CN111858091A - 基于进程级的拟态架构和拟态防御方法 - Google Patents

基于进程级的拟态架构和拟态防御方法 Download PDF

Info

Publication number
CN111858091A
CN111858091A CN202010641125.8A CN202010641125A CN111858091A CN 111858091 A CN111858091 A CN 111858091A CN 202010641125 A CN202010641125 A CN 202010641125A CN 111858091 A CN111858091 A CN 111858091A
Authority
CN
China
Prior art keywords
app
heterogeneous
feedback controller
mimicry
different
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010641125.8A
Other languages
English (en)
Inventor
吕青松
冯志峰
郑清彬
翟英博
王群锋
陈稼兴
郭义伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Original Assignee
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Comleader Information Technology Co Ltd, Henan Xinda Wangyu Technology Co Ltd filed Critical Zhuhai Comleader Information Technology Co Ltd
Priority to CN202010641125.8A priority Critical patent/CN111858091A/zh
Publication of CN111858091A publication Critical patent/CN111858091A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/541Interprogram communication via adapters, e.g. between incompatible applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/41Compilation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明提供了一种基于进程级的拟态架构,包括分发代理模块、异构APP进程、裁决器、反馈控制器和中间适配器;分发代理模块用于接收外部用户数据,并将用户数据复制分发给各个异构APP进程;异构APP进程,用于处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝;所述裁决器,用于对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器;所述反馈控制器,用于控制各异构APP进程的状态;所述中间适配器,用于将结果翻译转换后输出。该基于进程级的拟态架构对设备性能要求低,适用于传统嵌入式设备或单一CPU进行拟态防御。

Description

基于进程级的拟态架构和拟态防御方法
技术领域
本发明涉及一种拟态防御系统,具体的说,涉及了一种基于进程级的拟态架构、拟态防御方法。
背景技术
随着拟态防御技术的快速发展,越来越多的新研设备开始采用这种架构进行系统设计,以提高新研设备的的高安全性。拟态防御构造设备往往需要借助于多个硬件异构CPU或者虚拟化技术实现多样化的运行场景。
在传统嵌入式设备或者低成本的单一处理器(不支持虚拟化)上实现设备的拟态化改造,提高此类设备软件功能的安全性,具有重要的意义。
但是,嵌入式设备或者单一CPU(不支持虚拟化)无法通过硬件异构或虚拟化技术实现多样化的运行场景,导致拟态系统无法应用于这些设备中。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供一种对设备性能要求低、适用于传统嵌入式设备或单一CPU的设备的基于进程级的拟态架构和可读存储介质。
为了实现上述目的,本发明所采用的技术方案是:一种基于进程级的拟态架构,包括分发代理模块、若干异构APP进程、裁决器、反馈控制器和中间适配器;
所述分发代理模块,用于接收外部用户数据,并将用户数据复制分发给各个异构APP进程;
所述异构APP进程,用于处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝;
所述裁决器,用于对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器;
所述反馈控制器,用于根据裁决器所发的裁决信息,控制各异构APP进程的状态;
所述中间适配器,用于将裁决器输出的结果翻译转换后输出。
基上所述,各所述异构APP进程通过以下之一的方式设计:
通过不同的编译方式编译出不同二进制文件的APP可执行性程序;
通过背靠背方式对APP进行开发与重构;
基于开源软件的APP,选用不同版本的开源软件进行开发;
采用不同的开发语言实现APP编写。
基上所述,所述分发代理模块与各异构APP进程之间采用不同的通信方式通信。
基上所述,所述异构APP进程与裁决器之间、裁决器与反馈控制器之间、反馈控制器与中间适配器之间均采用不同的通信方式通信。
基上所述,还包括进程监控器,用于实时监控各异构APP进程、分发代理模块、裁决器、反馈控制器和中间适配器的运行状态,以及用于异常进程的重启。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,本发明所设计的拟态架构运行在传统的嵌入式设备上或低成本的单一处理器上,由于硬件结构匮乏,将异构理念放入进程级的APP上,通过设计相同功能、不同构造的APP进程,使相同的任务经过多个APP执行,获得结果,同样达到拟态防御的效果,当某个APP存在漏洞或后门被侵入时,裁决器通过裁决判定的过程能够找到存在问题的APP,通过反馈控制器将其下架,替换新的APP上线,达到拟态被动防御的目的。
进一步的,为了避免异构APP进程存在相同的漏洞或后门,采用多样化的设计方案去实现APP的多样化,如多样化编译、背靠背开发、采用不同版本的开源软件开发、采用多样化的开发语言实现等,构件异构体池。
附图说明
图1是本发明中基于进程级的拟态架构的结构示意图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
如图1所示,一种基于进程级的拟态架构,包括分发代理模块、若干异构APP进程、裁决器、反馈控制器和中间适配器;
所述分发代理模块,用于接收外部用户数据,并将用户数据复制分发给各个异构APP进程,分发代理模块与APP进程采用传统的进程间通信方式,比如消息队列、共享内存、Socket等,在分发代理模块与各个异构APP进程通信时,通信方式应当尽可能的多样化,避免选用单一的进程间通信方式,增加入侵这一过程的难度。
所述异构APP进程,用于处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝,各所述异构APP进程通过以下之一的方式设计:
通过不同的编译方式编译出不同二进制文件的APP可执行性程序;
通过背靠背方式对APP进行开发与重构;
基于开源软件的APP,选用不同版本的开源软件进行开发;
采用不同的开发语言实现APP编写。
这么设计的原因是,异构APP进程运行在同一操作系统上,当APP具有相同的漏洞或者后门时,拟态防御架构将失效,为了提高异构APP的多样化,采用上述的方式,构件多样化的APP,异构APP的多样化,是基于进程级拟态构造架构实现的关键,因此,应采用目前已知的技术手段尽可能的完成APP可执行程序的多样化。
所述裁决器,用于对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器,裁决过程中,若发现某一APP进程执行的结果不同,将这一裁决信息发送给反馈控制器,由反馈控制器对出现问题的APP进程进行处理,多数相同的结果被判定为正确的结果,通过中间适配器输出。
所述反馈控制器,用于根据裁决器所发的裁决信息,控制各异构APP进程的状态,当接收到异常的裁决信息时,就将出现异常的APP进程剔除、下架,再从构建的异构APP进程中选取一个,替换上去,继续运行,保证整个拟态系统的稳定工作。
所述中间适配器,用于将裁决器输出的结果翻译转换后输出。
其中,所述异构APP进程与裁决器之间、裁决器与反馈控制器之间、反馈控制器与中间适配器之间均采用不同的通信方式通信,如消息队列、共享内存、Socket等,尽量避免采用统一种通信方式完成所有业务数据的传输。
更优选的,还设计有进程监控器,用于实时监控各异构APP进程、分发代理模块、裁决器、反馈控制器和中间适配器的运行状态,以及用于异常进程的重启。
进程监控器只在操作系统层面监控各进程的运行状态,进程监控器应避免与拟态组件以及异构APP的通信,以实现进程监控器的完全独立运行。
本发明解决了传统嵌入式设备或者单一CPU(不支持虚拟化)无法构建多样化的运行场景,从而实现拟态构造架构的问题,通过从进程级实现应用程序的拟态化改造,在一定程度上会对应用程序的安全性和可靠性有所提高。
在其它实施例中,以一种可读存储介质实现,其上存储有指令,该指令被处理器执行时运行所述的基于进程级的拟态防御方法。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (10)

1.一种基于进程级的拟态架构,其特征在于:包括分发代理模块、若干异构APP进程、裁决器、反馈控制器和中间适配器;
所述分发代理模块,用于接收外部用户数据,并将用户数据复制分发给各个异构APP进程;
所述异构APP进程,用于处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝;
所述裁决器,用于对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器;
所述反馈控制器,用于根据裁决器所发的裁决信息,控制各异构APP进程的状态;
所述中间适配器,用于将裁决器输出的结果翻译转换后输出。
2.根据权利要求1所述的基于进程级的拟态架构,其特征在于:各所述异构APP进程通过以下之一的方式设计:
通过不同的编译方式编译出不同二进制文件的APP可执行性程序;
通过背靠背方式对APP进行开发与重构;
基于开源软件的APP,选用不同版本的开源软件进行开发;
采用不同的开发语言实现APP编写。
3.根据权利要求1或2所述的基于进程级的拟态架构,其特征在于:所述分发代理模块与各异构APP进程之间采用不同的通信方式通信。
4.根据权利要求3所述的基于进程级的拟态架构,其特征在于:所述异构APP进程与裁决器之间、裁决器与反馈控制器之间、反馈控制器与中间适配器之间均采用不同的通信方式通信。
5.根据权利要求3所述的基于进程级的拟态架构,其特征在于:还包括进程监控器,用于实时监控各异构APP进程、分发代理模块、裁决器、反馈控制器和中间适配器的运行状态,以及用于异常进程的重启。
6.一种基于进程级的拟态防御方法,其特征在于:包括以下步骤:
1)所述分发代理模块接收外部用户数据,并将用户数据复制分发给各个异构APP进程;
2)所述异构APP进程处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝;
3)所述裁决器对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器;
4)所述反馈控制器根据裁决器所发的裁决信息,控制各异构APP进程的状态;
5)所述中间适配器将裁决器输出的结果翻译转换后输出。
7.根据权利要求6所述的拟态防御方法,其特征在于:各所述异构APP进程通过以下之一的方式设计:
通过不同的编译方式编译出不同二进制文件的APP可执行性程序;
通过背靠背方式对APP进行开发与重构;
基于开源软件的APP,选用不同版本的开源软件进行开发;
采用不同的开发语言实现APP编写。
8.根据权利要求7所述的基于进程级的拟态防御方法,其特征在于:所述分发代理模块与各异构APP进程之间采用不同的通信方式通信;所述异构APP进程与裁决器之间、裁决器与反馈控制器之间、反馈控制器与中间适配器之间均采用不同的通信方式通信。
9.根据权利要求8所述的基于进程级的拟态防御方法,其特征在于:还包括进程监控器,用于实时监控各异构APP进程、分发代理模块、裁决器、反馈控制器和中间适配器的运行状态,以及用于异常进程的重启。
10.一种可读存储介质,其上存储有指令,其特征在于:该指令被处理器执行时实现如权利要求6-9任一项所述的基于进程级的拟态防御方法。
CN202010641125.8A 2020-07-06 2020-07-06 基于进程级的拟态架构和拟态防御方法 Pending CN111858091A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010641125.8A CN111858091A (zh) 2020-07-06 2020-07-06 基于进程级的拟态架构和拟态防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010641125.8A CN111858091A (zh) 2020-07-06 2020-07-06 基于进程级的拟态架构和拟态防御方法

Publications (1)

Publication Number Publication Date
CN111858091A true CN111858091A (zh) 2020-10-30

Family

ID=73152267

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010641125.8A Pending CN111858091A (zh) 2020-07-06 2020-07-06 基于进程级的拟态架构和拟态防御方法

Country Status (1)

Country Link
CN (1) CN111858091A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422540A (zh) * 2020-11-09 2021-02-26 浙江大学 一种拟态waf中的执行体动态变换方法
CN112799705A (zh) * 2021-02-07 2021-05-14 河南信大网御科技有限公司 一种拟态构造系统升级方法
CN113282296A (zh) * 2021-05-31 2021-08-20 河南信大网御科技有限公司 基于数据面编程的数据转发方法及装置
CN113741875A (zh) * 2021-09-14 2021-12-03 郑州昂视信息科技有限公司 一种拟态化程序执行装置、方法、电子设备及存储介质
CN114780569A (zh) * 2022-06-22 2022-07-22 之江实验室 一种拟态redis数据库的输入输出代理方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108833417A (zh) * 2018-06-21 2018-11-16 中国人民解放军战略支援部队信息工程大学 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统
CN110581852A (zh) * 2019-09-11 2019-12-17 河南信大网御科技有限公司 一种高效型拟态防御系统及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108833417A (zh) * 2018-06-21 2018-11-16 中国人民解放军战略支援部队信息工程大学 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统
CN110581852A (zh) * 2019-09-11 2019-12-17 河南信大网御科技有限公司 一种高效型拟态防御系统及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
王梦童 等: "Ceph分布式存储系统拟态防御设计", 《信息技术》 *
郭威: "《分布式存储系统拟态化机构与关键技术研究》", 《中国博士学位论文全文数据库 信息科技辑》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422540A (zh) * 2020-11-09 2021-02-26 浙江大学 一种拟态waf中的执行体动态变换方法
CN112422540B (zh) * 2020-11-09 2021-09-03 浙江大学 一种拟态waf中的执行体动态变换方法
CN112799705A (zh) * 2021-02-07 2021-05-14 河南信大网御科技有限公司 一种拟态构造系统升级方法
CN112799705B (zh) * 2021-02-07 2022-10-21 河南信大网御科技有限公司 一种拟态构造系统升级方法
CN113282296A (zh) * 2021-05-31 2021-08-20 河南信大网御科技有限公司 基于数据面编程的数据转发方法及装置
CN113741875A (zh) * 2021-09-14 2021-12-03 郑州昂视信息科技有限公司 一种拟态化程序执行装置、方法、电子设备及存储介质
CN113741875B (zh) * 2021-09-14 2024-05-03 郑州昂视信息科技有限公司 一种拟态化程序执行装置、方法、电子设备及存储介质
CN114780569A (zh) * 2022-06-22 2022-07-22 之江实验室 一种拟态redis数据库的输入输出代理方法和装置

Similar Documents

Publication Publication Date Title
CN111858091A (zh) 基于进程级的拟态架构和拟态防御方法
Yang Avoiding pitfalls when using NVIDIA GPUs for real-time tasks in autonomous systems
CN109032706B (zh) 智能合约执行方法、装置、设备和存储介质
CN107851152B (zh) 用于安全控制器的分布式操作的装置和方法
US20070011507A1 (en) System and method for remote system support
CN108011909B (zh) 通信方法和系统、电子设备和计算机集群
US10049029B1 (en) Networked multi-interface host debugger
US8819640B2 (en) Establishing cloud debug breakpoints assigned to users
RU2007143547A (ru) Технологии для обеспечения проверки правильности и передачи информации
US7721278B2 (en) Modular server architecture for multi-environment HTTP request processing
US20070288912A1 (en) Methods and apparatus to provide a managed runtime environment in a sequestered partition
US9135002B1 (en) Systems and methods for recovering an application on a computing device
US11093332B2 (en) Application checkpoint and recovery system
CN115408371A (zh) 一种redis数据库动态冗余部署方法和装置
US20100169069A1 (en) Composite device emulation
US10313450B2 (en) Method for transparently connecting augmented network socket operations
CN110851384B (zh) 一种中断处理方法、系统及计算机可读存储介质
US20070067488A1 (en) System and method for transferring data
US11951999B2 (en) Control unit for vehicle and error management method thereof
US8862785B2 (en) System and method for redirecting input/output (I/O) sequences
CN113938527B (zh) Api网关的扩展处理方法、计算设备及存储介质
CN112711527B (zh) 一种实时进程的调试方法、装置、目标机和存储介质
US11003488B2 (en) Memory-fabric-based processor context switching system
CN116209979A (zh) 矢量处理
US7320044B1 (en) System, method, and computer program product for interrupt scheduling in processing communication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination