CN111884996A - 一种基于可信度量的拟态交换机裁决系统及方法 - Google Patents

Abstract

本发明属于网络安全技术领域，公开一种基于可信度量的拟态交换机裁决系统，包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块；本发明还公开一种基于可信度量的拟态交换机裁决方法，包括：拟态交换机裁决元素设定；输入信息分发；输出信息收集；基于可信度量的拟态裁决；裁决结果下发以及交换机威胁态势感知和执行体调度；基于可信度量的拟态裁决包括：建立执行体可信指标树；收集与更新执行体可信指标数据；计算各执行体输出结果可信权重；各输出结果可信性计算。本发明能有效降低未知漏洞和潜在后门的影响，提升局域网安全防护水平。

Description

一种基于可信度量的拟态交换机裁决系统及方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于可信度量的拟态交换机裁决系统及方法。

背景技术

随着网络通信技术的飞速发展，网络已经融入到社会的各个领域，对政治、经济以及人们的工作、生活带来了深远影响。然而近年来网络安全事件层出不穷，对国家、社会、经济、人们的工作、生活造成了巨大影响，网络安全也引起了各个国家的广泛重视，网络安全行业也在飞速发展之中。交换机作为重要的网络基础设施，无论是在企业网络，还是在数据中心网络或者运营商网络中，都充斥着交换机的身影，发挥着极其重要的作用。然而现有技术水平(网络空间拟态防御原理——广义鲁棒控制与内生安全[M].科学出版社,2018.)(仝青,张铮,张为华,等.拟态防御Web服务器设计与实现[J].软件学报,2017(4).)，仍难以实现对交换机网络操作系统未知漏洞的及时发现与有效避免，此外全球化的多方软硬件提供方式，更使得交换机软硬件难以实现对后门、陷门的有效管控。而现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁，而对零日漏洞和未知后门束手无策。如果恶意攻击者一旦发现并利用这些漏洞和后门，将会对交换机所在局域网络产生巨大的安全威胁。因此急需一种更为通用的交换机操作系统漏洞与后门防御方法，以有效降低未知漏洞和潜在后门的影响，提升局域网安全防护水平。

发明内容

本发明针对现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁，而对零日漏洞和未知后门束手无策的问题，提出了一种基于可信度量的拟态交换机裁决系统及方法，该拟态交换机具备内生安全能力，能有降低交换机的未知漏洞和潜在后门对局域网造成的安全威胁。

为了实现上述目的，本发明采用以下技术方案：

一种基于可信度量的拟态交换机裁决系统，包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块：

所述转发平面用于完成数据报文的转发、协议报文的上报以及管理系统的接入；

所述管理接口代理用于完成管理配置信息向多个执行体的分发，实现多执行体向管理用户的单一呈现，同时实现管理用户对态势感知与负反馈调度模块的接入；

所述转发平面代理用于完成协议报文向多个执行体的分发，实现多执行体向转发平面的单一呈现；

所述执行体用于完成通用交换机网络操作系统的功能，实现协议报文的解析、计算和表项的生成，实现路由交换协议栈的功能，并将计算结果上报基于可信度量的拟态裁决模块；

所述基于可信度量的拟态裁决模块用于与态势感知与负反馈调度模块进行交互，获取各执行体的可信指标数据，并使用各执行体的可信指标数据计算各执行体的可信度；收集各个执行体的MAC表、ARP表、路由表、管理配置信息计算结果，基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决，将裁决结果下发至中间适配模块，并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块；

所述中间适配模块用于将基于可信度量的拟态裁决模块下发的输出结果进行转译，将转译结果下发到转发平面，包括MAC表、ARP表、路由表、管理配置信息的转译与下发；

所述态势感知与负反馈调度模块用于依据所建立的可信指标树，完成对执行体可信指标数据的采集、统计和更新；与基于可信度量的拟态裁决模块进行交互，向基于可信度量的拟态裁决模块提供执行体可信指标数据，接收基于可信度量的拟态裁决模块上报的异常信息以及各执行体的可信度值；依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体的操作。

一种基于可信度量的拟态交换机裁决方法，包括：

步骤1：依据安全需求，设定需要进行拟态裁决的执行体计算结果，将其定义为裁决元素；所述裁决元素包括MAC表、ARP表、路由表、管理配置信息；

步骤2：转发平面完成数据报文、协议报文或管理报文的分流后，利用管理接口代理和转发平面代理将报文向多个执行体进行复制分发；

步骤3：多个异构的执行体在接收到输入信息后，完成对报文的解析和计算，并将计算结果上报基于可信度量的拟态裁决模块，基于可信度量的拟态裁决模块完成对多个执行同一输入信息计算结果的收集；

步骤4：基于可信度量的拟态裁决模块与态势感知与负反馈调度模块进行交互，获取各执行体的可信指标数据，并基于各执行体的可信指标数据计算各执行体的可信度；基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决；

步骤5：基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块，并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块。

进一步地，所述步骤4包括：

步骤4.1：建立执行体可信指标树：依据实际需求选择相应的执行体属性作为可信指标，构建可信指标树，所述执行体属性包括CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次、安全防护措施评分、执行体可信性评分；

步骤4.2：收集与更新各执行体可信指标的数值：通过态势感知与负反馈调度模块收集和统计各执行体在运行过程中的CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次，通过管理接口配置安全防护措施评分、执行体可信性评分；

步骤4.3：利用各执行体可信指标数据计算各执行体输出结果可信度；

步骤4.4：选出可信度最高的输出结果作为拟态裁决结果：对于裁决元素，计算所有执行体输出的每一种结果的累计可信度，选择累计可信度值最高的结果作为每次输出的拟态裁决结果；对于非裁决元素，直接选择可信度最高的执行体输出的计算结果作为拟态裁决结果。

进一步地，所述步骤4.3包括：

步骤4.3.1：构建特征矩阵，特征矩阵如式(1)所示：

其中x_i,j表示第i个执行体的第j个可信指标的数值，n表示异构执行体的总数量，h表示采用的可信指标总数量；

步骤4.3.2：计算规范化矩阵：

对于正向指标，按照

进行规范；而对于负向指标，按照

进行规范；其中，

表示n个执行体中第j个可信指标的最小值，

表示n个执行体中第j个可信指标的最大值；规范化矩阵如式(2)所示：

步骤4.3.3：计算权重规范化矩阵，所得权重规范化矩阵如式(5)所示：

z_i,j＝w_j·y_i,j(i＝1,2,…,n；j＝1,2,…,h) (4)

其中w_j表示第j个可信指标的权重，z_i,j表示权重规范化后的第i个执行体的第j个可信指标的数值；

步骤4.3.4：确定正理想执行体A⁺和负理想执行体A^-：

其中

表示第1个可信指标的最优值，

表示第h个可信指标的最优值，

表示第1个可信指标的最劣值，

表示第h个可信指标的最劣值，

表示n个执行体中第1个可信指标的最大值，

表示n个执行体中第h个可信指标的最大值，

表示n个执行体中第1个可信指标的最小值，

表示n个执行体中第h个可信指标的最小值；

步骤4.3.5：计算距离尺度，为每一个执行体i计算距离正理想执行体和负理想执行体的距离：

步骤4.3.6：计算理想执行体贴近度，为每一个执行体i计算距离理想执行体的贴近度O_i，则执行体i的可信度即为O_i：

步骤4.3.7：对于可信度为O_i的执行体i，其输出的计算结果的可信度即为O_i。

进一步地，所述步骤5包括：

基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块，中间适配模块将下发的裁决结果转译下发至转发平面，转发平面实现MAC表、ARP表、路由表、管理配置的生效；与此同时，基于可信度量的拟态裁决模块将出现结果不一致的执行体标记为异常执行体，并将异常执行体和异常信息上报至态势感知与负反馈调度模块；态势感知与负反馈调度模块接收到异常信息后，对执行体可信指标数据进行更新，并依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体操作。

与现有技术相比，本发明具有的有益效果：

现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁，而对零日漏洞和未知后门束手无策，本发明提出了一种基于可信度量的拟态交换机裁决系统及方法，本发明是一种更为通用的交换机操作系统未知漏洞和后门防御方法，借助于拟态防御架构和功能等价的多个异构的执行体(交换机网络操作系统)，可有效降低未知漏洞和潜在后门对交换机的安全威胁，有效提高局域网的安全防护水平，显著提高内网渗透的难度。

附图说明

图1为本发明实施例一种基于可信度量的拟态交换机裁决系统的架构示意图；

图2为本发明实施例一种基于可信度量的拟态交换机裁决方法的基本流程图；

图3为本发明实施例一种基于可信度量的拟态交换机裁决方法的拟态裁决流程图；

图4为本发明实施例一种基于可信度量的拟态交换机裁决方法的执行体可信指标树示意图。

具体实施方式

下面结合附图和具体的实施例对本发明做进一步的解释说明：

如图1所示，一种基于可信度量的拟态交换机裁决系统，包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体(交换机网络操作系统)、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块：

所述转发平面用于完成数据报文的转发、协议报文的上报以及管理系统的接入；

所述管理接口代理用于完成管理配置信息向多个执行体的分发，实现多执行体向管理用户的单一呈现，同时实现管理用户对态势感知与负反馈调度模块的接入；

所述转发平面代理用于完成协议报文向多个执行体的分发，实现多执行体向转发平面的单一呈现；

所述执行体用于完成通用交换机网络操作系统的功能，实现协议报文的解析、计算和表项的生成，实现路由交换协议栈的功能，并将计算结果上报基于可信度量的拟态裁决模块；

所述基于可信度量的拟态裁决模块用于与态势感知与负反馈调度模块进行交互，获取各执行体的可信指标数据，并使用各执行体的可信指标数据计算各执行体的可信度；收集各个执行体的MAC表、ARP表、路由表、管理配置信息计算结果，基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决，将裁决结果下发至中间适配模块，并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块；

所述中间适配模块用于将基于可信度量的拟态裁决模块下发的输出结果进行转译，将转译结果下发到转发平面，包括MAC表、ARP表、路由表、管理配置信息的转译与下发；

所述态势感知与负反馈调度模块用于依据所建立的可信指标树，完成对执行体可信指标数据的采集、统计和更新；与基于可信度量的拟态裁决模块进行交互，向基于可信度量的拟态裁决模块提供执行体可信指标数据，接收基于可信度量的拟态裁决模块上报的异常信息以及各执行体的可信度值；依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体的操作。

在上述实施例的基础上，本发明还公开一种基于可信度量的拟态交换机裁决方法，如图2所示，包括：

步骤S101：依据安全需求，设定需要进行拟态裁决的执行体计算结果，将其定义为裁决元素；所述裁决元素包括MAC表、ARP表、路由表、管理配置信息；

步骤S102：转发平面完成数据报文、协议报文或管理报文的分流后，利用管理接口代理和转发平面代理将报文向多个执行体进行复制分发；

步骤S103：多个异构的执行体在接收到输入信息后，完成对报文的解析和计算，并将计算结果上报基于可信度量的拟态裁决模块，基于可信度量的拟态裁决模块完成对多个执行同一输入信息计算结果的收集；

步骤S104：基于可信度量的拟态裁决模块与态势感知与负反馈调度模块进行交互，获取各执行体的可信指标数据，并基于各执行体的可信指标数据计算各执行体的可信度；基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决；

步骤S105：基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块，并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块。

进一步地，所述步骤S101中，管理配置包括端口配置、VLAN配置、ACL配置；

进一步地，如图3所示，所述步骤S104包括：

步骤S104.1：建立执行体可信指标树：依据实际需求选择相应的执行体属性作为可信指标，构建可信指标树，所述执行体属性包括CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次、安全防护措施评分、执行体可信性评分(如：考虑否掌握源代码、是否是国产等因素)；建立的执行体可信指标树如图4所示；

步骤S104.2：收集与更新各执行体可信指标的数值：通过态势感知与负反馈调度模块收集和统计各执行体在运行过程中的CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次，通过管理接口配置安全防护措施评分、执行体可信性评分；

步骤S104.3：利用各执行体可信指标数据计算各执行体输出结果可信度；

步骤S104.4：选出可信度最高的输出结果作为拟态裁决结果：对于裁决元素，计算所有执行体输出的每一种结果的累计可信度，选择累计可信度值最高的结果作为每次输出的拟态裁决结果；对于非裁决元素，直接选择可信度最高的执行体输出的计算结果作为拟态裁决结果。

进一步地，所述步骤S104.3包括：

1)构建特征矩阵，特征矩阵如式(1)所示：

其中x_i,j表示第i个执行体的第j个可信指标的数值，n表示异构执行体的总数量，h表示采用的可信指标总数量；

2)计算规范化矩阵：为了解决各可信指标数据在量纲、值大小的不同，需要对各可信指标的数值进行规范化；

对于正向指标，按照

进行规范；而对于负向指标，按照

进行规范；其中，

表示n个执行体中第j个可信指标的最小值，

表示n个执行体中第j个可信指标的最大值；规范化矩阵如式(2)所示：

3)计算权重规范化矩阵，将各可信指标的权重加以考虑，所得权重规范化矩阵如式(5)所示：

z_i,j＝w_j·y_i,j(i＝1,2,…,n；j＝1,2,…,h) (4)

其中w_j表示第j个可信指标的权重，z_i,j表示权重规范化后的第i个执行体的第j个可信指标的数值；

4)确定正理想执行体A⁺和负理想执行体A^-：

其中

表示第1个可信指标的最优值，

表示第h个可信指标的最优值，

表示第1个可信指标的最劣值，

表示第h个可信指标的最劣值，

表示n个执行体中第1个可信指标的最大值，

表示n个执行体中第h个可信指标的最大值，

表示n个执行体中第1个可信指标的最小值，

表示n个执行体中第h个可信指标的最小值；

5)计算距离尺度，为每一个执行体i计算距离正理想执行体和负理想执行体的距离：

6)计算理想执行体贴近度，为每一个执行体i计算距离理想执行体的贴近度O_i，则执行体i的可信度即为O_i：

7)对于可信度为O_i的执行体i，其输出的计算结果的可信度即为O_i。

进一步地，所述步骤S105包括：

基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块，中间适配模块将下发的裁决结果转译下发至转发平面，转发平面实现MAC表、ARP表、路由表、管理配置的生效；与此同时，基于可信度量的拟态裁决模块将出现结果不一致的执行体标记为异常执行体，并将异常执行体和异常信息上报至态势感知与负反馈调度模块；态势感知与负反馈调度模块接收到异常信息后，对执行体可信指标数据进行更新，并依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体操作。

综上，本发明针对现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁，而对零日漏洞和未知后门束手无策的问题，提出了一种基于可信度量的拟态交换机裁决系统及方法，本发明是一种更为通用的交换机操作系统未知漏洞和后门防御方法，借助于拟态防御架构和功能等价的多个异构的执行体(交换机网络操作系统)，可有效降低未知漏洞和潜在后门对交换机的安全威胁，有效提高局域网的安全防护水平，显著提高内网渗透的难度。

以上所示仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (5)

1.一种基于可信度量的拟态交换机裁决系统，其特征在于，包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块：

所述转发平面用于完成数据报文的转发、协议报文的上报以及管理系统的接入；

所述管理接口代理用于完成管理配置信息向多个执行体的分发，实现多执行体向管理用户的单一呈现，同时实现管理用户对态势感知与负反馈调度模块的接入；

所述转发平面代理用于完成协议报文向多个执行体的分发，实现多执行体向转发平面的单一呈现；

所述执行体用于完成通用交换机网络操作系统的功能，实现协议报文的解析、计算和表项的生成，实现路由交换协议栈的功能，并将计算结果上报基于可信度量的拟态裁决模块；

所述基于可信度量的拟态裁决模块用于与态势感知与负反馈调度模块进行交互，获取各执行体的可信指标数据，并使用各执行体的可信指标数据计算各执行体的可信度；收集各个执行体的MAC表、ARP表、路由表、管理配置信息计算结果，基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决，将裁决结果下发至中间适配模块，并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块；

所述中间适配模块用于将基于可信度量的拟态裁决模块下发的输出结果进行转译，将转译结果下发到转发平面，包括MAC表、ARP表、路由表、管理配置信息的转译与下发；

所述态势感知与负反馈调度模块用于依据所建立的可信指标树，完成对执行体可信指标数据的采集、统计和更新；与基于可信度量的拟态裁决模块进行交互，向基于可信度量的拟态裁决模块提供执行体可信指标数据，接收基于可信度量的拟态裁决模块上报的异常信息以及各执行体的可信度值；依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体的操作。

2.基于权利要求1所述的一种基于可信度量的拟态交换机裁决系统的一种基于可信度量的拟态交换机裁决方法，其特征在于，包括：

步骤1：依据安全需求，设定需要进行拟态裁决的执行体计算结果，将其定义为裁决元素；所述裁决元素包括MAC表、ARP表、路由表、管理配置信息；

步骤2：转发平面完成数据报文、协议报文或管理报文的分流后，利用管理接口代理和转发平面代理将报文向多个执行体进行复制分发；

步骤3：多个异构的执行体在接收到输入信息后，完成对报文的解析和计算，并将计算结果上报基于可信度量的拟态裁决模块，基于可信度量的拟态裁决模块完成对多个执行同一输入信息计算结果的收集；

步骤4：基于可信度量的拟态裁决模块与态势感知与负反馈调度模块进行交互，获取各执行体的可信指标数据，并基于各执行体的可信指标数据计算各执行体的可信度；基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决；

步骤5：基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块，并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块。

3.根据权利要求2所述的一种基于可信度量的拟态交换机裁决方法，其特征在于，所述步骤4包括：

步骤4.1：建立执行体可信指标树：依据实际需求选择相应的执行体属性作为可信指标，构建可信指标树，所述执行体属性包括CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次、安全防护措施评分、执行体可信性评分；

步骤4.2：收集与更新各执行体可信指标的数值：通过态势感知与负反馈调度模块收集和统计各执行体在运行过程中的CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次，通过管理接口配置安全防护措施评分、执行体可信性评分；

步骤4.3：利用各执行体可信指标数据计算各执行体输出结果可信度；

步骤4.4：选出可信度最高的输出结果作为拟态裁决结果：对于裁决元素，计算所有执行体输出的每一种结果的累计可信度，选择累计可信度值最高的结果作为每次输出的拟态裁决结果；对于非裁决元素，直接选择可信度最高的执行体输出的计算结果作为拟态裁决结果。

4.根据权利要求3所述的一种基于可信度量的拟态交换机裁决方法，其特征在于，所述步骤4.3包括：

步骤4.3.1：构建特征矩阵，特征矩阵如式(1)所示：

其中x_i,j表示第i个执行体的第j个可信指标的数值，n表示异构执行体的总数量，h表示采用的可信指标总数量；

步骤4.3.2：计算规范化矩阵：

对于正向指标，按照

进行规范；而对于负向指标，按照

进行规范；其中，

表示n个执行体中第j个可信指标的最小值，

表示n个执行体中第j个可信指标的最大值；规范化矩阵如式(2)所示：

步骤4.3.3：计算权重规范化矩阵，所得权重规范化矩阵如式(5)所示：

z_i,j＝w_j·y_i,j(i＝1,2,…,n；j＝1,2,…,h) (4)

其中w_j表示第j个可信指标的权重，z_i,j表示权重规范化后的第i个执行体的第j个可信指标的数值；

步骤4.3.4：确定正理想执行体A⁺和负理想执行体A^-：

其中

表示第1个可信指标的最优值，

表示第h个可信指标的最优值，

表示第1个可信指标的最劣值，

表示第h个可信指标的最劣值，

表示n个执行体中第1个可信指标的最大值，

表示n个执行体中第h个可信指标的最大值，

表示n个执行体中第1个可信指标的最小值，

表示n个执行体中第h个可信指标的最小值；

步骤4.3.5：计算距离尺度，为每一个执行体i计算距离正理想执行体和负理想执行体的距离：

步骤4.3.6：计算理想执行体贴近度，为每一个执行体i计算距离理想执行体的贴近度O_i，则执行体i的可信度即为O_i：

步骤4.3.7：对于可信度为O_i的执行体i，其输出的计算结果的可信度即为O_i。

5.根据权利要求2所述的一种基于可信度量的拟态交换机裁决方法，其特征在于，所述步骤5包括：

基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块，中间适配模块将下发的裁决结果转译下发至转发平面，转发平面实现MAC表、ARP表、路由表、管理配置的生效；与此同时，基于可信度量的拟态裁决模块将出现结果不一致的执行体标记为异常执行体，并将异常执行体和异常信息上报至态势感知与负反馈调度模块；态势感知与负反馈调度模块接收到异常信息后，对执行体可信指标数据进行更新，并依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体操作。

Images