CN112242923A - 基于拟态防御的统一数据管理网络功能实现系统及方法 - Google Patents
基于拟态防御的统一数据管理网络功能实现系统及方法 Download PDFInfo
- Publication number
- CN112242923A CN112242923A CN202010963758.0A CN202010963758A CN112242923A CN 112242923 A CN112242923 A CN 112242923A CN 202010963758 A CN202010963758 A CN 202010963758A CN 112242923 A CN112242923 A CN 112242923A
- Authority
- CN
- China
- Prior art keywords
- data management
- unified data
- heterogeneous
- module
- network function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013523 data management Methods 0.000 title claims abstract description 67
- 230000007123 defense Effects 0.000 title claims abstract description 25
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000006870 function Effects 0.000 claims abstract description 67
- 230000004044 response Effects 0.000 claims abstract description 35
- 230000002159 abnormal effect Effects 0.000 claims abstract description 13
- 230000006854 communication Effects 0.000 claims abstract description 12
- 238000004891 communication Methods 0.000 claims abstract description 11
- 238000001514 detection method Methods 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims abstract description 4
- 238000012545 processing Methods 0.000 claims description 10
- 238000013468 resource allocation Methods 0.000 claims description 5
- 230000000737 periodic effect Effects 0.000 claims description 4
- 230000003044 adaptive effect Effects 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 238000010295 mobile communication Methods 0.000 abstract description 4
- 230000002708 enhancing effect Effects 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 241001391944 Commicarpus scandens Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及第五代移动通信系统核心网及网络安全技术领域,特别涉及一种基于拟态防御的统一数据管理网络功能实现系统及方法,输入代理模块接收服务请求,并复制转发至位于不同子网内的异构统一数据管理执行体;异构统一数据管理执行体响应;输出裁决模块根据安全等级要求对同一服务请求的多个执行体响应结果进行裁决;负反馈控制模块依据裁决结果检测异构统一数据管理执行体异常信息,并依据检测结果向云资源调度模块发送执行体调整指令;云资源调度模块生成异构统一数据管理执行体,并依据执行体调整指令处理异常执行体。本发明增强UDM网元对其他网元功能的请求响应或自身请求的安全性,进而保证通信数据的安全,增强系统的鲁棒性。
Description
技术领域
本发明涉及第五代移动通信系统核心网及网络安全技术领域,特别涉及一种基于拟态防御的统一数据管理网络功能实现系统及方法。
背景技术
5G作为下一代移动通信技术,将使能各垂直行业,融入人们生活、工作和学习的各个方面,给社会发展带来强大的动力。5G网络的安全性将会对包括实体经济在内的所有社会、经济领域的安全带来重大影响。为了满足不同场景下定制化的服务需求,5G引入网络功能虚拟化技术实现了网元功能与专用硬件的解耦,网元功能以软件形式实现,不再依赖于专用硬件平台。5G网络基础设施的虚拟化重塑改变了传统核心网中网元的保护依赖于物理设备隔离的现状,虚拟化的基础设施使得5G网络的基础环境不再像以往一样安全可靠:首先,基于软件的网元功能实现使得网元功能的可靠性降低,网元功能容易因为错误配置、高负荷运转等因素发生故障,降低系统的稳定性;其次,虚拟化层的引入以及各厂家网元功能软件的混合组网会带来未知漏洞、木马等安全风险;最后,以商用服务器为基础的通用硬件平台也可能存在漏洞、后门等安全隐患,难以保证基础设施的自主可控和安全可信。因此,5G网络安全不仅需要考虑传统的网络协议安全,也需要考虑基础设施的安全,具体来说需要考虑核心网网元的整体安全,从而保障5G业务在虚拟化环境下能够安全运行。UDM是5G核心网中重要网络功能,是统一数据存储(Unified Data Repository,UDR)功能的前置网络功能,便于通信过程中结构数据和非结构数据的存储和取用。因此,UDM功能的安全性对于数据的保护显得尤为重要。
此外,当前网络攻击自动化程度越来越高,0day攻击的可能性越来越大,采用现有的人工防御机制保障开放的5G网络安全,不仅响应速度慢,还将带来防御成本急剧增加的问题。为了应对通用硬件平台以及虚拟化网络环境中可能存在的未知漏洞、木马以及后门等安全隐患,亟需设计一种可靠的安全机制,保证UDM等网元的安全可靠。
发明内容
为此,本发明提供一种基于拟态防御的统一数据管理网络功能实现系统及方法,通过引入拟态防御等安全思想来增强UDM网元对其他网元功能的请求响应或自身请求的安全性,进而保证通信数据的安全,增强系统的鲁棒性。
按照本发明所提供的设计方案,一种基于拟态防御的统一数据管理网络功能实现系统,包含:输入代理模块、若干独立的异构统一数据管理执行体、输出裁决模块、负反馈控制模块和云资源调度模块,其中,
输入代理模块,用于接收通信系统中网络功能服务请求,并将服务请求复制转发至位于不同子网内的异构统一数据管理执行体;
异构统一数据管理执行体,用于对服务请求进行处理并响应,并将响应结果反馈至输出裁决模块;
输出裁决模块,用于根据安全等级要求对同一服务请求的多个异构统一数据管理执行体响应结果进行裁决,过滤不一致信息,将裁决结果传送至负反馈控制模块;
负反馈控制模块,用于依据裁决结果检测异构统一数据管理执行体异常信息,并依据检测结果向云资源调度模块发送执行体调整指令;
云资源调度模块,用于为统一数据管理功能分配运行所需的虚拟机和配置网络,生成异构统一数据管理执行体;并依据执行体调整指令以周期性或事件驱动形式处理异常执行体,同时将新上线异构执行体相关信息发送至输入代理模块,以进行服务请求的转发。
作为本发明基于拟态防御的统一数据管理网络功能实现系统,进一步地,所述异构统一数据管理执行体通过采用异构编程语言和/或异构操作系统和/或异构处理器来实现等价功能,并通过统一接口与裁决模块通信。
作为本发明基于拟态防御的统一数据管理网络功能实现系统,进一步地,异构统一数据管理执行体数量和异构模式依据系统安全性和资源进行设定。
作为本发明基于拟态防御的统一数据管理网络功能实现系统,进一步地,所述输入代理中建立有预先设置控制服务器IP和端口的socket客户端;该socket客户端与服务器端进行连接时,接收并处理云资源调度模块的控制指令,依据控制指令中上下线执行体IP来更换转发目的地。
作为本发明基于拟态防御的统一数据管理网络功能实现系统,进一步地,所述输出裁决模块采用同/异步自适应大数表决法对同一服务请求的多个异构执行体响应进行交叉判决。
进一步地,基于上述的系统,本发明还提供一种基于拟态防御的统一数据管理网络功能实现方法,包含:
输入代理模块接收网络功能服务请求并将该服务请求分发至后端位于不同子网内的若干异构统一数据管理执行体;
异构统一数据管理执行体依据服务请求做出响应并反馈至输出裁决模块;
输出裁决模块对接收到的响应消息进行裁决,依据裁决结果选取正确响应消息返回至网络功能,同时将裁决结果发送至负反馈控制模块;
负反馈控制模块依据裁决结果对异构执行体进行检测,并依据检测结果向云资源调度模块发送执行体调整指令;
云资源调度模块依据执行体调整指令调整异构统一数据管理执行体的资源分配,并将调整后执行体相关信息发送至输入代理模块。
本发明的有益效果:
本发明通过引入异构UDM执行体和云资源调度模块来实现拟态UDM网元;拟态UDM网元采用输出裁决、负反馈控制以及云资源调度等技术,可及时发现异常响应,阻断攻击行为,增强UDM网络功能的可用性和安全性。其中,拟态UDM网元工作状态难以预测。相较于单UDM执行体网元,使得攻击者难以确定若干异构UDM执行体的工作状态,从而无法利用相同的漏洞、木马或后门等。异构UDM功能执行体分布在不同子网中,其资源互不影响,独立运行,与普通UDM网元相比,拟态UDM增加了异构执行体数量,避免了单点故障影响系统的正常响应,增强系统的鲁棒性。云资源调度模块对UDM网元实体进行动态调整,缩短攻击者探测具体某一个UDM网元功能实体的时间,增加探测结果的不确定性,扰乱攻击者的视线,使其无法确定攻击对象,同时,由于多个异构UDM执行体同时存在,显著增加了非配合条件下多元目标协同一致攻击的难度。
附图说明:
图1为实施例中UDM网络功能实现原理示意;
图2为实施例中UDM网络功能实现外部接口示意;
图3为实施例中UDM网络功能实现内部接口示意;
图4为实施例中输入代理模块示意;
图5为实施例中输出裁决模块针对UDM向UDR发送消息的裁决示意;
图6为实施例中输出裁决模块针对UDM向NF发送消息裁决示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
考虑到当前核心网虚拟化、IP化趋势以及UDM网元在5G核心网中的重要作用,本发明从安全性、鲁棒性等方面进行考虑,本发明实施例,提供一种基于拟态防御的统一数据管理网络功能实现系统包含:输入代理模块、若干独立的异构统一数据管理执行体、输出裁决模块、负反馈控制模块和云资源调度模块,其中,
输入代理模块,用于接收通信系统中网络功能服务请求,并将服务请求复制转发至位于不同子网内的异构统一数据管理执行体;
异构统一数据管理执行体,用于对服务请求进行处理并响应,并将响应结果反馈至输出裁决模块;
输出裁决模块,用于根据安全等级要求对同一服务请求的多个异构统一数据管理执行体响应结果进行裁决,过滤不一致信息,将裁决结果传送至负反馈控制模块;
负反馈控制模块,用于依据裁决结果检测异构统一数据管理执行体异常信息,并依据检测结果向云资源调度模块发送执行体调整指令;
云资源调度模块,用于为统一数据管理功能分配运行所需的虚拟机和配置网络,生成异构统一数据管理执行体;并依据执行体调整指令以周期性或事件驱动形式处理异常执行体,同时将新上线异构执行体相关信息发送至输入代理模块,以进行服务请求的转发。
本案实施例中的输入代理模块将接收到的其他网元功能的请求复制编译分发至若干异构UDM执行体,然后与所述输出裁决模块连接实现正常无感通信,同时基于网络功能虚拟化环境利用所述输出裁决模块、负反馈控制器模块和云资源调度器模块控制异构UDM执行体的选择和资源分配,保证通信系统的安全性和可靠性。通过引入异构UDM执行体和云资源调度模块来实现拟态UDM网元;拟态UDM网元采用输出裁决、负反馈控制以及云资源调度等技术,可及时发现异常响应,阻断攻击行为,增强UDM网络功能的可用性、安全性和鲁棒性。
参见图1所示,输入代理模块接收NF服务请求并将其复制转发至后端异构UDM执行体中,若干异构UDM执行体输出响应消息并发送至输出裁决模块;输出裁决模块对接收到的响应消息进行择多判决,选择正确的响应消息返回至相应NF,同时将裁决结果发送至负反馈控制器模块;负反馈控制器模块接收多模裁决结果,综合处理后向云资源调度模块发送异构UDM执行体调整指令;云资源调度模块根据负反馈控制模块指令调整UDM执行体的资源分配策略,并将其IP地址等信息发送至输入代理模块。在具体实现时,输入代理模块和输出裁决模块可以放在一起,负反馈控制模块和云资源调度模块可以放在一起。
作为本发明实施例中的基于拟态防御的统一数据管理网络功能实现系统,进一步地,所述异构统一数据管理执行体通过采用异构编程语言和/或异构操作系统和/或异构处理器来实现等价功能,并通过统一接口与裁决模块通信。若干独立、异构UDM功能执行体负责对服务请求进行处理并响应,或者根据需求主动发起服务请求。进一步地,异构统一数据管理执行体数量和异构模式依据系统安全性和资源进行设定。
参见图2所示,外部接口主要有:1)NF与输入代理模块之间的接口、输入代理与各UDM功能执行体之间的接口、各UDM功能执行体与输出裁决模块之间的接口,以及输出裁决模块与NF之间的接口。由于输入代理模块和输出裁决模块合设,并且承接的就是原有UDM的功能,所以上述接口都是使用标准的Nudm接口;2)输出裁决模块与UDR之间的接口。该接口承接的其实是原UDM访问UDR的接口,所以仍使用标准的Nudr接口。参见图3所示,内部接口主要有:输入代理模块与云资源调度器模块之间的Y1接口,以及输出裁决模块与负反馈控制模块之间的Y2接口。其中,云资源调度器通过Y1接口给输入模块发送3个UDM功能执行体的IP地址及其他相关信息,输出裁决模块通过Y2接口给负反馈控制模块发送多模裁决结果。
作为本发明实施例中的基于拟态防御的统一数据管理网络功能实现系统,进一步地,所述输入代理中建立有预先设置控制服务器IP和端口的socket客户端;该socket客户端与服务器端进行连接时,接收并处理云资源调度模块的控制指令,依据控制指令中上下线执行体IP来更换转发目的地。进一步地,所述输出裁决模块采用同/异步自适应大数表决法对同一服务请求的多个异构执行体响应进行交叉判决。
输出裁决模块根据安全等级要求,采用同/异步自适应大数表决算法对同一请求的多个异构执行体响应进行交叉判决,从中滤除不一致信息,选择正确结果进行输出,并将裁决结果传送到负反馈控制模块。负反馈控制模块负责为云资源调度模块收集信息,接收输出裁决模块检测出的异常信息,综合处理后根据控制算法决定是否向云资源调度模块发送替换/迁移异常执行体、指示异常执行体进行清洗恢复或基于构件的重组重构重配等指令。云资源调度模块负责为异构UDM执行体分配云基础设施资源,负责云基础设施资源管理,为异构UDM功能分配运行所需的虚拟机和配置网络,从而生成异构的、多样的UDM功能执行体,并根据负反馈控制模块提供的信息以周期性或以事件驱动形式清洗可能存在漏洞的UDM网元功能实体,同时将新上线虚拟机的IP地址、端点号或其他相关信息发送给输入代理模块,便于进行服务请求的转发。
进一步地,基于上述系统,本发明还提供一种基于拟态防御的统一数据管理网络功能实现方法,包含:
输入代理模块接收网络功能服务请求并将该服务请求分发至后端位于不同子网内的若干异构统一数据管理执行体;
异构统一数据管理执行体依据服务请求做出响应并反馈至输出裁决模块;
输出裁决模块对接收到的响应消息进行裁决,依据裁决结果选取正确响应消息返回至网络功能,同时将裁决结果发送至负反馈控制模块;
负反馈控制模块依据裁决结果对异构执行体进行检测,并依据检测结果向云资源调度模块发送执行体调整指令;
云资源调度模块依据执行体调整指令调整异构统一数据管理执行体的资源分配,并将调整后执行体相关信息发送至输入代理模块。
参见图4所示,输入代理模块通过子网划分隔离后端UDM虚拟机池,保证异构UDM虚拟机池相互独立,一方面增加攻击者探测难度,另一方面不同子网中的虚拟机资源互不影响、独立运行,避免了单点故障影响系统的正常响应,增强系统的鲁棒性。所述输入代理模块作为代理接收NF请求后将其复制多份,分别转发至不同子网内的UDM功能执行体。由于需要进行在线UDM功能执行体的动态轮换,而所述输入代理模块无法控制执行体的创建与生成,同时也无法主动获悉执行体的相关信息从而改变转发目的地,需要所述云资源调度模块将相关信息传输到输入代理模块,为此需要建立所述输入代理模块与所述云资源调度模块之间的通信通道。因此,所述输入代理中应建立socket客户端(事先定义好控制服务器的IP和端口),并随着虚拟机开机自启动,随后与服务器端进行连接,能够接受并处理所述云资源调度模块的控制指令,接收相关的执行体IP等信息,根据指令中的IP(上下线)更换转发目的地。
参见图5所示,当UDM向UDR主动发起请求消息时,所述输出裁决模块对其进行阻断。由于受到木马病毒攻击,执行体UDM1、UDM2、UDM3中有某个执行体可能在没有收到其他NF请求的情形下,主动向UDR发送Nudr_DR_Query、Nudr_DR_Create、Nudr_DR_Delete、Nudr_DR_Update、Nudr_DR_Subscribe、Nudr_DR_Unsubscribe等消息,但是其它执行体没有发送消息,在此类情形下输出裁决模块需要将该消息进行阻断。当UDM收到其他NF请求后给UDR发送请求消息时,所述输出裁决模块对其进行一致性判决。UDM收到其他NF请求后,可能需要访问用户数据库UDR。在此情形下,所述输出裁决模块主要对UDM向UDR请求的服务类型(正常应该是Nudr_DR)、服务操作(询问Query,创建Create,删除Delete,更新Update,订阅Subscribe,退订Unsubscribe)、以及URI进行比较。
参见图6所示,当UDM向NF主动发送消息时,所述输出裁决模块对其进行阻断。由于受到木马病毒攻击,执行体UDM1、UDM2、UDM3中有某个执行体可能在没有收到其他NF(AMF、SMF、SMSF、AUSF、NEF、GMLC等)请求的情形下,主动向它们发送Nudm_SDM、Nudm_UECM、Nudm_UEAU、Nudm_EE、Nudm_PP等服务类消息,但是其它执行体没有发送,在此类情形下输出裁决模块需要将该消息进行阻断。当UDM向NF发送请求响应消息时,所述输出裁决模块对响应消息进行一致性判决,主要是对响应消息的HTTP状态码以及消息体中的具体参数进行比较。
综上所述,本案实施例中UDM网络功能实现方案,通过在系统中引入多模裁决、负反馈控制及云资源调度等技术,增强UDM网元功能安全性,提升系统鲁棒性和稳定性,为新一代移动通信技术的可用性和安全性提供技术指导。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的系统,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的系统。
基于上述的系统,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的系统。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述系统实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和系统,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于拟态防御的统一数据管理网络功能实现系统,其特征在于,包含:输入代理模块、若干独立的异构统一数据管理执行体、输出裁决模块、负反馈控制模块和云资源调度模块,其中,
输入代理模块,用于接收通信系统中网络功能服务请求,并将服务请求复制转发至位于不同子网内的异构统一数据管理执行体;
异构统一数据管理执行体,用于对服务请求进行处理并响应,并将响应结果反馈至输出裁决模块;
输出裁决模块,用于根据安全等级要求对同一服务请求的多个异构统一数据管理执行体响应结果进行裁决,过滤不一致信息,将裁决结果传送至负反馈控制模块;
负反馈控制模块,用于依据裁决结果检测异构统一数据管理执行体异常信息,并依据检测结果向云资源调度模块发送执行体调整指令;
云资源调度模块,用于为统一数据管理功能分配运行所需的虚拟机和配置网络,生成异构统一数据管理执行体;并依据执行体调整指令以周期性或事件驱动形式处理异常执行体,同时将新上线异构执行体相关信息发送至输入代理模块,以进行服务请求的转发。
2.根据权利要求1所述的基于拟态防御的统一数据管理网络功能实现系统,其特征在于,所述异构统一数据管理执行体通过采用异构编程语言和/或异构操作系统和/或异构处理器来实现等价功能,并通过统一接口与裁决模块通信。
3.根据权利要求1或2所述的基于拟态防御的统一数据管理网络功能实现系统,其特征在于,异构统一数据管理执行体数量和异构模式依据系统安全性和资源进行设定。
4.根据权利要求1所述的基于拟态防御的统一数据管理网络功能实现系统,其特征在于,所述输入代理中建立有预先设置控制服务器IP和端口的socket客户端;该socket客户端与服务器端进行连接时,接收并处理云资源调度模块的控制指令,依据控制指令中上下线执行体IP来更换转发目的地。
5.根据权利要求1所述的基于拟态防御的统一数据管理网络功能实现系统,其特征在于,所述输出裁决模块采用同/异步自适应大数表决法对同一服务请求的多个异构执行体响应进行交叉判决。
6.一种基于拟态防御的统一数据管理网络功能实现方法,其特征在于,基于权利要求1所述的系统实现,实现过程包含如下内容:
输入代理模块接收网络功能服务请求并将该服务请求分发至后端位于不同子网内的若干异构统一数据管理执行体;
异构统一数据管理执行体依据服务请求做出响应并反馈至输出裁决模块;
输出裁决模块对接收到的响应消息进行裁决,依据裁决结果选取正确响应消息返回至网络功能,同时将裁决结果发送至负反馈控制模块;
负反馈控制模块依据裁决结果对异构执行体进行检测,并依据检测结果向云资源调度模块发送执行体调整指令;
云资源调度模块依据执行体调整指令调整异构统一数据管理执行体的资源分配,并将调整后执行体相关信息发送至输入代理模块。
7.根据权利要求6所述的基于拟态防御的统一数据管理网络功能实现方法,其特征在于,输出裁决模块对单一统一数据管理执行体向用户数据库和其他网络功能主动发起的请求消息进行阻断,对统一数据管理执行体收到其他网络功能服务请求后给用户数据库发送的请求消息及统一数据管理执行体响应进行一致性裁决。
8.根据权利要求6或7所述的基于拟态防御的统一数据管理网络功能实现方法,其特征在于,输出裁决模块依据对若干异构执行体响应消息中的HTTP状态码及具体参数比较结果进行一致性裁决。
9.根据权利要求7所述的基于拟态防御的统一数据管理网络功能实现方法,其特征在于,输出裁决模块依据对异构执行体向用户数据库请求的服务类型、服务操作以及统一资源标识符比较结果进行一致性裁决。
10.根据权利要求6所述的基于拟态防御的统一数据管理网络功能实现方法,其特征在于,输入代理中建立有预先设置控制服务器IP和端口的socket客户端;该socket客户端与服务器端进行连接时,接收并处理云资源调度模块的控制指令,依据控制指令中上下线执行体IP来更换转发目的地。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010963758.0A CN112242923A (zh) | 2020-09-15 | 2020-09-15 | 基于拟态防御的统一数据管理网络功能实现系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010963758.0A CN112242923A (zh) | 2020-09-15 | 2020-09-15 | 基于拟态防御的统一数据管理网络功能实现系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112242923A true CN112242923A (zh) | 2021-01-19 |
Family
ID=74171303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010963758.0A Pending CN112242923A (zh) | 2020-09-15 | 2020-09-15 | 基于拟态防御的统一数据管理网络功能实现系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112242923A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112953894A (zh) * | 2021-01-26 | 2021-06-11 | 复旦大学 | 一种多路请求复制分发系统和方法 |
| CN113285917A (zh) * | 2021-04-07 | 2021-08-20 | 中国人民解放军战略支援部队信息工程大学 | 工业网络内生安全边界防护方法、设备及架构 |
| CN113315755A (zh) * | 2021-04-27 | 2021-08-27 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 一种基于策略的拟态裁决系统及方法 |
| CN113973018A (zh) * | 2021-12-22 | 2022-01-25 | 南京微滋德科技有限公司 | 一种基于内生安全的物联网终端数据处理方法及系统 |
| CN114398683A (zh) * | 2022-03-24 | 2022-04-26 | 之江实验室 | 一种基于异构子系统的内生安全数据库存储方法及装置 |
| CN114448711A (zh) * | 2022-02-17 | 2022-05-06 | 珠海高凌信息科技股份有限公司 | 一种拟态防御系统 |
| CN114500114A (zh) * | 2022-04-14 | 2022-05-13 | 之江实验室 | 一种网络操作系统中应用的拟态数据库交互方法和装置 |
| CN115085971A (zh) * | 2022-04-30 | 2022-09-20 | 河南信大网御科技有限公司 | 一种拟态停机-重启服务检测处理方法 |
| CN115499322A (zh) * | 2022-11-14 | 2022-12-20 | 网络通信与安全紫金山实验室 | 拟态设备集群的管理系统、方法和电子设备 |
| CN116094948A (zh) * | 2023-04-12 | 2023-05-09 | 乾讯信息技术(无锡)有限公司 | 一种拟态构造的服务类密码产品实现系统及方法 |
| CN116112286B (zh) * | 2023-04-04 | 2023-06-20 | 井芯微电子技术(天津)有限公司 | 一种网络异常检测及恢复方法及装置 |
| CN116405243A (zh) * | 2023-02-16 | 2023-07-07 | 中国南方电网有限责任公司 | 一种基于拟态安全技术的异构冗余流量检测探针 |
| CN116405554A (zh) * | 2023-06-08 | 2023-07-07 | 之江实验室 | 一种网络通信的方法、装置、存储介质及电子设备 |
| CN116455627A (zh) * | 2023-04-12 | 2023-07-18 | 乾讯信息技术(无锡)有限公司 | 一种拟态构造的网络密码机及实现方法 |
| CN116455654A (zh) * | 2023-04-26 | 2023-07-18 | 之江奇安科技有限公司 | 一种基于内生安全的业务信息系统的安全加固方法及装置 |
| CN116471116A (zh) * | 2023-05-15 | 2023-07-21 | 嵩山实验室 | 一种内生安全云平台及构建方法 |
| CN116471117A (zh) * | 2023-05-15 | 2023-07-21 | 嵩山实验室 | 一种拟态改造消息件、消息中间件的信息处理方法及系统 |
| CN117234857A (zh) * | 2023-11-10 | 2023-12-15 | 之江实验室 | 一种内生安全架构系统及异常检测方法 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119392A (zh) * | 2007-08-21 | 2008-02-06 | 南京联创科技股份有限公司 | Socket统一接入的方法 |
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN108833417A (zh) * | 2018-06-21 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统 |
| CN110177084A (zh) * | 2019-04-04 | 2019-08-27 | 上海红阵信息科技有限公司 | 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构 |
| CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
| CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
| CN110445787A (zh) * | 2019-08-09 | 2019-11-12 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于dhr架构拟态防御平台的异构性测试装置及方法 |
| CN110768966A (zh) * | 2019-10-10 | 2020-02-07 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御的安全云管理系统构建方法和装置 |
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN111191229A (zh) * | 2019-12-24 | 2020-05-22 | 国网天津市电力公司 | 一种电力Web应用拟态防御系统 |
| CN111444537A (zh) * | 2020-03-24 | 2020-07-24 | 上海红阵信息科技有限公司 | 一种适用于拟态环境的日志处理方法及系统 |
| CN111628979A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 无协议状态的环状拟态架构、防御方法和可读存储介质 |
-
2020
- 2020-09-15 CN CN202010963758.0A patent/CN112242923A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119392A (zh) * | 2007-08-21 | 2008-02-06 | 南京联创科技股份有限公司 | Socket统一接入的方法 |
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN108833417A (zh) * | 2018-06-21 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统 |
| CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
| CN110177084A (zh) * | 2019-04-04 | 2019-08-27 | 上海红阵信息科技有限公司 | 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构 |
| CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
| CN110445787A (zh) * | 2019-08-09 | 2019-11-12 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于dhr架构拟态防御平台的异构性测试装置及方法 |
| CN110768966A (zh) * | 2019-10-10 | 2020-02-07 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御的安全云管理系统构建方法和装置 |
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN111191229A (zh) * | 2019-12-24 | 2020-05-22 | 国网天津市电力公司 | 一种电力Web应用拟态防御系统 |
| CN111444537A (zh) * | 2020-03-24 | 2020-07-24 | 上海红阵信息科技有限公司 | 一种适用于拟态环境的日志处理方法及系统 |
| CN111628979A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 无协议状态的环状拟态架构、防御方法和可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 游伟;李英乐;柏溢;陈云杰;: "5G核心网内生安全技术研究" * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112953894B (zh) * | 2021-01-26 | 2022-05-20 | 复旦大学 | 一种多路请求复制分发系统和方法 |
| CN112953894A (zh) * | 2021-01-26 | 2021-06-11 | 复旦大学 | 一种多路请求复制分发系统和方法 |
| CN113285917A (zh) * | 2021-04-07 | 2021-08-20 | 中国人民解放军战略支援部队信息工程大学 | 工业网络内生安全边界防护方法、设备及架构 |
| CN113315755B (zh) * | 2021-04-27 | 2022-03-18 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 一种基于策略的拟态裁决系统及方法 |
| CN113315755A (zh) * | 2021-04-27 | 2021-08-27 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 一种基于策略的拟态裁决系统及方法 |
| CN113973018B (zh) * | 2021-12-22 | 2022-03-25 | 南京微滋德科技有限公司 | 一种基于内生安全的物联网终端数据处理方法及系统 |
| CN113973018A (zh) * | 2021-12-22 | 2022-01-25 | 南京微滋德科技有限公司 | 一种基于内生安全的物联网终端数据处理方法及系统 |
| CN114448711A (zh) * | 2022-02-17 | 2022-05-06 | 珠海高凌信息科技股份有限公司 | 一种拟态防御系统 |
| CN114398683A (zh) * | 2022-03-24 | 2022-04-26 | 之江实验室 | 一种基于异构子系统的内生安全数据库存储方法及装置 |
| CN114500114A (zh) * | 2022-04-14 | 2022-05-13 | 之江实验室 | 一种网络操作系统中应用的拟态数据库交互方法和装置 |
| CN115085971B (zh) * | 2022-04-30 | 2023-11-17 | 河南信大网御科技有限公司 | 一种拟态停机-重启服务检测处理方法 |
| CN115085971A (zh) * | 2022-04-30 | 2022-09-20 | 河南信大网御科技有限公司 | 一种拟态停机-重启服务检测处理方法 |
| CN115499322A (zh) * | 2022-11-14 | 2022-12-20 | 网络通信与安全紫金山实验室 | 拟态设备集群的管理系统、方法和电子设备 |
| CN116405243A (zh) * | 2023-02-16 | 2023-07-07 | 中国南方电网有限责任公司 | 一种基于拟态安全技术的异构冗余流量检测探针 |
| CN116405243B (zh) * | 2023-02-16 | 2023-12-26 | 中国南方电网有限责任公司 | 一种基于拟态安全技术的异构冗余流量检测装置 |
| CN116112286B (zh) * | 2023-04-04 | 2023-06-20 | 井芯微电子技术(天津)有限公司 | 一种网络异常检测及恢复方法及装置 |
| CN116094948A (zh) * | 2023-04-12 | 2023-05-09 | 乾讯信息技术(无锡)有限公司 | 一种拟态构造的服务类密码产品实现系统及方法 |
| CN116455627B (zh) * | 2023-04-12 | 2023-10-27 | 乾讯信息技术(无锡)有限公司 | 一种拟态构造的网络密码机及实现方法 |
| CN116455627A (zh) * | 2023-04-12 | 2023-07-18 | 乾讯信息技术(无锡)有限公司 | 一种拟态构造的网络密码机及实现方法 |
| CN116455654A (zh) * | 2023-04-26 | 2023-07-18 | 之江奇安科技有限公司 | 一种基于内生安全的业务信息系统的安全加固方法及装置 |
| CN116455654B (zh) * | 2023-04-26 | 2024-05-28 | 之江奇安科技有限公司 | 一种基于内生安全的业务信息系统的安全加固方法、装置、设备及可读存储介质 |
| CN116471116A (zh) * | 2023-05-15 | 2023-07-21 | 嵩山实验室 | 一种内生安全云平台及构建方法 |
| CN116471117A (zh) * | 2023-05-15 | 2023-07-21 | 嵩山实验室 | 一种拟态改造消息件、消息中间件的信息处理方法及系统 |
| CN116405554B (zh) * | 2023-06-08 | 2023-09-05 | 之江实验室 | 一种网络通信的方法、装置、存储介质及电子设备 |
| CN116405554A (zh) * | 2023-06-08 | 2023-07-07 | 之江实验室 | 一种网络通信的方法、装置、存储介质及电子设备 |
| CN117234857A (zh) * | 2023-11-10 | 2023-12-15 | 之江实验室 | 一种内生安全架构系统及异常检测方法 |
| CN117234857B (zh) * | 2023-11-10 | 2024-01-26 | 之江实验室 | 一种内生安全架构系统及异常检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112242923A (zh) | 基于拟态防御的统一数据管理网络功能实现系统及方法 | |
| US9836317B2 (en) | Controlling virtualization resource utilization based on network state | |
| KR101941728B1 (ko) | 클러스터화된 클라이언트 장애 해결 기법 | |
| US10162661B2 (en) | Interdependent virtual machine management | |
| JP5851503B2 (ja) | 高可用性仮想機械環境におけるアプリケーションの高可用性の提供 | |
| US11422843B2 (en) | Virtual machine migration method and apparatus having automatic user registration at a destination virtual machine | |
| CN108984266B (zh) | 一种虚拟机的管理方法、装置及系统 | |
| US8589538B2 (en) | Storage workload balancing | |
| JP5477047B2 (ja) | 情報処理装置、仮想計算機接続方法、プログラム及び記録媒体 | |
| US10884880B2 (en) | Method for transmitting request message and apparatus | |
| CN104158707A (zh) | 一种检测并处理集群脑裂的方法和装置 | |
| CN110890987A (zh) | 自动创建集群的方法、装置、设备和系统 | |
| JP2017503420A (ja) | パケットフロー制御方法、関連装置、及びコンピューティングノード | |
| CN111624869B (zh) | 自动感知攻击行为方法、系统及以太网交换机 | |
| JP5529596B2 (ja) | 処理方法、処理装置、通信装置及びプログラム | |
| CN106102126B (zh) | 一种接入控制方法及装置 | |
| CN114553900A (zh) | 一种分布式块存储管理系统、方法及电子设备 | |
| CN109634721B (zh) | 一种虚拟机与主机的启动通信方法及相关装置 | |
| JP2013254337A (ja) | 仮想化装置、仮想化制御方法、仮想化装置制御プログラム | |
| CN112152799A (zh) | 面向多模执行体加密应用的密源归一机制 | |
| US9081748B2 (en) | Dynamic redundancy management | |
| CN115934006B (zh) | Io接入点和数据处理任务管理方法、装置、设备和介质 | |
| CN107832145B (zh) | 一种基于虚拟机的系统资源释放方法 | |
| CN115834705A (zh) | 认证服务分配方法、节点集群及计算机可读存储介质 | |
| CN118200142A (zh) | 业务环境恢复方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210202 Address after: 450000 Science Avenue 62, Zhengzhou High-tech Zone, Henan Province Applicant after: Information Engineering University of Strategic Support Force,PLA Applicant after: Network communication and security Zijinshan Laboratory Address before: 450000 Science Avenue 62, Zhengzhou High-tech Zone, Henan Province Applicant before: Information Engineering University of Strategic Support Force,PLA |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210119 |
|
| RJ01 | Rejection of invention patent application after publication |