[发明专利]恢复异构执行体可信路由表的方法、装置及介质

说明书

本发明涉及一种恢复异构执行体可信路由表的方法、装置及介质的技术方案，包括：实时监控异构执行体池，当一个或多个异构执行体重新上线时触发路由表的恢复机制：基于恢复机制调用拟态路由器获取对应协议的拟态裁决，根据拟态裁决逆解析出对应的路由表；更新新上线的异构执行体。本发明的有益效果为：对SDN架构下的拟态路由器中的异构执行体重新上线时实现可信路由表的恢复。

技术领域

本发明涉及计算机安全领域，具体涉及了一种恢复异构执行体可信路由表的方法、装置及介质。

背景技术

路由是信息交互的大脑，它决定了数据包的转发路径。路由器是通过路由计算实现数据包转发的设备，作为网络基础设施的核心设备，它覆盖了整个互联网的核心层、汇聚层和接入层，其安全性能对整个网络的安全具有决定性的意义。

拟态路由器的拟态防御思想：分离元功能与具体实现结构的耦合关系,构建多个功能等价、异构冗余的多执行体环境,通过动态调度机制建立元功能和执行体的实际映射关系,在保证系统功能不变的条件下,充分利用动态性、多样性、随机性来隐藏执行体内部存在的各种“暗功能”,使得攻击者难以建立起持续可靠的攻击链。进一步引入多模裁决机制,对多执行体的输出结果进行多模裁决输出,确保输出结果的正确性。

传统路由器实现结构中软硬件紧耦合,内部通信接口自定义,要在消息处理路径上插入相应的消息分发或者多模表决模块,从工程角度而言,将难以实现。软件定义网络(Software-defined network-ing,SDN)技术的出现使路由器的控制平面、转发平面的模块化处理成为可能，也为拟态路由器的实现提供了基础。

拟态路由器的工程实现是异构多个执行体环境，分别对同一种路由控制协议（rip、ospf、bgp等）进行计算得到各自的路由表，然后对所有的路由表进行多模裁决，将可信的路由表转化为转发表，最后写入数据转发平面的流表中，业务面板的数据转发根据此流表进行数据的转发。

在这个过程中，异构执行体重新上线后，如何恢复自己的路由表成为一个问题，因为异构执行体之间是不可信的，所以不能直接复制其他执行体的路由表到本机。

发明内容

本发明的目的在于至少解决现有技术中存在的技术问题之一，提供了一种恢复异构执行体可信路由表的方法、装置及介质，对SDN架构下的拟态路由器中的异构执行体重新上线时实现可信路由表的恢复。

本发明的技术方案包括一种恢复异构执行体可信路由表的方法，其特征在于：S100，实时监控异构体执行池，当一个或多个异构执行体重新上线时触发路由表的恢复机制：S200，基于所述恢复机制调用拟态路由器获取对应协议的拟态裁决，根据所述拟态裁决逆解析出对应的路由表；S300，更新新上线的所述异构执行体。

根据所述的恢复异构执行体可信路由表的方法，其中S100包括：通过实时调用openflow交换机的接口获取流表；根据流表使用对应的协议执行复制分发，将所述流表发送至所述异构体执行池；通过所述异构体执行池中的已上线一个或多个异构执行体进行对应的协议处理。

根据所述的恢复异构执行体可信路由表的方法，其中流表用于openflow交换机依次执行输入逻辑、负载语义转换、查表转发及输出逻辑的处理。

根据所述的恢复异构执行体可信路由表的方法，其中S200包括：对经过所述异构体执行池处理后的路由表执行所述拟态裁决，并将经过所述拟态裁决处理的路由表，调用openflow交换机接口进行发送。

根据所述的恢复异构执行体可信路由表的方法，其中恢复机制被配置为：根据所述异构体执行池、所述拟态裁决及复制分发流表所占用的系统资源进行负反馈调度，所述负反馈调度包括动态调度及感知决策。

根据所述的恢复异构执行体可信路由表的方法，其中动态调整包括：根据所述异构体执行池的所述异构执行体数量及其对应的资源消耗，动态分配用于处理所述异构执行体的线程资源。