[发明专利]一种功能等价体异构度最大化调度方法及装置

说明书

本发明公开了一种功能等价体异构度最大化调度方法及装置，所述方法首先确定系统内可用功能等价体集合，为响应外部服务请求，在上述功能等价体集合中，根据调度参数确定需要调度的异构功能等价体数量n，在接收到调度请求后，输入代理器在上述功能等价体集合中随机选择一个功能等价体作为初始异构功能等价体，由所述功能等价体集合中初始异构功能等价体和其它任意n‑1个功能等价体构成包含n个功能等价体的子集，计算上述每个功能等价体子集的异构度，对所有功能等价体子集的异构度进行排序，选择异构度最大的功能等价体子集，并按照该子集中的异构功能等价体进行调度。该方法能够避免同时调度异构性较差的功能等价体，为系统安全提供保障。

技术领域

本发明涉及网络空间安全防护技术领域，特别是涉及一种功能等价体异构度最大化调度方法及装置。

背景技术

随着网络设备和服务的不断发展和普及，人们对网络空间的依赖性越来越强，而网络安全的重要性也愈发凸显。传统的网络空间领域中，完成特定服务功能的设备和装置(包括软件和硬件)对外表征的属性是静态的、确定的，且与其内在结构之间存在强相关的对应关系，攻击者通过对其表征内容和对应关系的收集与分析，可以在一定程度上掌握有关设备和装置内部的具体信息，并可能发现可利用的漏洞或缺陷，进而实施入侵，威胁网络空间安全。

拟态防御架构是一种应对网络攻击威胁的新技术，通过构建动态异构冗余的系统架构和运行机制能够实现针对未知系统漏洞或后门的入侵防御。拟态防御架构具有内生安全性的关键之一是异构，作为系统响应外部服务请求的功能主体，只有异构的功能等价体才能够避免在同一时间或场景下被攻击者同时攻破，“异构”是功能等价体规避被攻击者同时嗅探和利用系统漏洞缺陷的基础。如图2所示，在拟态防御系统中，冗余控制器接收外部控制参数，生成冗余调度策略和结果仲裁策略，分别发送给输入代理器和输出代理器，输入代理器依据接收到的冗余调度策略选择相应的异构功能等价体响应外部服务请求，异构功能等价体将结果发送至输出代理器，输出代理器根据冗余控制器生成的结果仲裁策略对各个结果进行判决，最终选择一路作为响应输出。

当外部服务请求发起时，输入代理首先根据冗余控制器生成的调度策略，选择若干个异构功能等价体来响应外部服务请求，常用的冗余体调度策略有基于可信度的调度策略、随机调度策略等。

基于可信度的调度策略，从异构功能等价体“是否可信”的角度判断其调度与否，通过构建异构功能等价体池中异构体的可信度列表，根据判决结果判决动态调整异构功能等价体的可信度权值。进行冗余调度时，输入代理器选择可信度高于预设阈值的异构功能等价体响应外部服务请求。

随机调度策略为异构功能等价体的调度过程导入动态性和不确定性，从而降低攻击者对特定系统漏洞或缺陷的利用，冗余控制器根据外部控制参数产生随机种子，用于确定随机的异构功能等价体的数量和编号，输入代理器根据生成的调度策略分配异构功能等价体响应外部服务请求。

当前已有的调度策略，均未考虑待调度异构功能等价体可能存在的同构性，如果调度了存在同构性的功能等价体，则针对同构部分的后门和漏洞的攻击可能绕开择多判决，给系统带来安全性风险。

发明内容

现有的异构功能等价体调度策略，包括基于可信度的调度策略和随机调度策略，均没有考虑异构功能等价体之间的异构度差异，如果调用了异构度较低或者同构度较高的功能等价体，那么一旦其同构部分的漏洞或者后门被攻击者利用，则在拟态判决时可能得到多数一致但实际上是入侵目标的错误结果，会极大地增加系统的安全风险。本发明提供一种功能等价体异构度最大化调度方法及装置，能够避免同时调度异构性较差的功能等价体，为系统安全提供保障。

为了实现上述目的，本发明采用以下的技术方案：

一种功能等价体异构度最大化调度方法，包括以下步骤：

步骤1，确定系统内可用功能等价体集合，该集合包含m个功能等价体；