CN114915450A - 流式拟态裁决装置及方法 - Google Patents

流式拟态裁决装置及方法 Download PDF

Info

Publication number
CN114915450A
CN114915450A CN202210356059.9A CN202210356059A CN114915450A CN 114915450 A CN114915450 A CN 114915450A CN 202210356059 A CN202210356059 A CN 202210356059A CN 114915450 A CN114915450 A CN 114915450A
Authority
CN
China
Prior art keywords
data
arbitration
mimicry
redundant
streaming
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210356059.9A
Other languages
English (en)
Other versions
CN114915450B (zh
Inventor
扈红超
周大成
何威振
程国振
范学云
梁浩
冯志峰
高振
郭义伟
史雪静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202210356059.9A priority Critical patent/CN114915450B/zh
Publication of CN114915450A publication Critical patent/CN114915450A/zh
Application granted granted Critical
Publication of CN114915450B publication Critical patent/CN114915450B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明属于拟态防御技术领域,具体涉及一种流式拟态裁决装置及方法,该装置包括用户代理单元、流式拟态裁决单元、动态异构冗余执行体池和控制单元;所述用户代理单元用于接收用户输入数据,并且将用户输入数据复制分发至动态异构冗余执行体池;所述控制单元用于向用户代理单元和动态异构冗余执行体池下发动态调度信息;所述流式拟态裁决单元用于对动态异构冗余执行体池中的多个冗余执行体的分段陆续输出的数据进行动态截取与裁决;还用于统计分析动态异构冗余执行体池所输出的数据流特征,根据数据流特征控制流式拟态裁决中的裁决窗口,控制拟态系统数据输出的速率。本发明有效提升了拟态裁决效率和裁决准确度。

