处理,得到整包哈希值;上述累积算法基于积累特征,是一种迭代运算;上述整包哈希值为碰撞率极小的哈希值,当两个协议报文等价时,其整包哈希值相同。
步骤S210:通过预设的快照特征算法对子报文的哈希值及整包哈希值进行处理,得到第一通道协议报文的第一整包特征;该过程主要用于完成子包特征的进一步映射,从而得到与整个协议报文(协议包)对应的单个特征,即整包特征。
步骤S212:将整包哈希值作为存储地址,将第一整包特征存储至预设的第一特征存储表;上述第一特征存储表中,存储着当前处理器发送的协议报文的整包特征;将在整包特征提取过程中获取到的整包哈希值作为存储地址,该存储地址具有唯一性,与该协议报文传输的数据相对应。
步骤S214:对第一特征存储表及第二特征存储表进行周期性的数据一致性检查,得到数据一致性百分比;第二特征存储表中存储第二整包特征。
具体地,上述周期性的数据一致性检查是指:检查第一特征存储表及第二特征存储表中,在预设的时间周期内存储的对应的整包特征的数据相同比例;第一特征存储表及第二特征存储表中,存储地址相同的第一整包特征与第二整包特征相对应。上述数据一致性百分比即对比的两个整包特征中相同数据的比例。
在预设的时间周期内,存储在所述第一存储表及第二存储表中的整包特征可能为0个,1个或多个。当存储在第一特征存储表的第一整包特征的数量为多个,存储在第二特征存储表的第二整包特征的数量也为多个时;将在预设的时间周期内存储在所述第一特征存储表及所述第二特征存储表中存储地址相同的第一整包特征及第二整包特征进行一一比对,得到数据一致性百分比;该数据一致性百分比可以由多个子百分比相加并归一化后得到;子百分比为对应的两个整包特征的相同数据的比例。
步骤S216:判断数据一致性百分比是否大于或等于预设判决阈值;上述预设判决阈值可以根据需求确定,阈值越高,则判断数据流等价时,可靠性越高;如果大于或等于,执行步骤S218;如果小于,执行步骤S220。
步骤S218:确定当前处理器和发送第二通道协议报文的处理器输出的数据流等价。
步骤S220,确定当前处理器和发送第二通道协议报文的处理器输出的数据流不等价。
本发明实施例提供的拟态模糊判断方法在数据流中的数据包有超过阈值的比对数据相同就认为异构处理器输出的数据流等价;因无需一一比对,所以可以免去报文对齐的过程(数据流乱序和发送异步导致),只需进行周期性的比对判决,提高了在协议动态变化并且数据动态变化的场景下,拟态判决的有效性,降低了干扰。
本发明实施例还提供了一种基于协议解析的拟态模糊判决实现方法,用于解决协议动态变化并且数据动态变化的场景下,多判决通道间的数据流比对。在该方法中,协议报文输入后经协议数据解析、特征提取、拟态模糊判决生成判决结果,其流程图如图3所示,主要包括以下步骤:
步骤1:数据缓存,接收协议数据并进行流水处理;
步骤2:数据解析,提取缓存中的数据,分析相关字段,得到协议类型、协议层边界、报文长度等重要的描述符信息;
步骤3:子报文数据生成,根据数据解析生成的描述符,对协议层数据处理并根据可能乱序的数据结构进行分解,然后封装成子报文;
步骤4:子报文特征地址和特征数据生成,将子报文数据,进行多种HASH算法的处理,得到碰撞率极小的HASH值,即特征地址和特征数据;
步骤5:快照特征和累积特征数据生成,一个协议报文会分解为若干个子报文,该步骤将所有子报文的特征合并,生成基于整包的HASH值;快照特征是基于矩阵运算,而累积特征是一种迭代运算,两个算法合并处理后生成唯一的支持乱序的数据报文;
步骤6:多维表项管理,为拟态模糊判决的存储管理,主要是将整包数据特征,按特定的格式存储,以便于拟态模糊判决;
步骤7:周期性判决和统计,进行数据报文特征长周期和短周期的数据一致性检查,判断比对的错误率是否大于阈值,并记录相关错误统计结果;
步骤8:错误上报,将错误统计结果封装成相应的格式输出给策略处理。
上述方法可以基于硬件实现,对应的基于协议解析的拟态模糊判决实现装置的整体框图如图4所示,主要包括行为解析模块、子包特征提取模块、快照处理模块(也称为快照特征生成模块)及拟态模糊判决模块。
行为解析模块,包含解析状态机和发送状态机,用于将以太网等协议报文依据协议头层次和数据载荷数据结构格式(可能会乱序)进行分解,生成一个个子报文,并剥离这些子报文中可能会乱序的结构,从而保证拟态判决能正确进行。另外,行为解析模块还会将各个协议层头中随机序列和校验和等数据掩码掉,保证异构功能等价处理器发送的相同功能的数据包能够得到正确的判决;异常处理用于解决解析出错、未知报文和不规范报文的解析问题;
子包特征提取模块,主要完成行为解析模块输出的子报文HASH特征生成,并同时根据累积算法得到历史特征,这些特征用于快照模块进一步生成基于整包的单个特征。
快照特征生成模块,主要完成子包特征的进一步映射,从而得到与整包一一对应的单个特征。
拟态模糊判决模块,用于一定容忍度的数据比对判决,是相对于数据流全部一一比对而后得到数据是否被篡改的方式而言;只要数据流中的数据包有超过阈值的比对数据相同就认为异构处理器输出的数据流等价;因无需一一比对,所以可以免去报文对齐的过程(数据流乱序和发送异步导致),只需进行周期性的比对判决;这个周期可以被拆分成两个周期,一个长周期用于判断数据流的长周期的一致性,一个短周期用于判断在最小判决窗口中数据一致性。
利用本发明的一适用于以太网报文的基于协议解析的拟态模糊判决方法,可以解决以太网协议数据报文乱序、数据报文内部数据格式乱序(比如数据载荷部分存在可能乱序的路由表项)、部分协议层数据和业务层数据存在随机值(会导致异构功能等价的处理器输出的报文判决错误)的情形,并且具有以下优点:
1、实现了数据报文内部数据格式乱序的拟态判决方法;
2、实现了部分协议层数据和业务层数据存在随机值的拟态判决方法;
3、实现了基于周期性判决的对于应用场景要求更低的拟态判决方法;
4、实现了报文间乱序报文内字段乱序的报文数据特征提取方法;
5、实现了对协议报文进行解析提取并进行拟态判决的新型数据流判决框架。
本发明实施例还提供一种拟态模糊判决装置,其结构示意图如图5所示;该装置设置于与异构多核处理器连接的芯片;异构多核处理器包括多个处理器;多个处理器分别与芯片连接;该装置包括:报文接收模块500,用于接收当前处理器发送的第一通道协议报文;第一通道协议报文包括报文头及报文载荷;报文分解模块502,用于根据报文头,对协议报文进行分解,生成多个子报文;哈希值生成模块504,用于,生成每个子报文的哈希值;整包特征生成模块506,用于根据预设的合并算法及子报文的哈希值,生成第一通道协议报文的整包特征;拟态判决模块508,用于根据第一整包特征、第二整包特征及预设判决阈值,对第一通道协议报文进行拟态判决;第二整包特征根据除当前处理器之外的处理器发送的第二通道协议报文生成;第二通道协议报文与第一整包特征所属的第一通道协议报文相对应。
进一步地,上述报文分解模块还用于:根据报文头的协议头层次及报文载荷的数据结构格式,对第一通道协议报文进行分解,得到初始子报文;根据协议头层次,将初始子报文中的随机序列及校验数据掩码掉,得到子报文。
进一步地,上述整包特征生成模块还用于:通过预设的积累算法对子报文的哈希值进行处理,得到整包哈希值;通过预设的快照特征算法对子报文的哈希值及整包哈希值进行处理,得到协议报文的整包特征。
进一步地,上述拟态判决模块还用于:将整包哈希值作为存储地址,将第一整包特征存储至预设的第一特征存储表;对第一特征存储表及第二特征存储表进行周期性的数据一致性检查,得到数据一致性百分比;第二特征存储表中存储第二整包特征;判断数据一致性百分比是否大于或等于预设判决阈值;如果大于或等于,则确定当前处理器和发送第二通道协议报文的处理器输出的数据流等价。
本发明实施例提供的一种拟态模糊判决装置,与上述实施例提供的一种拟态模糊判决方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
对应与上述实施例,本发明实施例还提供一种拟态模糊判决系统,其结构示意图如图6所示;该系统包括异构多核处理器60及芯片61;上述装置设置于芯片。
本发明实施例所提供的拟态模糊判决方法、装置以及系统的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和/或装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种拟态模糊判决方法,其特征在于,所述方法应用于与异构多核处理器连接的芯片;所述异构多核处理器包括多个处理器;多个处理器分别与所述芯片连接;所述方法包括:
接收当前处理器发送的第一通道协议报文;所述第一通道协议报文包括报文头及报文载荷;
根据所述报文头及报文载荷,对所述第一通道协议报文进行分解,生成多个子报文;
生成每个所述子报文的哈希值;
根据预设的合并算法及所述子报文的哈希值,生成所述第一通道协议报文的第一整包特征;
根据所述第一整包特征、第二整包特征及预设判决阈值,对所述第一通道协议报文进行拟态判决;所述第二整包特征根据除当前处理器之外的处理器发送的第二通道协议报文生成;所述第二通道协议报文与第一整包特征所属的第一通道协议报文相对应。
2.根据权利要求1所述的方法,其特征在于,所述根据所述报文头,对所述协议报文进行分解,生成多个子报文的步骤,包括:
根据所述报文头的协议头层次及所述报文载荷的数据结构格式,对所述第一通道协议报文进行分解,得到初始子报文;
根据所述协议头层次,将所述初始子报文中的随机序列及校验数据掩码掉,得到子报文。
3.根据权利要求1所述的方法,其特征在于,所述根据预设的合并算法及所述子报文的哈希值,生成所述第一通道协议报文的第一整包特征的步骤,包括:
通过预设的积累算法对所述子报文的哈希值进行处理,得到整包哈希值;
通过预设的快照特征算法对所述子报文的哈希值及所述整包哈希值进行处理,得到所述第一通道协议报文的第一整包特征。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第一整包特征、第二整包特征及预设判决阈值,对所述第一通道协议报文进行拟态判决的步骤,包括:
将所述整包哈希值作为存储地址,将所述第一整包特征存储至预设的第一特征存储表;
对所述第一特征存储表及第二特征存储表进行周期性的数据一致性检查,得到数据一致性百分比;所述第二特征存储表中存储第二整包特征;
判断所述数据一致性百分比是否大于或等于所述预设判决阈值;
如果大于或等于,则确定当前处理器和发送所述第二通道协议报文的处理器输出的数据流等价。
5.根据权利要求4所述的方法,其特征在于,在预设的时间周期内,存储在所述第一特征存储表的第一整包特征的数量为多个,存储在所述第二特征存储表的第二整包特征的数量为多个;
所述对所述第一特征存储表及第二特征存储表进行周期性的数据一致性检查,得到数据一致性百分比的步骤,包括:将在预设的时间周期内存储在所述第一特征存储表及所述第二特征存储表中存储地址相同的第一整包特征及第二整包特征进行一一比对,得到数据一致性百分比。
6.一种拟态模糊判决装置,其特征在于,所述装置设置于与异构多核处理器连接的芯片;所述异构多核处理器包括多个处理器;多个处理器分别与所述芯片连接;所述装置包括:
报文接收模块,用于接收当前处理器发送的第一通道协议报文;所述第一通道协议报文包括报文头及报文载荷;
报文分解模块,用于根据所述报文头及报文载荷,对所述第一通道协议报文进行分解,生成多个子报文;
哈希值生成模块,用于生成每个所述子报文的哈希值;
整包特征生成模块,用于根据预设的合并算法及所述子报文的哈希值,生成所述第一通道协议报文的第一整包特征;
拟态判决模块,用于根据所述第一整包特征、第二整包特征及预设判决阈值,对所述第一通道协议报文进行拟态判决;所述第二整包特征根据除当前处理器之外的处理器发送的第二通道协议报文生成;所述第二通道协议报文与第一整包特征所属的第一通道协议报文相对应。
7.根据权利要求6所述的装置,其特征在于,所述报文分解模块还用于:
根据所述报文头的协议头层次及所述报文载荷的数据结构格式,对所述第一通道协议报文进行分解,得到初始子报文;
根据所述协议头层次,将所述初始子报文中的随机序列及校验数据掩码掉,得到子报文。
8.根据权利要求6所述的装置,其特征在于,所述整包特征生成模块还用于:
通过预设的积累算法对所述子报文的哈希值进行处理,得到整包哈希值;
通过预设的快照特征算法对所述子报文的哈希值及所述整包哈希值进行处理,得到所述第一通道协议报文的第一整包特征。
9.根据权利要求8所述的装置,其特征在于,所述拟态判决模块还用于:
将所述整包哈希值作为存储地址,将所述第一整包特征存储至预设的第一特征存储表;
对所述第一特征存储表及第二特征存储表进行周期性的数据一致性检查,得到数据一致性百分比;所述第二特征存储表中存储第二整包特征;
判断所述数据一致性百分比是否大于或等于所述预设判决阈值;
如果大于或等于,则确定当前处理器和发送所述第二通道协议报文的处理器输出的数据流等价。
10.一种拟态模糊判决系统,其特征在于,包括异构多核处理器及芯片;权利要求6-9任一项所述的装置设置于所述芯片。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910914601.6A CN110650020B (zh) | 2019-09-25 | 2019-09-25 | 拟态模糊判决方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910914601.6A CN110650020B (zh) | 2019-09-25 | 2019-09-25 | 拟态模糊判决方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110650020A true CN110650020A (zh) | 2020-01-03 |
CN110650020B CN110650020B (zh) | 2022-05-10 |
Family
ID=69011284
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910914601.6A Active CN110650020B (zh) | 2019-09-25 | 2019-09-25 | 拟态模糊判决方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110650020B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111556008A (zh) * | 2020-03-16 | 2020-08-18 | 中国人民解放军战略支援部队信息工程大学 | 拟态架构交换设备中有状态协议的同步方法 |
CN111885016A (zh) * | 2020-07-06 | 2020-11-03 | 河南信大网御科技有限公司 | 一种基于数据报文的快速裁决方法、系统及架构 |
CN112118219A (zh) * | 2020-07-29 | 2020-12-22 | 天津芯海创科技有限公司 | 拟态判决方法、装置、电子设备及计算机可读存储介质 |
CN114301810A (zh) * | 2021-03-29 | 2022-04-08 | 井芯微电子技术(天津)有限公司 | 数据特征计算一致性的实现方法、装置、设备及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102811169A (zh) * | 2012-07-24 | 2012-12-05 | 成都卫士通信息产业股份有限公司 | 采用哈希算法进行多核并行处理的vpn实现方法及系统 |
US8364949B1 (en) * | 2005-11-01 | 2013-01-29 | Juniper Networks, Inc. | Authentication for TCP-based routing and management protocols |
US20150082002A1 (en) * | 2013-09-19 | 2015-03-19 | Jorge E. Parra | Dynamic heterogeneous hashing functions in ranges of system memory addressing space |
CN105022671A (zh) * | 2015-07-20 | 2015-11-04 | 中国科学院计算技术研究所 | 一种用于流式数据并行处理的负载均衡方法 |
CN105431827A (zh) * | 2013-08-07 | 2016-03-23 | 高通股份有限公司 | 针对异构多处理器系统中的共享存储区域的动态地址协商 |
CN107679192A (zh) * | 2017-10-09 | 2018-02-09 | 中国工商银行股份有限公司 | 多集群协同数据处理方法、系统、存储介质及设备 |
CN107995202A (zh) * | 2017-12-08 | 2018-05-04 | 杭州电子科技大学 | 一种采用Hash表组合实现拟态防御模型表决器的方法 |
CN109450900A (zh) * | 2018-11-09 | 2019-03-08 | 天津市滨海新区信息技术创新中心 | 拟态判决方法、装置及系统 |
CN110166435A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用负载均衡进行动态调度的拟态Web网关系统及方法 |
-
2019
- 2019-09-25 CN CN201910914601.6A patent/CN110650020B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8364949B1 (en) * | 2005-11-01 | 2013-01-29 | Juniper Networks, Inc. | Authentication for TCP-based routing and management protocols |
CN102811169A (zh) * | 2012-07-24 | 2012-12-05 | 成都卫士通信息产业股份有限公司 | 采用哈希算法进行多核并行处理的vpn实现方法及系统 |
CN105431827A (zh) * | 2013-08-07 | 2016-03-23 | 高通股份有限公司 | 针对异构多处理器系统中的共享存储区域的动态地址协商 |
US20150082002A1 (en) * | 2013-09-19 | 2015-03-19 | Jorge E. Parra | Dynamic heterogeneous hashing functions in ranges of system memory addressing space |
CN105022671A (zh) * | 2015-07-20 | 2015-11-04 | 中国科学院计算技术研究所 | 一种用于流式数据并行处理的负载均衡方法 |
CN107679192A (zh) * | 2017-10-09 | 2018-02-09 | 中国工商银行股份有限公司 | 多集群协同数据处理方法、系统、存储介质及设备 |
CN107995202A (zh) * | 2017-12-08 | 2018-05-04 | 杭州电子科技大学 | 一种采用Hash表组合实现拟态防御模型表决器的方法 |
CN109450900A (zh) * | 2018-11-09 | 2019-03-08 | 天津市滨海新区信息技术创新中心 | 拟态判决方法、装置及系统 |
CN110166435A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用负载均衡进行动态调度的拟态Web网关系统及方法 |
Non-Patent Citations (3)
Title |
---|
LIU QINRANG ET AL: "A self-adaptive timeout mechanism in Mimic Defense System", 《2017 8TH IEEE INTERNATIONAL CONFERENCE ON SOFTWARE ENGINEERING AND SERVICE SCIENCE (ICSESS)》 * |
佘平等: "面向拟态防御系统的存储校验模型", 《数字技术与应用》 * |
刘勤让等: "面向拟态安全防御的异构功能等价体调度算法", 《通信学报》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111556008A (zh) * | 2020-03-16 | 2020-08-18 | 中国人民解放军战略支援部队信息工程大学 | 拟态架构交换设备中有状态协议的同步方法 |
CN111556008B (zh) * | 2020-03-16 | 2022-03-25 | 中国人民解放军战略支援部队信息工程大学 | 拟态架构交换设备中有状态协议的同步方法 |
CN111885016A (zh) * | 2020-07-06 | 2020-11-03 | 河南信大网御科技有限公司 | 一种基于数据报文的快速裁决方法、系统及架构 |
CN112118219A (zh) * | 2020-07-29 | 2020-12-22 | 天津芯海创科技有限公司 | 拟态判决方法、装置、电子设备及计算机可读存储介质 |
CN114301810A (zh) * | 2021-03-29 | 2022-04-08 | 井芯微电子技术(天津)有限公司 | 数据特征计算一致性的实现方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110650020B (zh) | 2022-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110650020B (zh) | 拟态模糊判决方法、装置及系统 | |
US10554526B2 (en) | Feature vector based anomaly detection in an information technology environment | |
CN109587008B (zh) | 检测异常流量数据的方法、装置及存储介质 | |
CN109450900B (zh) | 拟态判决方法、装置及系统 | |
JP6055548B2 (ja) | データストリームにおいてデータパターンを検出する装置、方法、及びネットワークサーバ | |
US20170300595A1 (en) | Data packet extraction method and apparatus | |
CN110287163B (zh) | 安全日志采集解析方法、装置、设备及介质 | |
US20130262703A1 (en) | System and method for reducing netflow traffic in a network environment | |
CN101465760A (zh) | 一种检测拒绝服务攻击的方法和系统 | |
CN107733834B (zh) | 一种数据泄露防护方法及装置 | |
CN103841096A (zh) | 自动调整匹配算法的入侵检测方法 | |
CN107454120A (zh) | 网络攻击防御系统和防御网络攻击的方法 | |
CN111245848A (zh) | 一种分层依赖关系建模的工控入侵检测方法 | |
CN113206797A (zh) | 一种流量控制方法、装置、电子设备和存储介质 | |
CN111782700A (zh) | 基于双层结构的数据流频次估计方法、系统及介质 | |
CN101159673A (zh) | 一种随机抽样方法和装置 | |
Lai et al. | Tabular interpolation approach based on stable random projection for estimating empirical entropy of high-speed network traffic | |
CN115296904B (zh) | 域名反射攻击检测方法及装置、电子设备、存储介质 | |
Cheng et al. | Development of deep packet inspection system for network traffic analysis and intrusion detection | |
CN115550217B (zh) | 针对云网络中七层负载均衡场景的网络诊断方法及装置 | |
CN113810336A (zh) | 一种数据报文加密判定方法、装置及计算机设备 | |
Wirz et al. | Design and development of a cloud-based ids using apache KAFKA and spark streaming | |
CN109842511B (zh) | 一种tcp性能参数的确定方法及系统 | |
CN113037551A (zh) | 一种基于流量切片的涉敏业务快速识别定位方法 | |
Chabchoub et al. | Analysis of an algorithm catching elephants on the internet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |