[发明专利]一种报文拟态裁决的装置和方法

说明书

本发明提供了一种报文拟态裁决的装置和方法，该装置包括：输入代理器，用于收到输入报文后，将输入报文发送给各个异构功能等价体；异构功能等价体，用于产生并存储输出报文，同时将输出报文发送给冗余控制器和输出代理器；输出代理器，用于根据冗余控制器的选择策略将对应等价体的输出报文进行发送；冗余控制器，用于对异构功能等价体的输出报文进行抽样，并发送给各个异构功能等价体进行匹配，将返回的是否匹配结果进行比较并形成选择策略，将选择策略通知输出代理器，输出代理器收到后更新选择策略；本发明提升了报文拟态裁决系统的性能，降低了由于输出报文乱序、丢包等导致的裁决错误概率，增大了拟态安全系统的可靠性。

技术领域

本发明涉及网络空间安全防护技术领域，尤其涉及一种报文拟态裁决的装置和方法。

背景技术

网络空间在蓬勃发展的同时，正面临着严峻的安全形势，存在大量针对网络空间的恶意攻击事件，另外网络系统复杂，不可避免的存在漏洞，因此网络空间既有来自外部威胁，又与内部安全漏洞问题相互交织，安全风险严峻复杂。在新的网络空间安全形势下，基于先验知识的传统防御手段难以应对各种攻击，需要转变防御思路，定义新的防御边界，巩固防线纵深，从被动迈向内生安全的主动防御。

中国专利CN201610853938.7“一种封装异构功能等价体的装置、方法及设备”提出了拟态安全防御技术，能从主动性、变化性和随机性中获得有利的内生防御态势，通过拟态环境进行动态变化，对攻击者则表现为难以观察和预测，从而大幅度增加包括未知的可利用的漏洞和后门在内的攻击难度和成本。其主要原理如附图1所示，输入代理器收到外部服务请求后，根据冗余控制器的代理策略，将外部服务请求发送给选定的一个或者多个异构功能等价体；异构功能等价体在接收到服务请求后工作运行，输出服务响应发送至输出代理器，并将拟态裁决参数发送给冗余控制器；输出代理器接收到服务响应后，根据冗余控制器的输出仲裁策略，选择其中一个异构功能等价体的输出作为外部服务响应进行发送。

网关、路由器、交换机等网络设备的主要功能是转发和处理网络报文，在网络也存在大量针对网络设备的安全攻击事件，运用拟态安全防御技术可有效实现主动防御，主要原理同中国专利CN201610853938.7“一种封装异构功能等价体的装置、方法及设备”提出的拟态安全防御技术，具体的拟态裁决参数为多个异构体的输出报文。冗余控制器对多个异构体之间的输出报文进行比较时，需要对同一外部输入报文产生的输出报文进行比较，才能从中裁决出正常的异构功能等价体，这里涉及到异构功能等价体和冗余控制器之间输出报文的大量同步。但是在实际网络中，当转发报文非常多时，异构功能等价体发送给冗余控制器的输出报文拟态裁决频率非常高，很容易出现输出报文乱序、丢包等问题，使得冗余控制器收到的输出报文不是由同一输入报文所产生，从而导致裁决错误。如附图2所示，输入报文1、2、3依次由输入代理分别发给异构功能等价体1、2、3，在正常情况下每个异构功能等价体依次输出报文A1、A2、A3给冗余控制器，其中异构功能等价体1发送的裁决输出报文为正常序列，即依次为输出报文A1、A2、A3；异构功能等价体2发送的裁决输出报文由于乱序，依次为输出报文A2、A1、A3；异构功能等价体3发送的裁决输出报文由于丢包，依次为输出报文A1、A3。当冗余控制器收到裁决输出报文时，由于同一批裁决输出报文不是由同一输入报文所产生，无法进行比较选择正常的异构功能等价体，导致裁决错误。

发明内容

有鉴于此，本发明的主要目的在于提供一种报文拟态裁决的装置和方法，提升报文拟态裁决系统的性能，降低由于输出报文乱序、丢包等导致的裁决错误概率，增大了拟态安全系统的可靠性。

为了达到上述目的，本发明的技术方案是：

一种报文拟态裁决的装置，包括输入代理器、冗余控制器、至少两个异构功能等价体和输出代理器；

输入代理器用于收到输入报文后，将输入报文发送给各个异构功能等价体；

异构功能等价体用于产生并存储输出报文，同时将输出报文发送给冗余控制器和输出代理器；