[发明专利]一种基于时间迭代与负反馈机制的多模裁决系统

说明书

本发明公开了一种基于时间迭代与负反馈机制的多模裁决系统，所述多模裁决系统包括：异构池单元、多模裁决器和负反馈单元；所述异构池单元含有3个以上异构SDN控制器；在每一个SDN控制层中，运用异构SDN控制器对输入请求同时进行处理，并将单位时间内各SDN控制器的输出结果集合提交至多模裁决器；所述多模裁决器对所述输出结果集合的流表中的信息分布进行一致性裁决，并将裁决结果下发至交换机；所述负反馈单元在每一次裁决后，根据所述裁决结果对所对应的异构SDN控制器的置信度进行调整，实现异构池中的异构SDN控制器的动态选取,提高了该系统的安全防御能力。

技术领域

本发明属于拟态防御技术领域，具体地涉及一种基于时间迭代与负反馈机制的多模裁决系统。

背景技术

随着网络科技的快速发展，SDN(软件定义网络)由于其能够削减成本的同时挺高了灵活性，因此逐步被各大企业所运用。然而，相应的也会带来新安全风险问题。如今的应对方法还是主要通过一些传统的方法，但是这些传统方法在应对未知漏洞威胁异常困难。

通过引入异构SDN控制器来改变SDN控制器的单一性，增加整体的随机性与动态性，从而提高对以未知漏洞发起的不明威胁的防御能力。

发明内容

针对现有技术中存在的问题，本发明提供了一种基于时间迭代与负反馈机制的多模裁决系统。

本发明解决其技术问题所采用的的技术方案是：一种基于时间迭代与负反馈机制的多模裁决系统，所述多模裁决系统包括：异构池单元、多模裁决器和负反馈单元；所述异构池单元含有3个以上异构SDN控制器；在每一个SDN控制层中，运用异构SDN控制器对输入请求同时进行处理，并将单位时间内各SDN控制器的输出结果集合提交至多模裁决器；所述多模裁决器对所述输出结果集合的流表中的信息分布进行一致性裁决，并将裁决结果下发至交换机；所述负反馈单元在每一次裁决后，根据所述裁决结果对所对应的异构SDN控制器的置信度进行调整，并对每一个SDN控制器输出结果以及裁决结果进行记录。

进一步地，运用异构SDN控制器对输入请求同时进行处理的异构SDN控制器至少为3个，且每次处理输入请求时的异构SDN控制器的数量小于所述异构池单元中的异构SDN控制器。

进一步地，所述异构池单元中的SDN控制器为架构完全不相同的但功能等价的SDN控制器。

进一步地，所述一致性裁决的方法具体为：绘制单位时间内的流表信息分布，然后由多模裁决器来计算分布的相似度，并进行择多裁决，输出结果，同时对裁决结果进行记录。

进一步地，所述择多裁决的方法为：超过半数以上的异构SDN控制器在单位时间内的处理结果信息分布的相似度超过阈值，则将该处理结果作为裁决结果下发至路由器。

进一步地，根据所述裁决结果对所对应的异构SDN控制器的置信度进行调整的方法具体为：

步骤一、统计裁决结果；

步骤二、将符合择多裁决结果要求的SDN控制器中权重值最大的SDN控制器，依旧作为下一个请求处理周期被选出的SDN控制器之一；

步骤三、计算裁决结果的相似度，所述负反馈单元根据相似度统计判断该SDN控制器是否需要被清洗并重置，若相似度小于阈值，则需要将该SDN控制清洗并重置权重值，待完成上述操作后将其重新放入异构池单元中。若相似度大于或等于阈值，则调整该SDN控制器的权重，若权重已经超过最大值则不改变权重，否则增加权重。

本发明与现有技术，具有如下有益效果：本发明采用了异构池，由于其包含了不同架构的SDN控制器，而不同架构的SDN控制器的后门与漏洞完全不同，这样的特性极大地降低了被攻击成功的可能性。此外，因为负反馈机制的存在，所以使得从异构池中的SDN控制器动态且随机地调整各自的权重值，从而有效地提高了整体的安全防御能力。本系统中异构冗余与负反馈机制的相结合，较好地提高了系统的内生安全性，使其在面对未知威胁时能有很好的防御效果。