CN112134842B - 异构执行体超级特权检测器、方法及拟态构造架构 - Google Patents
异构执行体超级特权检测器、方法及拟态构造架构 Download PDFInfo
- Publication number
- CN112134842B CN112134842B CN202010832331.7A CN202010832331A CN112134842B CN 112134842 B CN112134842 B CN 112134842B CN 202010832331 A CN202010832331 A CN 202010832331A CN 112134842 B CN112134842 B CN 112134842B
- Authority
- CN
- China
- Prior art keywords
- super
- privilege
- heterogeneous
- detector
- mimicry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Electric Vacuum Cleaner (AREA)
- Selective Calling Equipment (AREA)
Abstract
本发明提出一种异构执行体超级特权检测器、方法及拟态构造架构,其中,异构执行体超级特权检测器包括超级特权检测单元和通信接口单元;所述超级特权检测单元通过所述通信接口单元与异构执行体通信连接,定时检测异构执行体是否收到来自外部用户的超级特权访问;所述超级特权检测单元通过所述通信接口单元与拟态构造设备的反馈控制器通信连接,当检测到多个在线异构执行体同时进入超级特权访问状态时,判别为拟态构造设备遭受了跨协同攻击,通知拟态构造设备的反馈控制器将处于超级特权状态的异构执行体进行下线或者清洗操作。
Description
技术领域
本发明涉及拟态防御领域,具体涉及一种异构执行体超级特权检测器、方法及拟态构造架构。
背景技术
拟态防御技术本质上是利用异构执行体的相异性、多样性,采用随机变换以及调度的策略让外部攻击者无法稳定的掌握系统内部的状态以到达对外防御的目的。然而,就目前的认知水平而言,攻击者如果能获得多数执行体的“超级特权”(例如OS特权),从机理上说就具备了破解拟态防御的可能。因此,阻止攻击者通过“超级特权”达成跨协同攻击,对于增强拟态构造设备的可靠性、稳定性、安全性具有重要意义。
针对执行体存在的上述问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是提供一种异构执行体超级特权检测器、方法及拟态构造架构。
为了实现上述目的,本发明第一方面提供了一种异构执行体超级特权防护方法,包括:定时检测异构执行体是否收到来自外部用户的超级特权访问;当检测到多个在线异构执行体同时进入超级特权访问状态时,判别为拟态构造设备遭受了跨协同攻击,通知拟态构造设备的反馈控制器将处于超级特权状态的异构执行体进行下线或者清洗操作。
基于上述,设在线异构执行体总数为n个,检测到出现超级特权访问的异构执行体数为m个,当m≥n/2时,判别为拟态构造设备遭受了跨协同攻击。
本发明第二方面提供了一种异构执行体超级特权检测器,包括超级特权检测单元和通信接口单元;所述超级特权检测单元通过所述通信接口单元与异构执行体通信连接,定时检测异构执行体是否收到来自外部用户的超级特权访问;所述超级特权检测单元通过所述通信接口单元与拟态构造设备的反馈控制器通信连接,当检测到多个在线异构执行体同时进入超级特权访问状态时,判别为拟态构造设备遭受了跨协同攻击,通知拟态构造设备的反馈控制器将处于超级特权状态的异构执行体进行下线或者清洗操作。
基于上述,设在线异构执行体总数为n个,检测到出现超级特权访问的异构执行体数为m个,当m≥n/2时,判别为拟态构造设备遭受了跨协同攻击。
基于上述,所述通信接口单元包括网络接口,所述超级特权检测单元通过网络接口与所述异构执行体通信连接,所述超级特权检测单元以网络的方式登录到所述异构执行体进行超级特权检测。
基于上述,所述通信接口单元为所述超级特权检测单元提供单线访问所述异构执行体的权限,所述异构执行体无法通过所述通信接口单元访问所述超级特权检测单元。
基于上述,所述异构执行体与所述超级特权检测单元以非网络方式通信连接,以异构执行体定时报告本身超级特权访问情况的方式进行超级特权检测。
基于上述,所述非网络方式为SPI、I2C、PCIE或串口。
本发明第三方面提供了一种拟态构造架构,包括输入代理、异构功能等价执行体、反馈控制器、裁决器和输出代理,还包括所述的异构执行体超级特权检测器。
基于上述,所述异构执行体超级特权检测器为纯软件模块,与所述裁决器或所述反馈控制器集成在一起;或所述异构执行体超级特权检测器为单独物理设备。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体地说,本发明通过异构执行体超级特权检测器实时监测每个异构执行体超级特权的状态,当出现多个异构执行体同时处于超级特权外部或者内部访问时,此时异构执行体超级特权检测器认为拟态构造设备受到了跨协同式攻击,以此来解决拟态构造设备由超级特权带来的跨协同攻击,大大增强了拟态构造设备在某些条件下的不安全问题。
具体实施方式
实施例1
本实施例提供了一种异构执行体超级特权防护方法,包括:定时检测异构执行体是否收到来自外部用户的超级特权访问;当检测到多个在线异构执行体同时进入超级特权访问状态时,判别为拟态构造设备遭受了跨协同攻击,通知拟态构造设备的反馈控制器将处于超级特权状态的异构执行体进行下线或者清洗操作。
进一步地,设在线异构执行体总数为n个,检测到出现超级特权访问的异构执行体数为m个,当m≥n/2时,判别为拟态构造设备遭受了跨协同攻击。
本实施例的异构执行体超级特权防护方法通过实时检测在线异构执行体是否有多个同时处于超级特权模式,以此来判断拟态构造设备是否出现了基于超级特权的跨协同攻击,解决了由超级特权发起的跨协同攻击问题。
实施例2
本实施例提供了一种异构执行体超级特权检测器,包括超级特权检测单元和通信接口单元;所述超级特权检测单元通过所述通信接口单元与异构执行体通信连接,定时检测异构执行体是否收到来自外部用户的超级特权访问;所述超级特权检测单元通过所述通信接口单元与拟态构造设备的反馈控制器通信连接,当检测到多个在线异构执行体同时进入超级特权访问状态时,判别为拟态构造设备遭受了跨协同攻击,通知拟态构造设备的反馈控制器将处于超级特权状态的异构执行体进行下线或者清洗操作。
进一步地,设在线异构执行体总数为n个,检测到出现超级特权访问的异构执行体数为m个,当m≥n/2时,判别为拟态构造设备遭受了跨协同攻击。
本实施例中,所述超级特权检测单元通过网络接口与所述异构执行体通信连接,所述超级特权检测单元以网络的方式登录到所述异构执行体进行超级特权检测。所述通信接口单元为所述超级特权检测单元提供单线访问所述异构执行体的权限,所述异构执行体无法通过所述通信接口单元访问所述超级特权检测单元。
具体的,异构执行体超级特权检测器为具备操作系统的软件检测平台,以ssh的方式(使用超级权限)分别登录到多个在线异构执行体,然后实时查看各异构执行体上用户的登录情况;当出现外部方式的超级用户登录时,只有m个执行体出现了超级特权访问时,此时的m与在线异构执行体n的关系为m<n/2,异构执行体超级特权检测器可以认为是正常的,此时可能是外部用户的正常访问,也可能是外部攻击行为,但此时发动的跨协同攻击可以通过拟态构造中的裁决器进行判别;当m≥n/2时,异构执行体超级特权检测器判别为拟态构造设备遭受了跨协同攻击,应通知反馈控制器对异常执行体进行处理。
在其它实施例中,所述异构执行体与所述超级特权检测单元以非网络方式通信连接,以异构执行体定时报告本身超级特权情况的方式进行超级特权检测。其中,所述非网络方式为SPI、I2C、PCIE或串口,以避免异构执行体由于网络通信的方式带来的超级特权检测单元的不安全问题。
具体的,每个在线异构执行体本身具备一个超级特权下运行的检测程序,此检测程序定时检测异构执行体是否发生了超级特权访问,当出现超级特权访问时,检测程序向异构执行体超级特权检测器进行上报;当出现外部方式的超级用户登录时,只有m个执行体出现了超级特权访问时,此时的m与在线异构执行体n的关系为m<n/2,异构执行体超级特权检测器可以认为是正常的,此时可能是外部用户的正常访问,也可能是外部攻击行为,但此时发动的跨协同攻击可以通过拟态构造中的裁决器进行判别;当m≥n/2时,异构执行体超级特权检测器判别为拟态构造设备遭受了跨协同攻击,应通知反馈控制器对异常执行体进行处理。
实施例3
本实施例提供了一种拟态构造架构,包括输入代理、异构功能等价执行体、反馈控制器、裁决器和输出代理,还包括实施例2所述的异构执行体超级特权检测器。
具体的,该异构执行体超级特权检测器,可以是纯软件的模块,此时可以与裁决器、反馈控制器集成在一起;也可以是单独的物理设备,在拟态构造架构中作为一个独立的物理设备与各个异构执行体互联时,为了提高异构执行体超级特权检测器的安全,异构执行体超级特权检测器应尽量设计简单,脱离操作系统,或者通过裸程序、FPGA、专有芯片的方式实现。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,还可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种异构执行体超级特权防护方法,其特征在于:
定时检测异构执行体是否收到来自外部用户的超级特权访问;
当检测到多个在线异构执行体同时进入超级特权访问状态时,判别为拟态构造设备遭受了跨协同攻击,通知拟态构造设备的反馈控制器将处于超级特权状态的异构执行体进行下线或者清洗操作。
2.根据权利要求1所述的异构执行体超级特权防护方法,其特征在于:设在线异构执行体总数为n个,检测到出现超级特权访问的异构执行体数为m个,当m≥n/2时,判别为拟态构造设备遭受了跨协同攻击。
3.一种异构执行体超级特权检测器,其特征在于:包括超级特权检测单元和通信接口单元;
所述超级特权检测单元通过所述通信接口单元与异构执行体通信连接,定时检测异构执行体是否收到来自外部用户的超级特权访问;
所述超级特权检测单元通过所述通信接口单元与拟态构造设备的反馈控制器通信连接,当检测到多个在线异构执行体同时进入超级特权访问状态时,判别为拟态构造设备遭受了跨协同攻击,通知拟态构造设备的反馈控制器将处于超级特权状态的异构执行体进行下线或者清洗操作。
4.根据权利要求3所述的异构执行体超级特权检测器,其特征在于:设在线异构执行体总数为n个,检测到出现超级特权访问的异构执行体数为m个,当m≥n/2时,判别为拟态构造设备遭受了跨协同攻击。
5.根据权利要求3或4所述的异构执行体超级特权检测器,其特征在于:所述通信接口单元包括网络接口,所述超级特权检测单元通过网络接口与所述异构执行体通信连接,所述超级特权检测单元以网络的方式登录到所述异构执行体进行超级特权检测。
6.根据权利要求5所述的异构执行体超级特权检测器,其特征在于:所述通信接口单元为所述超级特权检测单元提供单线访问所述异构执行体的权限,所述异构执行体无法通过所述通信接口单元访问所述超级特权检测单元。
7.根据权利要求3或4所述的异构执行体超级特权检测器,其特征在于:所述异构执行体与所述超级特权检测单元以非网络方式通信连接,以异构执行体定时报告本身超级特权访问情况的方式进行超级特权检测。
8.根据权利要求7所述的异构执行体超级特权检测器,其特征在于:所述非网络方式为SPI、I2C、PCIE或串口。
9.一种拟态构造架构,包括输入代理、异构功能等价执行体、反馈控制器、裁决器和输出代理,其特征在于:还包括权利要求3-8任一项所述的异构执行体超级特权检测器。
10.根据权利要求9所述的拟态构造架构,其特征在于:所述异构执行体超级特权检测器为纯软件模块,与所述裁决器或所述反馈控制器集成在一起;或所述异构执行体超级特权检测器为单独物理设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010832331.7A CN112134842B (zh) | 2020-08-18 | 2020-08-18 | 异构执行体超级特权检测器、方法及拟态构造架构 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010832331.7A CN112134842B (zh) | 2020-08-18 | 2020-08-18 | 异构执行体超级特权检测器、方法及拟态构造架构 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112134842A CN112134842A (zh) | 2020-12-25 |
CN112134842B true CN112134842B (zh) | 2022-08-16 |
Family
ID=73850353
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010832331.7A Active CN112134842B (zh) | 2020-08-18 | 2020-08-18 | 异构执行体超级特权检测器、方法及拟态构造架构 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112134842B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017148289A1 (zh) * | 2016-03-01 | 2017-09-08 | 中兴通讯股份有限公司 | 一种主动防御方法和装置 |
CN107454082A (zh) * | 2017-08-07 | 2017-12-08 | 中国人民解放军信息工程大学 | 基于拟态防御的安全云服务构建方法及装置 |
CN110324417A (zh) * | 2019-06-29 | 2019-10-11 | 河南信大网御科技有限公司 | 一种基于拟态防御的云服务执行体动态重构方法 |
CN110581844A (zh) * | 2019-08-21 | 2019-12-17 | 浙江大学 | 拟态防御中的取证方法 |
CN110768966A (zh) * | 2019-10-10 | 2020-02-07 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御的安全云管理系统构建方法和装置 |
-
2020
- 2020-08-18 CN CN202010832331.7A patent/CN112134842B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017148289A1 (zh) * | 2016-03-01 | 2017-09-08 | 中兴通讯股份有限公司 | 一种主动防御方法和装置 |
CN107454082A (zh) * | 2017-08-07 | 2017-12-08 | 中国人民解放军信息工程大学 | 基于拟态防御的安全云服务构建方法及装置 |
CN110324417A (zh) * | 2019-06-29 | 2019-10-11 | 河南信大网御科技有限公司 | 一种基于拟态防御的云服务执行体动态重构方法 |
CN110581844A (zh) * | 2019-08-21 | 2019-12-17 | 浙江大学 | 拟态防御中的取证方法 |
CN110768966A (zh) * | 2019-10-10 | 2020-02-07 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御的安全云管理系统构建方法和装置 |
Non-Patent Citations (1)
Title |
---|
基于攻击转移的拟态安全网关技术的研究;陈双喜等;《通信学报》;20181130;72-78 * |
Also Published As
Publication number | Publication date |
---|---|
CN112134842A (zh) | 2020-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109409138B (zh) | 一种高安全的拟态微处理器装置和数据处理方法 | |
JP3968724B2 (ja) | ネットワーク保安システム及びその動作方法 | |
CN111191229A (zh) | 一种电力Web应用拟态防御系统 | |
CN109413024B (zh) | 异构功能等价体多模判决结果的逆向数据校验方法及系统 | |
EP2181394B1 (en) | Method of protecting input/output packet of usb device and apparatus thereof | |
CN111800385B (zh) | 分布式裁决方法、分布式裁决系统及拟态构造架构 | |
CN105516189B (zh) | 基于大数据平台的网络安全实施系统及方法 | |
US11972033B2 (en) | Alert handling | |
CN102629308A (zh) | 一种防止登录信息被盗取的方法及装置 | |
US20170142072A1 (en) | Safe security proxy | |
CN105207802B (zh) | 节点的版本升级方法、装置和系统 | |
CN111478970A (zh) | 一种电网Web应用拟态防御系统 | |
CN109932891A (zh) | 一种异构冗余的拟态mcu | |
CN102006246A (zh) | 一种可信隔离网关 | |
CN106254329A (zh) | 用于保护计算机网络安全的方法 | |
CN112134842B (zh) | 异构执行体超级特权检测器、方法及拟态构造架构 | |
CN202652255U (zh) | 一种sql注入安全防护系统 | |
CN113378151A (zh) | 基于拟态构造的统一身份认证系统及认证方法 | |
CN102160354A (zh) | 用于提供至少一种服务的服务器系统和方法 | |
CN106209844A (zh) | 电力安全通讯方法 | |
CN111431944A (zh) | 一种拟态裁决系统及其配置和恢复方法 | |
US20230087311A1 (en) | System and method for detection and prevention of cyber attacks at in-vehicle networks | |
CN210270871U (zh) | 一种冗余容错计算机串口选通装置 | |
CN110990903B (zh) | 一种云端系统以及云端系统保护方法 | |
Horak et al. | The vulnerability of securing IoT production lines and their network components in the Industry 4.0 concept |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |