CN110719281A - 一种OpenWrt中拟态Web的实现方法 - Google Patents
一种OpenWrt中拟态Web的实现方法 Download PDFInfo
- Publication number
- CN110719281A CN110719281A CN201910957537.XA CN201910957537A CN110719281A CN 110719281 A CN110719281 A CN 110719281A CN 201910957537 A CN201910957537 A CN 201910957537A CN 110719281 A CN110719281 A CN 110719281A
- Authority
- CN
- China
- Prior art keywords
- module
- executive
- information
- heterogeneous
- openwrt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种OpenWrt中拟态Web的实现方法,该方法包括:设置拟态化组件,所述拟态化组件包括输入代理分发模块、判断裁决模块、执行体调度模块和配置文件指纹信息验证与裁决模块;所述输入代理分发模块将HTTP请求信息分发给在线的异构执行体;所述判断裁决模块对不同的异构执行体返回的HTTP响应信息进行裁决判定;异构执行体在接收到配置信息的读写命令时,将该读写命令发送给所述配置文件指纹信息验证与裁决模块;所述执行体调度模块在接收到所述判断裁决模块或者所述配置文件指纹信息验证与裁决模块发送的执行体调度通知信息时对异构执行体进行调度。
Description
技术领域
本发明属于拟态防御技术领域,具体涉及一种OpenWrt中拟态Web的实现方法。
背景技术
无线WIFI路由器的广泛应用给人们访问互联网提供了一条非常便捷的通道。随着OpenWrt路由器系统的开源,无线路由器的开发和生产成本变得非常低,这为无线路由器的广泛普及提供了条件。由于OpenWrt是一套开源的系统,其分支版本被应用在大多数的中低端无线WIFI路由器中,但是OpenWrt中还存在有很多未知和未解决的漏洞,攻击者如果探测到这些漏洞并加以利用,将给无线网络安全带来极大的隐患。
大多数网络设备遭受攻击都是通过设备的管理接口实现的,在OpenWrt这样一个开源的系统框架中,由于无线路由器的Web管理页面实现方式基本都是一样的,将极容易被攻击者进行渗透和攻击,从而破坏无线网络环境的安全性。
目前,有关基于OpenWrt系统的拟态Web实现的技术研究较少。关于拟态web服务器实现相关的专利,其中在109218440A中描述了一种通用的拟态web服务器异构执行体的动态调度算法。但是该专利申请中并没有提供具体的拟态Web实现方式,尤其是没有提供如何在嵌入式设备领域实现Web的拟态化。
发明内容
本发明针对现有技术的不足,提供一种OpenWrt中拟态Web的实现方法,具体方案如下:
本发明提供了一种OpenWrt中拟态Web的实现方法,该方法包括:
设置拟态化组件,所述拟态化组件包括输入代理分发模块、判断裁决模块、执行体调度模块和配置文件指纹信息验证与裁决模块;
所述输入代理分发模块将HTTP请求信息分发给在线的异构执行体;
所述判断裁决模块对不同的异构执行体返回的HTTP响应信息进行裁决判定,确认返回的HTTP有效报文信息是否一致,如果响应信息一致,则返回正确的HTTP响应报文;如果不一致,则基于大数原则,将多数一致的信息返回,并向所述执行体调度模块发送执行体调度通知信息;
异构执行体在接收到配置信息的读写命令时,将该读写命令发送给所述配置文件指纹信息验证与裁决模块,在所有异构执行体下发的读写指令一致时,所述配置文件指纹信息验证与裁决模块将正确的配置信息通过读写配置接口实现配置信息读写操作;否则基于大数原则,将正确的配置信息下发,并返回给对应的异构执行体裁决信息,同时向所述执行体调度模块发送执行体调度通知信息;
所述执行体调度模块在接收到所述判断裁决模块或者所述配置文件指纹信息验证与裁决模块发送的执行体调度通知信息时对异构执行体进行调度。
基于上述,所述输入代理分发模块与所述判断裁决模块之间通过TCP连接的会话描述符建立联系,用以实现正确的HTTP请求与响应。
基于上述,所述执行体调度模块还设置每隔预设时间进行自动触发一次执行体调度。
基于上述,所述执行体调度通知信息包括异常执行体的编号。
基于上述,所述异构执行体采用的异构化方法为:在OpenWrt下运行不同的web容器进程来实现web服务器的异构。
基于上述,利用LuCI的不同版本来实现在OpenWrt下的LuCI框架的异构化。
基于上述,所述异构执行体还包括用于异构执行体之间的调度与清洗的备份执行体。
本发明相对现有技术具有实质性特点和进步,具体地说,本发明的目的主要是解决基于OpenWrt系统Web管理面中存在的已知和未知安全问题,基于网络空间拟态防御理论为OpenWrt系统的Web管理页面拟态化提供一种有效的解决方案,用以防止攻击者利用无线网络设备的Web管理接口对网络设备实施攻击。具体的,本发明主要解决以下技术问题:
1、在OpenWrt系统中,其Web应用是一套通用的实现机制,为了实现openwrt系统的web异构化,本发明提出了基于Openwrt的通用web框架的执行体异构方法,并公开其web框架解释器异构化方法;
2、在OpenWrt系统中,通过Web管理页面读写的配置信息均是以配置文件的形式保存在系统中,为了完成web管理页面的拟态化,需要对拟态执行体下发配置信息的接口实现裁决,从而保证配置文件读写的安全性。本发明公开了对OpenWrt下配置文件的拟态读写方法,能够对Web配置信息进行裁决和配置读写,用以解决多执行体读写配置文件同步的问题;
3、OpenWrt通常会运行在一些硬件受限的嵌入式设备中,本发明公开了实现基于独立OpenWrt系统的拟态化Web实现方法,用来在硬件受限的嵌入式设备中实现拟态Web功能。
4、本发明的拟态组件基于OpenWrt开发,能够依托于OpenWrt支持的丰富硬件设备,方便移植到各种类型的硬件设备中,同时,本发明所述的拟态组件功能能够不受硬件限制,可以方便的移植到其他的嵌入式Linux设备中。
附图说明
图1是本发明方法的Web服务器执行体异构方法实施框图。
图2是本发明方法的实现框图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
如图1和图2所示,一种OpenWrt中拟态Web的实现方法,该方法包括:
设置拟态化组件,所述拟态化组件包括输入代理分发模块、判断裁决模块、执行体调度模块和配置文件指纹信息验证与裁决模块。
由于OpenWrt通常运行在一些硬件受限的嵌入式设备中,在OpenWrt下使用不同的进程来运行异构的执行体。以OpenWrt系统运行的LuCI框架web服务为例,对于LuCI框架,可以利用LuCI的不同版本来实现执行体的异构化。其中执行体1基于web容器1和Lua版本1实现一组Web服务,采用LuCIv1作为Web框架;执行体2基于web容器2和LuaJIT实现一组Web服务,采用LuCIv2作为Web框架;执行体3基于web容器3和 Lua版本2实现一组Web服务,采用LuCIv3作为Web框架;在其他实施例中,还可以设置一组备份执行体通过web容器1和LuaJIT实现,采用LuCIv1作为Web框架,用于异构执行体之间的调度与清洗。对于其他类型的web服务框架,均可使用该异构化方式实现web执行体异构。
所述输入代理分发模块将HTTP请求信息分发给在线的异构执行体;
所述判断裁决模块对不同的异构执行体返回的HTTP响应信息进行裁决判定,确认返回的HTTP有效报文信息是否一致,如果响应信息一致,则返回正确的HTTP响应报文;如果不一致,则基于大数原则,将多数一致的信息返回,并向所述执行体调度模块发送执行体调度通知信息,所述执行体调度通知信息包括异常执行体的编号;特别的,所述输入代理分发模块与所述判断裁决模块之间通过TCP连接的会话描述符建立联系,用以实现正确的HTTP请求与响应。
异构执行体在接收到配置信息的读写命令时,将该读写命令发送给所述配置文件指纹信息验证与裁决模块,在所有异构执行体下发的读写指令一致时,所述配置文件指纹信息验证与裁决模块将正确的配置信息通过读写配置接口实现配置信息读写操作;否则基于大数原则,将正确的配置信息下发,并返回给对应的异构执行体裁决信息,同时向所述执行体调度模块发送执行体调度通知信息,所述执行体调度通知信息包括异常执行体的编号;
所述执行体调度模块在接收到所述判断裁决模块或者所述配置文件指纹信息验证与裁决模块发送的执行体调度通知信息时对异构执行体进行调度。在其它实施例中,所述执行体调度模块还设置每隔预设时间进行自动触发一次执行体调度。通过定时调度功能,能够保证执行体即使在遭受N模攻击时也能够在预设时间间隔完成主动攻击防御,从而保证Web服务的安全性。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (7)
1.一种OpenWrt中拟态Web的实现方法,其特征在于,该方法包括:
设置拟态化组件,所述拟态化组件包括输入代理分发模块、判断裁决模块、执行体调度模块和配置文件指纹信息验证与裁决模块;
所述输入代理分发模块将HTTP请求信息分发给在线的异构执行体;
所述判断裁决模块对不同的异构执行体返回的HTTP响应信息进行裁决判定,确认返回的HTTP有效报文信息是否一致,如果响应信息一致,则返回正确的HTTP响应报文;如果不一致,则基于大数原则,将多数一致的信息返回,并向所述执行体调度模块发送执行体调度通知信息;
异构执行体在接收到配置信息的读写命令时,将该读写命令发送给所述配置文件指纹信息验证与裁决模块,在所有异构执行体下发的读写指令一致时,所述配置文件指纹信息验证与裁决模块将正确的配置信息通过读写配置接口实现配置信息读写操作;否则基于大数原则,将正确的配置信息下发,并返回给对应的异构执行体裁决信息,同时向所述执行体调度模块发送执行体调度通知信息;
所述执行体调度模块在接收到所述判断裁决模块或者所述配置文件指纹信息验证与裁决模块发送的执行体调度通知信息时对异构执行体进行调度。
2.根据权利要求1所述的OpenWrt中拟态Web的实现方法,其特征在于:所述输入代理分发模块与所述判断裁决模块之间通过TCP连接的会话描述符建立联系,用以实现正确的HTTP请求与响应。
3.根据权利要求1所述的OpenWrt中拟态Web的实现方法,其特征在于:所述执行体调度模块还设置每隔预设时间进行自动触发一次执行体调度。
4.根据权利要求1所述的OpenWrt中拟态Web的实现方法,其特征在于:所述执行体调度通知信息包括异常执行体的编号。
5.根据权利要求1所述的OpenWrt中拟态Web的实现方法,其特征在于,所述异构执行体采用的异构化方法为:在OpenWrt下运行不同的web容器进程来实现web服务器的异构。
6.根据权利要求5所述的OpenWrt中拟态Web的实现方法,其特征在于,利用LuCI的不同版本来实现在OpenWrt下的LuCI框架的异构化。
7.根据权利要求1所述的OpenWrt中拟态Web的实现方法,其特征在于:所述异构执行体还包括用于异构执行体之间的调度与清洗的备份执行体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910957537.XA CN110719281B (zh) | 2019-10-10 | 2019-10-10 | 一种OpenWrt中拟态Web的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910957537.XA CN110719281B (zh) | 2019-10-10 | 2019-10-10 | 一种OpenWrt中拟态Web的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110719281A true CN110719281A (zh) | 2020-01-21 |
| CN110719281B CN110719281B (zh) | 2020-09-15 |
Family
ID=69211305
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910957537.XA Active CN110719281B (zh) | 2019-10-10 | 2019-10-10 | 一种OpenWrt中拟态Web的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110719281B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111431944A (zh) * | 2020-06-10 | 2020-07-17 | 之江实验室 | 一种拟态裁决系统及其配置和恢复方法 |
| CN111796913A (zh) * | 2020-07-13 | 2020-10-20 | 郑州昂视信息科技有限公司 | 一种拟态Web服务的轻量级虚拟化实现方法及系统 |
| CN112242998A (zh) * | 2020-09-29 | 2021-01-19 | 中国人民解放军战略支援部队信息工程大学 | 一种主备模式的网络威胁检测与处理装置及方法 |
| CN113572662A (zh) * | 2021-07-30 | 2021-10-29 | 北京天融信网络安全技术有限公司 | 网络测试方法、装置、电子设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2579539A1 (en) * | 2011-10-03 | 2013-04-10 | Verisign, Inc. | Authenicated name resolution |
| WO2016145364A1 (en) * | 2015-03-11 | 2016-09-15 | Pitroda Satyan G | Methods and systems for a unified multi-media communications system |
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| US20180159888A1 (en) * | 2016-10-31 | 2018-06-07 | KnowBe4, Inc. | Systems and methods for an artificial intelligence driven smart template |
| CN109218440A (zh) * | 2018-10-12 | 2019-01-15 | 上海拟态数据技术有限公司 | 一种场景化的拟态web服务器异构执行体动态调度方法 |
| CN109587168A (zh) * | 2018-12-29 | 2019-04-05 | 河南信大网御科技有限公司 | 软件定义网络中基于拟态防御的网络功能部署方法 |
| CN110166435A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用负载均衡进行动态调度的拟态Web网关系统及方法 |
-
2019
- 2019-10-10 CN CN201910957537.XA patent/CN110719281B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2579539A1 (en) * | 2011-10-03 | 2013-04-10 | Verisign, Inc. | Authenicated name resolution |
| WO2016145364A1 (en) * | 2015-03-11 | 2016-09-15 | Pitroda Satyan G | Methods and systems for a unified multi-media communications system |
| US20180159888A1 (en) * | 2016-10-31 | 2018-06-07 | KnowBe4, Inc. | Systems and methods for an artificial intelligence driven smart template |
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN109218440A (zh) * | 2018-10-12 | 2019-01-15 | 上海拟态数据技术有限公司 | 一种场景化的拟态web服务器异构执行体动态调度方法 |
| CN109587168A (zh) * | 2018-12-29 | 2019-04-05 | 河南信大网御科技有限公司 | 软件定义网络中基于拟态防御的网络功能部署方法 |
| CN110166435A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用负载均衡进行动态调度的拟态Web网关系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| MAREK KCIUK: "OpenWRT operating system based controllers for mobile robot and building automation system students projects realization", 《15TH INTERNATIONAL WORKSHOP ON RESEARCH AND EDUCATION IN MECHATRONICS (REM)》 * |
| 张杰鑫等: "面向拟态构造Web服务器的执行体调度算法", 《计算机工程》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111431944A (zh) * | 2020-06-10 | 2020-07-17 | 之江实验室 | 一种拟态裁决系统及其配置和恢复方法 |
| CN111796913A (zh) * | 2020-07-13 | 2020-10-20 | 郑州昂视信息科技有限公司 | 一种拟态Web服务的轻量级虚拟化实现方法及系统 |
| CN112242998A (zh) * | 2020-09-29 | 2021-01-19 | 中国人民解放军战略支援部队信息工程大学 | 一种主备模式的网络威胁检测与处理装置及方法 |
| CN113572662A (zh) * | 2021-07-30 | 2021-10-29 | 北京天融信网络安全技术有限公司 | 网络测试方法、装置、电子设备及可读存储介质 |
| CN113572662B (zh) * | 2021-07-30 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 网络测试方法、装置、电子设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110719281B (zh) | 2020-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719281B (zh) | 一种OpenWrt中拟态Web的实现方法 | |
| US7725531B1 (en) | Single use server system | |
| Kirsch et al. | Survivable SCADA via intrusion-tolerant replication | |
| CN104520869A (zh) | 可信执行环境虚拟机克隆 | |
| EP3765982B1 (en) | Autonomous cross-scope secrets management | |
| WO2005101181A3 (en) | System and method for supporting block-based protocols on a virtual storage appliance executing within a physical storage appliance | |
| US10943010B2 (en) | Generation of a random value for a child process | |
| Platania et al. | Towards a practical survivable intrusion tolerant replication system | |
| CN110764871A (zh) | 一种基于云平台的拟态化应用封装与控制系统和方法 | |
| CN106656514A (zh) | kerberos认证集群访问方法、SparkStandalone集群及其驱动节点 | |
| CN101873298A (zh) | 注册方法及终端、服务器、系统 | |
| CN110047346A (zh) | 虚拟仿真教学实训平台的仿真方法及仿真教学实训系统 | |
| CN102801711B (zh) | 基于硬件处理板的自主可控网站安全防御系统 | |
| CN104539672A (zh) | 一种基于云计算的移动应用程序消息推送代理系统 | |
| CN103970567A (zh) | 一种云存储系统固件在线升级的方法 | |
| CN109032763A (zh) | 一种虚拟机迁移方法及虚拟机管理器 | |
| CN104410674A (zh) | 一种单点登录系统的web会话同步方法 | |
| CN111083113A (zh) | 拟态分发系统、方法及介质 | |
| CN109361542A (zh) | 客户端的故障处理方法、装置、系统、终端和服务器 | |
| CN109167961A (zh) | 安防视频备份方法及系统、普通节点 | |
| CN107920063A (zh) | 一种在线更新tokenID的方法 | |
| Dsouza et al. | Building resilient cloud services using DDDAS and moving target defence | |
| CN111092864B (zh) | 一种会话保护方法、装置、设备及可读存储介质 | |
| Azab et al. | CyberX: A biologically-inspired platform for cyber trust management | |
| CN109413092A (zh) | 一种密钥异构防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |