当前位置：首页 > 电学技术 > 电通讯技术> 具有主从切换功能的拟态括号装置、拟态防御方法及架构独创技术18153字

具有主从切换功能的拟态括号装置、拟态防御方法及架构

2021-02-02 23:45:09

具有主从切换功能的拟态括号装置、拟态防御方法及架构

　　技术领域

　　本发明涉及拟态防御领域，具体的说，涉及了一种具有主从切换功能的拟态括号装置、拟态防御方法及架构。

　　背景技术

　　经典拟态防御架构如图1所示，该架构实现对执行体的拟态化改造，用户通过拟态括号间接与执行体交互。拟态括号由输入分配与代理、输出代理与裁决器组成，是指可能存在包含未知漏洞后门或病毒木马等不确定扰动因素在内的异构拟态括号集合的防护边界。拟态架构解决了执行体的内生安全问题，把功能复杂的执行体安全问题转化为功能简单的拟态括号安全问题，因此拟态括号需要满足自身的漏洞不可达或不可利用特性，从而保障拟态括号的安全性。另外拟态括号是否可靠决定了执行体是否可用，因此需要提高拟态括号的可靠性。

　　在以往的工程实践中，我们只能尽可能简化拟态括号的功能复杂度、减小攻击表面，但并不能绝对的保证拟态括号功能在实现过程中不存在漏洞或病毒木马等。另外，拟态括号也有可能出现单点故障导致服务不可用。因此需要在拟态括号发生故障的时候能够及时发现故障并作出相应处理。

　　为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

　　发明内容

　　本发明的目的是针对现有技术的不足，从而提供了一种具有主从切换功能的拟态括号装置、拟态防御方法及架构。

　　为了实现上述目的，本发明第一方面提供一种具有主从切换功能的拟态括号装置，包括I/O接口模块、分流模块、两个互为主从的异构拟态括号、流控模块和合流模块，所述分流模块分别与所述I/O接口模块和两个异构拟态括号连接，两个异构拟态括号分别与所述流控模块、所述合流模块连接，所述合流模块分别与所述流控模块和所述I/O接口模块连接；

　　所述I/O接口模块，支持流量输入和输出；

　　所述分流模块，用于将所述I/O接口模块发送的流量复制分发至每个异构拟态括号；

　　每个异构拟态括号均包括主状态和从状态；主状态下：用于接收及处理所述分流模块分发的流量，计算其输出矢量并输出；以及用于在接收主从切换指令后切换至从状态；从状态下：用于接收及处理所述分流模块分发的流量，计算其输出矢量，并与接收的输出矢量进行比对，输出比对结果；以及用于在接收主从切换指令后切换至主状态；

　　所述流控模块，接收位于主状态的异构拟态括号输出的输出矢量，并转发至位于从状态的异构执行体；接收位于从状态的异构执行体输出的比对结果，在比对结果不一致时输出切换指令至两个异构拟态括号和所述合流模块；

　　合流模块，接收两个异构拟态括号处理后的流量，并在未接收到所述流控模块的切换指令时，将位于主状态的异构拟态括号处理后的流量传送到所述I/O接口；以及在接收到所述流控模块的切换指令后，将另一个异构拟态括号处理后的流量传送到所述I/O接口。

　　基于上述，从状态下，所述异构拟态括号还用于接收首个TCP请求数据包，记录首个所述TCP请求数据包的TCP头部字段信息，并将首个所述TCP请求数据包发送出去；以及接收TCP响应数据包，记录所述TCP响应数据包的TCP头部字段信息，并将所述TCP响应数据包发送出去；以及接收TCP请求数据包，用记录的所述TCP响应数据包的TCP头部字段信息修改所述TCP请求数据包的TCP头部字段信息，并将修改后的所述TCP请求数据包发送出去。

　　基于上述，处于主状态的异构拟态括号在切换至从状态后，需将记录的TCP响应的TCP头部字段信息缓存到所述流控模块中；处于从状态的异构拟态括号在切换至主状态后，需从所述流控模块中获取TCP响应的TCP头部字段信息。

　　基于上述，所述I/O接口模块包括I/O接口模块A和I/O接口模块B，所述分流模块包括分流模块A和分流模块B，所述合流模块包括合流模块A和合流模块B，所述I/O接口模块A分别与所述分流模块A和所述合流模块B连接，所述I/O接口模块B分别与所述合流模块A和所述分流模块B连接。

　　基于上述，所述分流模块采用光纤分光器，所述合流模块采用光开关，所述流控模块采用FPGA。

　　基于上述，所述分流模块、所述合流模块和所述流控模块基于FPGA硬件可编程逻辑实现并被固化在FPGA中。

　　本发明第二方面提供一种具有主从切换功能的拟态防御方法，包括以下步骤：

　　I/O接口模块的流量到达分流模块，分流模块复制流量为一模一样的两条流发送到处于主状态的异构拟态括号和处于从状态的异构拟态括号；

　　处于主状态的异构拟态括号，接收及处理所述分流模块复制分发出来的流量，并将处理后的流量发送至合流模块，同时计算输出矢量并发送至流控模块；

　　处于从状态的异构拟态括号，接收及处理所述分流模块复制分发出来的流量，并将处理后的流量发送至合流模块，同时从流控模块获取处于主状态的异构拟态括号的输出矢量，并将处于主状态的异构拟态括号的输出矢量与自身的输出矢量进行对比，并返回比对结果至所述流控模块；

　　流控模块在比对结果一致时不动作，所述合流模块将位于主状态的异构拟态括号处理后的流量传送到所述I/O接口；

　　流控模块在比对结果不一致时输出切换指令至两个异构拟态括号和所述合流模块；两个异构拟态括号接收切换指令后进行主从状态的切换；所述合流模块在接收到所述流控模块的切换指令后，将另一个异构拟态括号处理后的流量传送到所述I/O接口。

　　基于上述，从状态下，所述异构拟态括号在接收到首个TCP请求数据包时，记录首个所述TCP请求数据包的TCP头部字段信息，并将首个所述TCP请求数据包发送出去；

　　在接收到TCP响应数据包时，记录所述TCP响应数据包的TCP头部字段信息，并将所述TCP响应数据包发送出去；

　　以及在接收到非首个TCP请求数据包时，用记录的所述TCP响应数据包的TCP头部字段信息修改所述TCP请求数据包的TCP头部字段信息，并将修改后的所述TCP请求数据包发送出去。

　　本发明第三方面提供一种拟态防御架构，包括异构执行体集和拟态括号装置，所述拟态括号装置为前述的拟态括号装置。

　　本发明相对现有技术具有突出的实质性特点和显著的进步，具体的说，

　　1、本发明方案通过分流模块、合流模块和流控模块的分别处理，实现了在I/O接口处把输入流和输出流分开；同时分流模块、合流模块和流控模块均采用硬件或者硬件逻辑实现，以上模块不会存在漏洞注入，保证了拟态括号装置的安全性。

　　2、利用从异构拟态括号进行处理结果比对，在发现比对结果不一致时即主异构拟态括号中存在的漏洞或后门时，由流控模块向主从异构拟态括号和合流模块发送切换指令，主从异构拟态括号根据切换指令选择输出从异构拟态括号的处理结果；通过保证业务不被主异构拟态括号中存在的漏洞或后门干扰，来保证输出信息的不间断性和拟态括号装置的高可用性；同时将对两个异构拟态括号进行验证的功能由流控模块转移到从异构拟态括号上，可以减少流控模块的处理功能和运算量，提高流控模块的选择速度，进而提高整个拟态括号装置的处理效率。

　　3、本发明的拟态括号装置，实现了在拟态系统的关键控制环节导入流水线的处理方式，使控制功能分段化，形成一个不依赖控制分段“绝对可信”的单线或单向联系机制以管控未知威胁的潜在影响和可能的扩散范围。流水线的处理流程能够造成攻击通道可达性障碍，使配合式攻击的所需信息传递或病毒木马上传机制构建或维持困难，最终造成即使拟态括号装置中存在漏洞也难以利用的局面。

　　附图说明

　　图1是经典拟态防御架构图。

　　图2是本发明实施例1所述的拟态括号装置的逻辑图。

　　图3是本发明实施例2所述的TCP虚拟连接维持的流程示意图。

　　图4是本发明实施例3所述的拟态防御方法的流程图。

　　具体实施方式

　　下面通过具体实施方式，对本发明的技术方案做进一步的详细描述。

　　实施例1

　　如图2所示，本实施例提供了一种具有主从切换功能的拟态括号装置，包括I/O接口模块、分流模块、两个互为主从的异构拟态括号、流控模块和合流模块，所述分流模块分别与所述I/O接口模块和两个异构拟态括号连接，两个异构拟态括号分别与所述流控模块、所述合流模块连接，所述合流模块分别与所述流控模块和所述I/O接口模块连接；

　　所述I/O接口模块，支持流量输入和输出；

　　所述分流模块，用于将所述I/O接口模块发送的流量复制分发至每个异构拟态括号；

　　在具体实施过程中，所述异构拟态括号包括输入分发代理模块和裁决输出代理模块，所述输入分发代理模块用于对流量进行复制分发处理，所述裁决输出代理模块用于对流量进行裁决输出处理。

　　在具体实施过程中，所述I/O接口模块包括I/O接口模块A和I/O接口模块B，所述分流模块包括分流模块A和分流模块B，所述合流模块包括合流模块A和合流模块B，所述I/O接口模块A分别与所述分流模块A和所述合流模块B连接，所述I/O接口模块B分别与所述合流模块A和所述分流模块B连接。

　　本实施例的拟态括号装置，通过分流模块、合流模块和流控模块的分别处理，实现了在I/O接口处把流量和输出流分开，以及实现了在拟态系统的关键控制环节导入流水线的处理方式，使控制功能分段化，形成一个不依赖控制分段“绝对可信”的单线或单向联系机制以管控未知威胁的潜在影响和可能的扩散范围。流水线的处理流程能够造成攻击通道可达性障碍，使配合式攻击的所需信息传递或病毒木马上传机制构建或维持困难，最终造成即使拟态括号装置中存在漏洞也难以利用的局面。

　　同时，本实施例的拟态括号装置利用从异构拟态括号进行处理结果比对，在发现比对结果不一致时即主异构拟态括号中存在的漏洞或后门时，由流控模块向主从异构拟态括号和合流模块发送切换指令，主从异构拟态括号根据切换指令选择输出从异构拟态括号的处理结果；通过保证业务不被主异构拟态括号中存在的漏洞或后门干扰，来保证输出信息的不间断性和拟态括号装置的高可用性；同时将对两个异构拟态括号进行验证的功能由流控模块转移到从异构拟态括号上，可以减少流控模块的处理功能和运算量，提高流控模块的选择速度，进而提高整个拟态括号装置的处理效率。

　　本实施例中的拟态括号装置，在具体实现时可以采用纯硬件的方式实现，即，所述分流模块采用光纤分光器，所述合流模块采用光开关，所述流控模块采用FPGA。

　　本实施例中的拟态括号装置，在具体实现时也可以采用硬件逻辑编程的方式实现，即所述分流模块、所述合流模块和所述流控模块基于FPGA硬件可编程逻辑实现并被固化在FPGA中。基于FPGA的逻辑编程属于硬件描述语言，逻辑被固化，攻击脚本无法注入，提高了本实施例拟态括号装置的安全性。

　　实施例2

　　本实施例1与实施例2的区别之处在于：如图3所示，从状态下，所述异构拟态括号还用于接收首个TCP请求数据包，记录首个所述TCP请求数据包的TCP头部字段信息，并将首个所述TCP请求数据包发送出去；以及接收TCP响应数据包，记录所述TCP响应数据包的TCP头部字段信息，并将所述TCP响应数据包发送出去；以及接收TCP请求数据包，用记录的所述TCP响应数据包的TCP头部字段信息修改所述TCP请求数据包的TCP头部字段信息，并将修改后的所述TCP请求数据包发送出去。

　　本实施例通过维持位于从状态的异构拟态括号的TCP数据包头部信息字段的交互流程，使得位于从状态的异构拟态括号可以维持一个TCP虚拟连接，从而可以与位于主状态的异构拟态括号具有相同的IP请求连接。

　　在具体实施过程中，处于主状态的异构拟态括号在切换至从状态后，需将记录的TCP响应的TCP头部字段信息缓存到所述流控模块中；处于从状态的异构拟态括号在切换至主状态后，需从所述流控模块中获取TCP响应的TCP头部字段信息。

　　通过TCP虚拟连接维持和TCP连接信息同步功能能保证输出信息的不间断性。

　　实施例3

　　如图4所示，本实施例提供一种具有主从切换功能的拟态防御方法，包括以下步骤：

　　I/O接口模块的流量到达分流模块，分流模块复制流量为一模一样的两条流发送到处于主状态的异构拟态括号和处于从状态的异构拟态括号；

　　流控模块在比对结果一致时不动作，所述合流模块将位于主状态的异构拟态括号处理后的流量传送到所述I/O接口；

　　具体的，从状态下，所述异构拟态括号在接收到首个TCP请求数据包时，记录首个所述TCP请求数据包的TCP头部字段信息，并将首个所述TCP请求数据包发送出去；

　　在接收到TCP响应数据包时，记录所述TCP响应数据包的TCP头部字段信息，并将所述TCP响应数据包发送出去；

　　具体的，处于主状态的异构拟态括号在切换至从状态后，需将记录的TCP响应的TCP头部字段信息缓存到所述流控模块中；处于从状态的异构拟态括号在切换至主状态后，需从所述流控模块中获取TCP响应的TCP头部字段信息。

　　实施例4

　　本实施例提供一种拟态防御架构，包括异构执行体集和拟态括号装置，所述拟态括号装置为实施例1-2任一项所述的拟态括号装置。

　　最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。

《具有主从切换功能的拟态括号装置、拟态防御方法及架构.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

文档为doc格式(或pdf格式)

电通讯技术图文推荐

上一篇：基于人脸建模及表情追踪的VR会议控制系统及方法

下一篇：一种可对插头固定的物联网路由器保护装置及使用方法