CN111885016B - 一种基于数据报文的快速裁决方法、系统及架构 - Google Patents

一种基于数据报文的快速裁决方法、系统及架构 Download PDF

Info

Publication number
CN111885016B
CN111885016B CN202010642288.8A CN202010642288A CN111885016B CN 111885016 B CN111885016 B CN 111885016B CN 202010642288 A CN202010642288 A CN 202010642288A CN 111885016 B CN111885016 B CN 111885016B
Authority
CN
China
Prior art keywords
message
data
data messages
arbitrated
data message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010642288.8A
Other languages
English (en)
Other versions
CN111885016A (zh
Inventor
吕青松
冯志峰
魏亚祥
杨泽彭
冯超
郭义伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Original Assignee
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Comleader Information Technology Co Ltd, Henan Xinda Wangyu Technology Co Ltd filed Critical Zhuhai Comleader Information Technology Co Ltd
Priority to CN202010642288.8A priority Critical patent/CN111885016B/zh
Publication of CN111885016A publication Critical patent/CN111885016A/zh
Application granted granted Critical
Publication of CN111885016B publication Critical patent/CN111885016B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种基于数据报文的快速裁决方法、系统及架构,其中,方法包括以下步骤:将来自异构执行体的数据报文分类为待裁决数据报文和非裁决数据报文;对所述待裁决数据报文进行裁决后输出,对所述非裁决数据报文进行直通转发。系统包括:用于对数据报文分类的流量分类器,用于对数据报文裁决的裁决器,用于对数据报文直通转发的直通器;所述流量分类器、所述裁决器和所述直通器相互连接,执行所述的基于数据报文的快速裁决方法。本发明在一定程度上提高了裁决器的裁决速率,并能快速发现数据流量中的威胁,解决了传统裁决器对大数据流量裁决效率低下的问题,提高了拟态构造架构在大数据流量业务上的应用范围。

Description

一种基于数据报文的快速裁决方法、系统及架构
技术领域
本发明涉及拟态防御领域,具体涉及一种基于数据报文的快速裁决方法、系统及架构。
背景技术
拟态构造设备由输入代理、异构执行体池、输出代理与裁决、反馈控制器四部分组成;裁决器通过裁决算法判别各执行体的运算结果,以此来确定整个系统是否受到外部攻击。目前拟态构造设备的执行体往往是异构操作系统,裁决器往往只对执行体上的某种应用数据的结果进行裁决。针对以流量应用为主的异构执行体(例如整个交换机作为异构执行体),普通的裁决器往往无法处理大流量(10G、40G)业务,就算勉强处理,裁决速率也特别低效。
针对裁决器存在的上述问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是提供一种基于数据报文的快速裁决方法、系统及架构。
为了实现上述目的,本发明第一方面提供了一种基于数据报文的快速裁决方法,包括以下步骤:
将来自异构执行体的数据报文分类为待裁决数据报文和非裁决数据报文;对所述待裁决数据报文进行裁决后输出,对所述非裁决数据报文进行直通转发。
基于上述,所述待裁决数据报文包括用户配置类操作报文,所述非裁决数据报文包括用户读取类操作报文。
基于上述,根据协议类型、源端口号、目的端口号、源IP地址、目的IP地址或数据包内容对接收到的数据报文进行分类。
基于上述,所述用户配置类操作报文包括管理类的流量报文和业务流量报文;在裁决时,对于管理类流量报文,只进行payload字段的hash值比较;对于业务流量报文,对整个报文进行hash值比较。
基于上述,在非裁决数据报文达到以后,先查询所述待裁决数据报文是否完成裁决并下发;当待裁决数据报文已经完成下发时,再进行非裁决数据报文的直通转发。
基于上述,预设延时等待时间TM,接收所述非裁决数据报文后,延时等待TM时间再进行非裁决数据报文的直通转发;所述延时等待时间TM为根据历史经验获取的用于裁决待裁决数据报文的最大裁决时间。
本发明第二方面提供了一种基于数据报文的快速裁决系统,包括:用于对数据报文分类的流量分类器,用于对数据报文裁决的裁决器,用于对数据报文直通转发的直通器;所述流量分类器、所述裁决器和所述直通器相互连接,执行所述的基于数据报文的快速裁决方法。
本发明第三方面提供了一种拟态防御架构,包括输入代理、异构功能等价执行体、反馈控制器与裁决输出,所述裁决输出采用所述的基于数据报文的快速裁决方法。
本发明第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现所述的基于数据报文的快速裁决方法。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体地说,本发明通过引入流量分类器、直通器,将来自异构执行体的数据报文分类为待裁决数据报文和非裁决数据报文,对待裁决数据报文进行裁决后输出,对所述非裁决数据报文则进行直通转发,在一定程度上提高了裁决器的裁决速率,并能快速发现数据流量中的威胁,解决了传统裁决器对大数据流量裁决效率低下的问题,提高了拟态构造架构在大数据流量业务上的应用范围。
附图说明
图1是本发明提供的基于数据报文的快速裁决系统的框图。
具体实施方式
实施例1
本实施例提供了一种基于数据报文的快速裁决方法,包括以下步骤:将来自异构执行体的数据报文分类为待裁决数据报文和非裁决数据报文;对所述待裁决数据报文进行裁决后输出,对所述非裁决数据报文进行直通转发。
本实施例中,所述待裁决数据报文包括用户配置类操作报文,所述非裁决数据报文包括用户读取类操作报文。根据协议类型、源端口号、目的端口号、源IP地址、目的IP地址或数据包内容对接收到的数据报文进行分类。
如图1所示,本实施例还提供了一种对应于所述基于数据报文的快速裁决方法的系统,包括:用于对数据报文分类的流量分类器,用于对数据报文裁决的裁决器,用于对数据报文直通转发的直通器;所述流量分类器、所述裁决器和所述直通器相互连接,执行所述的基于数据报文的快速裁决方法。
具体的,执行体接收外部用户的输入,并对输入结果进行处理;常见的外部输入包括:用户读取类操作、用户配置类操作;执行体接收到用户读取类操作,只需从中间适配器获取相应的状态信息返给用户即可,此种读取类操作因不能操作底层硬件设备往往不具备威胁信息;执行体接收到用户配置类操作,需将配置类操作进行裁决后再发送至中间适配器。本实施例的分类操作主要完成用户读取类操作、用户配置类操作的分拣工作。
实例1:用户通过Telnet访问执行体后,执行体对于读取类的操作会采取6001端口与中间适配器进行通信,执行体对于配置类的操作会采取6002端口与中间适配器通信;在某些业务中,执行体会主动上报自己的状态至外部用户(例如:syslog服务),在上报业务时,执行体同样需要获取中间适配器的状态信息,此时执行体采取6003端口与中间适配器通信。流量分类器将6001、6003端口号的业务报文直接发送至直通器,将6002端口号的报文发送至裁决器。通过端口号的方式完成数据报文的分类。
实例2:执行体上电进行初始化配置时,会从配置文件中读取用户配置完成系统初始化。执行体与中间适配器采用同一端口号8001与执行体进行通信。报文中的Payload字段中加入了TYPE ID字段,ID=1代表读取类操作,ID=2代表配置类操作,ID=3代表事件上报操作。流量分类器根据TYPE ID完成数据报文的分拣,将ID=1、3的报文发送至直通器,将ID=2的数据报文发送至裁决器。
在某些特殊应用场合,例如对数据报文的时序有要求的场合,经过裁决器的报文需要先于或者晚于直通器中的报文优先达到中间适配器时,直通器可以通过以下2种方式完成数据报文的控制,一是构建直通器与裁决器通信接口,二者通过协商的方式完成报文时序的控制;二是裁决器或者直通器进行时延等待,保证报文的先后顺序。
方式一:用户读取类操作报文P1是不需要裁决的,用户配置类操作报文P2是需要进行裁决的。用户先下发了P2,再接着下发了P1。由于P2需要经过裁决,处理的时间较长,P1经过直通器会直接达到中间适配器,此时P1读取类报文最终获取的结果未是P2配置的结果。为了保证P1读取的结果为P2配置完以后的结果,此时需要保证P2优先P1完成处理。P1达到直通器以后,P1首先向裁决器发出查询请求,以此获取P2是否完成裁决并下发至中间适配器,当P2已经完成下发时,直通器才允许P1发送至中间适配器。
方式二:在某些条件下,P2的裁决时间根据历史经验可以获取最大裁决时间TM,当出现用户先下发P2、后下发P1的情况时,直通器对于P1报文会先进行TM的延时等待,然后再进行数据下发。此种情况,大概率的避免了P1、P2不同步的问题。
本实施例中,所述用户配置类操作报文包括管理类的流量报文和业务流量报文;在裁决时,对于管理类流量报文,只进行payload字段的hash值比较;对于业务流量报文,对整个报文进行hash值比较,从而进一步提高裁决效率。
本实施例中的流量分类器、直通器可以通过FPGA编程、专有芯片、高性能处理器等方式实现;在实际应用中,为了简化设计,流量分类器和直通器可以合二为一。
实施例2
本实施例提供了一种拟态防御架构,包括输入代理、异构功能等价执行体、反馈控制器与裁决输出,所述裁决输出采用所述的基于数据报文的快速裁决方法。
本实施例提供的拟态防御架构能够解决传统裁决器对大数据流量裁决效率低下的问题,提高了拟态构造架构在大数据流量业务上的应用范围。
实施例3
本实施例提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现所述的基于数据报文的快速裁决方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,还可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (7)

1.一种基于拟态架构的数据报文的快速裁决方法,其特征在于,包括以下步骤:
将来自异构执行体的数据报文分类为待裁决数据报文和非裁决数据报文;
所述待裁决数据报文包括用户配置类操作报文,所述非裁决数据报文包括用户读取类操作报文;
对所述待裁决数据报文进行裁决后输出,对所述非裁决数据报文进行直通转发;
根据协议类型、源端口号、目的端口号、源IP地址、目的IP地址或数据包内容对接收到的数据报文进行分类。
2.根据权利要求1所述的基于拟态架构的数据报文的快速裁决方法,其特征在于:所述用户配置类操作报文包括管理类的流量报文和业务流量报文;在裁决时,对于管理类流量报文,只进行payload字段的hash值比较;对于业务流量报文,对整个报文进行hash值比较。
3.根据权利要求1所述的基于拟态架构的数据报文的快速裁决方法,其特征在于:在非裁决数据报文达到以后,先查询所述待裁决数据报文是否完成裁决并下发;当待裁决数据报文已经完成下发时,再进行非裁决数据报文的直通转发。
4.根据权利要求1所述的基于拟态架构的数据报文的快速裁决方法,其特征在于:预设延时等待时间TM,接收所述非裁决数据报文后,延时等待TM时间再进行非裁决数据报文的直通转发;所述延时等待时间TM为根据历史经验获取的用于裁决待裁决数据报文的最大裁决时间。
5.一种基于拟态架构的数据报文的快速裁决系统,其特征在于,包括:用于对数据报文分类的流量分类器,用于对数据报文裁决的裁决器,用于对数据报文直通转发的直通器,用于对接收到的数据报文进行分类步骤中的中间适配器;所述流量分类器、所述裁决器、中间适配器和所述直通器相互连接,执行权利要求1-4任一项所述的基于拟态架构的数据报文的快速裁决方法。
6.一种拟态防御系统,包括输入代理、异构功能等价执行体、反馈控制器与裁决输出,其特征在于:所述裁决输出采用权利要求1-4任一项所述的基于拟态架构的数据报文的快速裁决方法。
7.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该计算机指令被处理器执行时实现权利要求1-4任一项所述的基于拟态架构的数据报文的快速裁决方法。
CN202010642288.8A 2020-07-06 2020-07-06 一种基于数据报文的快速裁决方法、系统及架构 Active CN111885016B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010642288.8A CN111885016B (zh) 2020-07-06 2020-07-06 一种基于数据报文的快速裁决方法、系统及架构

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010642288.8A CN111885016B (zh) 2020-07-06 2020-07-06 一种基于数据报文的快速裁决方法、系统及架构

Publications (2)

Publication Number Publication Date
CN111885016A CN111885016A (zh) 2020-11-03
CN111885016B true CN111885016B (zh) 2023-06-16

Family

ID=73150295

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010642288.8A Active CN111885016B (zh) 2020-07-06 2020-07-06 一种基于数据报文的快速裁决方法、系统及架构

Country Status (1)

Country Link
CN (1) CN111885016B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112637239A (zh) * 2020-12-31 2021-04-09 河南信大网御科技有限公司 一种快速裁决系统及方法
CN112637238B (zh) * 2020-12-31 2022-08-16 河南信大网御科技有限公司 脱离协议栈的telnet代理方法、架构及介质
CN113433919B (zh) * 2021-08-26 2021-11-30 之江实验室 一种拟态工业控制器主控之间的大数据量数据同步方法
CN114363037B (zh) * 2021-12-30 2023-09-29 河南信大网御科技有限公司 基于拟态特定场景下的强裁决方法、系统、架构及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491069A (zh) * 2013-09-05 2014-01-01 北京科能腾达信息技术股份有限公司 网络数据包的过滤方法
CN105426290A (zh) * 2015-11-18 2016-03-23 北京京东尚科信息技术有限公司 异常信息智能处理方法和系统
CN106130962A (zh) * 2016-06-13 2016-11-16 浙江宇视科技有限公司 一种报文处理方法和装置
CN110380961A (zh) * 2019-07-05 2019-10-25 中国人民解放军战略支援部队信息工程大学 一种传统路由器拟态化改造的装置及方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170149825A1 (en) * 2015-11-20 2017-05-25 Acalvio Technologies, Inc. Modification of a Server to Mimic a Deception Mechanism
CN110401601B (zh) * 2019-08-20 2021-09-03 之江实验室 一种拟态路由协议系统和方法
CN110650020B (zh) * 2019-09-25 2022-05-10 天津市滨海新区信息技术创新中心 拟态模糊判决方法、装置及系统
CN110691107B (zh) * 2019-12-11 2020-04-21 南京红阵网络安全技术研究院有限公司 一种内生安全的用户接入认证管理系统及方法
CN111181926B (zh) * 2019-12-13 2022-04-05 中国人民解放军战略支援部队信息工程大学 一种基于拟态防御思想的安全设备及其运行方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491069A (zh) * 2013-09-05 2014-01-01 北京科能腾达信息技术股份有限公司 网络数据包的过滤方法
CN105426290A (zh) * 2015-11-18 2016-03-23 北京京东尚科信息技术有限公司 异常信息智能处理方法和系统
CN106130962A (zh) * 2016-06-13 2016-11-16 浙江宇视科技有限公司 一种报文处理方法和装置
CN110380961A (zh) * 2019-07-05 2019-10-25 中国人民解放军战略支援部队信息工程大学 一种传统路由器拟态化改造的装置及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
路由器拟态防御能力测试与分析;马海龙等;《信息安全学报》;20170115(第01期);第1-5页 *

Also Published As

Publication number Publication date
CN111885016A (zh) 2020-11-03

Similar Documents

Publication Publication Date Title
CN111885016B (zh) 一种基于数据报文的快速裁决方法、系统及架构
US9503425B2 (en) Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN)
US7983265B1 (en) Method and system for processing a network packet
EP3039833B1 (en) System and method for providing a data service in an engineered system for middleware and application execution
US8842669B2 (en) Dynamic, condition-based packet redirection
KR102586898B1 (ko) 패킷 처리 방법 및 장치, 및 관련 디바이스들
US9325637B2 (en) System for performing distributed data cut-through
KR101468067B1 (ko) 통합된 관리 제어기를 갖는 네트워크 제어기
EP2725749B1 (en) Method, apparatus and system for processing service flow
US20170255501A1 (en) In-node Aggregation and Disaggregation of MPI Alltoall and Alltoallv Collectives
US11750699B2 (en) Small message aggregation
EP3588915A1 (en) Coalescing small payloads
US20150188821A1 (en) Low-latency lossless switch fabric for use in a data center
CN104394080A (zh) 实现安全组功能的方法及装置
CN104780080A (zh) 深度报文检测方法及系统
CN107483313B (zh) 一种基于级联以太网设备的数据采集方法及系统
CN100446509C (zh) 实现重定向报文正确转发的方法及第一部件、第二部件
US11593296B2 (en) Edge component redirect for IoT analytics groups
EP3579507A1 (en) Dynamic scheduling method, device, and system
CN113014610B (zh) 一种远程访问方法、装置及系统
US20230283624A1 (en) Method, apparatus, and system for determining data flow information
TWI723517B (zh) 分散式拒絕服務攻擊防護方法及相關設備
CN113347186B (zh) 反射攻击探测方法、装置和电子设备
CN113572700A (zh) 流量检测方法、系统、装置及计算机可读存储介质
US20240323133A1 (en) Systems and methods of packet sequencing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant