CN114363037B - 基于拟态特定场景下的强裁决方法、系统、架构及介质 - Google Patents
基于拟态特定场景下的强裁决方法、系统、架构及介质 Download PDFInfo
- Publication number
- CN114363037B CN114363037B CN202111645954.4A CN202111645954A CN114363037B CN 114363037 B CN114363037 B CN 114363037B CN 202111645954 A CN202111645954 A CN 202111645954A CN 114363037 B CN114363037 B CN 114363037B
- Authority
- CN
- China
- Prior art keywords
- message
- sub
- packet
- arbitration
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于拟态特定场景下的强裁决方法、系统、架构及介质,所述方法包括以下步骤:将不同在线异构执行体发送的响应报文中的同一分组序号的报文分组,传输至宏观裁决单元进行宏观大数裁决;将宏观大数裁决后的报文分组作为第一目标报文分组;对宏观大数裁决不通过的报文分组进行标记,并依次拆分成若干子报文jkPi;若同一子报文序号的子报文微观大数裁决通过,则将微观大数裁决后的子报文作为目标子报文;判断是否所有同一子报文序号的子报文均微观大数裁决通过,若是按照子报文序号对所述目标子报文进行拼接,获得第二目标报文分组;根据分组序号对所述第一目标报文分组和所述第二目标报文分组进行拼接,生成裁决结果报文。
Description
技术领域
本发明涉及拟态防御技术领域,具体的说,涉及了一种基于拟态特定场景下的强裁决方法、系统、架构及介质。
背景技术
随着网络空间技术的飞速发展,拟态防御理论为网络空间应用提供了一种内生安全属性。网络空间拟态防御(Cyber Mimic Defense,CMD)是国内研究团队首创的主动防御理论,为应对网络空间中不同领域相关应用层次上基于未知漏洞、后门、病毒或木马等未知威胁,提供具有普适创新意义的防御理论和方法。受生物界基于拟态现象的伪装防御启迪,CMD理论在可靠性领域非相似余度架构基础上导入多维动态重构机制,造成视在功能不变条件下,目标对象内部的非相似余度构造元素始终在作数量或类型、时间或空间维度上的策略性变化或变换,用不确定防御原理来对抗网络空间的确定或不确定威胁。
申请号为201711296601.1的中国专利公开了:如果有半数以上的执行体的计算结果相同,则将计算结果输出给数据转发部件,否则,将计算结果丢弃。申请号为202010955694.X的中国专利公开了:若所有异构执行体的执行结果均不一致,则通过拟态分发模块响应异常,并将所有裁决结果发送给云管理模块,对所有异构执行体进行清洗恢复。也就是说,二者均在裁决不一致时直接返回给客户端错误,并且通知反馈控制进行执行体调度,以确保下次客户端访问数据的正确性,无法在一次访问中有相对正确的结果输出。
然而,随着内生安全的不断发展研究,若采用现有的裁决方案,在一些特定拟态场景下,则会存在这样的情况:裁决器比较来自不同异构冗余执行体的响应报文是否一致,进而判断即将送往客户端的响应报文是否正确;如果来自不同异构冗余执行体的响应报文全部都不一致的话,只能由代理服务器构建一个错误页面发送给客户端;
例如,在做拟态系统测试时,对于下载400M大文件这样的业务场景,频繁出现以下:动态异构冗余执行体返回响应报文不一致,裁决器没有内容输出,客户端无法成功下载完整的大文件,此时,客户端表现为卡死现象。
显然,现有的裁决方式势必会导致业务处理流程停顿,甚至卡死,使得客户端与左括号之间的连接断开,严重影响了用户的正常使用。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供一种基于拟态特定场景下的强裁决方法、系统、架构及介质。
为了实现上述目的,本发明所采用的技术方案是:
本发明第一方面提供一种基于拟态特定场景下的强裁决方法,所述方法包括以下步骤:
确定所有在线异构执行体发送的响应报文是否均两两不一致,若是则检测所有在线异构执行体发送的响应报文长度;
判断所有在线异构执行体发送的响应报文长度是否均一致,若是则按第一预设长度将每个在线异构执行体发送的响应报文Pi,依次拆分成若干报文分组jPi;其中,所述报文分组jPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组;
第一次拆分完成后,将不同在线异构执行体发送的响应报文中的同一分组序号的报文分组,传输至宏观裁决单元进行宏观大数裁决;
若同一分组序号的报文分组宏观大数裁决通过,则将宏观大数裁决后的报文分组作为第一目标报文分组;
若同一分组序号的报文分组宏观大数裁决不通过,则对相应的报文分组进行标记,按第二预设长度将每个在线异构执行体的已标记报文分组,依次拆分成若干子报文jkPi;其中,所述子报文jkPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组的第k个子报文;
第二次拆分完成后,将不同在线异构执行体发送的响应报文中的同一子报文序号的子报文,传输至微观裁决单元进行微观大数裁决;
若同一子报文序号的子报文微观大数裁决通过,则将微观大数裁决后的子报文作为目标子报文;
判断是否所有同一子报文序号的子报文均微观大数裁决通过,若是按照子报文序号对所述目标子报文进行拼接,获得第二目标报文分组;
获得第二目标报文分组后,根据分组序号对所述第一目标报文分组和所述第二目标报文分组进行拼接,生成裁决结果报文。
本发明第二方面提供一种基于拟态特定场景下的强裁决系统,所述系统包括:
第一确认模块,其用于确定所有在线异构执行体发送的响应报文是否均两两不一致;
报文长度检测模块,其用于在所有在线异构执行体发送的响应报文均不一致时,检测所有在线异构执行体发送的响应报文长度;
报文长度判断模块,其用于判断所有在线异构执行体发送的响应报文长度是否均一致;
第一拆分模块,其用于在所有在线异构执行体发送的响应报文长度均一致时,按第一预设长度将每个在线异构执行体发送的响应报文Pi,依次拆分成若干报文分组jPi;其中,所述报文分组jPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组;
第一裁决器,其用于将不同在线异构执行体发送的响应报文中的同一分组序号的报文分组,传输至宏观裁决单元进行宏观大数裁决;若同一分组序号的报文分组宏观大数裁决通过,则将宏观大数裁决后的报文分组作为第一目标报文分组;若同一分组序号的报文分组宏观大数裁决不通过,则对相应的报文分组进行标记;
第二拆分模块,其用于按第二预设长度将每个在线异构执行体的已标记报文分组,依次拆分成若干子报文jkPi;其中,所述子报文jkPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组的第k个子报文;
第二裁决模块,其用于将不同在线异构执行体发送的响应报文中的同一子报文序号的子报文,传输至微观裁决单元进行微观大数裁决;若同一子报文序号的子报文微观大数裁决通过,则将微观大数裁决后的子报文作为目标子报文;
以及裁决结果报文生成模块,其用于判断是否所有同一子报文序号的子报文均微观大数裁决通过,若是按照子报文序号对所述目标子报文进行拼接,获得第二目标报文分组;还用于在获得第二目标报文分组后,根据分组序号对所述第一目标报文分组和所述第二目标报文分组进行拼接,生成裁决结果报文。
本发明第三方面提供一种拟态防御架构,包括输入代理、异构执行体、裁决器、反馈调度模块和输出代理,所述裁决器执行上述的基于拟态特定场景下的强裁决方法的步骤。
本发明第四方面提供一种可读存储介质,其上存储有指令,该指令被处理器执行时实现如上述的基于拟态特定场景下的强裁决方法的步骤。
本发明相对现有技术具有突出的实质性特点和显著的进步:
1)本发明提供一种基于拟态特定场景下的强裁决方法,在所有在线异构执行体发送的响应报文均不一致时,依旧能够输出裁决结果报文,从而解决在拟态环境的特定场景下用户无法正常访问服务的问题,不影响用户的正常服务访问;在保证客户端的访问数据正确性的同时,避免客户端发生卡死现象,保证了客户端与左括号之间的连接不断开;
2)本发明还提出一种拟态防御架构,在所述裁决器输出裁决结果报文时,即便所有在线异构执行体发送的响应报文不满足整体大数裁决策略,所述反馈调度模块依旧不对所有在线异构执行体进行调度;减少了执行体调度的频率,也避免了新调度上来的动态异构冗余执行体出现同样的漏洞导致一直进行执行体调度,最终导致客户端无法访问服务。
附图说明
图1是本发明的基于拟态特定场景下的强裁决方法的流程图;
图2是本发明的基于拟态特定场景下的强裁决系统的结构示意图;
图3是本发明的一种具体实施例的强裁决流程图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
实施例1
如附图1所示,一种基于拟态特定场景下的强裁决方法,所述方法包括以下步骤:
确定所有在线异构执行体发送的响应报文是否均两两不一致,若是则检测所有在线异构执行体发送的响应报文长度;
判断所有在线异构执行体发送的响应报文长度是否均一致,若是则按第一预设长度将每个在线异构执行体发送的响应报文Pi,依次拆分成若干报文分组jPi;其中,所述报文分组jPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组;
第一次拆分完成后,将不同在线异构执行体发送的响应报文中的同一分组序号的报文分组,传输至宏观裁决单元进行宏观大数裁决;
若同一分组序号的报文分组宏观大数裁决通过,则将宏观大数裁决后的报文分组作为第一目标报文分组;
若同一分组序号的报文分组宏观大数裁决不通过,则对相应的报文分组进行标记,按第二预设长度将每个在线异构执行体的已标记报文分组,依次拆分成若干子报文jkPi;其中,所述子报文jkPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组的第k个子报文;
第二次拆分完成后,将不同在线异构执行体发送的响应报文中的同一子报文序号的子报文,传输至微观裁决单元进行微观大数裁决;
若同一子报文序号的子报文微观大数裁决通过,则将微观大数裁决后的子报文作为目标子报文;
判断是否所有同一子报文序号的子报文均微观大数裁决通过,若是按照子报文序号对所述目标子报文进行拼接,获得第二目标报文分组;
获得第二目标报文分组后,根据分组序号对所述第一目标报文分组和所述第二目标报文分组进行拼接,生成裁决结果报文。
具体的,按第一预设长度将每个在线异构执行体发送的响应报文Pi,依次拆分成若干报文分组jPi:第1个在线异构执行体发送的响应报文可被拆分为报文分组1P1、报文分组2P1、…、报文分组AP1,第2个在线异构执行体发送的响应报文可被拆分为报文分组1P2、报文分组2P2、…、报文分组AP2,以此类推,A=响应报文长度/第一预设长度。其中,j表示分组序号,报文分组1P1、报文分组1P2、…、报文分组1PB属于同一分组序号的报文分组,B表示当前在线异构执行体数目;以此类推,第一次拆分后,存在A组同一分组序号的报文分组。
若某个已标记报文分组为报文分组1P1、报文分组1P2、…、报文分组1PB,按第二预设长度将每个在线异构执行体的已标记报文分组,依次拆分成若干子报文:报文分组1P1可被拆分为子报文11P1、子报文12P1、…、子报文1CP1,报文分组1P2可被拆分为子报文11P2、子报文12P2、…、子报文1CP2,以此类推,C=第一预设长度/第二预设长度。其中,jk表示子报文序号,子报文11P1、11P2、…、11PB属于同一子报文序号的子报文,以此类推,第二次拆分后,已标记报文分组对应C组同一子报文序号的子报文。
可以理解,若所有在线异构执行体发送的响应报文符合大数裁决策略,则将多数一致的响应报文作为裁决结果报文;否则,执行上述强裁决策略,从而解决拟态环境特定场景下用户无法正常访问服务的问题。
在一种具体实施方式中,每个在线异构执行体发送的响应报文被拆分成3个报文分组;存在2组同一分组序号的报文分组宏观大数裁决通过,将宏观大数裁决后的报文分组作为第一目标报文分组1P和2P;第3组同一分组序号的报文分组宏观大数裁决不通过,被标记;
每个已标记报文分组又可被拆分成6组子报文,6组同一子报文序号的子报文微观大数裁决均通过,将微观大数裁决后的子报文作为目标子报文31P、32P、33P、34P、35P和36P,按子报文序号依次将目标子报文31P、32P、33P、34P、35P和36P进行拼接,获得第二目标报文分组3P=31P+32P+33P+34P+35P+36P;
按照分组序号依次将第一目标报文分组1P和2P、第二目标报文分组3P进行拼接,获得裁决结果报文,裁决结果报文=1P+2P+3P。
需要说明的是,本发明的基于拟态特定场景下的强裁决方法,适用于执行结果出错率高,尤其是一些出错并非因为被非法篡改(网络原因等造成的)的场景下。
具体的,若所有在线异构执行体发送的响应报文长度不一致,则判断强裁决不通过。
进一步的,在所有在线异构执行体发送的响应报文均不一致,且所有在线异构执行体发送的响应报文长度不一致时,判断强裁决不通过,由代理服务器构建一个错误页面发送给客户端。若存在同一子报文序号的子报文微观大数裁决不通过,则判断强裁决不通过,由代理服务器构建一个错误页面发送给客户端。
具体的,所述第一预设长度>所述第二预设长度,且所述响应报文长度为所述第一预设长度的整数倍,所述第一预设长度是所述第二预设长度的整数倍。
需要说明的是,本发明采用递归算法和二分法将宏观裁决单元不通过的报文进行微观裁决;在同一子报文序号的子报文微观大数裁决不通过的情况下,可自动调整第二预设长度,再次进行分割,直至第二预设长度达到预设最小值,且仍存在同一子报文序号的子报文微观大数裁决不通过的情况,判断强裁决不通过。
具体的,所述第二预设长度预设最小值可以为整数1。
实施例2
如附图2所示,在实施例1的基础上,本实施例给出了一种基于拟态特定场景下的强裁决系统:
第一确认模块,其用于确定所有在线异构执行体发送的响应报文是否均两两不一致;
报文长度检测模块,其用于在所有在线异构执行体发送的响应报文均不一致时,检测所有在线异构执行体发送的响应报文长度;
报文长度判断模块,其用于判断所有在线异构执行体发送的响应报文长度是否均一致;
第一拆分模块,其用于在所有在线异构执行体发送的响应报文长度均一致时,按第一预设长度将每个在线异构执行体发送的响应报文Pi,依次拆分成若干报文分组jPi;其中,所述报文分组jPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组;
第一裁决器,其用于将不同在线异构执行体发送的响应报文中的同一分组序号的报文分组,传输至宏观裁决单元进行宏观大数裁决;若同一分组序号的报文分组宏观大数裁决通过,则将宏观大数裁决后的报文分组作为第一目标报文分组;若同一分组序号的报文分组宏观大数裁决不通过,则对相应的报文分组进行标记;
第二拆分模块,其用于按第二预设长度将每个在线异构执行体的已标记报文分组,依次拆分成若干子报文jkPi;其中,所述子报文jkPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组的第k个子报文;
第二裁决模块,其用于将不同在线异构执行体发送的响应报文中的同一子报文序号的子报文,传输至微观裁决单元进行微观大数裁决;若同一子报文序号的子报文微观大数裁决通过,则将微观大数裁决后的子报文作为目标子报文;
以及裁决结果报文生成模块,其用于判断是否所有同一子报文序号的子报文均微观大数裁决通过,若是按照子报文序号对所述目标子报文进行拼接,获得第二目标报文分组;还用于在获得第二目标报文分组后,根据分组序号对所述第一目标报文分组和所述第二目标报文分组进行拼接,生成裁决结果报文。
需要说明的是,在线异构执行体返回的数据经过宏观下对比裁决,如果数据对比结果符合大数原则,将大数中的一份数据存放在动态申请的内存中;如果都不符合大数原则,则将执行体数据进行二分法截断,对其进行微观对比裁决得到正确的数据存放到动态申请的内存中,依次循环,直至对比裁决完毕。
如附图3所示,在一种对上述强裁决方法进行验证的具体实施方式中,假设在线异构执行体的数量是2n+1(n=1),在线异构执行体正常响应的数据是bbcabc字符组成的一个字符串,裁决器正常接收到共有P1(bbcabc)、P2(bbcabc)、P3(bbcabc);
现将在线异构执行体发送的响应报文篡改成P1(bbcbbc)、P2(bbcaac)、P3(abbabb)。首先裁决器通过宏观对比裁决,得出所有在线异构执行体发送的响应报文P1、P2、P3两两各不一致,对其进行二分法拆分得报文分组1P1(bbc)、2P1(bbc)、1P2(bbc)、2P2(aac)、1P3(abb)、2P3(abb)。根据分组序号(数据的顺序)依次对同一分组序号的报文分组1P1、1P2、1P3和同一分组序号的报文分组2P1、2P2、2P3再进行依次宏观对比裁决,发现第1组报文分组1P1、1P2、1P3存在大数裁决结果1P(bbc),第2组报文分组2P1、2P2、2P3不存在大数对比裁决结果;
将1P(bbc)作为第一目标报文分组,通过内存操作将1P(bbc)存放在动态申请的数据空间;
对第2组报文分组2P1、2P2、2P3再次拆分后,微观裁决得到大数对比裁决结果目标子报文2P2(a)、2P2(b)、2P2(c),通过内存操作将目标子报文2P2(a)、2P2(b)、2P2(c)依次存放在1P(bbc)的连续地址后面,形成正确的响应报文P(bbcabc),输出给客户端,保证用户可以访问到正常的服务数据。
在另一种具体实施方式中,业务需求为客户端从在线异构执行体中下载400M大文件:在下载400M大文件时,发现当在线异构执行体均被篡改、篡改位置均不相同且篡改后的数据长度大小一样时,客户端无法成功下载完整的大文件,客户端表现为卡死现象。针对上述场景,本发明给出一种通用的解决方案:将在线异构执行体发送的响应报文中,第一次拆分后裁决占多数的部分报文分组作为第一目标报文分组,存放在动态申请的(足够的)内存中;将第二次拆分后,裁决占多数的部分子报文作为目标子报文,也存放在动态申请的(足够的)内存中;最后,输出动态内存中,裁决占多数的数据内容组成的裁决结果报文给客户端;
在宏观裁决单元不存在大数裁决结果,但微观裁决单元中存在大数裁决结果的情况下,本发明能够保证客户端与左括号之间的连接不断开,从而避免客户端由于上述原因发生卡死现象;
由于400M大文件均被篡改、篡改位置相同、篡改后的内容相同且篡改后的数据长度大小一样的概率极小,因此本发明能够保证裁决结果报文的安全性。
实施例3
在上述实施例的基础上,本实施例给出了一种拟态防御架构,包括输入代理、异构执行体、裁决器、反馈调度模块和输出代理,所述裁决器执行实施例1的基于拟态特定场景下的强裁决方法的步骤。
进一步的,在所述裁决器输出裁决结果报文时,所述反馈调度模块不对所有在线异构执行体进行调度。
需要说明的是,现有的裁决及调度方式,在所有在线异构执行体发送的响应报文均不一致时,需要对所有在线异构执行体进行下线处理并上线新的异构执行体,这个过程势必大大延长业务处理流程,甚至导致业务处理无法正常进行;然而,本发明在所有在线异构执行体发送的响应报文均不一致,但是微观裁决存在大数结果时,反馈调度模块不对动态异构冗余的在线执行体进行调度,减少了执行体调度的频率,保证业务处理正常进行;也避免了新调度上来的动态异构冗余执行体出现同样的漏洞,导致整个拟态防御架构一直进行执行体调度,最终导致客户端无法访问服务的情况。
可以理解,这就相比于操作系统来说,该服务进程允许漏洞的存在且该漏洞可以对在线异构执行体的宏观裁决单元产生影响,但是不对微观裁决单元产生影响。因此,此时就不需要进行反馈控制对在线异构执行体的动态调度。
需要说明的是,在上述情况下,尽管所述反馈调度模块不对所有在线异构执行体进行调度,但所述反馈调度模块依旧会执行定时轮换,以保证在线异构执行体之间的异构性。
进一步的,在所有在线异构执行体发送的响应报文均不一致时,所述反馈调度模块还宏观大数裁决通过的报文分组对应每个在线异构执行体进行一级标记,对宏观大数裁决不通过但对应子报文微观大数裁决通过的报文分组对应每个在线异构执行体进行二级标记;
根据一级标记和二级标记,更新每个在线异构执行体的可信度,在某个在线异构执行体可信度低于阈值时,对该在线异构执行体进行下线处理。
例如,每个在线异构执行体的可信度初始值为100;存在一级标记时,在线异构执行体的可信度减0,存在二级标记时在线异构执行体的可信度减5。
实施例4
本实施例给出了一种可读存储介质,其上存储有指令,该指令被处理器执行时实现如实施例1中的基于拟态特定场景下的强裁决方法的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
在本申请所提供的实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,上述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (8)
1.一种基于拟态特定场景下的强裁决方法,其特征在于,包括以下步骤:
确定所有在线异构执行体发送的响应报文是否均两两不一致,若是则检测所有在线异构执行体发送的响应报文长度;
判断所有在线异构执行体发送的响应报文长度是否均一致,若是则按第一预设长度将每个在线异构执行体发送的响应报文Pi,依次拆分成若干报文分组jPi;其中,所述报文分组jPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组;
第一次拆分完成后,将不同在线异构执行体发送的响应报文中的同一分组序号的报文分组,传输至宏观裁决单元进行宏观大数裁决;
若同一分组序号的报文分组宏观大数裁决通过,则将宏观大数裁决后的报文分组作为第一目标报文分组;
若同一分组序号的报文分组宏观大数裁决不通过,则对相应的报文分组进行标记,按第二预设长度将每个在线异构执行体的已标记报文分组,依次拆分成若干子报文jkPi;其中,所述子报文jkPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组的第k个子报文;
第二次拆分完成后,将不同在线异构执行体发送的响应报文中的同一子报文序号的子报文,传输至微观裁决单元进行微观大数裁决;
若同一子报文序号的子报文微观大数裁决通过,则将微观大数裁决后的子报文作为目标子报文;
判断是否所有同一子报文序号的子报文均微观大数裁决通过,若是按照子报文序号对所述目标子报文进行拼接,获得第二目标报文分组;
获得第二目标报文分组后,根据分组序号对所述第一目标报文分组和所述第二目标报文分组进行拼接,生成裁决结果报文。
2.根据权利要求1所述的基于拟态特定场景下的强裁决方法,其特征在于:在所有在线异构执行体发送的响应报文均不一致,且所有在线异构执行体发送的响应报文长度不一致时,判断强裁决不通过,由代理服务器构建一个错误页面发送给客户端。
3.根据权利要求1所述的基于拟态特定场景下的强裁决方法,其特征在于:若存在同一子报文序号的子报文微观大数裁决不通过,则判断强裁决不通过,由代理服务器构建一个错误页面发送给客户端。
4.根据权利要求1所述的基于拟态特定场景下的强裁决方法,其特征在于:所述第一预设长度>所述第二预设长度,且所述响应报文长度为所述第一预设长度的整数倍,所述第一预设长度是所述第二预设长度的整数倍。
5.一种基于拟态特定场景下的强裁决系统,其特征在于,包括:
第一确认模块,其用于确定所有在线异构执行体发送的响应报文是否均两两不一致;
报文长度检测模块,其用于在所有在线异构执行体发送的响应报文均不一致时,检测所有在线异构执行体发送的响应报文长度;
报文长度判断模块,其用于判断所有在线异构执行体发送的响应报文长度是否均一致;
第一拆分模块,其用于在所有在线异构执行体发送的响应报文长度均一致时,按第一预设长度将每个在线异构执行体发送的响应报文Pi,依次拆分成若干报文分组jPi;其中,所述报文分组jPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组;
第一裁决器,其用于将不同在线异构执行体发送的响应报文中的同一分组序号的报文分组,传输至宏观裁决单元进行宏观大数裁决;若同一分组序号的报文分组宏观大数裁决通过,则将宏观大数裁决后的报文分组作为第一目标报文分组;若同一分组序号的报文分组宏观大数裁决不通过,则对相应的报文分组进行标记;
第二拆分模块,其用于按第二预设长度将每个在线异构执行体的已标记报文分组,依次拆分成若干子报文jkPi;其中,所述子报文jkPi表示第i个在线异构执行体发送的响应报文中的第j个报文分组的第k个子报文;
第二裁决模块,其用于将不同在线异构执行体发送的响应报文中的同一子报文序号的子报文,传输至微观裁决单元进行微观大数裁决;若同一子报文序号的子报文微观大数裁决通过,则将微观大数裁决后的子报文作为目标子报文;
以及裁决结果报文生成模块,其用于判断是否所有同一子报文序号的子报文均微观大数裁决通过,若是按照子报文序号对所述目标子报文进行拼接,获得第二目标报文分组;还用于在获得第二目标报文分组后,根据分组序号对所述第一目标报文分组和所述第二目标报文分组进行拼接,生成裁决结果报文。
6.一种拟态防御架构,包括输入代理、异构执行体、裁决器、反馈调度模块和输出代理,其特征在于:所述裁决器执行权利要求1至4任一项所述的基于拟态特定场景下的强裁决方法的步骤。
7.根据权利要求6所述的拟态防御架构,其特征在于:在所述裁决器输出裁决结果报文时,所述反馈调度模块不对所有在线异构执行体进行调度。
8.一种可读存储介质,其上存储有指令,其特征在于:该指令被处理器执行时实现如权利要求1至4任一项所述的基于拟态特定场景下的强裁决方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111645954.4A CN114363037B (zh) | 2021-12-30 | 2021-12-30 | 基于拟态特定场景下的强裁决方法、系统、架构及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111645954.4A CN114363037B (zh) | 2021-12-30 | 2021-12-30 | 基于拟态特定场景下的强裁决方法、系统、架构及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114363037A CN114363037A (zh) | 2022-04-15 |
| CN114363037B true CN114363037B (zh) | 2023-09-29 |
Family
ID=81103864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111645954.4A Active CN114363037B (zh) | 2021-12-30 | 2021-12-30 | 基于拟态特定场景下的强裁决方法、系统、架构及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363037B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111431945A (zh) * | 2020-06-10 | 2020-07-17 | 之江实验室 | 一种报文拟态裁决的装置和方法 |
| CN111885016A (zh) * | 2020-07-06 | 2020-11-03 | 河南信大网御科技有限公司 | 一种基于数据报文的快速裁决方法、系统及架构 |
| CN112035837A (zh) * | 2020-07-31 | 2020-12-04 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态防御的恶意pdf文档检测系统及方法 |
| WO2021169080A1 (zh) * | 2020-02-27 | 2021-09-02 | 南京红阵网络安全技术研究院有限公司 | 基于部分同态加密算法的拟态防御裁决方法和系统 |
| WO2021248740A1 (zh) * | 2020-06-10 | 2021-12-16 | 网络通信与安全紫金山实验室 | 一种拟态路由器执行体调度方法和拟态路由器 |
-
2021
- 2021-12-30 CN CN202111645954.4A patent/CN114363037B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021169080A1 (zh) * | 2020-02-27 | 2021-09-02 | 南京红阵网络安全技术研究院有限公司 | 基于部分同态加密算法的拟态防御裁决方法和系统 |
| CN111431945A (zh) * | 2020-06-10 | 2020-07-17 | 之江实验室 | 一种报文拟态裁决的装置和方法 |
| WO2021248740A1 (zh) * | 2020-06-10 | 2021-12-16 | 网络通信与安全紫金山实验室 | 一种拟态路由器执行体调度方法和拟态路由器 |
| CN111885016A (zh) * | 2020-07-06 | 2020-11-03 | 河南信大网御科技有限公司 | 一种基于数据报文的快速裁决方法、系统及架构 |
| CN112035837A (zh) * | 2020-07-31 | 2020-12-04 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态防御的恶意pdf文档检测系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于执行体安全性的智能仲裁算法;李俊;王志浩;陈迎春;通信技术;第054卷(第004期);929-937 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114363037A (zh) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108833417B (zh) | 基于拟态防御的邮件系统 | |
| US20210326867A1 (en) | Fork-Tolerant Consensus Protocol | |
| Hu et al. | MNOS: a mimic network operating system for software defined networks | |
| US7231637B1 (en) | Security and software testing of pre-release anti-virus updates on client and transmitting the results to the server | |
| US11483354B2 (en) | System and method for reasoning about the optimality of a configuration parameter of a distributed system | |
| Temizkan et al. | Software diversity for improved network security: optimal distribution of software-based shared vulnerabilities | |
| Machida | N-version machine learning models for safety critical systems | |
| Liskov et al. | Tolerating Byzantine faulty clients in a quorum system | |
| Sikos | OWL ontologies in cybersecurity: conceptual modeling of cyber-knowledge | |
| CN112019557A (zh) | 一种数据处理方法及装置 | |
| Wang et al. | Protecting scientific workflows in clouds with an intrusion tolerant system | |
| Wu et al. | Tolerating adversarial attacks and byzantine faults in distributed machine learning | |
| Sepczuk | Dynamic web application firewall detection supported by cyber mimic defense approach | |
| CN114363037B (zh) | 基于拟态特定场景下的强裁决方法、系统、架构及介质 | |
| Cheng et al. | A new approach to designing firewall based on multidimensional matrix | |
| Wang et al. | AI-assisted trustworthy architecture for industrial IoT based on dynamic heterogeneous redundancy | |
| Zenitani | A scalable algorithm for network reachability analysis with cyclic attack graphs | |
| Eskandari et al. | ERES: an extended regular expression signature for polymorphic worm detection | |
| Farshteindiker et al. | Leadership hijacking in Docker swarm and its consequences | |
| Rouault | Practical Byzantine-resilient Stochastic Gradient Descent | |
| CN115755570A (zh) | 多冗余度异构调度裁决器的调度裁决方法及装置 | |
| Bendahmane et al. | Result verification mechanism for MapReduce computation integrity in cloud computing | |
| Kriaa et al. | Better safe than sorry: modeling reliability and security in replicated SDN controllers | |
| Nguyen Quoc et al. | Detecting DGA Botnet based on Malware Behavior Analysis | |
| US10121008B1 (en) | Method and process for automatic discovery of zero-day vulnerabilities and expoits without source code access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |