CN111858091A - 基于进程级的拟态架构和拟态防御方法 - Google Patents
基于进程级的拟态架构和拟态防御方法 Download PDFInfo
- Publication number
- CN111858091A CN111858091A CN202010641125.8A CN202010641125A CN111858091A CN 111858091 A CN111858091 A CN 111858091A CN 202010641125 A CN202010641125 A CN 202010641125A CN 111858091 A CN111858091 A CN 111858091A
- Authority
- CN
- China
- Prior art keywords
- app
- heterogeneous
- feedback controller
- mimicry
- different
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/541—Interprogram communication via adapters, e.g. between incompatible applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种基于进程级的拟态架构,包括分发代理模块、异构APP进程、裁决器、反馈控制器和中间适配器;分发代理模块用于接收外部用户数据,并将用户数据复制分发给各个异构APP进程;异构APP进程,用于处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝;所述裁决器,用于对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器;所述反馈控制器,用于控制各异构APP进程的状态;所述中间适配器,用于将结果翻译转换后输出。该基于进程级的拟态架构对设备性能要求低,适用于传统嵌入式设备或单一CPU进行拟态防御。
Description
技术领域
本发明涉及一种拟态防御系统,具体的说,涉及了一种基于进程级的拟态架构、拟态防御方法。
背景技术
随着拟态防御技术的快速发展,越来越多的新研设备开始采用这种架构进行系统设计,以提高新研设备的的高安全性。拟态防御构造设备往往需要借助于多个硬件异构CPU或者虚拟化技术实现多样化的运行场景。
在传统嵌入式设备或者低成本的单一处理器(不支持虚拟化)上实现设备的拟态化改造,提高此类设备软件功能的安全性,具有重要的意义。
但是,嵌入式设备或者单一CPU(不支持虚拟化)无法通过硬件异构或虚拟化技术实现多样化的运行场景,导致拟态系统无法应用于这些设备中。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供一种对设备性能要求低、适用于传统嵌入式设备或单一CPU的设备的基于进程级的拟态架构和可读存储介质。
为了实现上述目的,本发明所采用的技术方案是:一种基于进程级的拟态架构,包括分发代理模块、若干异构APP进程、裁决器、反馈控制器和中间适配器;
所述分发代理模块,用于接收外部用户数据,并将用户数据复制分发给各个异构APP进程;
所述异构APP进程,用于处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝;
所述裁决器,用于对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器;
所述反馈控制器,用于根据裁决器所发的裁决信息,控制各异构APP进程的状态;
所述中间适配器,用于将裁决器输出的结果翻译转换后输出。
基上所述,各所述异构APP进程通过以下之一的方式设计:
通过不同的编译方式编译出不同二进制文件的APP可执行性程序;
通过背靠背方式对APP进行开发与重构;
基于开源软件的APP,选用不同版本的开源软件进行开发;
采用不同的开发语言实现APP编写。
基上所述,所述分发代理模块与各异构APP进程之间采用不同的通信方式通信。
基上所述,所述异构APP进程与裁决器之间、裁决器与反馈控制器之间、反馈控制器与中间适配器之间均采用不同的通信方式通信。
基上所述,还包括进程监控器,用于实时监控各异构APP进程、分发代理模块、裁决器、反馈控制器和中间适配器的运行状态,以及用于异常进程的重启。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,本发明所设计的拟态架构运行在传统的嵌入式设备上或低成本的单一处理器上,由于硬件结构匮乏,将异构理念放入进程级的APP上,通过设计相同功能、不同构造的APP进程,使相同的任务经过多个APP执行,获得结果,同样达到拟态防御的效果,当某个APP存在漏洞或后门被侵入时,裁决器通过裁决判定的过程能够找到存在问题的APP,通过反馈控制器将其下架,替换新的APP上线,达到拟态被动防御的目的。
进一步的,为了避免异构APP进程存在相同的漏洞或后门,采用多样化的设计方案去实现APP的多样化,如多样化编译、背靠背开发、采用不同版本的开源软件开发、采用多样化的开发语言实现等,构件异构体池。
附图说明
图1是本发明中基于进程级的拟态架构的结构示意图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
如图1所示,一种基于进程级的拟态架构,包括分发代理模块、若干异构APP进程、裁决器、反馈控制器和中间适配器;
所述分发代理模块,用于接收外部用户数据,并将用户数据复制分发给各个异构APP进程,分发代理模块与APP进程采用传统的进程间通信方式,比如消息队列、共享内存、Socket等,在分发代理模块与各个异构APP进程通信时,通信方式应当尽可能的多样化,避免选用单一的进程间通信方式,增加入侵这一过程的难度。
所述异构APP进程,用于处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝,各所述异构APP进程通过以下之一的方式设计:
通过不同的编译方式编译出不同二进制文件的APP可执行性程序;
通过背靠背方式对APP进行开发与重构;
基于开源软件的APP,选用不同版本的开源软件进行开发;
采用不同的开发语言实现APP编写。
这么设计的原因是,异构APP进程运行在同一操作系统上,当APP具有相同的漏洞或者后门时,拟态防御架构将失效,为了提高异构APP的多样化,采用上述的方式,构件多样化的APP,异构APP的多样化,是基于进程级拟态构造架构实现的关键,因此,应采用目前已知的技术手段尽可能的完成APP可执行程序的多样化。
所述裁决器,用于对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器,裁决过程中,若发现某一APP进程执行的结果不同,将这一裁决信息发送给反馈控制器,由反馈控制器对出现问题的APP进程进行处理,多数相同的结果被判定为正确的结果,通过中间适配器输出。
所述反馈控制器,用于根据裁决器所发的裁决信息,控制各异构APP进程的状态,当接收到异常的裁决信息时,就将出现异常的APP进程剔除、下架,再从构建的异构APP进程中选取一个,替换上去,继续运行,保证整个拟态系统的稳定工作。
所述中间适配器,用于将裁决器输出的结果翻译转换后输出。
其中,所述异构APP进程与裁决器之间、裁决器与反馈控制器之间、反馈控制器与中间适配器之间均采用不同的通信方式通信,如消息队列、共享内存、Socket等,尽量避免采用统一种通信方式完成所有业务数据的传输。
更优选的,还设计有进程监控器,用于实时监控各异构APP进程、分发代理模块、裁决器、反馈控制器和中间适配器的运行状态,以及用于异常进程的重启。
进程监控器只在操作系统层面监控各进程的运行状态,进程监控器应避免与拟态组件以及异构APP的通信,以实现进程监控器的完全独立运行。
本发明解决了传统嵌入式设备或者单一CPU(不支持虚拟化)无法构建多样化的运行场景,从而实现拟态构造架构的问题,通过从进程级实现应用程序的拟态化改造,在一定程度上会对应用程序的安全性和可靠性有所提高。
在其它实施例中,以一种可读存储介质实现,其上存储有指令,该指令被处理器执行时运行所述的基于进程级的拟态防御方法。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (10)
1.一种基于进程级的拟态架构,其特征在于:包括分发代理模块、若干异构APP进程、裁决器、反馈控制器和中间适配器;
所述分发代理模块,用于接收外部用户数据,并将用户数据复制分发给各个异构APP进程;
所述异构APP进程,用于处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝;
所述裁决器,用于对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器;
所述反馈控制器,用于根据裁决器所发的裁决信息,控制各异构APP进程的状态;
所述中间适配器,用于将裁决器输出的结果翻译转换后输出。
2.根据权利要求1所述的基于进程级的拟态架构,其特征在于:各所述异构APP进程通过以下之一的方式设计:
通过不同的编译方式编译出不同二进制文件的APP可执行性程序;
通过背靠背方式对APP进行开发与重构;
基于开源软件的APP,选用不同版本的开源软件进行开发;
采用不同的开发语言实现APP编写。
3.根据权利要求1或2所述的基于进程级的拟态架构,其特征在于:所述分发代理模块与各异构APP进程之间采用不同的通信方式通信。
4.根据权利要求3所述的基于进程级的拟态架构,其特征在于:所述异构APP进程与裁决器之间、裁决器与反馈控制器之间、反馈控制器与中间适配器之间均采用不同的通信方式通信。
5.根据权利要求3所述的基于进程级的拟态架构,其特征在于:还包括进程监控器,用于实时监控各异构APP进程、分发代理模块、裁决器、反馈控制器和中间适配器的运行状态,以及用于异常进程的重启。
6.一种基于进程级的拟态防御方法,其特征在于:包括以下步骤:
1)所述分发代理模块接收外部用户数据,并将用户数据复制分发给各个异构APP进程;
2)所述异构APP进程处理接收到的用户数据,并将处理结果发送至裁决器,各异构APP进程的构造不同且彼此通信隔绝;
3)所述裁决器对各异构APP进程的处理结果进行裁决,将经裁决后的结果发送至中间适配器,将裁决信息发送至反馈控制器;
4)所述反馈控制器根据裁决器所发的裁决信息,控制各异构APP进程的状态;
5)所述中间适配器将裁决器输出的结果翻译转换后输出。
7.根据权利要求6所述的拟态防御方法,其特征在于:各所述异构APP进程通过以下之一的方式设计:
通过不同的编译方式编译出不同二进制文件的APP可执行性程序;
通过背靠背方式对APP进行开发与重构;
基于开源软件的APP,选用不同版本的开源软件进行开发;
采用不同的开发语言实现APP编写。
8.根据权利要求7所述的基于进程级的拟态防御方法,其特征在于:所述分发代理模块与各异构APP进程之间采用不同的通信方式通信;所述异构APP进程与裁决器之间、裁决器与反馈控制器之间、反馈控制器与中间适配器之间均采用不同的通信方式通信。
9.根据权利要求8所述的基于进程级的拟态防御方法,其特征在于:还包括进程监控器,用于实时监控各异构APP进程、分发代理模块、裁决器、反馈控制器和中间适配器的运行状态,以及用于异常进程的重启。
10.一种可读存储介质,其上存储有指令,其特征在于:该指令被处理器执行时实现如权利要求6-9任一项所述的基于进程级的拟态防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010641125.8A CN111858091A (zh) | 2020-07-06 | 2020-07-06 | 基于进程级的拟态架构和拟态防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010641125.8A CN111858091A (zh) | 2020-07-06 | 2020-07-06 | 基于进程级的拟态架构和拟态防御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111858091A true CN111858091A (zh) | 2020-10-30 |
Family
ID=73152267
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010641125.8A Pending CN111858091A (zh) | 2020-07-06 | 2020-07-06 | 基于进程级的拟态架构和拟态防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111858091A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112422540A (zh) * | 2020-11-09 | 2021-02-26 | 浙江大学 | 一种拟态waf中的执行体动态变换方法 |
CN112799705A (zh) * | 2021-02-07 | 2021-05-14 | 河南信大网御科技有限公司 | 一种拟态构造系统升级方法 |
CN113282296A (zh) * | 2021-05-31 | 2021-08-20 | 河南信大网御科技有限公司 | 基于数据面编程的数据转发方法及装置 |
CN113741875A (zh) * | 2021-09-14 | 2021-12-03 | 郑州昂视信息科技有限公司 | 一种拟态化程序执行装置、方法、电子设备及存储介质 |
CN114780569A (zh) * | 2022-06-22 | 2022-07-22 | 之江实验室 | 一种拟态redis数据库的输入输出代理方法和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833417A (zh) * | 2018-06-21 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统 |
CN110581852A (zh) * | 2019-09-11 | 2019-12-17 | 河南信大网御科技有限公司 | 一种高效型拟态防御系统及方法 |
-
2020
- 2020-07-06 CN CN202010641125.8A patent/CN111858091A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833417A (zh) * | 2018-06-21 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统 |
CN110581852A (zh) * | 2019-09-11 | 2019-12-17 | 河南信大网御科技有限公司 | 一种高效型拟态防御系统及方法 |
Non-Patent Citations (2)
Title |
---|
王梦童 等: "Ceph分布式存储系统拟态防御设计", 《信息技术》 * |
郭威: "《分布式存储系统拟态化机构与关键技术研究》", 《中国博士学位论文全文数据库 信息科技辑》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112422540A (zh) * | 2020-11-09 | 2021-02-26 | 浙江大学 | 一种拟态waf中的执行体动态变换方法 |
CN112422540B (zh) * | 2020-11-09 | 2021-09-03 | 浙江大学 | 一种拟态waf中的执行体动态变换方法 |
CN112799705A (zh) * | 2021-02-07 | 2021-05-14 | 河南信大网御科技有限公司 | 一种拟态构造系统升级方法 |
CN112799705B (zh) * | 2021-02-07 | 2022-10-21 | 河南信大网御科技有限公司 | 一种拟态构造系统升级方法 |
CN113282296A (zh) * | 2021-05-31 | 2021-08-20 | 河南信大网御科技有限公司 | 基于数据面编程的数据转发方法及装置 |
CN113741875A (zh) * | 2021-09-14 | 2021-12-03 | 郑州昂视信息科技有限公司 | 一种拟态化程序执行装置、方法、电子设备及存储介质 |
CN113741875B (zh) * | 2021-09-14 | 2024-05-03 | 郑州昂视信息科技有限公司 | 一种拟态化程序执行装置、方法、电子设备及存储介质 |
CN114780569A (zh) * | 2022-06-22 | 2022-07-22 | 之江实验室 | 一种拟态redis数据库的输入输出代理方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111858091A (zh) | 基于进程级的拟态架构和拟态防御方法 | |
Yang | Avoiding pitfalls when using NVIDIA GPUs for real-time tasks in autonomous systems | |
CN109032706B (zh) | 智能合约执行方法、装置、设备和存储介质 | |
CN107851152B (zh) | 用于安全控制器的分布式操作的装置和方法 | |
US20070011507A1 (en) | System and method for remote system support | |
CN108011909B (zh) | 通信方法和系统、电子设备和计算机集群 | |
US10049029B1 (en) | Networked multi-interface host debugger | |
US8819640B2 (en) | Establishing cloud debug breakpoints assigned to users | |
RU2007143547A (ru) | Технологии для обеспечения проверки правильности и передачи информации | |
US7721278B2 (en) | Modular server architecture for multi-environment HTTP request processing | |
US20070288912A1 (en) | Methods and apparatus to provide a managed runtime environment in a sequestered partition | |
US9135002B1 (en) | Systems and methods for recovering an application on a computing device | |
US11093332B2 (en) | Application checkpoint and recovery system | |
CN115408371A (zh) | 一种redis数据库动态冗余部署方法和装置 | |
US20100169069A1 (en) | Composite device emulation | |
US10313450B2 (en) | Method for transparently connecting augmented network socket operations | |
CN110851384B (zh) | 一种中断处理方法、系统及计算机可读存储介质 | |
US20070067488A1 (en) | System and method for transferring data | |
US11951999B2 (en) | Control unit for vehicle and error management method thereof | |
US8862785B2 (en) | System and method for redirecting input/output (I/O) sequences | |
CN113938527B (zh) | Api网关的扩展处理方法、计算设备及存储介质 | |
CN112711527B (zh) | 一种实时进程的调试方法、装置、目标机和存储介质 | |
US11003488B2 (en) | Memory-fabric-based processor context switching system | |
CN116209979A (zh) | 矢量处理 | |
US7320044B1 (en) | System, method, and computer program product for interrupt scheduling in processing communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |