CN107360135B - 拟态化网络操作***、构建装置及方法 - Google Patents

Abstract

本发明公开一种拟态化网络操作***构建装置，包括变体管理单元、NOS单元和拟态单元，变体管理单元由变体模板池和变体管理两个子单元构成，NOS单元由从变体模板池中选出的多个模板实例化后的NOS组成，拟态单元接收来自NOS单元的计算结果，并进行多模判决。本发明还公开了一种基于上述拟态化网络操作***构建装置的方法，包括将来自底层网络的消息分发给每一个在线运行的异构的网络操作***，网络操作***中内置的监控代理实时地对其状态进行检测，并将结果反馈给变体管理单元，各个运行的网络操作***独立执行计算；对来自各个网络操作***的计算结果进行多模判决。本发明还公开一种拟态化网络操作***，包括变体模板池、变体管理层、NOS层和拟态层。

Description

拟态化网络操作***、构建装置及方法

技术领域

本发明涉及网络空间安全技术领域，特别是涉及一种拟态化网络操作***、构建装置及方法。

背景技术

软件定义网络（Software Defined Networking, SDN）通过将网络控制平面与网络转发平面解耦从而使得网络更加灵活、开放和可编程，被认为有望改变未来网络架构的革命性技术，近年来在学术界和产业界均引起了广泛关注，且逐步应用于商业网络领域。然而，SDN技术也是一把双刃剑，在提升网络性能和灵活性的同时，网络控制的集中化引入诸多新的安全问题，由于具备全局网络视图和控制，攻击者一旦控制或瘫痪了其中枢—软件定义控制器（或称网络操作***），就可直接篡改或瘫痪整个网络。因此安全问题是SDN技术走向大规模商用部署面临的关键难题之一。

现有的网络操作***安全机制在应对控制器劫持、停机和流表篡改等安全威胁时还存在很大不足，因此急需一种能够防御未知漏洞缺陷、快速检测攻击威胁和具有内生安全能力的网络操作***装置。

发明内容

针对现有技术中存在的缺陷，本发明提供一种拟态化网络操作***、构建装置及方法，用于构造一个具备内生安全性的网络操作***架构，从而解决网络运行面临的控制器劫持、流表篡改等安全威胁。

为了实现上述目的，本发明采用以下的技术方案：

一种拟态化网络操作***构建装置，包括变体管理单元、NOS单元和拟态单元；

变体管理单元，由变体模板池和变体管理两个子单元构成；其中，变体模板池由多个异构的软件定义控制器组成，变体管理子单元对变体模板池进行管理，对变体进行监控、调度和清洗；

NOS单元，由从变体模板池中选出的m个模板实例化后的NOS组成，其中，m≥1，每个选出的NOS独立地从拟态单元接收信息，并独立执行计算，并将结果发送给拟态单元进行裁决；

拟态单元，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给底层网络。

进一步地，所述变体管理子单元由变体模板管理、变体监控、变体调度和变体清洗四个子模块构成；

变体模板管理模块，对变体模板池中的变体模板进行维护管理，包括变体查询、删除、增加以及实例化功能；

变体监控模块，实时获取变体的运行状态，并进行诊断变体是否异常；

变体调度模块，依据变体监控结果或预先设定的变体调度算法，对在线的变体进行调度，选择当前时间周期内运行的变体，根据选择结果将新变体上线，将需要下线的变体下线；

变体清洗模块，根据变体监控结果，对在线或下线的NOS变体进行清洗、重置、修复和剔除操作，确保变体的可信。

进一步地，所述拟态单元由输入输出代理、状态池和裁决器子单元构成；

输入输出代理，隔离保护上层的NOS单元，与底层的交换机建立连接并进行交互，将来自交换机的消息转发给每一个在线运行的网络操作***，同时将拟态单元的裁决结果消息发送给底层的交换机；

裁决器，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给输入输出代理；

状态池，维护拟态单元的基本状态信息。

本发明还提供一种基于上述拟态化网络操作***构建装置的方法，包括以下步骤：

步骤1，将来自底层网络的消息分发给每一个在线运行的异构的网络操作***；

步骤2，网络操作***中内置的监控代理实时地对其状态进行检测，并将结果反馈给变体管理单元，变体管理单元通过分析上传的检测数据推断当前NOS单元的运行状况，如果发现安全风险，则实施切换操作；

步骤3，各个运行的网络操作***独立执行计算；

步骤4，对来自各个网络操作***的计算结果进行多模判决，根据判决结果选出最可信的结果发送给底层网络。

进一步地，所述步骤2中切换操作具体如下：依据变体管理单元下发的策略，得到当前运行变体集合的操作；依据选举机制选出下一时刻的主网络操作***，完成由旧到新的运行网络操作***集合的切换。

进一步地，所述选举机制具体为：当前后两个时刻运行的网络操作***集合有交集时，将交集中最可信的变体作为主网络操作***，若不存在交集，则从新集合中选取可信度最高的变体作为主网络操作***。

进一步地，所述异构的网络操作***采用不同语言、不同算法、不同操作***设计实现，或者采用多样化编译技术对同一源代码的控制器进行编译生成。

本发明提供一种拟态化网络操作***，包括：变体模板池、变体管理层、NOS层和拟态层；所述变体模板池具有多个异构的网络操作***变体；所述变体管理层对变体模板池中的变体进行监控、调度和清洗；所述NOS层由从变体模板池中选出的模板实例化后的NOS构成；所述拟态层由代理、裁决器和状态池构成。

与现有技术相比，本发明具有以下优点：

本申请公开了一种拟态化网络操作***、构建装置及方法，通过运行多样化的NOS，可有效降低NOS间的共性漏洞和后门（或者自然故障）发生的概率；通过动态调度，使得攻击者难以确定***的内部结构，难以构建有效攻击手段；此外，多模表决能及时发现NOS异常（自然故障或攻击故障），并执行清洗，提升了攻击者的攻击难度。使得NOS面临安全威胁时，能极大提升和保证网络运行的鲁棒性、弹性和生存能力，从而提升了SDN的安全性能。

附图说明

图1是本发明实施例的一种拟态化网络操作***构建装置的结构图；

图2是本发明实施例变体调度模块的工作流程图；

图3是本发明实施例一种拟态化网络操作***调度切换的工作流程图；

图4是本发明实施例裁决器的工作流程图；

图5是本发明实施例输入输出代理的工作流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述：

实施例一，参见图1，一种拟态化网络操作***构建装置，包括变体管理单元、NOS单元和拟态单元；

变体管理单元，由变体模板池和变体管理两个子单元构成；其中，变体模板池由多个异构的软件定义控制器组成，这些异构的控制器采用不同语言、不同算法、不同操作***设计实现，或者采用多样化编译技术对同一源代码的控制器进行编译生成；变体管理子单元对变体模板池进行管理，对变体进行监控、调度和清洗；

NOS单元，由变体管理单元依一定的策略从变体模板池中选出的m个模板实例化后的NOS组成，其中，m≥1，每个选出的NOS独立地从拟态单元接收信息，并独立执行计算，并将结果发送给拟态单元进行裁决，NOS单元不直接与交换机通信；

拟态单元，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给底层网络。

所述变体管理子单元由变体模板管理、变体监控、变体调度和变体清洗四个子模块构成；

变体模板管理模块，对变体模板池中的变体模板进行维护管理，包括变体查询、删除、增加以及实例化等功能；

变体监控模块，与在线运行的NOS中内置的监控代理模块以及裁决器进行通信，实时获取变体的运行状态，并进行诊断变体是否异常；

变体调度模块，依据变体监控结果或预先设定的变体调度算法，对在线的变体进行调度，选择当前时间周期内运行的变体，根据选择结果将新变体上线，将需要下线的变体下线；

变体清洗模块，根据变体监控结果，对在线或下线的NOS变体进行清洗、重置、修复和剔除操作，确保变体的可信。

所述拟态单元由输入输出代理、状态池和裁决器子单元构成；

输入输出代理，隔离保护上层的NOS单元，与底层的交换机建立连接并进行交互，将来自交换机的消息转发给每一个在线运行的网络操作***，同时将拟态单元的裁决结果消息发送给底层的交换机；在实际设计与实现时，输入输出代理采用极简的设计模式，避免引入新的脆弱性；

裁决器，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给输入输出代理；多模判决可以采用大数表决方式，也可以采用基于历史经验的策略表决等；

状态池，维护拟态单元的基本状态信息，比如基于历史经验的NOS可信度排名，为新的NOS上线后状态同步提供参考。

参见图2，所述变体调度模块的工作流程如下：

步骤201，变体调度模块接收到调度输入后，通知变体模板管理模块配合其逐步完成重构操作；

步骤202，变体调度模块根据自身配置生成切换指令并送至变体模板管理模块，该模块依据指令向***资源池和变体模板池申请满足需求的资源（如虚拟机和变体），并将申请好的资源（即拟启动的NOS变体）放入变体容器；

具体地，变体调度模块依据对变体的监控结果和预先设定的变体调度算法，计算得到能满足当前网络管理和安全需求的下一时刻即将上线的NOS变体集合，并将此结果提供给变体模板管理模块。

步骤203，变体模板管理模块从状态池中获取最新和最可信的状态信息，对上述将运行的变体集合状态进行同步；

步骤204，变体调度模块将选出的网络操作***集合下发上线，同时下线需要被替换的NOS，完成切换。

参见图3，拟态化网络操作***调度切换实现步骤：

步骤301，依据变体调度模块下发的策略，得到当前运行变体集合的操作，如哪些将继续运行，哪些将被切换；

步骤302，依据一定的选举机制选出下一时刻的主网络操作***，然后完成由旧到新的运行网络操作***集合的切换；

具体地，当前后两个时刻运行的网络操作***集合有交集时，将交集中最可信的变体作为主网络操作***，若不存在交集，则从新集合中选取可信度最高的变体作为主网络操作***。

步骤303，完成新运行的变体集合的最新状态同步操作；

具体地，如果当前运行的主网络操作***是上一时刻保留下来的网络操作***，则直接用该变体状态对剩余的网络操作***同步。否则，从状态池中取出最新状态对运行变体同步。

步骤304，输入代理将后续的底层消息分发给新的网络操作***集合处理；

步骤305，被替换的网络操作***经过检测、清洗和重置等操作重新放回变体模板池中。

参见图4，本实施例裁决器的工作过程为：

步骤401，针对输入单元的请求消息，m个在线NOS分别独立地作出响应，并将其汇聚到解析器；

步骤402，解析器同步m份达到的响应消息，并将m份响应消息进行解析获得匹配域和动作域；

步骤403，对于到来的m个结果裁决器采取大数表决或基于历史经验的策略表决等方式，将最可信的结果输出。

参见图5，输入输出代理的工作过程为：

步骤501，代理中的封装器对底层网络上传的消息利用隧道协议进行封装，隧道协议头部包括版本、NOS编号、APP标识等，便于分发给m个在线的网络操作***的相应的APP；

步骤502，backend接收来自封装器的隧道消息，并提取其中的数据包（如OpenFlow报文），并根据APP标识传递给相应的APP；

步骤503，NOS依据消息形成下发的流表（如OpenFlow flow-mod消息）并交予backend，backend封装成隧道消息，转发给裁决器；

步骤504，裁决器依据步骤503对到来的m条流表进行判决，判决结果交给解封装器，解封装器取出隧道协议等包头信息后，将标准的流表下发至交换机。

参见图1，本实施例还提供一种基于上述拟态化网络操作***构建装置的方法，包括以下步骤：

步骤601，输入代理将来自底层网络的消息分发给每一个在线运行的异构的网络操作***；

步骤602，网络操作***中内置的监控代理实时地对其状态进行检测，并将结果反馈给变体管理单元，变体管理单元通过分析上传的检测数据推断当前NOS单元的运行状况，如果发现安全风险，则实施切换操作；

步骤603，各个运行的网络操作***独立执行计算，并将消息的处理结果下发至裁决器；

步骤604，裁决器对来自各个网络操作***的计算结果进行多模判决，根据判决结果选出最可信的结果发送给输入输出代理，并由其下发到底层网络。

本实施例还提供一种拟态化网络操作***，包括：变体模板池、变体管理层、NOS层和拟态层；所述变体模板池具有多个异构的网络操作***变体；所述变体管理层对变体模板池中的变体进行监控、调度和清洗；所述NOS层由从变体模板池中选出的模板实例化后的NOS构成；所述拟态层由代理、裁决器和状态池构成。

以上所示仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种拟态化网络操作***构建装置，其特征在于，包括变体管理单元、NOS单元和拟态单元；

变体管理单元，由变体模板池和变体管理两个子单元构成；其中，变体模板池由多个异构的软件定义控制器组成，变体管理子单元对变体模板池进行管理，对变体进行监控、调度和清洗；

NOS单元，由从变体模板池中选出的m个模板实例化后的NOS组成，其中，m≥1，每个选出的NOS独立地从拟态单元接收信息，并独立执行计算，并将结果发送给拟态单元进行裁决；

拟态单元，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给底层网络；拟态单元包括输入输出代理和裁决器，输入输出代理，隔离保护上层的NOS单元，与底层的交换机建立连接并进行交互，将来自交换机的消息转发给每一个在线运行的网络操作***，同时将拟态单元的裁决结果消息发送给底层的交换机；裁决器，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给输入输出代理；

输入输出代理工作过程为：

步骤501，代理中的封装器对底层网络上传的消息利用隧道协议进行封装，隧道协议头部包括版本、NOS编号和APP标识，便于分发给m个在线的网络操作***的相应的APP；

步骤502，backend接收来自封装器的隧道消息，并提取其中的数据包，并根据APP标识传递给相应的APP；

步骤503，NOS依据消息形成下发的流表并交予backend，backend封装成隧道消息，转发给裁决器；

步骤504，裁决器依据步骤503对到来的m条流表进行判决，判决结果交给解封装器，解封装器取出隧道协议等包头信息后，将标准的流表下发至交换机。

2.根据权利要求1所述的拟态化网络操作***构建装置，其特征在于，所述变体管理子单元由变体模板管理、变体监控、变体调度和变体清洗四个子模块构成；

变体模板管理模块，对变体模板池中的变体模板进行维护管理，包括变体查询、删除、增加以及实例化功能；

变体监控模块，实时获取变体的运行状态，并进行诊断变体是否异常；

变体调度模块，依据变体监控结果或预先设定的变体调度算法，对在线的变体进行调度，选择当前时间周期内运行的变体，根据选择结果将新变体上线，将需要下线的变体下线；

变体清洗模块，根据变体监控结果，对在线或下线的NOS变体进行清洗、重置、修复和剔除操作，确保变体的可信。

3.根据权利要求1所述的拟态化网络操作***构建装置，其特征在于，所述拟态单元还包括状态池，维护拟态单元的基本状态信息。

4.一种基于权利要求1所述的拟态化网络操作***构建装置的方法，其特征在于，包括以下步骤：

步骤1，将来自底层网络的消息通过输入输出代理分发给每一个在线运行的异构的网络操作***；

步骤2，网络操作***中内置的监控代理实时地对其状态进行检测，并将结果反馈给变体管理单元，变体管理单元通过分析上传的检测数据推断当前NOS单元的运行状况，如果发现安全风险，则实施切换操作；

步骤3，各个运行的网络操作***独立执行计算；

步骤4，对来自各个网络操作***的计算结果进行多模判决，根据判决结果选出最可信的结果通过输入输出代理发送给底层网络；

输入输出代理工作过程为：

步骤501，代理中的封装器对底层网络上传的消息利用隧道协议进行封装，隧道协议头部包括版本、NOS编号和APP标识，便于分发给m个在线的网络操作***的相应的APP；

步骤502，backend接收来自封装器的隧道消息，并提取其中的数据包，并根据APP标识传递给相应的APP；

步骤503，NOS依据消息形成下发的流表并交予backend，backend封装成隧道消息，转发给裁决器；

步骤504，裁决器依据步骤503对到来的m条流表进行判决，判决结果交给解封装器，解封装器取出隧道协议等包头信息后，将标准的流表下发至交换机。

5.根据权利要求4所述的拟态化网络操作***构建装置的方法，其特征在于，所述步骤2中切换操作具体如下：

依据变体管理单元下发的策略，得到当前运行变体集合的操作；依据选举机制选出下一时刻的主网络操作***，完成由旧到新的运行网络操作***集合的切换。

6.根据权利要求5所述的拟态化网络操作***构建装置的方法，其特征在于，所述选举机制具体为：当前后两个时刻运行的网络操作***集合有交集时，将交集中最可信的变体作为主网络操作***，若不存在交集，则从新集合中选取可信度最高的变体作为主网络操作***。

7.根据权利要求4所述的拟态化网络操作***构建装置的方法，其特征在于，所述异构的网络操作***采用不同语言、不同算法、不同操作***设计实现，或者采用多样化编译技术对同一源代码的控制器进行编译生成。

8.一种拟态化网络操作***，其特征在于，包括：变体模板池、变体管理层、NOS层和拟态层；所述变体模板池具有多个异构的网络操作***变体；所述变体管理层对变体模板池中的变体进行监控、调度和清洗；所述NOS层由从变体模板池中选出的模板实例化后的NOS构成；所述拟态层由代理、裁决器和状态池构成；代理，隔离保护上层的NOS层，与底层的交换机建立连接并进行交互，将来自交换机的消息转发给每一个在线运行的网络操作***变体，同时将拟态层的裁决结果消息发送给底层的交换机；裁决器，接收来自NOS层计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给代理；

代理工作过程为：

步骤501，代理中的封装器对底层网络上传的消息利用隧道协议进行封装，隧道协议头部包括版本、NOS编号和APP标识，便于分发给m个在线的网络操作***变体的相应的APP；

步骤502，backend接收来自封装器的隧道消息，并提取其中的数据包，并根据APP标识传递给相应的APP；

步骤503，NOS依据消息形成下发的流表并交予backend，backend封装成隧道消息，转发给裁决器；

步骤504，裁决器依据步骤503对到来的m条流表进行判决，判决结果交给解封装器，解封装器取出隧道协议等包头信息后，将标准的流表下发至交换机。

Images