CN112134841B - 异构执行体动态可重组方法、拟态防御架构及介质 - Google Patents
异构执行体动态可重组方法、拟态防御架构及介质 Download PDFInfo
- Publication number
- CN112134841B CN112134841B CN202010832320.9A CN202010832320A CN112134841B CN 112134841 B CN112134841 B CN 112134841B CN 202010832320 A CN202010832320 A CN 202010832320A CN 112134841 B CN112134841 B CN 112134841B
- Authority
- CN
- China
- Prior art keywords
- heterogeneous
- reconstruction
- lightweight
- elements
- executive body
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种异构执行体动态可重组方法、拟态防御架构及介质,所述方法包括以下步骤:当异构执行体未受到威胁攻击时,从配置的轻量级重构元素中筛选出X种轻量级重构元素组成第一重组因子;将第一重组因子附加到m个异构执行体上,以重新构建各异构执行体的防御场景;当某个异构执行体受到威胁攻击时,从配置的重量级重构元素中筛选出至少一种重量级重构元素组成第二重组因子;将第二重组因子附加到对应异构执行体上,以重新构建该异构执行体的防御场景。本发明借助重构元素池中的轻量级重构元素和重量级重构元素,实现异构执行体自身防御场景的动态改变,解决了在某些场景下异构执行体防御场景无法多样化的问题。
Description
技术领域
本发明涉及拟态防御技术领域,具体的说,涉及了一种异构执行体动态可重组方法、拟态防御架构及介质。
背景技术
拟态防御技术建立在DHR(Dynamic Heterogeneous Redundancy)架构基础上,并导入拟态伪装策略,使拟态界内的防御场景与服务功能多元化、动态化、随机化,以造成攻击者对防御架构内部框架的认知迷雾。
目前,防御场景的多样化往往通过在不同CPU架构上运行不同的操作系统来或者借助于虚拟化的方式来实现,此种情况适用于硬件资源丰富或者硬件性能较高的情况。
但是,在硬件资源有限(处理器模块数量受限)且硬件性能较低(例如不支持虚拟化、处理频率较低)的情况下,如何重构异构执行体的防御场景,对于实现拟态构造具有实际的工程应用价值。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供一种异构执行体动态可重组方法、拟态防御架构及介质。
为了实现上述目的,本发明所采用的技术方案是:
本发明第一方面提出一种异构执行体动态可重组方法,包括以下步骤:
预设异构执行体T1至异构执行体Tm;
配置至少一类轻量级重构元素以及至少一类重量级重构元素;其中,每类轻量级重构元素包括至少一种轻量级重构元素,每类重量级重构元素包括至少一种重量级重构元素;
当异构执行体未受到威胁攻击时,从配置的轻量级重构元素中筛选出X种轻量级重构元素组成第一重组因子;将第一重组因子附加到m个异构执行体上,以重新构建各异构执行体的防御场景;其中,第一重组因子中的轻量级重构元素属于同一类别轻量级重构元素或者不同类别的轻量级重构元素;
当某个异构执行体受到威胁攻击时,从配置的重量级重构元素中筛选出至少一种重量级重构元素组成第二重组因子;将第二重组因子附加到对应异构执行体上,以重新构建该异构执行体的防御场景。
本发明第二方面提供一种拟态防御架构,包括输入代理、异构执行体、裁决器、反馈调度模块和输出代理,所述反馈调度模块采用上述异构执行体动态可重组方法的步骤,动态改变异构执行体的防御场景。
本发明第三方面提供一种可读存储介质,其上存储有指令,该指令被处理器执行时实现如上述异构执行体动态可重组方法的步骤。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说:
1)本发明借助重构元素池中的轻量级重构元素和重量级重构元素,实现异构执行体自身防御场景的动态改变,解决了在某些场景下(假如系统只有若干个固定构造的异构执行体)异构执行体防御场景无法多样化的问题;增强异构执行体的多样化;
2)本发明无需调度异构执行体下线或者上线,即可实现异构执行体自身防御场景的动态改变;当异构执行体未受到威胁攻击时,通过轻量级重构元素不用让异构执行体进行重启操作,即可改变异构执行体的运行环境,节省了异构执行体恢复时间;
3)基于有限的硬件资源或者性能普通硬件资源,在异构执行体数量固定的情况下,通过异构执行体动态可重组方法,动态改变异构执行体防御场景,提高了拟态构造设备的抗攻击能力,且节省了成本投入;
4)采用轻量级重构元素进行重构时,在不中断业务的情况下,可以快速完成异构执行体状态的改变,提高系统业务对外的响应能力;采用轻量级+重量级重构元素相结合的方式,实现异构执行体的清洗或者运行状态改变,提高了系统资源的利用率。
附图说明
图1是本发明的异构执行体动态可重组方法的流程图。
图2是本发明的异构执行体动态可重组系统的整体框图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
实施例1
一种异构执行体动态可重组方法,它包括以下步骤:预设异构执行体T1至异构执行体Tm;配置至少一类轻量级重构元素以及至少一类重量级重构元素;其中,每类轻量级重构元素包括至少一种轻量级重构元素,每类重量级重构元素包括至少一种重量级重构元素;
当异构执行体未受到威胁攻击时,从配置的轻量级重构元素中筛选出X种轻量级重构元素组成第一重组因子;将第一重组因子附加到m个异构执行体上,以重新构建各异构执行体的防御场景;其中,X=k*m或者X>k*m,k为正整数;第一重组因子中的轻量级重构元素属于同一类别轻量级重构元素或者不同类别的轻量级重构元素;
当某个异构执行体受到威胁攻击时,从配置的重量级重构元素中筛选出至少一种重量级重构元素组成第二重组因子;将第二重组因子附加到对应异构执行体上,以重新构建该异构执行体的防御场景。
例如,当存在m个在线异构执行体且异构执行体未受到威胁攻击时,可以调度m种轻量级重构元素作为第一重组因子,为每个在线异构执行体分配一种轻量级重构元素,以进一步改变异构执行体的运行环境;也可以提取2m种轻量级重构元素作为第一重组因子,为每个在线异构执行体分配两种轻量级重构元素,以进一步更大程度地改变异构执行体的运行环境。
在其他实施例中,当有m个在线异构执行体时,可以调度大于m且小于2m种轻量级重构元素作为第一重组因子,为某些异构执行体分配一种轻量级重构元素,同时为某些异构执行体分配两种轻量级重构元素,以不同程度地改变异构执行体的状态。
需要说明的是,重构元素池中设置有轻量级重构元素和重量级重构元素。轻量级重构元素属于轻量级、异构性不是太强的重构,在工程实践上较简单;轻量级重构元素为无需异构执行体发生重启即可改变异构执行体的防御场景的元素,只是微调异构执行体的防御场景。例如,动态改变异构执行体上防火墙的规则,在不影响业务的情况下,异构执行体丢弃端口号为80的报文(通过防火墙的方式实现);例如,更改异构执行体非业务软件的版本,将系统的杀毒软件由360更换为卡巴斯基。轻量级重构元素,不用让执行体进行重启操作,就可以改变执行体的防御场景,此时节省执行体的恢复时间。所述重量级重构元素属于重量级、异构性较强的重构,在工程上实现较复杂。例如,操作系统内核版本、CPU架构可以定义为重量级重构元素;防火墙策略、系统附件软件、加密方式等可定义为轻量级重构元素。选用重量级重构元素(重量级重构元素),需要重启异构执行体,异构执行体的防御场景才能发生变换。
需要说明的是,一般情况下,异构执行体受到威胁的概率较小,轻量级重构元素在一定程度上就可以满足安全需求,当遇到重大威胁时,通过调度重量级重构元素进行防御。
可以理解,配置轻量级重构元素A1至轻量级重构元素An,以及重量级重构元素B1至重量级重构元素Bp;其中,每类轻量级重构元素Ai包括至少一种轻量级重构元素Aij,每类重量级重构元素Bi包括至少一种重量级重构元素Bij,n表示轻量级重构元素的类别总数,p表示重量级重构元素的类别总数,m表示在线异构执行体的数量,在线异构执行体m的数量小于等于轻量级重构元素的类别总数n以及重量级重构元素的类别总数p。
例如,轻量级重构元素包括防火墙策略、杀毒软件等类别,防火墙策略包括防火墙策略Ⅰ、防火墙策略Ⅱ、防火墙策略Ⅲ以及防火墙策略Ⅳ,杀毒软件包括360杀毒软件和卡巴斯基杀毒软件等;重量级重构元素包括CPU架构、内核版本和文件系统等类别,CPU架构包括X86和arm等,文件系统包括FAT、NTFS、ExtFAT、ext2、ext3、reiserFS、VFAT、APFS等;Linux系统内核版本包括2.6、3.1、3.4等多个内核版本。
进一步的,当异构执行体未受到威胁攻击时,所述反馈调度模块在第一时间周期内,从配置的轻量级重构元素中筛选出X种轻量级重构元素组成第一重组因子;其中,每个第一时间周期细分为若干个第二时间周期;
获得一组第一重组因子后,在不同的第二时间周期通过轮询调度的方式,调度第一重组因子中的轻量级重构元素以重新构建各异构执行体的防御场景。
需要说明的是,所述反馈调度模块可以在第一时间周期内的每个第二时间周期内,从配置的轻量级重构元素中筛选出X种轻量级重构元素组成不同的第一重组因子;这种异构执行体动态重组方式,增强了异构执行体的多样化。
在其他实施例中,如附图1所示,所述反馈调度模块也可以在第一时间周期内的不同第二时间周期内,共同调度同一组第一重组因子,来动态改变各异构执行体的防御场景;用以在动态改变异构执行体防御场景的前提下,提高异构执行体动态重组效率。
实施例2
本实施例与实施例1的区别在于:在选择重构元素时,可以采用不同的重构元素选择算法,本实施例给出了一种随机选择算法。
可以理解,重构元素选择算法为调度策略。例如,在系统未发生异常时,采用轮询调度轻量级重构元素;假如轻量级重构元素有:防火墙策略A、B、C、D。在T0时刻,执行体1采用防火墙策略A,执行体2采用防火墙策略B、执行体3采用防火墙策略C;在T1时刻,执行体1采用防火墙策略C、执行体2采用防火墙策略B、执行体3采用防火墙策略A。
本实施例中,当异构执行体未受到威胁攻击时,随机从配置的轻量级重构元素中筛选出至少一类轻量级重构元素,并随机从选中的每类轻量级重构元素中提取出m种轻量级重构元素组成第一重组因子;
当某个异构执行体受到威胁攻击时,随机从配置的重量级重构元素中筛选出至少一类重量级重构元素,并随机从选中的每类重量级重构元素中提取出一种重量级重构元素组成第二重组因子。
可以理解,当在线异构执行体未受到威胁攻击时,定时或者按照调度指令为异构执行体T1至异构执行体Tm随机从轻量级重构元素A1至轻量级重构元素An中筛选出至少一类轻量级重构元素,并随机从选中的每类轻量级重构元素中提取出m种轻量级重构元素组成第一重组因子。例如,在线异构执行体数量为3,从n类轻量级重构元素随机筛选出防火墙策略这类轻量级重构元素,从防火墙策略中随机选出3种防火墙策略对3个在线异构执行体的防御场景进行变换;
当某个异构执行体受到威胁攻击时,为该异构执行体随机从重量级重构元素B1至重量级重构元素Bp筛选出至少一类重量级重构元素,并随机从选中的每类重量级重构元素中提取出一种重量级重构元素组成第二重组因子。例如,当异构执行体1受到威胁攻击时,从p类重量级重构元素随机筛选出内核版本这类重量级重构元素,并从重量级重构元素随机筛选出3.1版本内核;在未重启时,异构执行体1使用的是2.6的内核,异构执行体1重启以后Bootloader引导3.1的内核。
本实施例通过采用随机选择算法调度轻量级重构元素和重量级重构元素,提高异构执行体动态重组的防御场景的随机性,使得异构执行体避开威胁攻击;在系统只有若干个固定构造的异构执行体的前提下,造成攻击者对防御架构内部框架的认知迷雾,增强系统安全性。
实施例3
本实施例与实施例1的区别在于:在选择重构元素时,可以采用不同的重构元素选择算法,本实施例还给出了一种加权选择算法的具体实施方式。
本实施例中,根据历史经验值设置每种轻量级重构元素的初始加权值,依据初始加权值大小对所有轻量级重构元素进行排序;根据历史经验值设置每种重量级重构元素的初始加权值,依据初始加权值大小对重量级重构元素进行排序;
当异构执行体未受到威胁攻击时,定期或按照调度指令提取初始加权值大小在前X位的轻量级重构元素作为第一重组因子;其中,其中,X=k*m或者X>k*m,k为正整数;第一重组因子中的轻量级重构元素属于同一类别轻量级重构元素或者不同类别的轻量级重构元素;
当某个异构执行体受到威胁攻击时,依据初始加权值大小提取出初始加权值最大的一种重量级重构元素作为第二重组因子。
可以理解,当有m个在线异构执行体时,当异构执行体未受到威胁攻击时,可以提取m种轻量级重构元素作为第一重组因子,也可以提取2m种轻量级重构元素作为第一重组因子,为每个在线异构执行体分配两种轻量级重构元素,以更大程度地改变异构执行体的运行环境,增强系统内生安全性。
在其他实施例中,当有m个在线异构执行体时,可以调度大于m且小于2m种轻量级重构元素作为第一重组因子,为某些异构执行体分配一种轻量级重构元素,同时为某些异构执行体分配两种轻量级重构元素,以不同程度地改变异构执行体的状态。
需要说明的是,初始加权值根据历史经验值设定,初始加权值的大小取决于:增加该重构元素后,异构执行体受到攻击的难易程度;增加该重构元素后,异构执行体受到攻击的难度越高,初始加权值越高。初始加权值越高,重构元素在筛选时越容易被调度到。
例如,在线异构执行体数量为3,3个异构执行体均未受到威胁攻击;轻量级重构元素A的初始加权值为V1,轻量级重构元素B的初始加权值为V2,轻量级重构元素C的初始加权值为V3,轻量级重构元素D的初始加权值为V4;其中,初始加权值V1>初始加权值V2>初始加权值V3>初始加权值V4;当异构执行体未受到威胁攻击时,优先调度轻量级重构元素A、轻量级重构元素B和轻量级重构元素C作为第一重组因子。
例如,在线异构执行体数量为3,异构执行体1受到威胁攻击;重量级重构元素A’的初始加权值为W1,轻量级重构元素B’的初始加权值为W2,轻量级重构元素C’的初始加权值为W3,轻量级重构元素D’的初始加权值为W4;其中,初始加权值W1>初始加权值W2>初始加权值W3>初始加权值W4;优先调度轻量级重构元素A’作为第二重组因子。
进一步的,当某个异构执行体受到一次威胁攻击时,对该异构执行体采用的轻量级重构元素及重量级重构元素的初始加权值进行减1处理;以动态调整各个轻量级重构元素和重量级重构元素的排序位置,进一步提高异构执行体动态重组的防御场景的安全性,使得异构执行体避开威胁攻击;
实施例4
本实施例与实施例1的区别在于:在选择重构元素时,可以采用不同的重构元素选择算法,本实施例还给出了一种分组选择算法的具体实施方式。
所述分组选择算法包括以下步骤:根据历史经验值,将轻量级重构元素分为若干组第一重组因子,将重量级重构元素分为若干组第二重组因子;
当异构执行体未受到威胁攻击时,随机或者采用轮询调度的方式选择一组第一重组因子,并附加给异构执行体,以重新构建各异构执行体的防御场景;
当某个异构执行体受到威胁攻击时,随机或者采用轮询调度的方式选择一组第二重组因子,并附加到对应异构执行体上,以重新构建该异构执行体的防御场景。
可以理解,进行分组时,根据历史经验,将在线异构执行体受到攻击概率较小时采用的轻量级重构元素组合作为第一重组因子,并将在线异构执行体受到攻击概率较小时采用的某一种或者某几种重量级重构元素作为第二重组因子。
可以理解,轮询调度指的是定时调度;例如:加入重构元素有第一重组因子A、第一重组因子B、第一重组因子C;在T1时刻,调度第一重组因子A,在T2时刻调度第一重组因子B,在T3时刻,调度第一重组因子C,在T4时刻第一重组因子A.....,根据定时周期,轮询调度第一重组因子A、第一重组因子B、第一重组因子C。其中,定时对应的运行周期可以设置为12小时、24小时或者48小时等等,根据实际需要进行设置,本实施例在此不作限制。
需要说明的是,当系统中未发现威胁时,可以采取轮询调度轻量级重构元素的方法动态改变执行体的状态。当系统中发现威胁,例如检测出一个异构执行体1受到威胁攻击,对异构执行体1进行清洗再上线时,此时需要调用重量级重构元素来改变异构执行体1的运行状态。
例如,配置重量级重构元素包括第二重组因子A’(内核A)、第二重组因子B’(内核B)、第二重组因子C’(CPU1)、第二重组因子D’(CPU2);当异构执行体1 在T0时刻发生威胁时,异构执行体1清洗并采用第二重组因子B’(内核B)重新上线;当异构执行体1在 T1时刻发生威胁时,异执执行体1清洗并采用第二重组因子D’(CPU2)重新上线;当异构执行体1 在T2时刻发生威胁时,异执执行体1清洗并采用第二重组因子A’(内核A)重新上线;当异构执行体1 在T3时刻发生威胁时,异执执行体1清洗并采用第二重组因子C’(CPU1)重新上线;当异构执行体1 在T4时刻发生威胁时,异构执行体1清洗并采用第二重组因子B’(内核B)重新上线……;根据定时周期,轮询调度第二重组因子A’(内核A)、第二重组因子B’(内核B)、第二重组因子C’(CPU1)、第二重组因子D’(CPU2)。
根据历史经验,将轻量级重构元素和重量级重构元素分组,可以在动态改变异构执行体防御场景的前提下,大大提高提高异构执行体动态重组效率。
实施例5
本实施例与上述实施例的区别在于:获得第一重组因子或者第二重组因子之前,还执行:识别在线异构执行体当前采用的轻量级重构元素和重量级重构元素,并排除轻量级重构元素池中与异构执行体的当前轻量级重构元素一致的轻量级重构元素,以及重量级重构元素池中与异构执行体的当前重量级重构元素一致的重量级重构元素。
可以理解,当异构执行体受到威胁攻击时,调用与该异构执行体当前防御场景所采用的重构元素不同的重量级重构元素;当异构执行体未受到威胁攻击时,调用与该异构执行体当前防御场景所采用的重构元素不同的轻量级重构元素;以增强异构执行体的防御能力。
需要说明的是,反馈调度模块定时从重构元素池中定时获取重构元素时,应尽量选择不重启执行体就能使防御场景发生变换的重构元素(轻量级重构元素);当裁决器发现异构执行体受到威胁,需要对异构执行体进行清洗时,应尽量选择重启执行体才能使防御场景发生变换的重构元素(重量级重构元素),例如内核版本的更改、文件系统的更改、操作系统的更改。
采用轻量级重构元素进行重构时,在不中断业务的情况下,可以快速完成异构执行体状态的改变,提高异构执行体所在系统对应业务对外的响应能力;采用轻量级+重量级重构元素相结合的方式,实现异构执行体的清洗或者运行状态改变,提高了系统资源的利用率。一般来说,系统受到威胁的概率较小,轻量级重构元素在一定程度上就可以满足安全需求,当遇到重大威胁时,通过调度重量级重构元素进行防御。
需要说明的是,在将X种轻量级重构元素附加到m个在线异构执行体上,涉及重构元素分配算法,用于实现重构元素的动态分配。本实施例给出了一种重构元素分配算法的具体实施方式:反馈调度模块获得所述第一重组因子后,随机从第一重组因子中提取出一个轻量级重构元素附加到某一个异构执行体上。
实施例6
本实施例与上述实施例的区别在于:反馈调度模块定期更新重构元素池中的轻量级重构元素和/或重量级重构元素。
需要说明的是,随着技术的快速发展,可能出现新的轻量级重构元素和/或重量级重构元素,定期对重构元素池中的重构元素进行更新,可以在异构执行体数量固定的情况下,通过重构元素池中新的轻量级重构元素和/或重量级重构元素构建异构执行体新的防御场景,进一步丰富拟态构造架构中异构执行体的防御场景,提高了拟态构造设备的抗攻击能力。
实施例7
在一种具体实施方式中,系统中运行三个异构执行体,异构执行体1的硬件处理器平台为X86平台、操作系统为Windows,异构执行2的硬件平台为ARM平台,操作系统为Centos,异构执行体3的硬件平台为Mips平台,操作系统为Linux。重构元素池中的轻量级重构元素为防火墙策略,重量级重构元素为内核版本和文件系统。当三个异构执行体未发现异常时,反馈调度模块从轻量级重构元素池中调度防火墙策略动态改变各异构执行体对外暴露的端口号或者流量规则;当异构执行体2发现异常时,反馈调度模块从重量级重构元素池中取出需要上线的内核版本,异构执行体2重启时选择新的内核版本进行运行。
在另一种具体实施方式中,系统中运行三个异构执行体,且三个异构执行体的硬件都是基于FPGA平台或者“具备支持软件定义硬件”的平台时。此时重构元素池中的重构元素可以分为处理器架构(X86、ARM)、操作系统(Windows、Linux)。反馈调度模块从重构元素池中取出重构元素,在T0时刻,将异构执行体1的FPGA例化为ARM核,操作系统选择Linux;在T1时刻,将异构执行体1的FPGA例化为X86核,操作系统选择Window。
基于软件定义硬件的方式实现异构执行体防御场景的多样化,在一定程度上保证了新上线执行体防御场景的彻底改变,同时也带来了硬件设计成本以及实现难度的增加。
实施例8
本实施例给出了一种拟态防御架构,包括输入代理、异构执行体、裁决器、反馈调度模块和输出代理,所述反馈调度模块采用上述异构执行体动态可重组方法的步骤,动态改变异构执行体的防御场景;如附图2所示。
所述异构执行体动态可重组方法以下步骤:重预设异构执行体T1至异构执行体Tm;
配置至少一类轻量级重构元素以及至少一类重量级重构元素;其中,每类轻量级重构元素包括至少一种轻量级重构元素,每类重量级重构元素包括至少一种重量级重构元素;
当异构执行体未受到威胁攻击时,从配置的轻量级重构元素中筛选出X种轻量级重构元素组成第一重组因子;将第一重组因子附加到m个异构执行体上,以重新构建各异构执行体的防御场景;
当某个异构执行体受到威胁攻击时,从配置的重量级重构元素中筛选出至少一种重量级重构元素组成第二重组因子;将第二重组因子附加到对应异构执行体上,以重新构建该异构执行体的防御场景。
需要说明的是,反馈调度模块定时从重构元素池中定时获取重构元素时,应尽量选择不重启执行体就能使防御场景发生变换的重构元素(轻量级重构元素);当裁决器发现异构执行体受到威胁,需要对异构执行体进行清洗时,应尽量选择重启执行体才能使防御场景发生变换的重构元素(重量级重构元素)。
实施例9
本实施例给出了一种可读存储介质,其上存储有指令,该指令被处理器执行时实现如上述的异构执行体动态可重组方法的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的架构和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,上述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (10)
1.一种异构执行体动态可重组方法,其特征在于,包括以下步骤:
预设异构执行体T1至异构执行体Tm;
配置至少一类轻量级重构元素以及至少一类重量级重构元素;其中,每类轻量级重构元素包括至少一种轻量级重构元素,每类重量级重构元素包括至少一种重量级重构元素;
当异构执行体未受到威胁攻击时,从配置的轻量级重构元素中筛选出X种轻量级重构元素组成第一重组因子;将第一重组因子附加到m个异构执行体上,以重新构建各异构执行体的防御场景;
当某个异构执行体受到威胁攻击时,从配置的重量级重构元素中筛选出至少一种重量级重构元素组成第二重组因子;将第二重组因子附加到对应异构执行体上,以重新构建该异构执行体的防御场景。
2.根据权利要求1所述的异构执行体动态可重组方法,其特征在于,当异构执行体未受到威胁攻击时,随机从配置的轻量级重构元素中筛选出至少一类轻量级重构元素,并随机从选中的每类轻量级重构元素中提取出m种轻量级重构元素组成第一重组因子;
当某个异构执行体受到威胁攻击时,随机从配置的重量级重构元素中筛选出至少一类重量级重构元素,并随机从选中的每类重量级重构元素中提取出一种重量级重构元素组成第二重组因子。
3.根据权利要求1所述的异构执行体动态可重组方法,其特征在于,
根据历史经验值设置每种轻量级重构元素的初始加权值,依据初始加权值大小对所有轻量级重构元素进行排序;根据历史经验值设置每种重量级重构元素的初始加权值,依据初始加权值大小对所有重量级重构元素进行排序;
当异构执行体未受到威胁攻击时,提取初始加权值大小在前X位的轻量级重构元素作为第一重组因子;
当某个异构执行体受到威胁攻击时,依据初始加权值大小提取出初始加权值最大的一种重量级重构元素作为第二重组因子。
4.根据权利要求3所述的异构执行体动态可重组方法,其特征在于,当某个异构执行体受到一次威胁攻击时,对该异构执行体采用的轻量级重构元素及重量级重构元素的初始加权值进行减1处理。
5.根据权利要求1所述的异构执行体动态可重组方法,其特征在于,将轻量级重构元素分为若干组第一重组因子,将重量级重构元素分为若干组第二重组因子;
当异构执行体未受到威胁攻击时,随机或者采用轮询调度的方式选择一组第一重组因子,并附加给异构执行体,以重新构建各异构执行体的防御场景;
当某个异构执行体受到威胁攻击时,随机或者采用轮询调度的方式选择一组第二重组因子,并附加到对应异构执行体上,以重新构建该异构执行体的防御场景。
6.根据权利要求1所述的异构执行体动态可重组方法,其特征在于,获得第一重组因子或者第二重组因子之前,还执行:识别在线异构执行体当前采用的轻量级重构元素和重量级重构元素,并排除轻量级重构元素池中与异构执行体的当前轻量级重构元素一致的轻量级重构元素,以及重量级重构元素池中与异构执行体的当前重量级重构元素一致的重量级重构元素。
7.根据权利要求1至6任一项所述的异构执行体动态可重组方法,其特征在于,当异构执行体未受到威胁攻击时,反馈调度模块在第一时间周期内,从配置的轻量级重构元素中筛选出X种轻量级重构元素组成第一重组因子;其中,每个第一时间周期细分为若干个第二时间周期;
获得一组第一重组因子后,在不同的第二时间周期通过轮询调度的方式,调度第一重组因子中的轻量级重构元素以重新构建各异构执行体的防御场景。
8.根据权利要求7所述的异构执行体动态可重组方法,其特征在于,定期更新重构元素池中的轻量级重构元素和/或重量级重构元素。
9.一种拟态防御架构,包括输入代理、异构执行体、裁决器、反馈调度模块和输出代理,其特征在于:所述反馈调度模块采用权利要求1至8任一项所述异构执行体动态可重组方法的步骤,动态改变异构执行体的防御场景。
10.一种可读存储介质,其上存储有指令,其特征在于:该指令被处理器执行时实现如权利要求1至8任一项所述异构执行体动态可重组方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010832320.9A CN112134841B (zh) | 2020-08-18 | 2020-08-18 | 异构执行体动态可重组方法、拟态防御架构及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010832320.9A CN112134841B (zh) | 2020-08-18 | 2020-08-18 | 异构执行体动态可重组方法、拟态防御架构及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112134841A CN112134841A (zh) | 2020-12-25 |
CN112134841B true CN112134841B (zh) | 2022-12-13 |
Family
ID=73850962
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010832320.9A Active CN112134841B (zh) | 2020-08-18 | 2020-08-18 | 异构执行体动态可重组方法、拟态防御架构及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112134841B (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7426749B2 (en) * | 2004-01-20 | 2008-09-16 | International Business Machines Corporation | Distributed computation in untrusted computing environments using distractive computational units |
CN106874755B (zh) * | 2017-01-22 | 2019-07-12 | 中国人民解放军信息工程大学 | 多数一致逃逸错误处理装置及方法 |
CN109525418B (zh) * | 2018-10-11 | 2021-10-08 | 浙江工商大学 | 一种拟态防御下服务部署执行体集合异构度保证的调度方法 |
CN110740067B (zh) * | 2019-11-06 | 2022-02-08 | 鹏城实验室 | 主动防御网络安全性分析方法、存储介质及应用服务器 |
CN111124663B (zh) * | 2019-11-15 | 2023-08-11 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 拟态资源调度方法、系统及介质 |
CN110995409B (zh) * | 2020-02-27 | 2020-06-23 | 南京红阵网络安全技术研究院有限公司 | 基于部分同态加密算法的拟态防御裁决方法和系统 |
-
2020
- 2020-08-18 CN CN202010832320.9A patent/CN112134841B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN112134841A (zh) | 2020-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109587168B (zh) | 软件定义网络中基于拟态防御的网络功能部署方法 | |
CN109150831B (zh) | 一种内生安全的云任务执行装置及方法 | |
CN107291538B (zh) | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 | |
Singh et al. | An optimized round robin scheduling algorithm for CPU scheduling | |
Georgiou et al. | Evaluating scalability and efficiency of the resource and job management system on large HPC clusters | |
CN106484886A (zh) | 一种数据采集的方法及其相关设备 | |
CN104468407A (zh) | 实现业务平台资源弹性分配的方法与装置 | |
CN107888706A (zh) | 云产品故障处理方法、装置、设备及计算机可读存储介质 | |
Saha et al. | Scheduling dynamic hard real-time task sets on fully and partially reconfigurable platforms | |
Alnowiser et al. | Enhanced weighted round robin (EWRR) with DVFS technology in cloud energy-aware | |
CN106161417A (zh) | 一种异构功能等价体调度装置及其方法 | |
CN104935580A (zh) | 基于云平台的信息安全控制方法和系统 | |
Yang et al. | Reliable dynamic service chain scheduling in 5G networks | |
Lin et al. | Novel resource allocation model and algorithms for cloud computing | |
Mencagli et al. | Control-theoretic adaptation strategies for autonomic reconfigurable parallel applications on cloud environments | |
CN106713262A (zh) | 基于可信度的异构执行体动态调度装置及其调度方法 | |
CN112134841B (zh) | 异构执行体动态可重组方法、拟态防御架构及介质 | |
CN105487917B (zh) | 一种虚拟机实现验证码系统修复的方法及装置 | |
Zhu et al. | Boosting adaptivity of fault-tolerant scheduling for real-time tasks with service requirements on clusters | |
US7313101B2 (en) | Need-based filtering for rapid selection of devices in a tree topology network | |
CN110764873A (zh) | 一种虚拟机资源管理方法、系统及相关设备 | |
CN111831452A (zh) | 任务执行方法、装置、存储介质及电子装置 | |
CN114915460A (zh) | 一种面向容器云的异构动态扩缩容装置及方法 | |
Banerjee et al. | An approach towards development of a new cloudlet allocation policy with dynamic time quantum | |
US20220405104A1 (en) | Cross platform and platform agnostic accelerator remoting service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |