CN114710405A - 一种拟态系统内部网络设计方法及系统 - Google Patents
一种拟态系统内部网络设计方法及系统 Download PDFInfo
- Publication number
- CN114710405A CN114710405A CN202111600012.4A CN202111600012A CN114710405A CN 114710405 A CN114710405 A CN 114710405A CN 202111600012 A CN202111600012 A CN 202111600012A CN 114710405 A CN114710405 A CN 114710405A
- Authority
- CN
- China
- Prior art keywords
- protocol
- communication protocol
- network element
- communication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- 238000004891 communication Methods 0.000 claims abstract description 193
- 230000002159 abnormal effect Effects 0.000 claims description 45
- 238000013461 design Methods 0.000 claims description 22
- 238000004140 cleaning Methods 0.000 claims description 21
- 230000008859 change Effects 0.000 claims description 16
- 238000010276 construction Methods 0.000 claims description 5
- 230000009467 reduction Effects 0.000 claims description 5
- 230000003278 mimic effect Effects 0.000 claims 1
- 238000006243 chemical reaction Methods 0.000 description 7
- 230000003068 static effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 102100021305 Acyl-CoA:lysophosphatidylglycerol acyltransferase 1 Human genes 0.000 description 1
- 101001042227 Homo sapiens Acyl-CoA:lysophosphatidylglycerol acyltransferase 1 Proteins 0.000 description 1
- 101000927793 Homo sapiens Neuroepithelial cell-transforming gene 1 protein Proteins 0.000 description 1
- 101000634679 Homo sapiens Nucleolar complex protein 2 homolog Proteins 0.000 description 1
- 101001024723 Homo sapiens Nucleoporin NDC1 Proteins 0.000 description 1
- 101001124937 Homo sapiens Pre-mRNA-splicing factor 38B Proteins 0.000 description 1
- 101000821521 Homo sapiens Saccharopine dehydrogenase-like oxidoreductase Proteins 0.000 description 1
- 101000643391 Homo sapiens Serine/arginine-rich splicing factor 11 Proteins 0.000 description 1
- 101000631937 Homo sapiens Sodium- and chloride-dependent glycine transporter 2 Proteins 0.000 description 1
- 101000639975 Homo sapiens Sodium-dependent noradrenaline transporter Proteins 0.000 description 1
- 101000679867 Homo sapiens Torsin-1A-interacting protein 2 Proteins 0.000 description 1
- 101001010861 Homo sapiens Torsin-1A-interacting protein 2, isoform IFRG15 Proteins 0.000 description 1
- 101000801088 Homo sapiens Transmembrane protein 201 Proteins 0.000 description 1
- 101000680095 Homo sapiens Transmembrane protein 53 Proteins 0.000 description 1
- 101000768133 Homo sapiens Unhealthy ribosome biogenesis protein 2 homolog Proteins 0.000 description 1
- 102100037826 Nucleoporin NDC1 Human genes 0.000 description 1
- 102100021591 Saccharopine dehydrogenase-like oxidoreductase Human genes 0.000 description 1
- 102100028886 Sodium- and chloride-dependent glycine transporter 2 Human genes 0.000 description 1
- 102100024991 Tetraspanin-12 Human genes 0.000 description 1
- 102100030163 Tetraspanin-15 Human genes 0.000 description 1
- 102100032830 Tetraspanin-9 Human genes 0.000 description 1
- 102100029998 Torsin-1A-interacting protein 2, isoform IFRG15 Human genes 0.000 description 1
- 102100022244 Transmembrane protein 53 Human genes 0.000 description 1
- 102100028185 Unhealthy ribosome biogenesis protein 2 homolog Human genes 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 102220086802 rs535411352 Human genes 0.000 description 1
- 102220059933 rs754752449 Human genes 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/03—Protocol definition or specification
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种拟态系统内部网络设计方法及系统,包括以下步骤:当接收到所述调度器发送的新规约生成指令后,获取需要更换通信规约的模块,并确定所述模块参与的所有通信链路;根据预设替换规则从规约库中提取至少一个异构网络元素替换现有通信规约里对应的子元素,生成新通信规约,并按照预设协议报文格式生成新规约消息发送至调度器;调度器接收到新规约消息后,将新规约消息按照原来的通信链路传输至拟态系统中的其他模块,以使各模块的路由表加载新通信规约,完成新路径的切换。本发明在不借助外部环境的情况下,动态改变拟态构造系统内部网络架构,在保证内部通信的单线性的同时,增加了内部网络的可变性,提高了内部网络的安全性和普适性。
Description
技术领域
本发明涉及拟态系统,具体的说,涉及了一种拟态系统内部网络设计方法及系统。
背景技术
拟态防御技术改变了网络空间防御的游戏规则,为网络应用实现网络安全提供了一种全新的解决方案。为了确保拟态架构中每个模块的安全性,确保单个模块出现问题后,攻击行为不被扩散,拟态系统要求内部模块的通信是单线方式的,即数据流从输入代理至执行体是单线的,执行体指至裁决器是单线的,裁决至调度器是单线的,调度器至执行体是单线的,调度器至输入代理是单线的。为了实现单线的方式,往往借助于防火墙或者交换机acl的方式进行实现。然而,此种依赖于操作系统防火墙或者交换机功能实现方式,在某些不支持防火墙或者acl的场景下,会受限制。如何提供一种较通用的方法,实现拟态系统内部网络单线的方式,对于提高拟态技术在各行业的推广应用具有重要意义。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供了一种拟态系统内部网络设计方法及系统。
为了实现上述目的,本发明所采用的技术方案是:一种拟态系统内部网络设计装置,包括:
规约记录器,用于记录拟态所述构造系统使用的通信路径,所述通信路径包括每条通信链路采用的通信规约,所述通信规约包括IP地址、通信协议、通信端口、加密算法四个网络元素;
规约库,包括IP地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素;
规约生成模块,被配置为接收所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令,所述新规约生成指令包括需要更换通信规约的通信链路,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;
规约发送器,用于发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约。
基于上述,所述预设替换规则包括:
当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;
当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。
基于上述,四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;
当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;
当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。
基于上述,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约时,确保变更后每条通信链路的通信规约是唯一的。
本发明第二方面提供一种拟态系统内部网络设计方法,包括以下步骤:
当接收到所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令后,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约,并发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约;
其中,所述新规约生成指令包括需要更换通信规约的通信链路,所述通信规约包括IP地址、通信协议、通信端口、加密算法四个网络元素,所述规约库包括IP地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素。
本发明第三方面提供一种拟态系统,包括输入代理、执行体、裁决器、调度器,还包括前述的拟态系统内部网络设计装置,
所述调度器在按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成新规约生成指令,并将新规约生成指令发送给所述拟态系统内部网络设计装置;
所述拟态系统内部网络设计装置响应新规约生成指令,生成新通信规约返回给所述调度器;
所述调度器将所述新通信规约按照原来的链路传输至所述输入代理、所述执行体以及所述裁决器;
所述调度器、所述输入代理、所述执行体以及所述裁决器执行所述通信规约。
本发明第四方面提供一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现前述的拟态系统内部网络设计方法。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,本发明通过拟态构造系统中引入拟态系统内部网络设计装置,在不借助外部环境的情况下,动态改变拟态构造系统内部网络架构,一方面保证了内部通信的单线性,另一方面增加了内部网络的可变性,提高了内部网络的安全性和普适性。
附图说明
图1是本发明的结构示意图。
图2是所述调度器向所述拟态系统内部网络设计装置发送的报文格式。
图3是所述拟态系统内部网络设计装置向所述调度器发送的报文格式。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
实施例1
本实施例提供一种拟态系统内部网络设计装置,包括:
规约记录器,用于记录拟态所述构造系统使用的通信路径,所述通信路径包括每条通信链路采用的通信规约,所述通信规约包括IP地址、通信协议、通信端口、加密算法四个网络元素;
规约库,包括IP地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素;
规约生成模块,被配置为接收所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令,所述新规约生成指令包括需要更换通信规约的通信链路,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;
规约发送器,用于发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约。
进一步的,所述预设替换规则包括:
当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;
当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。
其中,对异常执行体深度清洗是指文件系统层面的恢复。
进一步的,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约时,确保变更后每条通信链路的通信规约是唯一的,从而确保执行体的异构性。
实施例2
本实施例与实施例1的区别在于:四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;
当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;
当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。
网络元素的变化频率与网络元素权重值之间的关系为:权重值越低,变换频率越高;权重值约高,变化频率约低。
实施例3
本实施例提供一种拟态系统内部网络设计方法,包括以下步骤:
当接收到所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令后,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约,并发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约;
其中,所述新规约生成指令包括需要更换通信规约的通信链路,所述通信规约包括IP地址、通信协议、通信端口、加密算法四个网络元素,所述规约库包括IP地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素。
在具体实施时,所述预设替换规则包括:
当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;
当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。
进一步的,四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;
当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;
当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。
实施例4
本实施例提供一种拟态系统,如图1所示,包括输入代理、执行体、裁决器、调度器,还包括前述的拟态系统内部网络设计装置,
所述调度器在按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成新规约生成指令,并将新规约生成指令发送给所述拟态系统内部网络设计装置;
所述拟态系统内部网络设计装置响应新规约生成指令,生成新通信规约返回给所述调度器;
所述调度器将所述新通信规约按照原来的链路传输至所述输入代理、所述执行体以及所述裁决器;
所述调度器、所述输入代理、所述执行体以及所述裁决器执行所述通信规约。
在具体实施时,所述调度器、所述输入代理、所述执行体以及所述裁决器内均设置有通信规约接收器,以用于接收新通信规约。
本实施例以动态改变内部网络中的通信IP地址为例,具体描述拟态系统的工作流程。
初始状态下,输入代理与执行体1采用NET1(192.168.1.X)网段通信,输入代理与执行体2采用NET2(192.168.2.X)网段通信,输入代理与执行体3采用NET3(192.168.3.X)网段通信;执行体1与裁决器采用NET4(192.168.4.X)网段通信,执行体2与裁决器采用NET5(192.168.5.X)网段通信,执行体3与裁决器采用NET6(192.168.6.X)网段通信;裁决器与调度器采用NET7(192.168.7.X)网段通信;调度器与输入代理采用NET8(192.168.8.X)网段通信,调度器与执行体1采用NET9(192.168.9.X)网段通信,调度器与执行体2采用NET10(192.168.10.X)网段通信,调度器与执行体3采用NET11(192.168.11.X)网段通信。
初始情况下,按照在上述分配网段范围内,输入代理、执行体、裁决器、调度器初始化一个默认IP地址。
对于拟态系统的网络通信方式,输入代理用P表示、执行体用O表示、裁决器用J表示、调度器用S表示、网段用N表示,则当前系统的通信路径可记录为L1={P、O1、N1}、L2={P、O2、N2}、L3={P、O3、N3}、L4={O1、J、N4}、L5={O2、J、N5}、L6={O3、J、N6}、L7={J、S、N7}、L8={S、P、N8}、L9={S、O1、N9}、L10={S、O2、N10}、L11={S、O3、N11};当前拟态系统中内部的通信方式使用集合R={T,L,……}表示,T代表此条通信方式使用的输出时间;因此初始状态下,通信规约记录器中会存在一条记录R1={T1、L1、L2、L3、L4、L5、L6、L7、L8、L9、L10、L11}。
一方面,为了避免通信规约切换过程中通信中断的情况;另一方面,所述调度器和所述拟态系统内部网络设计装置之间传输的报文数据量较小,通信内容单一;因此,所述调度器和所述拟态系统内部网络设计装置采用二层协议报文进行通信。
具体的,所述调度器向所述拟态系统内部网络设计装置发送的报文格式如图2所示。
其中,DA代表通信规约器的MAC地址,SA代表调度器的MAC地址,Type代表帧类型(用0x0101表示),Data代表传输数据,FCS为帧校验;传输数据占用5个字节,其中X表示随机变换位(0和1随机选择),其余代表各模块的IP地址,如果为0,则表示此模块的IP地址不需要变换,如果为1,则表示此模块的IP地址需要变换。
所述拟态系统内部网络设计装置向所述调度器发送的报文格式如图3所示。
DA为调度器的mac地址,SA为通信规约器的mac地址,Type代表帧类型(用0x0102表示下发的Ip地址为IPV4);data共97字节,其中X占1个字节(在0x00-0xFF随机变换),其余字段占四个字节,代表IPV4地址。
下图为IPv6的通信格式,与IPv4不同的是,Type代表帧类型(用0x0103表示下发的Ip地址为IPV4),data共325个字节,每个IPV6占16个字节。
当通信规约生成器收到调度器发送的新规约生成指令后,通信规约生成器按照如下步骤生成新的规约。
(1)判断二层报文中的Type字段是否为0x0101,如果是进入到新规约生成流程,否则丢弃此报文;
(2)根据前面提到的报文定义,取出需要变换IP地址的模块;
(3)正常情况下,只有裁决器检测到执行体收到威胁时,才会对网络环境进行变换;因此网络链路的变换以执行体为核心进行变换;为了简化设计,系统忽略输入代理模块、调度模块、裁决模块主动向通信规约器请求IP地址。
(4)若是执行体O1发出IP地址变换请求,需要对N1、N4、N9链路进行IP地址变换请求;若是执行体O2发出IP地址变换请求,需要对N2、N5、N10链路进行IP地址变换请求;若是执行体O3发出IP地址变换请求,需要对N3、N6、N11链路进行IP地址变换请求。
(5)规约库存放的是不同网段的IP地址;
(6)在确定完新的链路请求后(假如执行体O1发出了链路请求),从规约库中取出新的IP地址,生成新的路径R2={T2、L1、L2、L3、L4、L5、L6、L7、L8、L9、L10、L11},R2中的N1、N4、N9与R1中的应是不一样的;同时应保证N1、N4、N9处于不同的网段。
(7)将生成的新规约按照IPV4或者IPV6地址的格式,发送至调度器。
调度器收到新的规约消息后,将新的规约消息按照原来的链路传输至各模块,然后各模块加载新的IP地址,系统完成新路径的切换。
一个网段之内的终端进行数据交换,需要用到交换机,交换机是2层设备,交换机的网络处理器不能控制数据流向,而必须使用路由器来控制数据流向。路由器又叫网关,建立在一个网段和另外一些网段之间,用于控制数据从一个网段传输到另一个网段;当数据从相反方向传输回来时,则需要对向的路由器来控制。这样通过在两个方向上设置两个不同的路由器,且路由器采用不同的路径,就可以避免数据回流。也就是说通过不同方向上的路由器规定不同的路径,最终实现数据单向流动。
使用路由表描述路径信息,而路由表分为静态路由表和动态路由表两种,静态路由表是预先设置的,而非动态决定;显然,如果想让数据单向流动,则只能使用静态路由表,然而静态路由表更换起来不方便,本实施例中通过更换被路由表控制的终端的IP地址来最终实现路径信息的更换,简单方便。
实施例6
本实施例提供一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现前述的拟态系统内部网络设计方法。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (10)
1.一种拟态系统内部网络设计装置,其特征在于,包括:
规约记录器,用于记录拟态所述构造系统使用的通信路径,所述通信路径包括每条通信链路采用的通信规约,所述通信规约包括IP地址、通信协议、通信端口、加密算法四个网络元素;
规约库,包括IP地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素;
规约生成模块,被配置为接收所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令,所述新规约生成指令包括需要更换通信规约的通信链路,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;
规约发送器,用于发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约。
2.根据权利要求1所述的拟态系统内部网络设计装置,其特征在于:所述预设替换规则包括:
当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;
当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。
3.根据权利要求2所述的拟态系统内部网络设计装置,其特征在于:四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;
当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;
当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。
4.根据权利要求1所述的拟态系统内部网络设计装置,其特征在于,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约时,确保变更后每条通信链路的通信规约是唯一的。
5.一种拟态系统内部网络设计方法,其特征在于,包括以下步骤:
当接收到所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令后,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约,并发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约;
其中,所述新规约生成指令包括需要更换通信规约的通信链路,所述通信规约包括IP地址、通信协议、通信端口、加密算法四个网络元素,所述规约库包括IP地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素。
6.根据权利要求5所述的拟态系统内部网络设计方法,其特征在于:所述预设替换规则包括:
当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;
当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。
7.根据权利要求6所述的拟态系统内部网络设计方法,其特征在于:四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;
当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;
当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。
8.一种拟态系统,其特征在于:包括输入代理、执行体、裁决器、调度器,还包括权利要求1-4所述的拟态系统内部网络设计装置,
所述调度器在按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成新规约生成指令,并将新规约生成指令发送给所述拟态系统内部网络设计装置;
所述拟态系统内部网络设计装置响应新规约生成指令,生成新通信规约返回给所述调度器;
所述调度器将所述新通信规约按照原来的链路传输至所述输入代理、所述执行体以及所述裁决器;
所述调度器、所述输入代理、所述执行体以及所述裁决器执行所述通信规约。
9.根据权利要求8所述的拟态系统,其特征在于:所述调度器和所述拟态系统内部网络设计装置采用二层协议报文进行通信。
10.一种计算设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求5-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111600012.4A CN114710405B (zh) | 2021-12-24 | 2021-12-24 | 一种拟态系统内部网络设计方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111600012.4A CN114710405B (zh) | 2021-12-24 | 2021-12-24 | 一种拟态系统内部网络设计方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114710405A true CN114710405A (zh) | 2022-07-05 |
CN114710405B CN114710405B (zh) | 2023-11-17 |
Family
ID=82166060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111600012.4A Active CN114710405B (zh) | 2021-12-24 | 2021-12-24 | 一种拟态系统内部网络设计方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114710405B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102333031A (zh) * | 2011-09-07 | 2012-01-25 | 江苏润和软件股份有限公司 | 一种基于设备适配技术的设备智能接入系统及其方法 |
CN104679650A (zh) * | 2015-02-03 | 2015-06-03 | 上海交通大学 | 面向软件体系结构模型的可信性评估方法 |
WO2018148834A1 (en) * | 2017-02-17 | 2018-08-23 | Royal Bank Of Canada | Web application firewall |
CN109598123A (zh) * | 2018-12-04 | 2019-04-09 | 国家电网有限公司 | 一种配电自动化系统安全防御平台及方法 |
CN112039833A (zh) * | 2020-06-08 | 2020-12-04 | 武汉光谷电气有限公司 | 一种通讯管理机系统及工程配置方法 |
CN113537284A (zh) * | 2021-06-04 | 2021-10-22 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态机制的深度学习实现方法及系统 |
-
2021
- 2021-12-24 CN CN202111600012.4A patent/CN114710405B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102333031A (zh) * | 2011-09-07 | 2012-01-25 | 江苏润和软件股份有限公司 | 一种基于设备适配技术的设备智能接入系统及其方法 |
CN104679650A (zh) * | 2015-02-03 | 2015-06-03 | 上海交通大学 | 面向软件体系结构模型的可信性评估方法 |
WO2018148834A1 (en) * | 2017-02-17 | 2018-08-23 | Royal Bank Of Canada | Web application firewall |
CN109598123A (zh) * | 2018-12-04 | 2019-04-09 | 国家电网有限公司 | 一种配电自动化系统安全防御平台及方法 |
CN112039833A (zh) * | 2020-06-08 | 2020-12-04 | 武汉光谷电气有限公司 | 一种通讯管理机系统及工程配置方法 |
CN113537284A (zh) * | 2021-06-04 | 2021-10-22 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态机制的深度学习实现方法及系统 |
Non-Patent Citations (1)
Title |
---|
王婷,项露露,陈铁明: "拟态防御系统的时间自动机模型和验证", 《小型微型计算机系统》, pages 1718 - 1724 * |
Also Published As
Publication number | Publication date |
---|---|
CN114710405B (zh) | 2023-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100550763C (zh) | 网络设备的管理方法及网络管理系统 | |
Chen et al. | Commentaries on" Active networking and end-to-end arguments" | |
CN102104541B (zh) | 报头处理引擎 | |
US20200259785A1 (en) | Method for data communication using random network addresses and apparatus thereof | |
US7269661B2 (en) | Method using receive and transmit protocol aware logic modules for confirming checksum values stored in network packet | |
JP4789425B2 (ja) | 経路テーブル同期方法、ネットワーク機器および経路テーブル同期プログラム | |
CN1921452B (zh) | 防止将受版权保护内容发送给外部网络的接入装置及方法 | |
Zhong et al. | An efficient SDN load balancing scheme based on variance analysis for massive mobile users | |
JP7139252B2 (ja) | 転送装置 | |
Guamán et al. | Comparative performance analysis between MQTT and COAP protocols for IoT with Raspberry pi 3 in IEEE 802.11 environments | |
CN113596017B (zh) | 一种协议解析方法、装置、软网关和存储介质 | |
CN105049463B (zh) | 分散数据库、数据共享方法、用于分散数据库的装置 | |
JP2022008220A (ja) | ルーティング情報送信方法、パケット送信方法、及び関連機器 | |
CN114710405B (zh) | 一种拟态系统内部网络设计方法及系统 | |
JP4811884B2 (ja) | 異なるインターネット通信スタック・インスタンスの間でデータ・パケットを経路指定するための方法及び装置 | |
Lin et al. | Gigabit Modbus user datagram protocol fieldbus network integrated with industrial vision communication | |
CN115412512A (zh) | 一种基于IPv6的多云跨网互通方法及装置 | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | Configuring Source-Route Bridging | |
Cisco | Routing ISO CLNS | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |