CN117056914A - 基于异构操作系统的内生安全处理方法及系统 - Google Patents

基于异构操作系统的内生安全处理方法及系统 Download PDF

Info

Publication number
CN117056914A
CN117056914A CN202311308290.1A CN202311308290A CN117056914A CN 117056914 A CN117056914 A CN 117056914A CN 202311308290 A CN202311308290 A CN 202311308290A CN 117056914 A CN117056914 A CN 117056914A
Authority
CN
China
Prior art keywords
result
abnormal
logic
service logic
data center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311308290.1A
Other languages
English (en)
Other versions
CN117056914B (zh
Inventor
朱珂
常超
张明伟
闻亮
肖峰
高庆
陈培岩
薛鹏飞
周宇峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jingxin Microelectronics Technology Tianjin Co Ltd
Original Assignee
Jingxin Microelectronics Technology Tianjin Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jingxin Microelectronics Technology Tianjin Co Ltd filed Critical Jingxin Microelectronics Technology Tianjin Co Ltd
Priority to CN202311308290.1A priority Critical patent/CN117056914B/zh
Publication of CN117056914A publication Critical patent/CN117056914A/zh
Application granted granted Critical
Publication of CN117056914B publication Critical patent/CN117056914B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Abstract

本发明属于数字信息的传输技术领域,尤其涉及基于异构操作系统的内生安全处理方法及系统,所述方法包括数据输入、裁决判定、清洗恢复,本发明解决现有技术存在由于只能依赖于外部防御手段,从而导致对于网络攻击手段和不断变异更新的病毒往往不能做到及时防御的问题,具有实现了防御系统级网络攻击的目的,提升了整机的内生安全性能的技术效果。

Description

基于异构操作系统的内生安全处理方法及系统
技术领域
本发明属于数字信息的传输技术领域,尤其涉及基于异构操作系统的内生安全处理方法及系统。
背景技术
随着5G时代到来,无人驾驶、智慧城市、智能工厂将进一步发展,人人互联、机机互联,乃至万物互联成为可能,随着物联网的蓬勃发展,网络风险和威胁也与日俱增,漏洞和病毒造成的后果也更加严重,这对网络安全防御提出了更高的要求;传统的整机系统,如图5所示,其系统内部缺乏有效的防御和恢复手段,只能依赖于外部防御手段(如杀毒软件、防火墙等),这些外部防御手段存在着滞后性的弊端,对于层出不穷的网络攻击手段和不断变异更新的病毒往往不能做到及时防御;内生安全作为一种新的网络安全防御机制,因其能够利用系统自身的架构、机制、场景、规律等内在因素获得较高的安全功能而备受关注。
内生安全的具体实现是将单一的个体功能由多个异构的多冗余个体分别实现,并由控制中心(本专利中由FPGA模块实现)承担调度、裁决、控制等功能,其异构机制能够在多个层次实现,包括但不限于采用多个芯片级异构硬件平台、多个异构系统软件、多个异构应用软件等等。其设计原理能够将针对个体的攻击转变为整机内攻击效果不确定的事件,并将此类事件归一化视为具有概率属性的不确定扰动问题,并通过裁决等手段实现在不依赖对攻击行为先验知识或行为特征信息情况下提供高置信度的敌我识别功能,将针对个体的攻击归一化为广义鲁棒控制问题并实现一体化的处理。
现有技术存在由于只能依赖于外部防御手段,从而导致对于网络攻击手段和不断变异更新的病毒往往不能做到及时防御的问题。
发明内容
本发明提供基于异构操作系统的内生安全处理方法及系统,以解决上述背景技术中存在的现有技术存在由于只能依赖于外部防御手段,从而导致对于网络攻击手段和不断变异更新的病毒往往不能做到及时防御的问题;
本发明所解决的技术问题采用以下技术方案来实现:基于异构操作系统的内生安全处理方法,包括:
数据输入:基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端;
裁决判定:系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果;
清洗恢复:基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态。
进一步,所述裁决判定还包括概率策略裁决,所述概率策略裁决包括统计确定结果和裁决判定异常;
所述统计确定结果包括通过有效概率比较或概率再次比较或异常排除处理,确定正确逻辑结果;
所述裁决判定异常包括基于正确逻辑结果,通过裁决比较处理,确定异常系统终端。
进一步,所述统计确定结果包括:
统计各系统终端返回的业务逻辑结果,通过有效概率函数,确定占比最高概率的业务逻辑结果,若占比最高概率唯一,则将占比最高概率的业务逻辑结果确定为正确逻辑结果;
所述有效概率函数为:
所述ni为结果Ri出现的次数;
所述N为所有系统终端数量;
所述R为正确逻辑结果;
所述Rx为占比最高概率的业务逻辑结果;
所述Ri为每一个系统终端返回的结果。
进一步,所述统计确定结果还包括:
若占比最高概率不唯一,则将占比最高概率的相同的业务逻辑结果相应的系统终端分为若干逻辑存疑组,数据中心再次将系统测试样本分发至逻辑存疑组中的各系统终端,通过再次业务逻辑处理,将再次业务逻辑结果返回至数据中心,数据中心通过再次比较裁决,确定异常系统终端。
进一步,所述再次比较裁决包括:基于逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果,通过再次比较函数;
若逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果相等,则将所在逻辑存疑组再次返回的业务逻辑结果确定为正确逻辑结果;
若逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果不相等,则判定所在逻辑存疑组再次返回的业务逻辑结果无效;
所述再次比较函数为:
所述RORGi为首次返回的业务逻辑结果;
所述RERRi为再次返回的业务逻辑结果;
所述ERRN为逻辑存疑组的系统终端数量。
进一步,所述统计确定结果还包括:
若再次返回的业务逻辑结果无效,则执行异常排除处理;
所述异常排除处理包括:排除占比最高概率的相同的业务逻辑结果相应的系统终端,并基于其余的系统终端不通过裁决判定异常,而直接进入清洗恢复,在清洗恢复执行后,重新执行基于异构操作系统的内生安全处理方法。
进一步,所述裁决判定异常包括:
基于正确逻辑结果,通过裁决比较函数,确定异常系统终端编号;
所述裁决比较函数为:
所述Ri为业务逻辑结果;
所述ERR为异常系统终端编号。
进一步,所述清洗恢复包括系统还原处理,所述系统还原处理包括:
基于异常系统终端编号,数据中心设置相应的异常系统终端的GPIO状态,系统终端读取并判断GPIO状态是否发生相应的变化,若GPIO状态发生改变,则系统终端自身中断当前应用的操作系统,同时自身启动另一操作系统,数据中心间接控制另一操作系统下的相应的系统终端,并将异常系统终端从受攻击的状态清洗到健康状态。
进一步,所述将异常系统终端从受攻击的状态清洗到健康状态包括:
基于异常系统终端,将其从当前操作系统切换至另一操作系统,并引导其进入初始健康状态。
同时,本发明提供基于异构操作系统的内生安全处理系统,其特征在于,包括:
所述内生安全处理系统可以执行上述任一项所述的内生安全处理方法,所述内生安全处理系统包括数据输入模块、裁决判定模块、清洗恢复模块;
数据输入模块:用于基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端;
裁决判定模块:用于系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果;
清洗恢复模块:用于基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态。
有益技术效果:
本方案采用数据输入、裁决判定、清洗恢复,其中,数据输入采用基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端,其中,裁决判定采用系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果,其中,基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态,由于传统的整机,如图5所示,处理业务的时候,业务数据通过端口进入整机,经交换芯片转发到数据处理系统(如图中虚线所示)做进一步处理,数据处理系统由一个子卡组成,每个子卡包括CPU、单个操作系统和数据处理软件,数据处理系统将处理后的结果经交换芯片下发,最后由端口发出;在传统的整机系统中,数据处理系统包含一个单操作系统的子卡,如果子卡受到攻击A导致自身功能异常,那么就会引起整机异常甚至瘫痪;本发明描述的内生安全整机系统示意图,如图5所示,其中,数据处理系统由FPGA模块和N个(N为奇数)不同芯片架构的子卡组成,每个子卡运行两种以上的不同的操作系统(本专利以两个不同版本的Linux操作系统为例);每个子卡通过系统总线与FPGA相连;在业务处理流程中,外部数据通过端口上送至交换芯片,经处理后上送至FPGA,由FPGA将数据复制成N份一样的数据经sys bus分发至各个子卡,各个子卡收到数据后将处理结果经sys bus发送给FPGA。本方案中,每个子卡虽然架构不同,运行的操作系统不同,但是都实同样的业务逻辑,当接收同样的输入数据时,也会返回同样的处理结果;FPGA接收到N份处理结果后经过一定的策略裁决后确定最终的有效结果,将有效结果下送至交换芯片并通过端口发出;FPGA的裁决策略是对子卡返回的处理结果做投票,票数超过半数的结果作为最终的有效结果,本发明主要应用在多个异构系统这一层级,在该层级中,每个芯片平台上(以下称之为子卡)同时支持至少两种异构操作系统,本发明描述的是一种内生安全设备的工作过程,本发明通过增加FPGA和多个异构子卡,实现对远程攻击的免疫,提升了整机的安全性;FPGA和子卡的清洗功能,使子卡能够从受攻击状态清洗到健康状态;子卡多系统的引入使子卡能够动态切换系统运行环境,从而达到防御系统级网络攻击的目的,提升了整机的内生安全性能。
附图说明
图1是本发明内生安全处理方法的总流程图;
图2是本发明内生安全处理方法的具体流程图;
图3是本发明内生安全处理方法的工作流程图;
图4是本发明内生安全处理方法的清洗恢复的业务流程图;
图5是本发明所涉及的传统整机系统示意图;
图6是本发明基于异构操作系统的内生安全处理系统的内生安全整机系统示意图。
具体实施方式
以下结合附图对本发明做进一步描述:
图中:
S101-数据输入;
S102-裁决判定;
S103-清洗恢复;
S2001-基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端;
S2002-系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果;
S2003-基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态;
实施例
本实施例:
如图1、2所示,基于异构操作系统的内生安全处理方法,包括:
数据输入:基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端;
裁决判定:系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果;
清洗恢复:基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态。
采用数据输入、裁决判定、清洗恢复,其中,数据输入采用基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端,其中,裁决判定采用系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果,其中,基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态,由于传统的整机,如图5所示,处理业务的时候,业务数据通过端口进入整机,经交换芯片转发到数据处理系统(如图中虚线所示)做进一步处理,数据处理系统由一个子卡组成,每个子卡包括CPU、单个操作系统和数据处理软件,数据处理系统将处理后的结果经交换芯片下发,最后由端口发出;在传统的整机系统中,数据处理系统包含一个单操作系统的子卡,如果子卡受到攻击A导致自身功能异常,那么就会引起整机异常甚至瘫痪;本发明描述的内生安全整机系统示意图,如图5所示,其中,数据处理系统由FPGA模块和N个(N为奇数)不同芯片架构的子卡组成,每个子卡运行两种以上的不同的操作系统(本专利以两个不同版本的Linux操作系统为例);每个子卡通过系统总线与FPGA相连;在业务处理流程中,外部数据通过端口上送至交换芯片,经处理后上送至FPGA,由FPGA将数据复制成N份一样的数据经sys bus分发至各个子卡,各个子卡收到数据后将处理结果经sys bus发送给FPGA。本方案中,每个子卡虽然架构不同,运行的操作系统不同,但是都实同样的业务逻辑,当接收同样的输入数据时,也会返回同样的处理结果;FPGA接收到N份处理结果后经过一定的策略裁决后确定最终的有效结果,将有效结果下送至交换芯片并通过端口发出;FPGA的裁决策略是对子卡返回的处理结果做投票,票数超过半数的结果作为最终的有效结果,本发明主要应用在多个异构系统这一层级,在该层级中,每个芯片平台上(以下称之为子卡)同时支持至少两种异构操作系统,本发明描述的是一种内生安全设备的工作过程,本发明通过增加FPGA和多个异构子卡,实现对远程攻击的免疫,提升了整机的安全性;FPGA和子卡的清洗功能,使子卡能够从受攻击状态清洗到健康状态;子卡多系统的引入使子卡能够动态切换系统运行环境,从而达到防御系统级网络攻击的目的,提升了整机的内生安全性能。
如图1、2、3所示,所述裁决判定还包括概率策略裁决,所述概率策略裁决包括统计确定结果和裁决判定异常;
所述统计确定结果包括通过有效概率比较或概率再次比较或异常排除处理,确定正确逻辑结果;
所述裁决判定异常包括基于正确逻辑结果,通过裁决比较处理,确定异常系统终端。
由于采用所述裁决判定还包括概率策略裁决,所述概率策略裁决包括统计确定结果和裁决判定异常;所述统计确定结果包括通过有效概率比较或概率再次比较或异常排除处理,确定正确逻辑结果;所述裁决判定异常包括基于正确逻辑结果,通过裁决比较处理,确定异常系统终端,由于本方案采用一种创新性的概率策略裁决,由于数据中心接受外部的数据,为了便于其最大效率提升自身的性能,其自身并没运算的功能,其主要的功能和特点是转发的功能,其接收来自外部的数据格式,并复制后转发至各子卡,子卡按照自身的逻辑功能运算后返回逻辑结果,数据中心接受各终端返回的逻辑结果,由于其自身并不运算,所以若获取正确的运算的结果,采取投票的方法确定正确结果,投票高概率的结果被认为是正确结果,然后再对把每个终端对比正确结果,当结果非正确时,确定其是受攻击的终端,由于采用上述方法数据中心减少了运算负担,提高了系统的工作效率。
所述统计确定结果包括:
统计各系统终端返回的业务逻辑结果,通过有效概率函数,确定占比最高概率的业务逻辑结果,若占比最高概率唯一,则将占比最高概率的业务逻辑结果确定为正确逻辑结果;
所述有效概率函数为:
所述ni为结果Ri出现的次数;
所述N为所有系统终端数量;
所述R为正确逻辑结果;
所述Rx为占比最高概率的业务逻辑结果;
所述Ri为每一个系统终端返回的结果。
由于采用统计确定结果包括:统计各系统终端返回的业务逻辑结果,通过有效概率函数,确定占比最高概率的业务逻辑结果,若占比最高概率唯一,则将占比最高概率的业务逻辑结果确定为正确逻辑结果,以及所述有效概率函数,由于FPGA的裁决策略是对各个子卡返回的结果做统计,取占比例最高的结果作为最终的有效结果R。R的计算公式如下:
其中,n表示结果Ri出现的次数,N为子卡数量。
另外,FPGA本身有超时机制,当数据下发到各个子卡后,超时功能启动计时,受到攻击A的子卡如果超时不返回结果,那么就依据其它子卡的数据进行裁决;另外,对于超时不返回结果的子卡,FPGA同样认为其受到攻击进而启动对该子卡的清洗流程。
所述统计确定结果还包括:
若占比最高概率不唯一,则将占比最高概率的相同的业务逻辑结果相应的系统终端分为若干逻辑存疑组,数据中心再次将系统测试样本分发至逻辑存疑组中的各系统终端,通过再次业务逻辑处理,将再次业务逻辑结果返回至数据中心,数据中心通过再次比较裁决,确定异常系统终端。
由于采用所述统计确定结果还包括:若占比最高概率不唯一,则将占比最高概率的相同的业务逻辑结果相应的系统终端分为若干逻辑存疑组,数据中心再次将系统测试样本分发至逻辑存疑组中的各系统终端,通过再次业务逻辑处理,将再次业务逻辑结果返回至数据中心,数据中心通过再次比较裁决,确定异常系统终端,由于通过上述第一种统计确定结果的方法,在统计概率时,还存在有可能概率重复的问题,如当有5个子卡运行时,其中#1、#2两个子卡返回相同的结果,而#3、#4也返回与#1、#2不同的两个结果,这是#1、#2两个子卡的占比和#3、#4两个子卡的占比相同,这样就无法确定哪个是正确的结果,本方案在此基础上又设计了一个方案,即再次向#1、#2、#3、#4分别发送与首次发送同样的数据,此时,#1、#2、#3、#4分别返回同样的结果,这时,系统再次进行比较,对于每个终端,若第一次返回和第二次返回相同,则认为其是正确结果,否则认为其返回结果无效,也就是返回结果无效的相应的终端是非正常终端,需要清洗,采用上述方法,有效解决了通过投票过程中概率持平时,无法确定正确结果的问题。
所述再次比较裁决包括:基于逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果,通过再次比较函数;
若逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果相等,则将所在逻辑存疑组再次返回的业务逻辑结果确定为正确逻辑结果;
若逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果不相等,则判定所在逻辑存疑组再次返回的业务逻辑结果无效;
所述再次比较函数为:
所述RORGi为首次返回的业务逻辑结果;
所述RERRi为再次返回的业务逻辑结果;
所述ERRN为逻辑存疑组的系统终端数量。
由于采用所述再次比较裁决包括:基于逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果,通过再次比较函数;若逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果相等,则将所在逻辑存疑组再次返回的业务逻辑结果确定为正确逻辑结果;若逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果不相等,则判定所在逻辑存疑组再次返回的业务逻辑结果无效;以及再次比较函数,由于本方案首先,将投票过程中概率持平的终端,分别分成存疑组,并分别统计其每组的业务逻辑结果,当前后两次逻辑结果相同,则通过再次比较函数:
上述再次比较函数,通过二次仲裁,以确定正确的结果。
所述统计确定结果还包括:
若再次返回的业务逻辑结果无效,则执行异常排除处理;
所述异常排除处理包括:排除占比最高概率的相同的业务逻辑结果相应的系统终端,并基于其余的系统终端不通过裁决判定异常,而直接进入清洗恢复,在清洗恢复执行后,重新执行基于异构操作系统的内生安全处理方法。
由于采用所述统计确定结果还包括:若再次返回的业务逻辑结果无效,则执行异常排除处理;所述异常排除处理包括:排除占比最高概率的相同的业务逻辑结果相应的系统终端,并基于其余的系统终端不通过裁决判定异常,而直接进入清洗恢复,在清洗恢复执行后,重新执行基于异构操作系统的内生安全处理方法,由于相对于前两种纠错方法,本方案是第三种比较纠错方法,其原理是:当前两种都无法纠错时,即没法确定哪个结果是正确的,此时本案采用因为子卡总是奇数个,比如5个子卡,如果正确结果R有2个,错误结果R1有2个,错误结果R2有1个,那么fpga能识别R2是错误的;清洗R2对应的子卡(假设是子卡5),那么下次子卡5就会返回正确的结果R,那么R就占了多数,fpga就能正常裁决了,进而也能识别出R1对应的2个子卡是受攻击的,再启动清洗,其本质原理是:通过不纠错当事冲突终端,而对已确定出错的第三方进行纠错,当第三方纠错完成后,其返回的正确结果就会影响冲突组,这样就改变了冲突组中正确组的占比,从而实现纠错;
同时,本申请人想强调的是,本案的纠错机制,是递进实现的,首先,先通过第一纠错机制(原始统计确定结果的方法),确定正确值,如果不能统计出正确值,需要采用第二纠错机制(两次数据的比较方法)确定正确值,如果还不能统计出正确值,则采用第三纠错机制(第三方纠错方法)确定正确值,通过上述纠错处理后,提高了系统的纠错、容错能力。
所述裁决判定异常包括:
基于正确逻辑结果,通过裁决比较函数,确定异常系统终端编号;
所述裁决比较函数为:
所述Ri为业务逻辑结果;
所述ERR为异常系统终端编号。
由于采用所述裁决判定异常包括:基于正确逻辑结果,通过裁决比较函数,确定异常系统终端编号;以及裁决比较函数,由于本方案通过业务逻辑结果与上述第一纠错机制、或第二纠错机制、再或第三纠错机制,确定的正确逻辑结果R,进行比较,若某个业务逻辑结果与正确逻辑结果不符,则确定不符合的逻辑结果对应的子卡编号为异常系统终端编号,接下来就可以基于异常系统终端编号进行内生清洗。
如图4所示,所述清洗恢复包括系统还原处理,所述系统还原处理包括:
基于异常系统终端编号,数据中心设置相应的异常系统终端的GPIO状态,系统终端读取并判断GPIO状态是否发生相应的变化,若GPIO状态发生改变,则系统终端自身中断当前应用的操作系统,同时自身启动另一操作系统,数据中心间接控制另一操作系统下的相应的系统终端,并将异常系统终端从受攻击的状态清洗到健康状态。
由于采用所述清洗恢复包括系统还原处理,所述系统还原处理包括:基于异常系统终端编号,数据中心设置相应的异常系统终端的GPIO状态,系统终端读取并判断GPIO状态是否发生相应的变化,若GPIO状态发生改变,则系统终端自身中断当前应用的操作系统,同时自身启动另一操作系统,数据中心间接控制另一操作系统下的相应的系统终端,并将异常系统终端从受攻击的状态清洗到健康状态,由于FPGA修改GPIO电平,并通过指令启动对子卡的清洗,清洗即子卡重启并重新选择操作系统的过程。子卡接收到清洗指令后重启,重启过程中读取GPIO的电平值并据此进入不同的操作系统,系统启动时会对子卡进行初始化配置,使子卡处于功能正常的初始状态。子卡通过“清洗”使自身从受攻击状态恢复到健康状态,进而实现防御系统级网络攻击的目的;假设单个子卡受到攻击A后异常的概率是100%,那么在传统的整机异常的概率也是100%,然而在本专利描述的设计方案中,由于存在多个子卡和FPGA的裁决机制,整机能够在少数(少于N/2)个子卡异常的情况下仍然能够正常工作,系统的安全性大大增强。若子卡数量增加到5个、7个... ...那么整机的安全性将进一步提高;其次,清洗功能的存在,使得受到攻击的子卡能够迅速恢复到正常状态,从而使攻击失效;再次,由于子卡在芯片架构和系统软件层次上都是异构的,使得多个子卡同时失效的难度大大增加,提升了整机受攻击的难度,进一步提升了整机的安全性。
所述将异常系统终端从受攻击的状态清洗到健康状态包括:
基于异常系统终端,将其从当前操作系统切换至另一操作系统,并引导其进入初始健康状态。
由于采用所述将异常系统终端从受攻击的状态清洗到健康状态包括:基于异常系统终端,将其从当前操作系统切换至另一操作系统,并引导其进入初始健康状态,由于特别强调的是本方案的“清洗”就是从“当前操作系统切换至另一操作系统”,而“健康”则是引导另一操作系统后,进行初始化,也就是说,清洗就是重启进入另一个操作系统,重启的过程中,会做一些初始化配置,使子卡进入初始状态,这个状态就是健康的。
如图6所示,同时,本发明还提供基于异构操作系统的内生安全处理系统,包括:
所述内生安全处理系统可以执行上述任一项所述的内生安全处理方法,所述内生安全处理系统包括数据输入模块、裁决判定模块、清洗恢复模块;
数据输入模块:用于基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端;
裁决判定模块:用于系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果;
清洗恢复模块:用于基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态。
同时,本发明还提供异构操作系统的内生安全处理系统,该内生安全处理系统包括基于上述内生安全处理方法构造的内生安全处理系统,所述内生安全处理系统包括数据输入模块、裁决判定模块、清洗恢复模块,通过数据输入模块、裁决判定模块、清洗恢复模块实现了相应的数据输入、裁决判定、清洗恢复,通过增加FPGA和多个异构子卡,实现对远程攻击的免疫,提升了整机的安全性;FPGA和子卡的清洗功能,使子卡能够从受攻击状态清洗到健康状态;子卡多系统的引入使子卡能够动态切换系统运行环境,从而达到防御系统级网络攻击的目的,提升了整机的内生安全性能。
实施例一:
在业务处理流程中,外部数据通过端口上送至交换芯片,经处理后上送至FPGA,由FPGA将数据复制成N份一样的数据经sys bus分发至各个子卡,各个子卡收到数据后将处理结果经sys bus发送给FPGA。本方案中,每个子卡虽然架构不同,运行的操作系统不同,但是都实同样的业务逻辑,当接收同样的输入数据时,也会返回同样的处理结果。FPGA接收到N份处理结果后经过一定的策略裁决后确定最终的有效结果R,将有效结果下送至交换芯片并通过端口发出。
FPGA的裁决策略是对各个子卡返回的结果做统计,取占比例最高的结果作为最终的有效结果R。R的计算公式如下:
其中,n表示结果Ri出现的次数,N为子卡数量;
另外,FPGA本身有超时机制,当数据下发到各个子卡后,超时功能启动计时,受到攻击A的子卡如果超时不返回结果,那么就依据其它子卡的数据进行裁决;另外,对于超时不返回结果的子卡,FPGA同样认为其受到攻击进而启动对该子卡的清洗流程。
具体地说,当N=5时,假如子卡1、2受到不同的攻击导致功能异常,对接收的数据处理后返回错误的结果Re1、Re2,子卡3、4、5均返回正确的结果Rc,此时上述公式例化为:
FPGA的仲裁流程也即公式的计算过程为:
Step 1:确定各个子卡的结果出现的次数
n1=1
n2=1
n3=n4=n5=3
Step 2:计算各个子卡的结果所占比例
R1=Re1=n1/N=1/5=0.2
R2=Re2=n2/N=1/5=0.2
R3=R4=R5=Rc=n3/N=3/5=0.6
Step 3:计算哪个子卡的结果占比例最大
P(Rx)=max(R1,R2,R3,R4,R5)=max(Re1,Re2,Rc)=max(0.2,0.2,0.6)=0.6,此时x=3或4或5。
计算结果显示,子卡3、4、5的结果Rc占比例最大;
Step 4:确定最终的有效结果;
此例中Rc即为最终的有效结果。
实施例二:
在一个N为3的整机系统中,当系统没有受到攻击时,FPGA接收到的3份处理结果是一样的(假设为R),此时R的票数为3,超过半数,R即为最终的结果;当系统受到攻击A时,某个子卡功能异常(如子卡1),那么子卡1处理数据后就会返回错误的处理结果(假设为ER)给FPGA,此时FPGA的裁决策略结果为:ER占票为1,R占票为2。R占票超过半数,此时FPGA仍然能够识别正确结果R并下发给交换芯片;另外,由于子卡1返回的结果异常,FPGA识别到子卡1受到攻击,启动对子卡1的清洗,将子卡1从异常状态恢复至正常状态。
实施例三:
如图4所示,FPGA修改GPIO电平,并通过指令启动对子卡的清洗,清洗即子卡重启并重新选择操作系统的过程。子卡接收到清洗指令后重启,重启过程中读取GPIO的电平值并据此进入不同的操作系统,系统启动时会对子卡进行初始化配置,使子卡处于功能正常的初始状态。子卡通过“清洗”使自身从受攻击状态恢复到到健康状态,进而实现防御系统级网络攻击的目的。
假设单个子卡受到攻击A后异常的概率是100%,那么在传统的整机异常的概率也是100%,然而在本专利描述的设计方案中,由于存在多个子卡和FPGA的裁决机制,整机能够在少数(少于N/2)个子卡异常的情况下仍然能够正常工作,系统的安全性大大增强。若子卡数量增加到5个、7个... ...那么整机的安全性将进一步提高。
其次,清洗功能的存在,使得受到攻击的子卡能够迅速恢复到正常状态,从而使攻击失效。
再次,由于子卡在芯片架构和系统软件层次上都是异构的,使得多个子卡同时失效的难度大大增加,提升了整机受攻击的难度,进一步提升了整机的安全性。
实施例四:
如图3所示,在一个N为5的整机系统中,如果第一纠错机制(原始统计确定结果的方法)S301统计出有两组占比最高概率的数据,即第一异常组(#1、#2)、第二异常组(#3、#4)以及#5,这时第一异常组(#1、#2)、第二异常组(#3、#4)占比概率相同,因此,不能确定正确值;
这时启动第二纠错机制(两次数据的比较方法)S302,即再次向#1、#2、#3、#4分别发送与首次发送同样的数据,此时,#1、#2、#3、#4分别返回同样的结果,这时,系统再次进行比较,对于每个终端,若第一次返回和第二次返回相同,则认为其是正确结果,否则认为其返回结果无效,也就是返回结果无效的相应的终端是非正常终端;
若此时,基于每个终端,若第一次返回和第二次返回相同,则进行第三纠错机制(异常排除处理)S303,即对#5子卡直接进行清洗过程,由于清洗后的#5子卡在另一个系统下初始化后,这时#5子卡时一台正确的设备,其返回值也必然正确,再次执行本方案后,则必然会得到正确值;
最后上述过程确定的正确值,基于裁决判定异常S304,对比并确定异常子卡。
工作原理:
本方案通过采用数据输入、裁决判定、清洗恢复,其中,数据输入采用基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端,其中,裁决判定采用系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果,其中,基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态,由于传统的整机,如图N所示,处理业务的时候,业务数据通过端口进入整机,经交换芯片转发到数据处理系统(如图中虚线所示)做进一步处理,数据处理系统由一个子卡组成,每个子卡包括CPU、单个操作系统和数据处理软件,数据处理系统将处理后的结果经交换芯片下发,最后由端口发出;在传统的整机系统中,数据处理系统包含一个单操作系统的子卡,如果子卡受到攻击A导致自身功能异常,那么就会引起整机异常甚至瘫痪;本发明描述的内生安全整机系统示意图,如图N所示,其中,数据处理系统由FPGA模块和N个(N为奇数)不同芯片架构的子卡组成,每个子卡运行两种以上的不同的操作系统(本专利以两个不同版本的Linux操作系统为例);每个子卡通过系统总线与FPGA相连;在业务处理流程中,外部数据通过端口上送至交换芯片,经处理后上送至FPGA,由FPGA将数据复制成N份一样的数据经sys bus分发至各个子卡,各个子卡收到数据后将处理结果经sys bus发送给FPGA。本方案中,每个子卡虽然架构不同,运行的操作系统不同,但是都实同样的业务逻辑,当接收同样的输入数据时,也会返回同样的处理结果;FPGA接收到N份处理结果后经过一定的策略裁决后确定最终的有效结果,将有效结果下送至交换芯片并通过端口发出;FPGA的裁决策略是对子卡返回的处理结果做投票,票数超过半数的结果作为最终的有效结果,本发明主要应用在多个异构系统这一层级,在该层级中,每个芯片平台上(以下称之为子卡)同时支持至少两种异构操作系统,本发明描述的是一种内生安全设备的工作过程,本发明通过增加FPGA和多个异构子卡,实现对远程攻击的免疫,提升了整机的安全性;FPGA和子卡的清洗功能,使子卡能够从受攻击状态清洗到健康状态;子卡多系统的引入使子卡能够动态切换系统运行环境,同时,本发明解决现有技术存在由于只能依赖于外部防御手段,从而导致对于网络攻击手段和不断变异更新的病毒往往不能做到及时防御的问题,具有实现了防御系统级网络攻击的目的,提升了整机的内生安全性能的技术效果。
利用本发明的技术方案,或本领域的技术人员在本发明技术方案的启发下,设计出类似的技术方案,而达到上述技术效果的,均视为落入本发明的保护范围。

Claims (10)

1.基于异构操作系统的内生安全处理方法,其特征在于,包括:
数据输入:基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端;
裁决判定:系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果;
清洗恢复:基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态。
2.根据权利要求1所述内生安全处理方法,其特征在于,所述裁决判定还包括概率策略裁决,所述概率策略裁决包括统计确定结果和裁决判定异常;
所述统计确定结果包括通过有效概率比较或概率再次比较或异常排除处理,确定正确逻辑结果;
所述裁决判定异常包括基于正确逻辑结果,通过裁决比较处理,确定异常系统终端。
3.根据权利要求2所述内生安全处理方法,其特征在于,所述统计确定结果包括:
统计各系统终端返回的业务逻辑结果,通过有效概率函数,确定占比最高概率的业务逻辑结果,若占比最高概率唯一,则将占比最高概率的业务逻辑结果确定为正确逻辑结果;
所述有效概率函数为:
所述ni为结果Ri出现的次数;
所述N为所有系统终端数量;
所述R为正确逻辑结果;
所述Rx为占比最高概率的业务逻辑结果;
所述Ri为每一个系统终端返回的结果。
4.根据权利要求3所述内生安全处理方法,其特征在于,所述统计确定结果还包括:
若占比最高概率不唯一,则将占比最高概率的相同的业务逻辑结果相应的系统终端分为若干逻辑存疑组,数据中心再次将系统测试样本分发至逻辑存疑组中的各系统终端,通过再次业务逻辑处理,将再次业务逻辑结果返回至数据中心,数据中心通过再次比较裁决,确定异常系统终端。
5.根据权利要求4所述内生安全处理方法,其特征在于,所述再次比较裁决包括:基于逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果,通过再次比较函数;
若逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果相等,则将所在逻辑存疑组再次返回的业务逻辑结果确定为正确逻辑结果;
若逻辑存疑组首次返回的业务逻辑结果和再次返回的业务逻辑结果不相等,则判定所在逻辑存疑组再次返回的业务逻辑结果无效;
所述再次比较函数为:
所述RORGi为首次返回的业务逻辑结果;
所述RERRi为再次返回的业务逻辑结果;
所述ERRN为逻辑存疑组的系统终端数量。
6.根据权利要求5所述内生安全处理方法,其特征在于,所述统计确定结果还包括:
若再次返回的业务逻辑结果无效,则执行异常排除处理;
所述异常排除处理包括:排除占比最高概率的相同的业务逻辑结果相应的系统终端,并基于其余的系统终端不通过裁决判定异常,而直接进入清洗恢复,在清洗恢复执行后,重新执行基于异构操作系统的内生安全处理方法。
7.根据权利要求2所述内生安全处理方法,其特征在于,所述裁决判定异常包括:
基于正确逻辑结果,通过裁决比较函数,确定异常系统终端编号;
所述裁决比较函数为:
所述Ri为业务逻辑结果;
所述ERR为异常系统终端编号。
8.根据权利要求1所述内生安全处理方法,其特征在于,所述清洗恢复包括系统还原处理,所述系统还原处理包括:
基于异常系统终端编号,数据中心设置相应的异常系统终端的GPIO状态,系统终端读取并判断GPIO状态是否发生相应的变化,若GPIO状态发生改变,则系统终端自身中断当前应用的操作系统,同时自身启动另一操作系统,数据中心间接控制另一操作系统下的相应的系统终端,并将异常系统终端从受攻击的状态清洗到健康状态。
9.根据权利要求8所述内生安全处理方法,其特征在于,所述将异常系统终端从受攻击的状态清洗到健康状态包括:
基于异常系统终端,将其从当前操作系统切换至另一操作系统,并引导其进入初始健康状态。
10.基于异构操作系统的内生安全处理系统,其特征在于,包括:
所述内生安全处理系统可以执行权利要求1~9任一项所述的内生安全处理方法,所述内生安全处理系统包括数据输入模块、裁决判定模块、清洗恢复模块;
数据输入模块:用于基于业务处理流程中所需的外部测试样本,数据中心通过复制相应数量的相同的系统测试样本,并经总线分发至各系统终端;
裁决判定模块:用于系统终端基于接收的系统测试样本,通过同样的业务逻辑处理,将业务逻辑结果返回至数据中心,数据中心通过概率策略裁决,确定异常系统终端,并返回外部测试结果;
清洗恢复模块:用于基于确定的异常系统终端,数据中心触发异常系统终端,异常系统终端自身通过系统还原处理,恢复到正常状态。
CN202311308290.1A 2023-10-11 2023-10-11 基于异构操作系统的内生安全处理方法及系统 Active CN117056914B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311308290.1A CN117056914B (zh) 2023-10-11 2023-10-11 基于异构操作系统的内生安全处理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311308290.1A CN117056914B (zh) 2023-10-11 2023-10-11 基于异构操作系统的内生安全处理方法及系统

Publications (2)

Publication Number Publication Date
CN117056914A true CN117056914A (zh) 2023-11-14
CN117056914B CN117056914B (zh) 2024-01-23

Family

ID=88663022

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311308290.1A Active CN117056914B (zh) 2023-10-11 2023-10-11 基于异构操作系统的内生安全处理方法及系统

Country Status (1)

Country Link
CN (1) CN117056914B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535765A (zh) * 2019-08-26 2019-12-03 上海宽带技术及应用工程研究中心 基于分段路由的拟态防御网络系统及其防御方法
CN111783079A (zh) * 2020-06-04 2020-10-16 河南信大网御科技有限公司 一种拟态防御装置、拟态防御方法和拟态防御架构
CN113315755A (zh) * 2021-04-27 2021-08-27 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 一种基于策略的拟态裁决系统及方法
CN113378151A (zh) * 2021-06-23 2021-09-10 上海红阵信息科技有限公司 基于拟态构造的统一身份认证系统及认证方法
CN116633694A (zh) * 2023-07-24 2023-08-22 南京赛宁信息技术有限公司 一种基于多模异构组件的web防御方法与系统
CN116668097A (zh) * 2023-05-17 2023-08-29 珠海高凌信息科技股份有限公司 拟态的hss网元信令处理方法及系统
CN116781434A (zh) * 2023-08-25 2023-09-19 北京傲星科技有限公司 基于拟态防御的访问控制方法、系统及相关设备
CN116865990A (zh) * 2023-05-17 2023-10-10 中国人民解放军战略支援部队信息工程大学 一种内生安全T-Box系统及其业务处理方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535765A (zh) * 2019-08-26 2019-12-03 上海宽带技术及应用工程研究中心 基于分段路由的拟态防御网络系统及其防御方法
CN111783079A (zh) * 2020-06-04 2020-10-16 河南信大网御科技有限公司 一种拟态防御装置、拟态防御方法和拟态防御架构
CN113315755A (zh) * 2021-04-27 2021-08-27 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 一种基于策略的拟态裁决系统及方法
CN113378151A (zh) * 2021-06-23 2021-09-10 上海红阵信息科技有限公司 基于拟态构造的统一身份认证系统及认证方法
CN116668097A (zh) * 2023-05-17 2023-08-29 珠海高凌信息科技股份有限公司 拟态的hss网元信令处理方法及系统
CN116865990A (zh) * 2023-05-17 2023-10-10 中国人民解放军战略支援部队信息工程大学 一种内生安全T-Box系统及其业务处理方法
CN116633694A (zh) * 2023-07-24 2023-08-22 南京赛宁信息技术有限公司 一种基于多模异构组件的web防御方法与系统
CN116781434A (zh) * 2023-08-25 2023-09-19 北京傲星科技有限公司 基于拟态防御的访问控制方法、系统及相关设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
宋克 等: "基于拟态防御的以太网交换机内生安全体系结构", 通信学报, pages 18 - 26 *
李卫超;张铮;王立群;邬江兴;: "基于拟态防御架构的多余度裁决建模与风险分析", 信息安全学报, no. 05, pages 64 - 74 *
魏帅;于洪;顾泽宇;张兴明;: "面向工控领域的拟态安全处理机架构", 信息安全学报, no. 01, pages 54 - 72 *

Also Published As

Publication number Publication date
CN117056914B (zh) 2024-01-23

Similar Documents

Publication Publication Date Title
US6002851A (en) Method and apparatus for node pruning a multi-processor system for maximal, full connection during recovery
US6704887B2 (en) Method and apparatus for improved security in distributed-environment voting
US7886181B2 (en) Failure recovery method in cluster system
US6845469B2 (en) Method for managing an uncorrectable, unrecoverable data error (UE) as the UE passes through a plurality of devices in a central electronics complex
US5892895A (en) Method an apparatus for tolerance of lost timer ticks during recovery of a multi-processor system
US20170004029A1 (en) Information processing system, server device, information processing method, and computer program product
CN117056914B (zh) 基于异构操作系统的内生安全处理方法及系统
WO1998034456A9 (en) Method and apparatus for tolerance of lost timer ticks during recovery of a multi-processor system
CN1830180B (zh) 在多通道can应用中进行诊断的设备和方法
CN113672471A (zh) 一种软件监控方法、装置、设备及存储介质
CN108563530A (zh) 看门狗及其实现方法
CN115695041B (zh) 基于sdn的ddos攻击检测与防护的方法及应用
Dinu et al. Hadoop’s overload tolerant design exacerbates failure detection and recovery
Abdel-Khalek et al. Functional correctness for CMP interconnects
Št’áva Efficient error recovery scheme in fault-tolerant NoC architectures
JP4716492B2 (ja) 冗長構成システムおよび第1のコンピュータシステムに障害が発生したときに第2のコンピュータシステムが直ちにリカバーする方法
Bolding et al. Design of a router for fault-tolerant networks
JPH05210529A (ja) マルチプロセッサシステム
Tsay et al. A real-time algorithm for fair interprocess synchronization
OuYang et al. Analysis of Mimic Defense and Defense Capabilities based on Four-Executor
Rong et al. Combft: Conflicting-order-match based byzantine fault tolerance protocol with high efficiency and robustness
CN106407046A (zh) 一种支持即插即用的星载软件容错方法
CN104252396B (zh) 多中央处理单元侦错切换的方法
JPH08335206A (ja) 疎結合多重計算機システムにおけるトランザクション自動復旧システム
CN115913624A (zh) 一种数据流处理方法、系统、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant