CN110995651A - 一种对异构执行体池可靠性进行判决的方法 - Google Patents
一种对异构执行体池可靠性进行判决的方法 Download PDFInfo
- Publication number
- CN110995651A CN110995651A CN201911058101.3A CN201911058101A CN110995651A CN 110995651 A CN110995651 A CN 110995651A CN 201911058101 A CN201911058101 A CN 201911058101A CN 110995651 A CN110995651 A CN 110995651A
- Authority
- CN
- China
- Prior art keywords
- reliability
- coefficient
- execution
- executive
- mimicry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000007123 defense Effects 0.000 claims description 10
- 238000010586 diagram Methods 0.000 claims description 3
- 239000000126 substance Substances 0.000 claims description 3
- 230000003313 weakening effect Effects 0.000 claims description 3
- 239000010410 layer Substances 0.000 description 16
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000012792 core layer Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002620 method output Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明所公布的一种对异构执行体池可靠性进行判决的方法。本发明步骤如下:步骤1设定初始化阶段的可靠度系数w0。步骤2计算出调度器选择的执行体集中的执行体的可靠度系数,对输出结果的执行体进行分类。将输出结果相同的执行体归为一类,同一类的执行体可靠度系数相加,取其中相加可靠度系数最大类别的输出结果,作为最终判决输出结果。步骤(3比较每个执行体的输出结果是否与其它执行体的输出结果相同,对每个执行体的可靠性系数进行判决更新。本发明是拟态控制层中的通过计算可靠度系数的判决器来对拟态控制层异构执行体池进行判决,从而选取出安全性更高的执行体集。使用这种方法对执行体的安全性进行判决,可以提高整个SDN系统的可靠性。
Description
技术领域
本发明属于网络通信技术领域,尤其涉及一种对异构执行体池可靠性进行判决的方法。
背景技术
在SDN网络中控制器可以通过OpenFlow协议下发交换机路径转发规则,控制网络数据流的转发路径,可非常快速有效对业务流传输路径进行配置,规划数据流所经过的服务功能路径,从而可以实现服务链路径的快速部署,满足用户需求,但这只有在安全的基础上才显得有意义。
目前SDN不断曝出控制层的漏洞与后门,控制器的单点脆弱性问题,结构的静态特性,无法应对安全问题。控制层作为SDN的核心层,保障在SDN中配置的控制层的安全性可以有效的防御攻击,增加攻击者的难度。
将拟态防御技术应用到控制层中,设计出路径配置的SDN网络拟态架构,改进了目前拟态防御中采用的多数判决算法,通过计算可靠度系数的判决器来选取正确的执行体集,来提升SDN控制层的防御能力,有效的解决了目前SDN控制层易受攻击的状况,保障路径配置信息正确生成与下发,大大提高了系统安全率,能够有效提高攻击者攻击难度,增加系统安全可靠性。
发明内容
本发明的目的是克服现有技术的不足,提出一种对异构执行体池可靠性进行判决的方法。
本发明解决其技术问题所采用的技术方案具体如下:
基于路径配置的SDN网络拟态架构图由应用层、拟态控制层和数据层组成,拟态控制层由北向代理、调度器、异构执行体池、判决器和南向代理组成。
所述的调度器是按照规定的调度策略对执行体池中的执行体进行调度,从而选取出可靠性更高的执行体集。所述的判决器是依据可靠度系数对拟态控制层中的异构执行体池进行比较,从而选取出可靠性最高的执行体集。所述的可靠度系数是根据每个执行体属性中的安全防御系数设定的值。所述安全防御系数是对各个执行体的安全性能进行量化设置的值。
一种对异构执行体池可靠性进行判决的方法,具体实现步骤如下:
步骤(1)设定初始化阶段的可靠度系数w0。
步骤(2)计算出调度器选择的执行体集中的执行体的可靠度系数,对输出结果的执行体进行分类。将输出结果相同的执行体归为一类,同一类的执行体可靠度系数相加,取其中相加可靠度系数最大类别的输出结果,作为最终判决输出结果。
步骤(3)比较每个执行体的输出结果是否与其它执行体的输出结果相同,对每个执行体的可靠性系数进行判决更新。
其中,
表示执行体的输出,
为判决器选中的最终输出,n为当前活跃的执行体个数,m为当前执行体输出
相同的执行体个数,a为常数弱化w的变化幅度。
本发明有益效果如下:
传统方式对输入消息的处理就一个执行体处理后输出结果,相比多个执行体共同处理采用多数判决得到输出正确结果的概率要低得多。本发明通过对执行体引入依靠可靠度系数计算的判决器,并通过判断每个执行体的输出是否与其它执行体的输出结果相同,从而对每个执行体的可靠性系数进行判决更新。可以提高攻击者攻击难度,增加系统安全可靠性。对于多个异构执行体采用判决器进行可靠性的判别,通过增加多数判决的依据,得到最终的判决结果。
具体实施方式
下面结合具体实施例对本发明作进一步说明。
本发明提供的一种对异构执行体池可靠性进行判决的方法。具体如下:
判决是对多个异构执行体的多个输出结果进行比较得到一个最终输出结果,判决的方法有随机判决、轮询判决、多数判决等。在拟态防御上目前主要采用的是多数判决,因为可靠性和可信度最高。多数判决的原则是认为占多数的输出结果认为是可靠度高的,将这个结果作为最后的输出结果。例如要配置交换机的流表信息,配置信息下发到了3个控制器进行处理,然后控制器处理后输出3条流表。其中一台控制器受到攻击,没有输出正确的流表,判决器对3个输出进行多数判决后,选取了另外2台输出结果相同的流表作为最终输出结果,拟态的多数判决成功避免了错误流表的下发。
传统方式对输入消息的处理就一个执行体处理后输出结果与多个执行体共同处理采用多数判决得到的输出结果相比正确率要低的多。本发明的方法通过有效的调度方法实现对流的控制以避免不同种类流之间相互影响。本发明通过一种对异构执行体可靠性的判决方法以提高判决器输出结果的可靠性。
基于上述分析,本发明的业务配置方法可实现如下:
基于路径配置的SDN网络拟态架构图由应用层、拟态控制层和数据层组成,拟态控制层由北向代理、调度器、异构执行体池、判决器和南向代理组成。调度器是按照规定的调度策略对执行体池中的执行体进行调度,从而选取出可靠性更高的执行体集。判决器是依据可靠度系数对拟态控制层中的异构执行体池进行比较,从而选取出可靠性最高的执行体集。可靠度系数是根据每个执行体属性中的安全防御系数设定的值。所述安全防御系数是对各个执行体的安全性能进行量化设置的值。设定初始化阶段的可靠度系数w0。计算出调度器选择的执行体集中的执行体的可靠度系数,将输出相同结果的执行体进行分类。将输出结果相同的执行体归为一类,同一类的执行体可靠度系数相加,取其中相加可靠度系数最大类别的输出结果,作为最终判决输出结果。比较每个执行体的输出是否与其它执行体的输出结果相同,对每个执行体的可靠性系数进行判决更新。
其中,
表示执行体的输出,
为判决器选中的最终输出,n为当前活跃的执行体个数,m为当前执行体输出
相同的执行体个数,a为常数弱化w的变化幅度。
Claims (2)
1.一种对异构执行体池可靠性进行判决的方法,其特征在于具体实现步骤如下:
步骤(1)设定初始化阶段的可靠度系数w0;
步骤(2)计算出调度器选择的执行体集中的执行体的可靠度系数,对输出结果的执行体进行分类;将输出结果相同的执行体归为一类,同一类的执行体可靠度系数相加,取其中相加可靠度系数最大类别的输出结果,作为最终判决输出结果;
步骤(3)比较每个执行体的输出结果是否与其它执行体的输出结果相同,对每个执行体的可靠性系数进行判决更新;
其中,
表示执行体的输出,
为判决器选中的最终输出,n为当前活跃的执行体个数,m为当前执行体输出
相同的执行体个数,a为常数弱化w的变化幅度。
2.根据权利要求1所述的一种对异构执行体池可靠性进行判决的方法,其特征在于基于路径配置的SDN网络拟态架构图由应用层、拟态控制层和数据层组成,拟态控制层由北向代理、调度器、异构执行体池、判决器和南向代理组成;所述的调度器是按照规定的调度策略对执行体池中的执行体进行调度,从而选取出可靠性更高的执行体集;所述的判决器是依据可靠度系数对拟态控制层中的异构执行体池进行比较,从而选取出可靠性最高的执行体集;所述的可靠度系数是根据每个执行体属性中的安全防御系数设定的值;所述安全防御系数是对各个执行体的安全性能进行量化设置的值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911058101.3A CN110995651B (zh) | 2019-10-31 | 2019-10-31 | 一种对异构执行体池可靠性进行判决的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911058101.3A CN110995651B (zh) | 2019-10-31 | 2019-10-31 | 一种对异构执行体池可靠性进行判决的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110995651A true CN110995651A (zh) | 2020-04-10 |
| CN110995651B CN110995651B (zh) | 2021-10-15 |
Family
ID=70082833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911058101.3A Expired - Fee Related CN110995651B (zh) | 2019-10-31 | 2019-10-31 | 一种对异构执行体池可靠性进行判决的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995651B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859391A (zh) * | 2020-07-09 | 2020-10-30 | 河南信大网御科技有限公司 | 可信执行体、拟态逃逸快速识别方法及拟态防御架构 |
| CN113079096A (zh) * | 2021-03-19 | 2021-07-06 | 烽火通信科技股份有限公司 | 一种转发流表的内生安全实现装置与方法 |
| WO2021238048A1 (zh) * | 2020-05-26 | 2021-12-02 | 网络通信与安全紫金山实验室 | 用于交换机的数据同步方法、装置和拟态交换机 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104627A (zh) * | 2014-08-01 | 2014-10-15 | 王红星 | 基于初始化参数传递的并行判决反馈均衡方法及装置 |
| CN105791279A (zh) * | 2016-02-29 | 2016-07-20 | 中国人民解放军信息工程大学 | 一种拟态化sdn控制器构建方法 |
| WO2018076638A1 (en) * | 2016-10-26 | 2018-05-03 | Huawei Technologies Co., Ltd. | Software defined network with selectable low latency or high throughput mode |
| CN109450900A (zh) * | 2018-11-09 | 2019-03-08 | 天津市滨海新区信息技术创新中心 | 拟态判决方法、装置及系统 |
-
2019
- 2019-10-31 CN CN201911058101.3A patent/CN110995651B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104627A (zh) * | 2014-08-01 | 2014-10-15 | 王红星 | 基于初始化参数传递的并行判决反馈均衡方法及装置 |
| CN105791279A (zh) * | 2016-02-29 | 2016-07-20 | 中国人民解放军信息工程大学 | 一种拟态化sdn控制器构建方法 |
| WO2018076638A1 (en) * | 2016-10-26 | 2018-05-03 | Huawei Technologies Co., Ltd. | Software defined network with selectable low latency or high throughput mode |
| CN109450900A (zh) * | 2018-11-09 | 2019-03-08 | 天津市滨海新区信息技术创新中心 | 拟态判决方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 李传煌,任云方,汤中运,王伟明: "SDN中服务部署的拟态防御方法", 《通信学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021238048A1 (zh) * | 2020-05-26 | 2021-12-02 | 网络通信与安全紫金山实验室 | 用于交换机的数据同步方法、装置和拟态交换机 |
| CN111859391A (zh) * | 2020-07-09 | 2020-10-30 | 河南信大网御科技有限公司 | 可信执行体、拟态逃逸快速识别方法及拟态防御架构 |
| CN111859391B (zh) * | 2020-07-09 | 2023-08-04 | 河南信大网御科技有限公司 | 可信执行体、拟态逃逸快速识别方法及拟态防御架构 |
| CN113079096A (zh) * | 2021-03-19 | 2021-07-06 | 烽火通信科技股份有限公司 | 一种转发流表的内生安全实现装置与方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110995651B (zh) | 2021-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110995651B (zh) | 一种对异构执行体池可靠性进行判决的方法 | |
| Imran et al. | Toward an optimal solution against denial of service attacks in software defined networks | |
| US10673903B2 (en) | Classification of security rules | |
| Wei et al. | FlowRanger: A request prioritizing algorithm for controller DoS attacks in Software Defined Networks | |
| AU2021221443A1 (en) | Malware host netflow analysis system and method | |
| CN109587168A (zh) | 软件定义网络中基于拟态防御的网络功能部署方法 | |
| Chin et al. | An SDN-supported collaborative approach for DDoS flooding detection and containment | |
| Yu et al. | A cooperative DDoS attack detection scheme based on entropy and ensemble learning in SDN | |
| Ali et al. | Novel three-tier intrusion detection and prevention system in software defined network | |
| CN109076073B (zh) | 用于阻止互联网协议语音系统中的不期望的通信的系统和方法 | |
| CN112491803A (zh) | 拟态waf中执行体的裁决方法 | |
| CN106878254B (zh) | 提高dns系统安全性的方法及装置 | |
| Srinivasan et al. | Enhancing the security in cyber-world by detecting the botnets using ensemble classification based machine learning | |
| Cheng et al. | Machine learning based malicious payload identification in software-defined networking | |
| Dong et al. | BotDetector: An extreme learning machine‐based Internet of Things botnet detection model | |
| Jiang et al. | BSD‐Guard: A Collaborative Blockchain‐Based Approach for Detection and Mitigation of SDN‐Targeted DDoS Attacks | |
| Prathibha et al. | Detection methods for software defined networking intrusions (SDN) | |
| Pradeepa et al. | A hybrid OpenFlow with intelligent detection and prediction models for preventing BGP path hijack on SDN | |
| Tang et al. | A detection and mitigation scheme of LDoS Attacks via SDN Based on the FSS-RSR Algorithm | |
| Fadhilla et al. | Lightweight meta-learning botnet attack detection | |
| Dahiya et al. | Review of AI techniques in development of network intrusion detection system in SDN framework | |
| Abhilash et al. | Intrusion detection and prevention in software defined networking | |
| Dao et al. | JointNIDS: efficient joint traffic management for on-device network intrusion detection | |
| Alsulami et al. | IoT Protocol-Enabled IDS based on Machine Learning | |
| CN115802357A (zh) | 一种5g配电网馈线自动化控制方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20211015 |