Description

流式拟态裁决装置及方法
技术领域
本发明属于拟态防御技术领域,具体涉及一种流式拟态裁决装置及方法。
背景技术
拟态防御技术是一种以“动态异构冗余”(dynamic heterogeneous redundancy,DHR)的系统架构为基础的内生安全技术。拟态防御将未知的漏洞和后门引起的网络安全问题转化为输出裁决器可以判别的差模扰动现象,使用动态性、异构性和随机性等特性提高系统的安全性。
拟态防御中的输出裁决器是检测拟态系统的异常扰动的关键组件。拟态裁决器通过对异构冗余的执行体集群的输出数据的交叉检验发现网络威胁,其结果是拟态系统执行动态清洗的依据。输出裁决器的裁决效率是影响拟态系统服务质量的关键因素,但是,执行体动态输出的数据流给拟态裁决效率带来较大影响,目前缺乏针对动态输出数据流的高效的拟态裁决器的设计。
发明内容
针对拟态裁决器的裁决效率有待提升的问题,本发明提出一种流式拟态裁决装置及方法。
为解决上述技术问题,本发明采用以下的技术方案:
本发明提供了一种流式拟态裁决装置,包括用户代理单元、流式拟态裁决单元、动态异构冗余执行体池和控制单元;
所述用户代理单元,用于接收用户输入数据,并且将用户输入数据复制分发至动态异构冗余执行体池;还用于接收来自动态异构冗余执行体池的输出数据,并且将经过流式拟态裁决单元裁决处理后的相对正确的冗余执行体输出数据发送给用户;
所述动态异构冗余执行体池,包括多个冗余执行体,所述冗余执行体用于处理用户代理单元发送来的用户输入数据,并且将响应输出数据返回至流式拟态裁决单元;
所述控制单元,用于根据流式拟态裁决单元的裁决结果,向用户代理单元和动态异构冗余执行体池下发动态调度信息;
所述流式拟态裁决单元,用于对动态异构冗余执行体池中的多个冗余执行体的分段陆续输出的数据进行动态截取与裁决,选出相对正确的冗余执行体的输出数据响应用户;还用于统计分析动态异构冗余执行体池所输出的数据流特征,根据数据流特征控制流式拟态裁决中的裁决窗口,控制拟态系统数据输出的速率。
进一步地,所述控制单元下发的动态调度信息包括将裁决结果异常的冗余执行体重置或替换,并通告用户代理单元更新数据分发的冗余执行体信息。
进一步地,所述流式拟态裁决单元包括数据动态存取模块,所述数据动态存取模块用于缓存动态异构冗余执行体池中的多个冗余执行体的输出数据,并且根据流式拟态裁决输出的长度,动态释放已完成裁决的数据长度。
进一步地,所述流式拟态裁决单元还包括流特征统计分析模块和流速控制模块;所述流特征统计分析模块用于统计冗余执行体输出的数据流特征,分析统计结果得出流特征以指导流速控制,即裁决速率控制;所述流速控制模块用于根据各个冗余执行体输出数据的缓存量和流特征历史经验,计算待裁决的数据长度,并截取待裁决数据输出至裁决模块。
进一步地,所述流特征包括数据段长度和数据段输出间隔时间。
进一步地,所述流式拟态裁决单元还包括裁决算法选取模块和裁决模块;所述裁决算法选取模块用于根据待裁决的数据长度,选取合适的裁决算法,并且将选定的裁决算法通告裁决模块;所述裁决模块用于根据裁决算法裁决待裁决的数据,选取相对正确的冗余执行体的输出数据发送至用户代理单元,同时若存在裁决异常的冗余执行体则通告控制单元。
进一步地,所述选取合适的裁决算法包括:较长的裁决长度选择语义分析裁决算法,较短的裁决长度选取相似度比较算法。
本发明还提供了一种流式拟态裁决方法,包含以下步骤:
步骤1,流式拟态裁决单元接收动态异构冗余执行体池的响应输出数据;
步骤2,数据动态存取模块识别冗余执行体、按冗余执行体编号将响应数据存入数据队列,同时流特征统计分析模块记录数据流特征;
步骤3,流速控制模块根据冗余执行体缓存数据和流特征统计分析模块对历史数据流特征的分析结论,选择当前最优的流速控制策略,计算裁决的数据长度并截取数据发往裁决模块;
步骤4,裁决算法选取模块根据此次裁决的数据长度,选取合适的裁决算法;
步骤5,裁决模块根据选定的裁决算法,对流速控制模块从冗余执行体输出数据缓存中截取的数据进行裁决,得出相对正确的待输出冗余执行体的数据段,同时将裁决结果报告控制单元;
步骤6,用户代理单元将裁决输出的数据发送回用户。
进一步地,所述步骤2之后,还包括:流速控制模块判断各冗余执行体缓存数据是否满足裁决条件,若各个冗余执行体的输出缓存数据均存在未表决数据,且满足流式拟态裁决的条件,则转步骤3;否则,返回步骤1继续等待动态异构冗余执行体池输出的数据。
进一步地,所述步骤6之后,还包括:
步骤7,数据动态存取模块将已经完成裁决的数据段释放,完成一次流式拟态裁决之后将剩余数据重新对齐;
步骤8,判断当前用户输入对应的输出数据是否全部完成裁决,如若未完成,则继续流式拟态裁决的循环处理,反之则结束一次输入输出的流式拟态裁决过程。
与现有技术相比,本发明具有以下优点:
针对拟态裁决器处理执行体输出流数据时裁决效率较低的问题,本发明提出一种流式拟态裁决装置及方法,首先,数据动态存取模块给冗余执行体输出的数据提供流式拟态裁决输出的数据结构,保证了流式拟态裁决单元可以在接收执行体流式输出的数据段的同时可进行数据的裁决输出,从而提高了拟态裁决效率;其次,流特征统计分析和流速控制的方法给数据段的流式输出提供了可控的裁决速率;最后,根据流速控制方法截取的待裁决数据的长度选取合理的裁决算法使得裁决的准确度得到保证;综上,本发明通过动态数据存取和流式拟态裁决输出,可保证冗余执行体输出流数据的正确裁决输出,提高拟态系统的服务性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一的流式拟态裁决装置的结构示意图,图中11表示用户代理单元,12表示流式拟态裁决单元,121表示数据动态存取模块,122表示流特征统计分析模块,123表示流速控制模块,124表示裁决算法选取模块,125表示裁决模块,13表示动态异构冗余执行体池,14表示控制单元;
图2是本发明实施例一的流式拟态裁决方法的流程示意图;
图3是本发明实施例二的流式拟态裁决装置的结构示意图,图中31表示用户输入输出代理,32表示流式拟态裁决器,321表示分块传输解码模块,322表示数据动态存取模块,323表示流特征统计分析模块,324表示流速控制模块,325表示裁决算法选取模块,326表示裁决模块,327表示分块传输编码模块,33表示动态异构冗余执行体池,34表示反馈控制器;
图4是本发明实施例二的流式拟态裁决方法的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,本实施例的流式拟态裁决装置包括用户代理单元11、流式拟态裁决单元12、动态异构冗余执行体池13和控制单元14。
所述用户代理单元11,用于接收用户输入数据,并且将用户输入数据复制分发至动态异构冗余执行体池;还用于维护用户与动态异构冗余执行体池的业务状态,接收来自动态异构冗余执行体池的输出数据,并且将经过流式拟态裁决单元裁决处理后的相对正确的冗余执行体输出数据发送给用户。
所述动态异构冗余执行体池13,包括多个功能等价、结构异构且根据系统运行状态进行动态调度的冗余执行体,所述冗余执行体用于处理用户代理单元发送来的用户输入数据,并且将响应输出数据返回至流式拟态裁决单元。
所述控制单元14,用于根据流式拟态裁决单元的裁决结果,向用户代理单元和动态异构冗余执行体池下发动态调度信息,将裁决结果异常的冗余执行体重置或替换,并通告用户代理单元更新数据分发的冗余执行体信息。
所述流式拟态裁决单元12,用于对动态异构冗余执行体池中的多个冗余执行体(至少为3个)的分段陆续输出的数据进行动态截取与裁决,选出相对正确的冗余执行体的输出数据响应用户;还用于统计分析动态异构冗余执行体池所输出的数据流特征,根据数据流特征控制流式拟态裁决中的裁决窗口,控制拟态系统数据输出的速率。
进一步地,所述流式拟态裁决单元12包括数据动态存取模块121、流特征统计分析模块122、流速控制模块123、裁决算法选取模块124和裁决模块125。
所述数据动态存取模块121,用于缓存动态异构冗余执行体池中的多个冗余执行体的输出数据,并且根据流式拟态裁决输出的长度,动态释放已完成裁决的数据长度。
所述流特征统计分析模块122,用于统计冗余执行体输出的数据流特征,包括但不限于数据段长度和数据段输出间隔时间,分析统计结果得出流特征以指导流速控制,即裁决速率控制。
所述流速控制模块123,用于根据各个冗余执行体输出数据的缓存量和流特征历史经验,计算待裁决的数据长度,并截取待裁决数据输出至裁决模块。
所述裁决算法选取模块124,用于根据待裁决的数据长度,选取合适的裁决算法,包括但不限于较长的裁决长度选择语义分析裁决算法,而较短的裁决长度选取相似度比较算法,并且将选定的裁决算法通告裁决模块。
所述裁决模块125,用于根据裁决算法裁决待裁决的数据,选取相对正确的冗余执行体的输出数据发送至用户代理单元,同时若存在裁决异常的冗余执行体则通告控制单元。
基于上述的流式拟态裁决装置,本实施例还提供一种流式拟态裁决方法,如图2所示,包含以下步骤:
步骤S21,流式拟态裁决单元接收动态异构冗余执行体池的响应输出数据。
步骤S22,数据动态存取模块识别冗余执行体、按冗余执行体编号将响应数据存入数据队列,同时流特征统计分析模块记录数据流特征。
步骤S23,流速控制模块判断各冗余执行体缓存数据是否满足裁决条件,若各个冗余执行体的输出缓存数据均存在未表决数据,且满足流式拟态裁决的条件,则进行步骤S24的处理;否则,返回步骤S21继续等待动态异构冗余执行体池输出的数据。
步骤S24,流速控制模块根据冗余执行体缓存数据和流特征统计分析模块对历史数据流特征的分析结论,选择当前最优的流速控制策略,计算裁决的数据长度并截取数据发往裁决模块。
步骤S25,裁决算法选取模块根据此次裁决的数据长度,选取合适的裁决算法,包括但不限于较长的裁决长度选择语义分析裁决算法,而较短的裁决长度选取相似度比较算法。
步骤S26,裁决模块根据选定的裁决算法,对流速控制模块从冗余执行体输出数据缓存中截取的数据进行裁决,得出相对正确的待输出冗余执行体的数据段,同时将裁决结果报告控制单元。
步骤S27,用户代理单元将裁决输出的数据发送回用户。
步骤S28,数据动态存取模块将已经完成裁决的数据段释放,完成一次流式拟态裁决之后将剩余数据重新对齐。
步骤S29,判断当前用户输入对应的输出数据是否全部完成裁决,如若未完成,则继续流式拟态裁决的循环处理,反之则结束一次输入输出的流式拟态裁决过程。
实施例二
Web服务场景下流式拟态裁决装置如图3所示,包括用户输入输出代理31、流式拟态裁决器32、动态异构冗余执行体池33和反馈控制器34。
所述用户输入输出代理31,用于接收用户客户端发送过来的请求数据,并且将用户请求复制分发至动态异构冗余执行体池中的各执行体;还用于维护用户与动态异构冗余执行体池的会话状态,比如保持TCP长连接和会话cookie信息,接收来自动态异构冗余执行体池的响应数据,并且将经过流式拟态裁决器处理后的相对正确的执行体输出响应发送给用户客户端。
所述动态异构冗余执行体池33,包括多个功能等价、结构异构且根据系统运行状态进行动态调度的冗余Web服务执行体,该冗余Web服务执行体用于处理用户输入输出代理发送的用户请求,并且将响应数据返回至流式拟态裁决器。
所述反馈控制器34,用于根据流式拟态裁决器的裁决结果,向用户输入输出代理和动态异构冗余执行体池下发动态调度信息,将裁决结果异常的执行体重置或替换,并通告用户输入输出代理更新数据分发的执行体信息。
所述流式拟态裁决器32,用于对动态异构冗余执行体池中的多个冗余Web服务执行体(至少为3个)的输出响应数据进行动态截取与裁决,选出相对正确的执行体的响应输出给用户客户端;还用于统计分析动态异构冗余执行体池所输出的分块传输的数据包的流特征,根据数据流特征控制流式拟态裁决中的裁决窗口,控制拟态系统数据输出的速率。
所述流式拟态裁决器32包括分块传输解码模块321、数据动态存取模块322、流特征统计分析模块323、流速控制模块324、裁决算法选取模块325、裁决模块326和分块传输编码模块327。
所述分块传输解码模块321,用于将冗余Web服务执行体输出的分块传输的数据包中代表分块大小的{hex}\r\n、代表分块传输结束的0\r\n\r\n等编码格式符标记解析并去除,留下响应数据中的消息实体并递送给数据动态存取模块。
所述数据动态存取模块322,用于缓存动态异构冗余执行体池中的多个执行体的输出数据,并且根据流式拟态裁决输出的分块输出响应数据包的长度,动态释放已完成裁决的响应数据长度。
所述流特征统计分析模块323,用于统计冗余Web服务执行体输出的分块传输数据包的流特征,包括但不限于数据段长度和数据段输出间隔时间,分析统计结果得出流特征以指导流速控制,即裁决速率控制。
所述流速控制模块324,用于根据各个执行体输出数据的缓存量和流特征历史经验,计算待裁决的数据长度,并截取待裁决数据输出至裁决模块。
所述裁决算法选取模块325,用于根据待裁决的数据长度,选取合适的裁决算法,包括但不限于较长的裁决长度选择语义分析裁决算法,而较短的裁决长度选取相似度比较算法,并且将选定的裁决算法通告裁决模块。
所述裁决模块326,用于根据裁决算法裁决待裁决的数据,选出相对正确的执行体的输出数据发送至用户输入输出代理,同时若存在裁决异常的执行体则通告反馈控制器。
所述分块传输编码模块327,用于对裁决输出的数据进行分块传输编码处理,使得用户输入输出代理输出给用户客户端的数据时严格的分块编码格式。
基于上述的流式拟态裁决装置,本实施例还提供一种流式拟态裁决方法,如图4所示,包含以下步骤:
步骤S41,流式拟态裁决器接收动态异构冗余执行体池输出的HTTP响应数据。
步骤S42,分块传输解码模块解析并剔除HTTP响应数据包中的分块编码,如{hex}\r\n,0\r\n\r\n。
步骤S43,数据动态存取模块识别执行体URL、按执行体编号将响应数据存入数据队列,同时流特征统计分析模块记录数据流特征。
步骤S44,流速控制模块判断各执行体缓存数据是否满足裁决条件,若各个执行体的输出缓存数据均存在未表决数据,且满足流式拟态裁决的条件,则进行步骤S45的处理;否则,返回步骤S41继续等待动态异构冗余执行体池输出的响应数据。
步骤S45,流速控制模块根据执行体缓存的响应数据和流特征统计分析模块对分块传输的历史数据流特征的分析结论,选择当前最优的流速控制策略,计算裁决的数据长度并截取数据发送裁决模块。
步骤S46,裁决算法选取模块根据此次裁决的数据长度,选取合适的裁决算法,包括但不限于较长的裁决长度选择语义分析裁决算法,而较短的裁决长度选取相似度比较算法。
步骤S47,裁决模块根据选定的裁决算法,对流速控制模块从执行体输出数据缓存中截取的数据进行裁决,得出相对正确的待输出执行体的数据段,同时将裁决结果报告反馈控制器。
步骤S48,分块传输编码模块对通过裁决输出的数据添加分块传输编码,如添加{hex}\r\n,0\r\n\r\n。
步骤S49,用户输入输出代理将裁决输出的数据发送回用户客户端。
步骤S50,数据动态存取模块将已经完成裁决的数据段释放,完成一次流式拟态裁决之后将剩余数据重新对齐。
步骤S51,判断当前用户输入对应的输出数据是否全部完成裁决,若未完成,则继续流式拟态裁决的循环处理,反之则结束一次输入输出的流式拟态裁决过程。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种流式拟态裁决装置,其特征在于,包括用户代理单元、流式拟态裁决单元、动态异构冗余执行体池和控制单元;
所述用户代理单元,用于接收用户输入数据,并且将用户输入数据复制分发至动态异构冗余执行体池;还用于接收来自动态异构冗余执行体池的输出数据,并且将经过流式拟态裁决单元裁决处理后的相对正确的冗余执行体输出数据发送给用户;
所述动态异构冗余执行体池,包括多个冗余执行体,所述冗余执行体用于处理用户代理单元发送来的用户输入数据,并且将响应输出数据返回至流式拟态裁决单元;
所述控制单元,用于根据流式拟态裁决单元的裁决结果,向用户代理单元和动态异构冗余执行体池下发动态调度信息;
所述流式拟态裁决单元,用于对动态异构冗余执行体池中的多个冗余执行体的分段陆续输出的数据进行动态截取与裁决,选出相对正确的冗余执行体的输出数据响应用户;还用于统计分析动态异构冗余执行体池所输出的数据流特征,根据数据流特征控制流式拟态裁决中的裁决窗口,控制拟态系统数据输出的速率。
2.根据权利要求1所述的流式拟态裁决装置,其特征在于,所述控制单元下发的动态调度信息包括将裁决结果异常的冗余执行体重置或替换,并通告用户代理单元更新数据分发的冗余执行体信息。
3.根据权利要求1所述的流式拟态裁决装置,其特征在于,所述流式拟态裁决单元包括数据动态存取模块,所述数据动态存取模块用于缓存动态异构冗余执行体池中的多个冗余执行体的输出数据,并且根据流式拟态裁决输出的长度,动态释放已完成裁决的数据长度。
4.根据权利要求3所述的流式拟态裁决装置,其特征在于,所述流式拟态裁决单元还包括流特征统计分析模块和流速控制模块;所述流特征统计分析模块用于统计冗余执行体输出的数据流特征,分析统计结果得出流特征以指导流速控制,即裁决速率控制;所述流速控制模块用于根据各个冗余执行体输出数据的缓存量和流特征历史经验,计算待裁决的数据长度,并截取待裁决数据输出至裁决模块。
5.根据权利要求4所述的流式拟态裁决装置,其特征在于,所述流特征包括数据段长度和数据段输出间隔时间。
6.根据权利要求4所述的流式拟态裁决装置,其特征在于,所述流式拟态裁决单元还包括裁决算法选取模块和裁决模块;所述裁决算法选取模块用于根据待裁决的数据长度,选取合适的裁决算法,并且将选定的裁决算法通告裁决模块;所述裁决模块用于根据裁决算法裁决待裁决的数据,选取相对正确的冗余执行体的输出数据发送至用户代理单元,同时若存在裁决异常的冗余执行体则通告控制单元。
7.根据权利要求6所述的流式拟态裁决装置,其特征在于,所述选取合适的裁决算法包括:较长的裁决长度选择语义分析裁决算法,较短的裁决长度选取相似度比较算法。
8.一种流式拟态裁决方法,其特征在于,包含以下步骤:
步骤1,流式拟态裁决单元接收动态异构冗余执行体池的响应输出数据;
步骤2,数据动态存取模块识别冗余执行体、按冗余执行体编号将响应数据存入数据队列,同时流特征统计分析模块记录数据流特征;
步骤3,流速控制模块根据冗余执行体缓存数据和流特征统计分析模块对历史数据流特征的分析结论,选择当前最优的流速控制策略,计算裁决的数据长度并截取数据发往裁决模块;
步骤4,裁决算法选取模块根据此次裁决的数据长度,选取合适的裁决算法;
步骤5,裁决模块根据选定的裁决算法,对流速控制模块从冗余执行体输出数据缓存中截取的数据进行裁决,得出相对正确的待输出冗余执行体的数据段,同时将裁决结果报告控制单元;
步骤6,用户代理单元将裁决输出的数据发送回用户。
9.根据权利要求8所述的流式拟态裁决方法,其特征在于,所述步骤2之后,还包括:流速控制模块判断各冗余执行体缓存数据是否满足裁决条件,若各个冗余执行体的输出缓存数据均存在未表决数据,且满足流式拟态裁决的条件,则转步骤3;否则,返回步骤1继续等待动态异构冗余执行体池输出的数据。
10.根据权利要求9所述的流式拟态裁决方法,其特征在于,所述步骤6之后,还包括:
步骤7,数据动态存取模块将已经完成裁决的数据段释放,完成一次流式拟态裁决之后将剩余数据重新对齐;
步骤8,判断当前用户输入对应的输出数据是否全部完成裁决,如若未完成,则继续流式拟态裁决的循环处理,反之则结束一次输入输出的流式拟态裁决过程。
CN202210356059.9A 2022-04-06 2022-04-06 流式拟态裁决装置及方法 Active CN114915450B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210356059.9A CN114915450B (zh) 2022-04-06 2022-04-06 流式拟态裁决装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210356059.9A CN114915450B (zh) 2022-04-06 2022-04-06 流式拟态裁决装置及方法

Publications (2)

Publication Number Publication Date
CN114915450A true CN114915450A (zh) 2022-08-16
CN114915450B CN114915450B (zh) 2023-06-02

Family

ID=82762856

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210356059.9A Active CN114915450B (zh) 2022-04-06 2022-04-06 流式拟态裁决装置及方法

Country Status (1)

Country Link
CN (1) CN114915450B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116471117A (zh) * 2023-05-15 2023-07-21 嵩山实验室 一种拟态改造消息件、消息中间件的信息处理方法及系统
CN116471116A (zh) * 2023-05-15 2023-07-21 嵩山实验室 一种内生安全云平台及构建方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110740067A (zh) * 2019-11-06 2020-01-31 鹏城实验室 主动防御网络安全性分析方法、存储介质及应用服务器
US20200139950A1 (en) * 2018-10-30 2020-05-07 Azevtec, Inc. System and method for controlling braking functions in an autonomous vehicle
CN113285917A (zh) * 2021-04-07 2021-08-20 中国人民解放军战略支援部队信息工程大学 工业网络内生安全边界防护方法、设备及架构
CN113315755A (zh) * 2021-04-27 2021-08-27 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 一种基于策略的拟态裁决系统及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200139950A1 (en) * 2018-10-30 2020-05-07 Azevtec, Inc. System and method for controlling braking functions in an autonomous vehicle
CN110740067A (zh) * 2019-11-06 2020-01-31 鹏城实验室 主动防御网络安全性分析方法、存储介质及应用服务器
CN113285917A (zh) * 2021-04-07 2021-08-20 中国人民解放军战略支援部队信息工程大学 工业网络内生安全边界防护方法、设备及架构
CN113315755A (zh) * 2021-04-27 2021-08-27 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 一种基于策略的拟态裁决系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吴承荣;严明;金蒿林;刘巍;张世永;曾剑平;: "一种基于托架的自蜕变主动防御网络框架", 信息安全学报, no. 04 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116471117A (zh) * 2023-05-15 2023-07-21 嵩山实验室 一种拟态改造消息件、消息中间件的信息处理方法及系统
CN116471116A (zh) * 2023-05-15 2023-07-21 嵩山实验室 一种内生安全云平台及构建方法

Also Published As

Publication number Publication date
CN114915450B (zh) 2023-06-02

Similar Documents

Publication Publication Date Title
CN114915450A (zh) 流式拟态裁决装置及方法
CN112866136B (zh) 业务数据处理方法和装置
CN110300188B (zh) 数据传输系统、方法和设备
CN103986766A (zh) 自适应负载均衡作业任务调度方法及装置
CN112367276B (zh) 基于网络流量优先级的网络资源动态自适应方法及系统
Nicol et al. Problem oriented protocol design
CN110944016B (zh) DDoS攻击检测方法、装置、网络设备及存储介质
CN105761039A (zh) 快递信息大数据处理方法
Buche et al. Control of mobile communications with time-varying channels in heavy traffic
Brown et al. Interference between I/O and MPI traffic on fat-tree networks
JPH05216842A (ja) 資源管理装置
KR19980079669A (ko) 멀티프로세서 시스템에서 인터럽트를 융통성있게 제어하기 위한 장치
CN113391911B (zh) 一种大数据资源动态调度方法、装置和设备
JP2009159024A (ja) 通信システム、通信規制方法、信号処理サーバ装置、およびプログラム
CN112347519B (zh) 一种拟态OpenStack组件和拟态OpenStack云平台
CN116633875B (zh) 一种多业务耦合并发通信的时间保序调度方法
US20180349180A1 (en) Method and apparatus for scheduling arbitration among a plurality of service requestors
CN116382892B (zh) 一种基于多云融合以及云服务的负载均衡方法及装置
CN111294318B (zh) 一种网络攻击的ip地址分析方法、装置和存储介质
JP5585195B2 (ja) トランザクション処理装置、トランザクション処理方法およびトランザクション処理プログラム
CN113810307A (zh) 一种数据流量控制方法、系统及存储介质
CN116095013A (zh) 一种服务请求限流方法、装置及存储介质
CN113469661A (zh) 一种业务限流方法、装置、计算机设备及存储介质
CN115080381A (zh) 拟态逃逸快速识别模块、方法及拟态请求响应模型架构
CN112995241B (zh) 服务调度方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant