CN108400968A - 一种高效的实现拟态防御模型分发器的方法 - Google Patents
一种高效的实现拟态防御模型分发器的方法 Download PDFInfo
- Publication number
- CN108400968A CN108400968A CN201810038734.7A CN201810038734A CN108400968A CN 108400968 A CN108400968 A CN 108400968A CN 201810038734 A CN201810038734 A CN 201810038734A CN 108400968 A CN108400968 A CN 108400968A
- Authority
- CN
- China
- Prior art keywords
- sessionid
- distributor
- request
- virtual
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/142—Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种高效的实现拟态防御模型分发器的方法。本发明步骤如下:步骤(1)对于每个客户端发来的数据包,将其存放在分发器中,在分发器中维护一个虚拟SessionId到真实SessionId的映射表,客户端发来的请求中SessionId为虚拟SessionId,在映射表中替换为真实SessionId;步骤(2)当用户请求过大时,我们采取了“头复制,体链接”的方式,只对HTTP请求头进行复制,而请求体的数据采用链接方式即可。当分发器将请求复制分发给N个服务器后,此请求所占用空间即可收回;步骤(3)经过如上所述的两次预处理后,分发器就可以高效的将用户请求发送到服务器后端的执行体上,实现分发器的功能。本发明尽可能降低延时、提高效率,为整套***提供了更加高效的解决方案。
Description
技术领域
本发明属于计算机软件技术领域,具体是一种高效的实现拟态防御模型分发器的方法。
背景技术
Web服务器***面临的安全问题日益严重,而传统防御技术又处在被动防御位置,难以很好地应对未知攻击威胁的问题。于是美国提出了移动目标防御(moving targetdefense,MTD)的设想,这是美国针对防御者当前所处劣势地位而提出的一个“改变游戏规则”的网络安全发展方向,期望通过实施持续、动态的变化迷惑攻击者,以增加其攻击成本和复杂度,降低其攻击成功率。
有人提出了基于“动态异构冗余”结构的拟态防御模型,期望通过在主动和被动触发条件下动态地、伪随机地选择执行各种硬件变体以及相应的软件变体,使得内外部攻击者观察到的硬件执行环境和软件工作状况非常不确定,无法或很难构建起基于漏洞(bug)或后门的攻击链,以达成降低***安全风险的目的。“动态异构冗余”结构在“处理”环节使用异构执行体集合进行处理,将同一输入通过输入代理复制为N份,并分发给执行体集中的N个异构执行体进行处理,将处理结果收集至表决器进行表决,得到唯一的相对正确的输出。这样就可以大大提高Web服务器的安全性。
发明内容
本发明的目的是针对现有技术的不足,提供一种高效的实现拟态防御模型分发器的方法。
本发明解决其技术问题所采用的技术方案包括如下步骤:
步骤(1)对于每个客户端发来的数据包,将其存放在分发器中,由于多个后端服务器中保存有多个不同的SessionId,所以需要在分发器中维护一个虚拟SessionId到真实SessionId的映射表,客户端发来的请求中SessionId为虚拟SessionId,在映射表中替换为真实SessionId,映射表的key值为虚拟SessionId,value值为N个服务器的真实SessionId,虚拟SessionId由分发器生成,客户端收到的HTTP返回包中,只有这个虚拟的SessionId,客户端也只需要使用这个虚拟的SessionId和服务器端交互;
步骤(2)当用户请求过大时,如果单纯的将请求的数据复制N份,那么将会多占用分发器N倍的空间,采取“头复制,体链接”的方式,即只对HTTP请求头进行复制,HTTP请求头中包含有Cookie、SessionId等信息,而请求体的数据并不需要发生变化,所以只需要保存HTTP请求体的链接即可。当分发器将请求复制分发给N个服务器后,此请求所占用空间即可收回;
步骤(3)经过步骤(1)和(2)的两次预处理后,分发器就能够高效的将用户请求发送到服务器后端的执行体上,实现分发器的功能。
本发明有益效果:
本发明通过采用映射表维护虚拟SessionId到真实SessionId的映射,并且采用“头复制,体链接”的方案,实现了分发器模块,从而尽可能降低延时、提高效率,为整套***提供了更加高效的解决方案。
本发明借助映射表和指针的精细操作,实现了一个高效的拟态防御模型的分发器模块。
附图说明
图1为本发明示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。
如图1所示,一种高效的实现拟态防御模型分发器的方法,包括如下步骤:
步骤(1)对于每个客户端发来的数据包,将其存放在分发器中,由于多个后端服务器中保存有多个不同的SessionId,所以需要在分发器中维护一个虚拟SessionId到真实SessionId的映射表,客户端发来的请求中SessionId为虚拟SessionId,在映射表中替换为真实SessionId,映射表的key值为虚拟SessionId,value值为N个服务器的真实SessionId,虚拟SessionId由分发器生成,客户端收到的HTTP返回包中,只有这个虚拟的SessionId,客户端也只需要使用这个虚拟的SessionId和服务器端交互;
步骤(2)当用户请求过大时,如果单纯的将请求的数据复制N份,那么将会多占用分发器N倍的空间,我们采取了“头复制,体链接”的方式,即只对HTTP请求头进行复制,HTTP请求头中包含有Cookie、SessionId等信息,而请求体的数据并不需要发生变化,所以只需要保存HTTP请求体的链接即可。当分发器将请求复制分发给N个服务器后,此请求所占用空间即可收回;
步骤(3)经过如上所述的两次预处理后,分发器就可以高效的将用户请求发送到服务器后端的执行体上,实现分发器的功能。
Claims (1)
1.一种高效的实现拟态防御模型分发器的方法,其特征在于包括如下步骤:
步骤(1)对于每个客户端发来的数据包,将其存放在分发器中,由于多个后端服务器中保存有多个不同的SessionId,所以需要在分发器中维护一个虚拟SessionId到真实SessionId的映射表,客户端发来的请求中SessionId为虚拟SessionId,在映射表中替换为真实SessionId,映射表的key值为虚拟SessionId,value值为N个服务器的真实SessionId,虚拟SessionId由分发器生成,客户端收到的HTTP返回包中只有这个虚拟的SessionId,客户端也只需要使用这个虚拟的SessionId和服务器端交互;
步骤(2)当用户请求过大时,采取“头复制,体链接”的方式:即只对HTTP请求头进行复制,HTTP请求头中包含有Cookie、SessionId信息,而请求体的数据并不需要发生变化,所以只需要保存HTTP请求体的链接即可;当分发器将请求复制分发给N个服务器后,此请求所占用空间即可收回;
步骤(3)经过步骤(1)和(2)的两次预处理后,分发器就能够高效的将用户请求发送到服务器后端的执行体上,实现分发器的功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810038734.7A CN108400968B (zh) | 2018-01-16 | 2018-01-16 | 一种实现拟态防御模型分发器的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810038734.7A CN108400968B (zh) | 2018-01-16 | 2018-01-16 | 一种实现拟态防御模型分发器的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108400968A true CN108400968A (zh) | 2018-08-14 |
CN108400968B CN108400968B (zh) | 2019-12-24 |
Family
ID=63094861
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810038734.7A Active CN108400968B (zh) | 2018-01-16 | 2018-01-16 | 一种实现拟态防御模型分发器的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108400968B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110557437A (zh) * | 2019-08-05 | 2019-12-10 | 上海拟态数据技术有限公司 | 基于自定义协议的普适性拟态分发表决调度装置及方法 |
CN112422579A (zh) * | 2020-11-30 | 2021-02-26 | 福州大学 | 一种基于拟态防御Sketch的执行体集构建方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7139792B1 (en) * | 2000-09-29 | 2006-11-21 | Intel Corporation | Mechanism for locking client requests to a particular server |
CN101247367A (zh) * | 2008-04-08 | 2008-08-20 | 中国电信股份有限公司 | 基于内容分发网络和对等网络的内容提供方法和*** |
CN101483662A (zh) * | 2008-01-09 | 2009-07-15 | 财团法人工业技术研究院 | 虚拟储存网络交换器的封包转送装置与方法 |
CN103036910A (zh) * | 2013-01-05 | 2013-04-10 | 北京网康科技有限公司 | 一种用户Web访问行为控制方法及装置 |
CN104954384A (zh) * | 2015-06-24 | 2015-09-30 | 浙江大学 | 一种保护Web应用安全的url拟态方法 |
CN106656834A (zh) * | 2016-11-16 | 2017-05-10 | 上海红阵信息科技有限公司 | Is‑is路由协议异构功能等价体并行归一化装置及方法 |
CN106874755A (zh) * | 2017-01-22 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法 |
CN107092518A (zh) * | 2017-04-17 | 2017-08-25 | 上海红神信息技术有限公司 | 一种保护拟态防御***软件层安全的编译方法 |
-
2018
- 2018-01-16 CN CN201810038734.7A patent/CN108400968B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7139792B1 (en) * | 2000-09-29 | 2006-11-21 | Intel Corporation | Mechanism for locking client requests to a particular server |
CN101483662A (zh) * | 2008-01-09 | 2009-07-15 | 财团法人工业技术研究院 | 虚拟储存网络交换器的封包转送装置与方法 |
CN101247367A (zh) * | 2008-04-08 | 2008-08-20 | 中国电信股份有限公司 | 基于内容分发网络和对等网络的内容提供方法和*** |
CN103036910A (zh) * | 2013-01-05 | 2013-04-10 | 北京网康科技有限公司 | 一种用户Web访问行为控制方法及装置 |
CN104954384A (zh) * | 2015-06-24 | 2015-09-30 | 浙江大学 | 一种保护Web应用安全的url拟态方法 |
CN106656834A (zh) * | 2016-11-16 | 2017-05-10 | 上海红阵信息科技有限公司 | Is‑is路由协议异构功能等价体并行归一化装置及方法 |
CN106874755A (zh) * | 2017-01-22 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法 |
CN107092518A (zh) * | 2017-04-17 | 2017-08-25 | 上海红神信息技术有限公司 | 一种保护拟态防御***软件层安全的编译方法 |
Non-Patent Citations (1)
Title |
---|
梁慧兵等: "The Implement of Voting Device in Mimicry Defense Model", 《REVISTA DE LA FACULTAD DE INGENIERIA》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110557437A (zh) * | 2019-08-05 | 2019-12-10 | 上海拟态数据技术有限公司 | 基于自定义协议的普适性拟态分发表决调度装置及方法 |
CN110557437B (zh) * | 2019-08-05 | 2021-11-19 | 上海拟态数据技术有限公司 | 基于自定义协议的普适性拟态分发表决调度装置及方法 |
CN112422579A (zh) * | 2020-11-30 | 2021-02-26 | 福州大学 | 一种基于拟态防御Sketch的执行体集构建方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108400968B (zh) | 2019-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | Detection and defense of DDoS attack–based on deep learning in OpenFlow‐based SDN | |
US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
EP4400988A2 (en) | System and method for url fetching retry mechanism | |
Daglis et al. | RPCValet: NI-driven tail-aware balancing of µs-scale RPCs | |
CN102291390B (zh) | 一种基于云计算平台的防御拒绝服务攻击的方法 | |
Liljenstam et al. | Rinse: The real-time immersive network simulation environment for network security exercises (extended version) | |
Walfish et al. | DDoS defense by offense | |
Sanka et al. | Efficient high performance FPGA based NoSQL caching system for blockchain scalability and throughput improvement | |
CN103347020B (zh) | 一种跨应用认证访问的***及方法 | |
CN110768966B (zh) | 一种基于拟态防御的安全云管理***构建方法和装置 | |
CN107454039B (zh) | 网络攻击检测***、方法和计算机可读存储介质 | |
CN110213208A (zh) | 一种处理请求的方法和装置以及存储介质 | |
US20190147451A1 (en) | Collaborate Fraud Prevention | |
CN108400968A (zh) | 一种高效的实现拟态防御模型分发器的方法 | |
CN109873876A (zh) | 一种分布式虚拟环境的交互和计算负载均衡分配的方法 | |
JP7178421B2 (ja) | 情報処理方法、装置、プログラム、及び記録媒体 | |
CN107306255A (zh) | 防御流量攻击方法、预设列表生成方法、装置及清洗设备 | |
CN107995202A (zh) | 一种采用Hash表组合实现拟态防御模型表决器的方法 | |
Roy et al. | Fuzzy miner selection toward Blockchain-based secure communication using multifactor authentication | |
Roberts et al. | Bounding inconsistency using a novel threshold metric for dead reckoning update packet generation | |
Suksomboon et al. | Towards performance prediction of multicore software routers | |
JP7178422B2 (ja) | 情報処理方法、装置、プログラム、及び記録媒体 | |
CN110460559A (zh) | 分布式撞库行为的检测方法、装置及计算机可读存储介质 | |
CN108494805A (zh) | 一种cc攻击的处理方法及装置 | |
Krizhanovsky | Tempesta: a framework for HTTP DDoS attacks mitigation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
EE01 | Entry into force of recordation of patent licensing contract | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20180814 Assignee: Hangzhou Greentown Information Technology Co.,Ltd. Assignor: HANGZHOU DIANZI University Contract record no.: X2023330000109 Denomination of invention: A Method for Implementing a Pseudo Defense Model Distributor Granted publication date: 20191224 License type: Common License Record date: 20230311 |