CN111884996A - 一种基于可信度量的拟态交换机裁决系统及方法 - Google Patents
一种基于可信度量的拟态交换机裁决系统及方法 Download PDFInfo
- Publication number
- CN111884996A CN111884996A CN202010535480.7A CN202010535480A CN111884996A CN 111884996 A CN111884996 A CN 111884996A CN 202010535480 A CN202010535480 A CN 202010535480A CN 111884996 A CN111884996 A CN 111884996A
- Authority
- CN
- China
- Prior art keywords
- credibility
- arbitration
- mimicry
- result
- executive body
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000005259 measurement Methods 0.000 title claims abstract description 55
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000006978 adaptation Effects 0.000 claims abstract description 19
- 230000008447 perception Effects 0.000 claims abstract description 18
- 238000004364 calculation method Methods 0.000 claims description 33
- 230000002159 abnormal effect Effects 0.000 claims description 21
- 239000011159 matrix material Substances 0.000 claims description 18
- 238000010606 normalization Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 9
- 238000004140 cleaning Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 238000013519 translation Methods 0.000 claims description 3
- 230000007123 defense Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/16—Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Analysis (AREA)
- Computational Mathematics (AREA)
- Mathematical Optimization (AREA)
- Computer Hardware Design (AREA)
- Pure & Applied Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Complex Calculations (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,公开一种基于可信度量的拟态交换机裁决系统,包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块;本发明还公开一种基于可信度量的拟态交换机裁决方法,包括:拟态交换机裁决元素设定;输入信息分发;输出信息收集;基于可信度量的拟态裁决;裁决结果下发以及交换机威胁态势感知和执行体调度;基于可信度量的拟态裁决包括:建立执行体可信指标树;收集与更新执行体可信指标数据;计算各执行体输出结果可信权重;各输出结果可信性计算。本发明能有效降低未知漏洞和潜在后门的影响,提升局域网安全防护水平。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种基于可信度量的拟态交换机裁决系统及方法。
背景技术
随着网络通信技术的飞速发展,网络已经融入到社会的各个领域,对政治、经济以及人们的工作、生活带来了深远影响。然而近年来网络安全事件层出不穷,对国家、社会、经济、人们的工作、生活造成了巨大影响,网络安全也引起了各个国家的广泛重视,网络安全行业也在飞速发展之中。交换机作为重要的网络基础设施,无论是在企业网络,还是在数据中心网络或者运营商网络中,都充斥着交换机的身影,发挥着极其重要的作用。然而现有技术水平(网络空间拟态防御原理——广义鲁棒控制与内生安全[M].科学出版社,2018.)(仝青,张铮,张为华,等.拟态防御Web服务器设计与实现[J].软件学报,2017(4).),仍难以实现对交换机网络操作系统未知漏洞的及时发现与有效避免,此外全球化的多方软硬件提供方式,更使得交换机软硬件难以实现对后门、陷门的有效管控。而现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁,而对零日漏洞和未知后门束手无策。如果恶意攻击者一旦发现并利用这些漏洞和后门,将会对交换机所在局域网络产生巨大的安全威胁。因此急需一种更为通用的交换机操作系统漏洞与后门防御方法,以有效降低未知漏洞和潜在后门的影响,提升局域网安全防护水平。
发明内容
本发明针对现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁,而对零日漏洞和未知后门束手无策的问题,提出了一种基于可信度量的拟态交换机裁决系统及方法,该拟态交换机具备内生安全能力,能有降低交换机的未知漏洞和潜在后门对局域网造成的安全威胁。
为了实现上述目的,本发明采用以下技术方案:
一种基于可信度量的拟态交换机裁决系统,包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块:
所述转发平面用于完成数据报文的转发、协议报文的上报以及管理系统的接入;
所述管理接口代理用于完成管理配置信息向多个执行体的分发,实现多执行体向管理用户的单一呈现,同时实现管理用户对态势感知与负反馈调度模块的接入;
所述转发平面代理用于完成协议报文向多个执行体的分发,实现多执行体向转发平面的单一呈现;
所述执行体用于完成通用交换机网络操作系统的功能,实现协议报文的解析、计算和表项的生成,实现路由交换协议栈的功能,并将计算结果上报基于可信度量的拟态裁决模块;
所述基于可信度量的拟态裁决模块用于与态势感知与负反馈调度模块进行交互,获取各执行体的可信指标数据,并使用各执行体的可信指标数据计算各执行体的可信度;收集各个执行体的MAC表、ARP表、路由表、管理配置信息计算结果,基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决,将裁决结果下发至中间适配模块,并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块;
所述中间适配模块用于将基于可信度量的拟态裁决模块下发的输出结果进行转译,将转译结果下发到转发平面,包括MAC表、ARP表、路由表、管理配置信息的转译与下发;
所述态势感知与负反馈调度模块用于依据所建立的可信指标树,完成对执行体可信指标数据的采集、统计和更新;与基于可信度量的拟态裁决模块进行交互,向基于可信度量的拟态裁决模块提供执行体可信指标数据,接收基于可信度量的拟态裁决模块上报的异常信息以及各执行体的可信度值;依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体的操作。
一种基于可信度量的拟态交换机裁决方法,包括:
步骤1:依据安全需求,设定需要进行拟态裁决的执行体计算结果,将其定义为裁决元素;所述裁决元素包括MAC表、ARP表、路由表、管理配置信息;
步骤2:转发平面完成数据报文、协议报文或管理报文的分流后,利用管理接口代理和转发平面代理将报文向多个执行体进行复制分发;
步骤3:多个异构的执行体在接收到输入信息后,完成对报文的解析和计算,并将计算结果上报基于可信度量的拟态裁决模块,基于可信度量的拟态裁决模块完成对多个执行同一输入信息计算结果的收集;
步骤4:基于可信度量的拟态裁决模块与态势感知与负反馈调度模块进行交互,获取各执行体的可信指标数据,并基于各执行体的可信指标数据计算各执行体的可信度;基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决;
步骤5:基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块,并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块。
进一步地,所述步骤4包括:
步骤4.1:建立执行体可信指标树:依据实际需求选择相应的执行体属性作为可信指标,构建可信指标树,所述执行体属性包括CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次、安全防护措施评分、执行体可信性评分;
步骤4.2:收集与更新各执行体可信指标的数值:通过态势感知与负反馈调度模块收集和统计各执行体在运行过程中的CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次,通过管理接口配置安全防护措施评分、执行体可信性评分;
步骤4.3:利用各执行体可信指标数据计算各执行体输出结果可信度;
步骤4.4:选出可信度最高的输出结果作为拟态裁决结果:对于裁决元素,计算所有执行体输出的每一种结果的累计可信度,选择累计可信度值最高的结果作为每次输出的拟态裁决结果;对于非裁决元素,直接选择可信度最高的执行体输出的计算结果作为拟态裁决结果。
进一步地,所述步骤4.3包括:
步骤4.3.1:构建特征矩阵,特征矩阵如式(1)所示:
其中xi,j表示第i个执行体的第j个可信指标的数值,n表示异构执行体的总数量,h表示采用的可信指标总数量;
步骤4.3.2:计算规范化矩阵:
步骤4.3.3:计算权重规范化矩阵,所得权重规范化矩阵如式(5)所示:
zi,j=wj·yi,j(i=1,2,…,n;j=1,2,…,h) (4)
其中wj表示第j个可信指标的权重,zi,j表示权重规范化后的第i个执行体的第j个可信指标的数值;
步骤4.3.4:确定正理想执行体A+和负理想执行体A-:
其中表示第1个可信指标的最优值,表示第h个可信指标的最优值,表示第1个可信指标的最劣值,表示第h个可信指标的最劣值,表示n个执行体中第1个可信指标的最大值,表示n个执行体中第h个可信指标的最大值,表示n个执行体中第1个可信指标的最小值,表示n个执行体中第h个可信指标的最小值;
步骤4.3.5:计算距离尺度,为每一个执行体i计算距离正理想执行体和负理想执行体的距离:
步骤4.3.6:计算理想执行体贴近度,为每一个执行体i计算距离理想执行体的贴近度Oi,则执行体i的可信度即为Oi:
步骤4.3.7:对于可信度为Oi的执行体i,其输出的计算结果的可信度即为Oi。
进一步地,所述步骤5包括:
基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块,中间适配模块将下发的裁决结果转译下发至转发平面,转发平面实现MAC表、ARP表、路由表、管理配置的生效;与此同时,基于可信度量的拟态裁决模块将出现结果不一致的执行体标记为异常执行体,并将异常执行体和异常信息上报至态势感知与负反馈调度模块;态势感知与负反馈调度模块接收到异常信息后,对执行体可信指标数据进行更新,并依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体操作。
与现有技术相比,本发明具有的有益效果:
现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁,而对零日漏洞和未知后门束手无策,本发明提出了一种基于可信度量的拟态交换机裁决系统及方法,本发明是一种更为通用的交换机操作系统未知漏洞和后门防御方法,借助于拟态防御架构和功能等价的多个异构的执行体(交换机网络操作系统),可有效降低未知漏洞和潜在后门对交换机的安全威胁,有效提高局域网的安全防护水平,显著提高内网渗透的难度。
附图说明
图1为本发明实施例一种基于可信度量的拟态交换机裁决系统的架构示意图;
图2为本发明实施例一种基于可信度量的拟态交换机裁决方法的基本流程图;
图3为本发明实施例一种基于可信度量的拟态交换机裁决方法的拟态裁决流程图;
图4为本发明实施例一种基于可信度量的拟态交换机裁决方法的执行体可信指标树示意图。
具体实施方式
下面结合附图和具体的实施例对本发明做进一步的解释说明:
如图1所示,一种基于可信度量的拟态交换机裁决系统,包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体(交换机网络操作系统)、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块:
所述转发平面用于完成数据报文的转发、协议报文的上报以及管理系统的接入;
所述管理接口代理用于完成管理配置信息向多个执行体的分发,实现多执行体向管理用户的单一呈现,同时实现管理用户对态势感知与负反馈调度模块的接入;
所述转发平面代理用于完成协议报文向多个执行体的分发,实现多执行体向转发平面的单一呈现;
所述执行体用于完成通用交换机网络操作系统的功能,实现协议报文的解析、计算和表项的生成,实现路由交换协议栈的功能,并将计算结果上报基于可信度量的拟态裁决模块;
所述基于可信度量的拟态裁决模块用于与态势感知与负反馈调度模块进行交互,获取各执行体的可信指标数据,并使用各执行体的可信指标数据计算各执行体的可信度;收集各个执行体的MAC表、ARP表、路由表、管理配置信息计算结果,基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决,将裁决结果下发至中间适配模块,并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块;
所述中间适配模块用于将基于可信度量的拟态裁决模块下发的输出结果进行转译,将转译结果下发到转发平面,包括MAC表、ARP表、路由表、管理配置信息的转译与下发;
所述态势感知与负反馈调度模块用于依据所建立的可信指标树,完成对执行体可信指标数据的采集、统计和更新;与基于可信度量的拟态裁决模块进行交互,向基于可信度量的拟态裁决模块提供执行体可信指标数据,接收基于可信度量的拟态裁决模块上报的异常信息以及各执行体的可信度值;依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体的操作。
在上述实施例的基础上,本发明还公开一种基于可信度量的拟态交换机裁决方法,如图2所示,包括:
步骤S101:依据安全需求,设定需要进行拟态裁决的执行体计算结果,将其定义为裁决元素;所述裁决元素包括MAC表、ARP表、路由表、管理配置信息;
步骤S102:转发平面完成数据报文、协议报文或管理报文的分流后,利用管理接口代理和转发平面代理将报文向多个执行体进行复制分发;
步骤S103:多个异构的执行体在接收到输入信息后,完成对报文的解析和计算,并将计算结果上报基于可信度量的拟态裁决模块,基于可信度量的拟态裁决模块完成对多个执行同一输入信息计算结果的收集;
步骤S104:基于可信度量的拟态裁决模块与态势感知与负反馈调度模块进行交互,获取各执行体的可信指标数据,并基于各执行体的可信指标数据计算各执行体的可信度;基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决;
步骤S105:基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块,并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块。
进一步地,所述步骤S101中,管理配置包括端口配置、VLAN配置、ACL配置;
进一步地,如图3所示,所述步骤S104包括:
步骤S104.1:建立执行体可信指标树:依据实际需求选择相应的执行体属性作为可信指标,构建可信指标树,所述执行体属性包括CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次、安全防护措施评分、执行体可信性评分(如:考虑否掌握源代码、是否是国产等因素);建立的执行体可信指标树如图4所示;
步骤S104.2:收集与更新各执行体可信指标的数值:通过态势感知与负反馈调度模块收集和统计各执行体在运行过程中的CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次,通过管理接口配置安全防护措施评分、执行体可信性评分;
步骤S104.3:利用各执行体可信指标数据计算各执行体输出结果可信度;
步骤S104.4:选出可信度最高的输出结果作为拟态裁决结果:对于裁决元素,计算所有执行体输出的每一种结果的累计可信度,选择累计可信度值最高的结果作为每次输出的拟态裁决结果;对于非裁决元素,直接选择可信度最高的执行体输出的计算结果作为拟态裁决结果。
进一步地,所述步骤S104.3包括:
1)构建特征矩阵,特征矩阵如式(1)所示:
其中xi,j表示第i个执行体的第j个可信指标的数值,n表示异构执行体的总数量,h表示采用的可信指标总数量;
2)计算规范化矩阵:为了解决各可信指标数据在量纲、值大小的不同,需要对各可信指标的数值进行规范化;
3)计算权重规范化矩阵,将各可信指标的权重加以考虑,所得权重规范化矩阵如式(5)所示:
zi,j=wj·yi,j(i=1,2,…,n;j=1,2,…,h) (4)
其中wj表示第j个可信指标的权重,zi,j表示权重规范化后的第i个执行体的第j个可信指标的数值;
4)确定正理想执行体A+和负理想执行体A-:
其中表示第1个可信指标的最优值,表示第h个可信指标的最优值,表示第1个可信指标的最劣值,表示第h个可信指标的最劣值,表示n个执行体中第1个可信指标的最大值,表示n个执行体中第h个可信指标的最大值,表示n个执行体中第1个可信指标的最小值,表示n个执行体中第h个可信指标的最小值;
5)计算距离尺度,为每一个执行体i计算距离正理想执行体和负理想执行体的距离:
6)计算理想执行体贴近度,为每一个执行体i计算距离理想执行体的贴近度Oi,则执行体i的可信度即为Oi:
7)对于可信度为Oi的执行体i,其输出的计算结果的可信度即为Oi。
进一步地,所述步骤S105包括:
基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块,中间适配模块将下发的裁决结果转译下发至转发平面,转发平面实现MAC表、ARP表、路由表、管理配置的生效;与此同时,基于可信度量的拟态裁决模块将出现结果不一致的执行体标记为异常执行体,并将异常执行体和异常信息上报至态势感知与负反馈调度模块;态势感知与负反馈调度模块接收到异常信息后,对执行体可信指标数据进行更新,并依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体操作。
综上,本发明针对现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁,而对零日漏洞和未知后门束手无策的问题,提出了一种基于可信度量的拟态交换机裁决系统及方法,本发明是一种更为通用的交换机操作系统未知漏洞和后门防御方法,借助于拟态防御架构和功能等价的多个异构的执行体(交换机网络操作系统),可有效降低未知漏洞和潜在后门对交换机的安全威胁,有效提高局域网的安全防护水平,显著提高内网渗透的难度。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.一种基于可信度量的拟态交换机裁决系统,其特征在于,包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块:
所述转发平面用于完成数据报文的转发、协议报文的上报以及管理系统的接入;
所述管理接口代理用于完成管理配置信息向多个执行体的分发,实现多执行体向管理用户的单一呈现,同时实现管理用户对态势感知与负反馈调度模块的接入;
所述转发平面代理用于完成协议报文向多个执行体的分发,实现多执行体向转发平面的单一呈现;
所述执行体用于完成通用交换机网络操作系统的功能,实现协议报文的解析、计算和表项的生成,实现路由交换协议栈的功能,并将计算结果上报基于可信度量的拟态裁决模块;
所述基于可信度量的拟态裁决模块用于与态势感知与负反馈调度模块进行交互,获取各执行体的可信指标数据,并使用各执行体的可信指标数据计算各执行体的可信度;收集各个执行体的MAC表、ARP表、路由表、管理配置信息计算结果,基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决,将裁决结果下发至中间适配模块,并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块;
所述中间适配模块用于将基于可信度量的拟态裁决模块下发的输出结果进行转译,将转译结果下发到转发平面,包括MAC表、ARP表、路由表、管理配置信息的转译与下发;
所述态势感知与负反馈调度模块用于依据所建立的可信指标树,完成对执行体可信指标数据的采集、统计和更新;与基于可信度量的拟态裁决模块进行交互,向基于可信度量的拟态裁决模块提供执行体可信指标数据,接收基于可信度量的拟态裁决模块上报的异常信息以及各执行体的可信度值;依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体的操作。
2.基于权利要求1所述的一种基于可信度量的拟态交换机裁决系统的一种基于可信度量的拟态交换机裁决方法,其特征在于,包括:
步骤1:依据安全需求,设定需要进行拟态裁决的执行体计算结果,将其定义为裁决元素;所述裁决元素包括MAC表、ARP表、路由表、管理配置信息;
步骤2:转发平面完成数据报文、协议报文或管理报文的分流后,利用管理接口代理和转发平面代理将报文向多个执行体进行复制分发;
步骤3:多个异构的执行体在接收到输入信息后,完成对报文的解析和计算,并将计算结果上报基于可信度量的拟态裁决模块,基于可信度量的拟态裁决模块完成对多个执行同一输入信息计算结果的收集;
步骤4:基于可信度量的拟态裁决模块与态势感知与负反馈调度模块进行交互,获取各执行体的可信指标数据,并基于各执行体的可信指标数据计算各执行体的可信度;基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决;
步骤5:基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块,并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块。
3.根据权利要求2所述的一种基于可信度量的拟态交换机裁决方法,其特征在于,所述步骤4包括:
步骤4.1:建立执行体可信指标树:依据实际需求选择相应的执行体属性作为可信指标,构建可信指标树,所述执行体属性包括CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次、安全防护措施评分、执行体可信性评分;
步骤4.2:收集与更新各执行体可信指标的数值:通过态势感知与负反馈调度模块收集和统计各执行体在运行过程中的CPU使用率、内存使用率、平均处理时延、累计故障时间、计算结果与裁决结果不一致的频次,通过管理接口配置安全防护措施评分、执行体可信性评分;
步骤4.3:利用各执行体可信指标数据计算各执行体输出结果可信度;
步骤4.4:选出可信度最高的输出结果作为拟态裁决结果:对于裁决元素,计算所有执行体输出的每一种结果的累计可信度,选择累计可信度值最高的结果作为每次输出的拟态裁决结果;对于非裁决元素,直接选择可信度最高的执行体输出的计算结果作为拟态裁决结果。
4.根据权利要求3所述的一种基于可信度量的拟态交换机裁决方法,其特征在于,所述步骤4.3包括:
步骤4.3.1:构建特征矩阵,特征矩阵如式(1)所示:
其中xi,j表示第i个执行体的第j个可信指标的数值,n表示异构执行体的总数量,h表示采用的可信指标总数量;
步骤4.3.2:计算规范化矩阵:
步骤4.3.3:计算权重规范化矩阵,所得权重规范化矩阵如式(5)所示:
zi,j=wj·yi,j(i=1,2,…,n;j=1,2,…,h) (4)
其中wj表示第j个可信指标的权重,zi,j表示权重规范化后的第i个执行体的第j个可信指标的数值;
步骤4.3.4:确定正理想执行体A+和负理想执行体A-:
其中表示第1个可信指标的最优值,表示第h个可信指标的最优值,表示第1个可信指标的最劣值,表示第h个可信指标的最劣值,表示n个执行体中第1个可信指标的最大值,表示n个执行体中第h个可信指标的最大值,表示n个执行体中第1个可信指标的最小值,表示n个执行体中第h个可信指标的最小值;
步骤4.3.5:计算距离尺度,为每一个执行体i计算距离正理想执行体和负理想执行体的距离:
步骤4.3.6:计算理想执行体贴近度,为每一个执行体i计算距离理想执行体的贴近度Oi,则执行体i的可信度即为Oi:
步骤4.3.7:对于可信度为Oi的执行体i,其输出的计算结果的可信度即为Oi。
5.根据权利要求2所述的一种基于可信度量的拟态交换机裁决方法,其特征在于,所述步骤5包括:
基于可信度量的拟态裁决模块将裁决结果下发至中间适配模块,中间适配模块将下发的裁决结果转译下发至转发平面,转发平面实现MAC表、ARP表、路由表、管理配置的生效;与此同时,基于可信度量的拟态裁决模块将出现结果不一致的执行体标记为异常执行体,并将异常执行体和异常信息上报至态势感知与负反馈调度模块;态势感知与负反馈调度模块接收到异常信息后,对执行体可信指标数据进行更新,并依据配置的调度策略完成对低可信度执行体的下线、清洗以及上线、调度其他执行体操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010535480.7A CN111884996B (zh) | 2020-06-12 | 2020-06-12 | 一种基于可信度量的拟态交换机裁决系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010535480.7A CN111884996B (zh) | 2020-06-12 | 2020-06-12 | 一种基于可信度量的拟态交换机裁决系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111884996A true CN111884996A (zh) | 2020-11-03 |
CN111884996B CN111884996B (zh) | 2022-04-08 |
Family
ID=73156540
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010535480.7A Active CN111884996B (zh) | 2020-06-12 | 2020-06-12 | 一种基于可信度量的拟态交换机裁决系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111884996B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112187833A (zh) * | 2020-11-09 | 2021-01-05 | 浙江大学 | 一种拟态waf中的ai+正则双匹配检测方法 |
CN112417458A (zh) * | 2020-11-18 | 2021-02-26 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据报文可编程处理装置 |
CN112532625A (zh) * | 2020-11-27 | 2021-03-19 | 杭州安恒信息安全技术有限公司 | 网络态势感知评估数据更新方法、装置及可读存储介质 |
CN112839036A (zh) * | 2020-12-30 | 2021-05-25 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态防御理论的软件运行环境生成方法及系统 |
CN112929208A (zh) * | 2021-01-25 | 2021-06-08 | 浙江大学 | 一种拟态虚拟交换机的同分异构体裁决方法 |
CN113792290A (zh) * | 2021-06-02 | 2021-12-14 | 国网河南省电力公司信息通信公司 | 拟态防御的裁决方法及调度系统 |
CN113905011A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 一种拟态设备Arp表同步方法及系统 |
CN114448888A (zh) * | 2022-02-08 | 2022-05-06 | 中国工商银行股份有限公司 | 金融网络拟态路由方法及装置 |
CN114826638A (zh) * | 2021-03-17 | 2022-07-29 | 中国人民解放军战略支援部队信息工程大学 | 基于状态特征相似性的拟态路由器异常检测方法及系统 |
CN118590478A (zh) * | 2024-07-31 | 2024-09-03 | 河南嵩山实验室产业研究院有限公司洛阳分公司 | web服务拟态多维模糊判决方法及系统 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130097184A1 (en) * | 2004-09-15 | 2013-04-18 | Yahoo! Inc. | Automatic updating of trust networks in recommender systems |
CN107360135A (zh) * | 2017-06-09 | 2017-11-17 | 中国人民解放军信息工程大学 | 拟态化网络操作系统、构建装置及方法 |
CN107395414A (zh) * | 2017-07-19 | 2017-11-24 | 上海红阵信息科技有限公司 | 一种基于输出裁决的负反馈控制方法及系统 |
CN108134740A (zh) * | 2017-12-08 | 2018-06-08 | 中国电子科技集团公司第三十研究所 | 一种基于物理异构冗余的加权裁决及随机调度方法 |
US20180294061A1 (en) * | 2014-08-14 | 2018-10-11 | Cognitive Scale, Inc. | Hybrid Data Architecture for Use Within a Healthcare Industry Optimized Cognitive Environment |
CN110011965A (zh) * | 2019-02-28 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度的执行体完全非一致输出裁决方法及装置 |
CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
CN110691107A (zh) * | 2019-12-11 | 2020-01-14 | 南京红阵网络安全技术研究院有限公司 | 一种内生安全的用户接入认证管理系统及方法 |
US20200065162A1 (en) * | 2018-08-25 | 2020-02-27 | International Business Machines Corporation | Transparent, event-driven provenance collection and aggregation |
CN110912876A (zh) * | 2019-11-08 | 2020-03-24 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 面向信息系统的拟态防御系统、方法及介质 |
CN111049677A (zh) * | 2019-11-27 | 2020-04-21 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
-
2020
- 2020-06-12 CN CN202010535480.7A patent/CN111884996B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130097184A1 (en) * | 2004-09-15 | 2013-04-18 | Yahoo! Inc. | Automatic updating of trust networks in recommender systems |
US20180294061A1 (en) * | 2014-08-14 | 2018-10-11 | Cognitive Scale, Inc. | Hybrid Data Architecture for Use Within a Healthcare Industry Optimized Cognitive Environment |
CN107360135A (zh) * | 2017-06-09 | 2017-11-17 | 中国人民解放军信息工程大学 | 拟态化网络操作系统、构建装置及方法 |
CN107395414A (zh) * | 2017-07-19 | 2017-11-24 | 上海红阵信息科技有限公司 | 一种基于输出裁决的负反馈控制方法及系统 |
CN108134740A (zh) * | 2017-12-08 | 2018-06-08 | 中国电子科技集团公司第三十研究所 | 一种基于物理异构冗余的加权裁决及随机调度方法 |
US20200065162A1 (en) * | 2018-08-25 | 2020-02-27 | International Business Machines Corporation | Transparent, event-driven provenance collection and aggregation |
CN110011965A (zh) * | 2019-02-28 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度的执行体完全非一致输出裁决方法及装置 |
CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
CN110912876A (zh) * | 2019-11-08 | 2020-03-24 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 面向信息系统的拟态防御系统、方法及介质 |
CN111049677A (zh) * | 2019-11-27 | 2020-04-21 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
CN110691107A (zh) * | 2019-12-11 | 2020-01-14 | 南京红阵网络安全技术研究院有限公司 | 一种内生安全的用户接入认证管理系统及方法 |
Non-Patent Citations (5)
Title |
---|
B. MA AND Z. ZHANG: "Security research of redundancy in mimic defense system", 《2017 3RD IEEE INTERNATIONAL CONFERENCE ON COMPUTER AND COMMUNICATIONS (ICCC)》 * |
Z. WU AND J. WEI: "Heterogeneous Executors Scheduling Algorithm for Mimic Defense Systems", 《2019 IEEE 2ND INTERNATIONAL CONFERENCE ON COMPUTER AND COMMUNICATION ENGINEERING TECHNOLOGY (CCET)》 * |
吕迎迎: "拟态SDN控制器架构安全关键技术研究", 《中国优秀硕士论文全文数据库(电子期刊)信息科技辑》 * |
王禛鹏: "拟态网络操作系统调度与裁决机制研究及实现", 《中国优秀硕士论文全文数据库(电子期刊)信息科技辑》 * |
马海龙等: "路由器拟态防御能力测试与分析", 《信息安全学报》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112187833A (zh) * | 2020-11-09 | 2021-01-05 | 浙江大学 | 一种拟态waf中的ai+正则双匹配检测方法 |
CN112417458B (zh) * | 2020-11-18 | 2023-03-31 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据报文可编程处理装置 |
CN112417458A (zh) * | 2020-11-18 | 2021-02-26 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据报文可编程处理装置 |
CN112532625A (zh) * | 2020-11-27 | 2021-03-19 | 杭州安恒信息安全技术有限公司 | 网络态势感知评估数据更新方法、装置及可读存储介质 |
CN112839036A (zh) * | 2020-12-30 | 2021-05-25 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态防御理论的软件运行环境生成方法及系统 |
CN112929208A (zh) * | 2021-01-25 | 2021-06-08 | 浙江大学 | 一种拟态虚拟交换机的同分异构体裁决方法 |
CN114826638A (zh) * | 2021-03-17 | 2022-07-29 | 中国人民解放军战略支援部队信息工程大学 | 基于状态特征相似性的拟态路由器异常检测方法及系统 |
CN114826638B (zh) * | 2021-03-17 | 2024-04-12 | 中国人民解放军战略支援部队信息工程大学 | 基于状态特征相似性的拟态路由器异常检测方法及系统 |
CN113792290A (zh) * | 2021-06-02 | 2021-12-14 | 国网河南省电力公司信息通信公司 | 拟态防御的裁决方法及调度系统 |
CN113792290B (zh) * | 2021-06-02 | 2024-02-02 | 国网河南省电力公司信息通信公司 | 拟态防御的裁决方法及调度系统 |
CN113905011A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 一种拟态设备Arp表同步方法及系统 |
CN113905011B (zh) * | 2021-09-06 | 2023-08-04 | 河南信大网御科技有限公司 | 一种拟态设备Arp表同步方法及系统 |
CN114448888A (zh) * | 2022-02-08 | 2022-05-06 | 中国工商银行股份有限公司 | 金融网络拟态路由方法及装置 |
CN114448888B (zh) * | 2022-02-08 | 2024-01-02 | 中国工商银行股份有限公司 | 金融网络拟态路由方法及装置 |
CN118590478A (zh) * | 2024-07-31 | 2024-09-03 | 河南嵩山实验室产业研究院有限公司洛阳分公司 | web服务拟态多维模糊判决方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111884996B (zh) | 2022-04-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111884996B (zh) | 一种基于可信度量的拟态交换机裁决系统及方法 | |
US12047396B2 (en) | System and method for monitoring security attack chains | |
Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
Ning et al. | Abstraction-based intrusion detection in distributed environments | |
US20190036957A1 (en) | Trust topology selection for distributed transaction processing in computing environments | |
CN114915476A (zh) | 一种基于网络安全测评过程的攻击推演图生成方法及系统 | |
Garg et al. | A probabilistic data structures-based anomaly detection scheme for software-defined Internet of vehicles | |
CN103152345A (zh) | 一种攻防博弈的网络安全最优攻防决策方法 | |
CN102088459A (zh) | 一种基于可信交换的大集中数据交换与集成平台 | |
KR20140106547A (ko) | 네트워크 메타데이터를 처리하기 위한 스트리밍 방법 및 시스템 | |
CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
Gañán et al. | An empirical analysis of zeus c&c lifetime | |
CN110071934B (zh) | 用于网络异常检测的局部敏感性计数摘要方法及系统 | |
Zhao et al. | TrustBlock: An adaptive trust evaluation of SDN network nodes based on double-layer blockchain | |
CN110677400B (zh) | 一种局域网环境中主机和服务的攻击暴露面分析方法及系统 | |
Wang et al. | Privacy preserving average consensus with different privacy guarantee | |
Pradeepa et al. | A hybrid OpenFlow with intelligent detection and prediction models for preventing BGP path hijack on SDN | |
CN113472670B (zh) | 用于计算机网络的方法、网络装置及存储介质 | |
Iftikhar et al. | Security provision by using detection and prevention methods to ensure trust in edge-based smart city networks | |
Kamatchi et al. | An efficient security framework to detect intrusions at virtual network layer of cloud computing | |
US11588678B2 (en) | Generating incident response action recommendations using anonymized action implementation data | |
CN111865661B (zh) | 一种面向网络设备管理协议的异常配置检测装置及方法 | |
Chang et al. | Implementation of ransomware prediction system based on weighted-KNN and real-time isolation architecture on SDN Networks | |
CN113343231A (zh) | 一种基于集中管控的威胁情报的数据采集系统 | |
Wang et al. | Application of Community Detection Algorithm with Link Clustering in Inhibition of Social Network Worms. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |