CN112527512B - 一种增强型拟态构造系统 - Google Patents
一种增强型拟态构造系统 Download PDFInfo
- Publication number
- CN112527512B CN112527512B CN202011627302.3A CN202011627302A CN112527512B CN 112527512 B CN112527512 B CN 112527512B CN 202011627302 A CN202011627302 A CN 202011627302A CN 112527512 B CN112527512 B CN 112527512B
- Authority
- CN
- China
- Prior art keywords
- mimicry
- execution body
- arbitration
- information
- state information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010276 construction Methods 0.000 title claims abstract description 13
- 238000004088 simulation Methods 0.000 claims abstract description 21
- 238000000034 method Methods 0.000 claims description 19
- 239000003795 chemical substances by application Substances 0.000 claims description 18
- 239000013598 vector Substances 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 8
- 101150100944 Nos2 gene Proteins 0.000 claims description 5
- 101150082201 ASIP gene Proteins 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种增强型拟态构造系统,包括拟态代理、执行体、拟态裁决器和调度器,还包括拟态分析控制器,用于接收拟态裁决器发送的裁决信息,执行体发送的执行体环境状态信息,以及拟态组件所在系统状态信息;用于对裁决信息和执行体环境状态信息中的元素进行多维度的分析,预测执行体的状态后,反馈到调度器进行执行体调度;用于根据拟态裁决器的裁决结果以及预测的执行体的状态,实时调整拟态裁决器的裁决算法;用于根据执行体环境状态信息中的流量信息以及裁决结果,向拟态代理发送代理分发策略;用于根据拟态组件所在系统状态信息,判断拟态组件的运行状态后,对拟态组件发送控制指令。
Description
技术领域
本发明属于拟态安全技术领域,具体的说,涉及了一种增强型拟态构造系统。
背景技术
基于拟态构造的网络设备往往由输入/输出代理、拟态裁决器、拟态调度器、异构执行体组成,为了保证拟态各组件的安全性,拟态构造系统往往要求各拟态组件采取单线联系机制通信,此种通信机制一方面增强了拟态组件安全性,另一方面也带来了没有任何一个拟态组件可以统管整个拟态系统,无法在全局层面适时调整各个拟态组件的运行状态。
发明内容
本发明的目的是针对现有技术的不足,提供一种增强型拟态构造系统。
为了实现上述目的,本发明所采用的技术方案是:
本发明第一方面提供了一种增强型拟态构造系统实现方法,包括以下步骤:
接收拟态裁决器发送的裁决信息,执行体发送的执行体环境状态信息,以及拟态组件所在系统状态信息;
对裁决信息和执行体环境状态信息中的元素进行多维度的分析,预测执行体的状态后,反馈到调度器进行执行体调度;
根据拟态裁决器的裁决结果以及预测的执行体的状态,实时调整拟态裁决器的裁决算法;
根据执行体环境状态信息中的流量信息以及裁决结果,向拟态代理发送代理分发策略;
根据拟态组件所在系统状态信息,判断拟态组件的运行状态后,对拟态组件发送控制指令。
基于上述,所述裁决信息包括裁决时间、参加裁决的执行体、接收裁决消息的时间、裁决结果,采用一维向量J(date、nos1、nos2、nos3、nos1Time、nos2Time、nos3Time、result)的方式表示。
基于上述,所述执行体环境状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、流量信息、执行体系统日志,采用一维向量N(cpu、memory、store、process、flow、log)的方式表示。
基于上述,所述拟态组件所在系统状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、系统日志,采用一维向量S(cpu、memory、store、process、log)的方式表示。
本发明第二方面提供了一种增强型拟态构造系统,包括拟态代理、执行体、拟态裁决器和调度器,还包括拟态分析控制器,用于接收拟态裁决器发送的裁决信息,执行体发送的执行体环境状态信息,以及拟态组件所在系统状态信息;
用于对裁决信息和执行体环境状态信息中的元素进行多维度的分析,预测执行体的状态后,反馈到调度器进行执行体调度;
用于根据拟态裁决器的裁决结果以及预测的执行体的状态,实时调整拟态裁决器的裁决算法;
用于根据执行体环境状态信息中的流量信息以及裁决结果,向拟态代理发送代理分发策略;
用于根据拟态组件所在系统状态信息,判断拟态组件的运行状态后,对拟态组件发送控制指令。
基于上述,所述裁决信息包括裁决时间、参加裁决的执行体、接收裁决消息的时间、裁决结果,采用一维向量J(date、nos1、nos2、nos3、nos1Time、nos2Time、nos3Time、result)的方式表示。
基于上述,所述执行体环境状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、流量信息、执行体系统日志,采用一维向量N(cpu、memory、store、process、flow、log)的方式表示。
基于上述,所述拟态组件所在系统状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、系统日志,采用一维向量S(cpu、memory、store、process、log)的方式表示。
基于上述,所述拟态分析控制器与各拟态组件的通信采用非网络通信的方式进行。
基于上述,所述拟态分析控制器采用FPGA或者专用芯片的方式实现。
本发明相对现有技术具有突出的实质性特点和显著进步,具体的说,本发明通过引入拟态分析控制器,对拟态组件以及执行体的状态进行联动分析处理,提前预测各拟态组件以及执行体的状态,统管拟态组件运行参数,增强了拟态构造系统的鲁棒性。
附图说明
图1是本发明系统的原理框图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
实施例1
如图1所示,本实施例提供了一种增强型拟态构造系统实现方法,包括以下步骤:
接收拟态裁决器发送的裁决信息,执行体发送的执行体环境状态信息,以及拟态组件所在系统状态信息;所述裁决信息包括裁决时间、参加裁决的执行体、接收裁决消息的时间、裁决结果,采用一维向量J(date、nos1、nos2、nos3、nos1Time、nos2Time、nos3Time、result)的方式表示。所述执行体环境状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、流量信息、执行体系统日志,采用一维向量N(cpu、memory、store、process、flow、log)的方式表示。所述拟态组件所在系统状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、系统日志,采用一维向量S(cpu、memory、store、process、log)的方式表示。
对裁决信息和执行体环境状态信息中的元素进行多维度的分析,预测执行体的状态后,反馈到调度器进行执行体调度。例如根据J中接收裁决消息的时间、N中CPU使用率进行执行体稳定性分析,如果执行体1的nos1Time相比于其它执行体总是晚到,且执行体1的CPU利用率较高,可以判定执行体1处于受攻击状态,此时在裁决器未发现执行体1有异常的情况下,可向反馈调度发送调度信息,让执行体1进行清洗或者下线。
根据拟态裁决器的裁决结果以及预测的执行体的状态,实时调整拟态裁决器的裁决算法。例如:当各执行体环境状态信息N处于一致水平状态时(CPU、内存、程序运行状态基本一致),且在某段时间T范围内J的历史记录中未出现裁决失败的情况时,向拟态裁决器发送“择多判决的算法”;当各执行体环境状态信息N出现偏差(CPU、内存、程序运行状态)时,向拟态裁决器发送“权重判决的算法”,并评估各执行体的权重,将各执行体的权重值发送至拟态裁决器。
根据执行体环境状态信息中的流量信息以及裁决结果,向拟态代理发送代理分发策略。例如:当裁决结果中出现执行体1受到威胁时,同时执行体1的流量信息相比于其他执行体增加了aSIP、aSMac信息,此时可以向拟态代理发送“禁止处理包含aSIP、aSMac信息的报文”。
根据拟态组件所在系统状态信息,判断拟态组件的运行状态后,对拟态组件发送控制指令。拟态组件包含拟态代理、拟态裁决和调度器,在架构部署时,这三个模块可以采取独立部署,或者集中部署到一个系统中。当采用独立的方式部署时,拟态组件所在系统是指各个模块所在的软硬件系统。当拟态代理所在操作系统状态信息S在T时刻,相比于其它时刻,出现较大范围的变动,可以对拟态组件发送“改变输出报文中的指纹信息”,以改变拟态代理对外部攻击的回馈,减少拟态代理被攻击的可能性。当拟态裁决器所在操作系统发生变化时,通知调度器,对所有在线执行体进行全部清洗。因为拟态裁决器在执行体的后端,拟态裁决器的异常或者攻击都是由执行体引入的。调度器所在的操作系统发生变化时,如果调度器受到威胁攻击,需要对调度器进行清洗操作。
实施例2
如图1所示,本实施例提供了一种增强型拟态构造系统,包括拟态代理、执行体、拟态裁决器和调度器,还包括拟态分析控制器。
需要说明的是,为描述的方便和简洁,上述描述的增强型拟态构造系统的具体工作过程,可以参考上述实施例1描述的方法的对应过程,在此不再赘述。
特别的,本实施例增强型拟态构造系统的拟态分析控制器相当于拟态构造系统的安全大脑,为了保证拟态分析控制器的安全性,拟态分析控制器与各拟态组件的通信避免采用网络通信的方式进行,以减少攻击通道。同时,采用FPGA或者专用芯片的方式实现,以减少操作系统或者软件带来的漏洞或者后门。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (4)
1.一种增强型拟态构造系统实现方法,其特征在于,包括以下步骤:
接收拟态裁决器发送的裁决信息,执行体发送的执行体环境状态信息,以及拟态组件所在系统状态信息;
所述裁决信息包括裁决时间、参加裁决的执行体、接收裁决消息的时间、裁决结果,采用一维向量J(date、nos1、nos2、nos3、nos1Time、nos2Time、nos3Time、result)的方式表示;
所述执行体环境状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、流量信息、执行体系统日志,采用一维向量N(cpu、memory、store、process、flow、log)的方式表示;
所述拟态组件所在系统状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、系统日志,采用一维向量S(cpu、memory、store、process、log)的方式表示;
对裁决信息和执行体环境状态信息中的元素进行多维度的分析,预测执行体的状态后,反馈到调度器进行执行体调度;
根据拟态裁决器的裁决结果以及预测的执行体的状态,实时调整拟态裁决器的裁决算法;
根据执行体环境状态信息中的流量信息以及裁决结果,向拟态代理发送代理分发策略;
根据拟态组件所在系统状态信息,判断拟态组件的运行状态后,对拟态组件发送控制指令。
2.一种增强型拟态构造系统,包括拟态代理、执行体、拟态裁决器和调度器,其特征在于:还包括拟态分析控制器,用于接收拟态裁决器发送的裁决信息,执行体发送的执行体环境状态信息,以及拟态组件所在系统状态信息;
用于对裁决信息和执行体环境状态信息中的元素进行多维度的分析,预测执行体的状态后,反馈到调度器进行执行体调度;
用于根据拟态裁决器的裁决结果以及预测的执行体的状态,实时调整拟态裁决器的裁决算法;
用于根据执行体环境状态信息中的流量信息以及裁决结果,向拟态代理发送代理分发策略;
用于根据拟态组件所在系统状态信息,判断拟态组件的运行状态后,对拟态组件发送控制指令;
所述裁决信息包括裁决时间、参加裁决的执行体、接收裁决消息的时间、裁决结果,采用一维向量J(date、nos1、nos2、nos3、nos1Time、nos2Time、nos3Time、result)的方式表示;
所述执行体环境状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、流量信息、执行体系统日志,采用一维向量N(cpu、memory、store、process、flow、log)的方式表示;
所述拟态组件所在系统状态信息包括CPU使用率、内存使用率、存储空间使用率、程序运行状态、系统日志,采用一维向量S(cpu、memory、store、process、log)的方式表示。
3.根据权利要求2所述的增强型拟态构造系统,其特征在于:所述拟态分析控制器与各拟态组件的通信采用非网络通信的方式进行。
4.根据权利要求3所述的增强型拟态构造系统,其特征在于:所述拟态分析控制器采用FPGA或者专用芯片的方式实现。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011627302.3A CN112527512B (zh) | 2020-12-31 | 2020-12-31 | 一种增强型拟态构造系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011627302.3A CN112527512B (zh) | 2020-12-31 | 2020-12-31 | 一种增强型拟态构造系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112527512A CN112527512A (zh) | 2021-03-19 |
CN112527512B true CN112527512B (zh) | 2023-11-21 |
Family
ID=74977174
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011627302.3A Active CN112527512B (zh) | 2020-12-31 | 2020-12-31 | 一种增强型拟态构造系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112527512B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105007191A (zh) * | 2015-07-31 | 2015-10-28 | 上海红神信息技术有限公司 | 拟态路由交换系统的感知、决策与执行分离方法 |
CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
CN110581852A (zh) * | 2019-09-11 | 2019-12-17 | 河南信大网御科技有限公司 | 一种高效型拟态防御系统及方法 |
CN111859391A (zh) * | 2020-07-09 | 2020-10-30 | 河南信大网御科技有限公司 | 可信执行体、拟态逃逸快速识别方法及拟态防御架构 |
CN112073394A (zh) * | 2020-08-27 | 2020-12-11 | 之江实验室 | 一种基于执行体共识的拟态裁决方法及裁决器 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123987A (zh) * | 2016-11-30 | 2018-06-05 | 华为技术有限公司 | 从云计算系统中确定主调度器的方法及装置 |
-
2020
- 2020-12-31 CN CN202011627302.3A patent/CN112527512B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105007191A (zh) * | 2015-07-31 | 2015-10-28 | 上海红神信息技术有限公司 | 拟态路由交换系统的感知、决策与执行分离方法 |
CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
CN110581852A (zh) * | 2019-09-11 | 2019-12-17 | 河南信大网御科技有限公司 | 一种高效型拟态防御系统及方法 |
CN111859391A (zh) * | 2020-07-09 | 2020-10-30 | 河南信大网御科技有限公司 | 可信执行体、拟态逃逸快速识别方法及拟态防御架构 |
CN112073394A (zh) * | 2020-08-27 | 2020-12-11 | 之江实验室 | 一种基于执行体共识的拟态裁决方法及裁决器 |
Also Published As
Publication number | Publication date |
---|---|
CN112527512A (zh) | 2021-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Pazzaglia et al. | DMAC: Deadline-miss-aware control | |
US20090089029A1 (en) | Enhanced execution speed to improve simulation performance | |
CN100492300C (zh) | 在微处理器实现的设备上执行进程的系统和方法 | |
US6985845B1 (en) | Security monitor of system runs software simulator in parallel | |
US10698387B2 (en) | System and method for control and/or analytics of an industrial process | |
CN108804109B (zh) | 基于多路功能等价模块冗余仲裁的工业部署和控制方法 | |
Ramirez et al. | Automatically generating adaptive logic to balance non-functional tradeoffs during reconfiguration | |
CN111859391B (zh) | 可信执行体、拟态逃逸快速识别方法及拟态防御架构 | |
Soudbakhsh et al. | Co-design of arbitrated network control systems with overrun strategies | |
Liang et al. | Security-driven codesign with weakly-hard constraints for real-time embedded systems | |
CN113051019A (zh) | 流程任务执行管控方法、装置以及设备 | |
Faragardi et al. | Optimal task allocation for maximizing reliability in distributed real-time systems | |
US8332069B2 (en) | Fault tolerance method and apparatus for robot software component | |
CN112527512B (zh) | 一种增强型拟态构造系统 | |
CN116527514A (zh) | 一种内生安全云服务场景构建方法、装置、设备及介质 | |
CN110598871A (zh) | 一种微服务架构下的业务流柔性控制的方法及系统 | |
EP3151153A1 (en) | Cyber security system with differentiated capacity to deal with complex cyber attacks | |
CN107463428B (zh) | 一种用于虚拟化环境下的补丁管理方法和装置 | |
CN113553163B (zh) | 一种基于调度器的Jenkins应用部署方法及装置 | |
CN101226496B (zh) | 监控vxworks操作系统中已终止任务的装置及方法 | |
CN101470625A (zh) | 一种大型软件中多任务执行方法 | |
Ko et al. | A Research on Low Latency Motion Control System using Real-time Scheduling in Edge Server | |
CN110457196A (zh) | 函数执行时间的获取方法及装置 | |
Braescu et al. | OSEK based embedded networked controller handling communication delays | |
Moser et al. | Population-ACO for the automotive deployment problem |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |