CN110557437A - 基于自定义协议的普适性拟态分发表决调度装置及方法 - Google Patents

基于自定义协议的普适性拟态分发表决调度装置及方法 Download PDF

Info

Publication number
CN110557437A
CN110557437A CN201910716373.1A CN201910716373A CN110557437A CN 110557437 A CN110557437 A CN 110557437A CN 201910716373 A CN201910716373 A CN 201910716373A CN 110557437 A CN110557437 A CN 110557437A
Authority
CN
China
Prior art keywords
data
unit
voting
module
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910716373.1A
Other languages
English (en)
Other versions
CN110557437B (zh
Inventor
张帆
刘斌
谢光伟
邬江兴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Hongzhen Information Science & Technology Co.,Ltd.
SHANGHAI MIMIC DATA TECHNOLOGY Co.,Ltd.
Original Assignee
Shanghai Mimetic Data Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Mimetic Data Technology Co Ltd filed Critical Shanghai Mimetic Data Technology Co Ltd
Priority to CN201910716373.1A priority Critical patent/CN110557437B/zh
Publication of CN110557437A publication Critical patent/CN110557437A/zh
Application granted granted Critical
Publication of CN110557437B publication Critical patent/CN110557437B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/133Protocols for remote procedure calls [RPC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种基于自定义协议的普适性拟态分发表决调度装置及方法,包括分发单元、异构执行体、表决单元和负反馈调度单元,分发单元包括网络包接收模块、协议转换模块、数据分发模块和管理模块,异构执行体包括数据接收模块、协议转换模块、异构执行单元和数据发送模块,表决单元包括数据接收模块、数据表决模块、协议转换模块、网络包发送模块和管理模块。本发明提供一套具有普适性的拟态构造框架,有利于快速简便的开发出各类拟态防御设备;相对传统防御机制,可获得大幅度的安全性提升,以对***实施更高等级的安全防护;分发单元与表决单元分离的模式可以提高表决器自身安全性,补齐拟态防御设备整体的短板,进而保障***级的安全性。

Description

基于自定义协议的普适性拟态分发表决调度装置及方法
技术领域
本发明涉及拟态分发表决调度技术领域,特别是涉及一种基于自定义协议的普适性拟态分发表决调度装置及方法。
背景技术
现有的拟态防御设备都是根据业务特点自行独立开发一套全新的分发器和表决器,各类拟态防御设备间的分发表决设备无法通用,开发周期长,开发成本高。
但是实际上各拟态设备的分发器和表决器在实现机理上都是大同小异的,其无法通用的主要难点在于各设备所需要接收和处理的业务协议差异太大,但是在分发策略、表决策略及负反馈调度方面都是比较一致的。
目前对于业务协议采用TCP协议及其衍生协议类的拟态设备,普遍采用分发器与表决器一体化设计,无法良好的解决分发模块和表决模块的隔离性,存在攻击可达路径,具有一定的安全短板。
发明内容
本发明针对现有技术存在的问题和不足,提供一种新型的基于自定义协议的普适性拟态分发表决调度装置及方法。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供一种基于自定义协议的普适性拟态分发表决调度装置,其特点在于,其包括分发单元、异构执行体、表决单元和负反馈调度单元,分发单元包括网络包接收模块、协议转换模块、数据分发模块和管理模块,异构执行体包括数据接收模块、协议转换模块、异构执行单元和数据发送模块,表决单元包括数据接收模块、数据表决模块、协议转换模块、网络包发送模块和管理模块;
网络包接收模块用于接收到用户或宿主机的业务请求信息,将其过滤后发送给分发单元中的协议转换模块,同时,网络包接收模块将请求对应的网络状态信息和包编号信息推送给表决单元的网络包发送单元;
分发单元中的协议转换模块用于接收到网络包接收模块发来的业务请求信息,进行协议转换处理后转换成自定义协议数据包并发送给分发单元的数据分发模块;
分发单元中的数据分发模块用于将收到的自定义协议数据包同时发送给多个处于活跃状态的异构执行体,同时按需向负反馈调度单元上报自身的状态信息和业务信息;
异构执行体中的数据接收模块用于接收到自定义协议数据包,经过滤后发送给异构执行体中的协议转换模块;
异构执行体中的协议转换模块用于接收到自定义协议数据包后,根据自定义协议进行解析,再按照预先配置好的参数和协议类型对解析的数据重新封包后发送给异构执行单元;
异构执行单元用于根据接收到的数据包进行相应的操作,并将回应信息发还至异构执行体中的协议转换模块;
异构执行体中的协议转换模块用于收到回应信息后,解析并将解析后数据封装成自定义协议格式后转发给异构执行体中的数据发送模块;
异构执行体中的数据发送模块用于将收到的回应消息通过配置好的链路发送给表决单元的数据接收模块;
表决单元的数据接收模块用于收到数据后根据自定义协议进行数据解析,并根据解析出来的包编号对数据包进行归类汇总后,将同一编号对应的由多个执行体独立返回的数据包发送给数据表决模块进行表决;
数据表决模块用于根据表决单元的管理模块设定的表决策略和算法对收到的数据包进行表决,并将表决结果发送至表决单元的协议转换模块,同时,数据表决模块还记录表决信息并按需推送至表决单元的管理模块;
表决单元的协议转换模块用于根据配置参数信息将收到的表决结果信息解析后封装成适合于业务协议的数据包,并转发给网络包发送模块;
网络包发送模块用于根据通过包编号查找出之前接收到的状态推送信息,对包进行处理后发送给业务访问者。
较佳地,异构执行体中的协议转换模块用于按照预先配置好的参数和协议类型对解析的数据重新封包后发送给代理单元;
代理单元用于根据异构执行体中的协议转换模块发来的数据包对异构执行单元发起请求和调用;
异构执行单元用于将回应信息发还至代理单元;
代理单元用于收到回应信息后将其转发至异构执行体中的协议转换模块。
较佳地,协议转换模块支持的业务协议包括RPC、TCP、UDP、HTTP和HTTPS网络协议。
较佳地,自定义协议包含:原始协议类型、数据包编号、应用编号、IP包头信息、数据长度、数据负载、校验长度、校验数据信息。
较佳地,负反馈调度单元用于对分发模块、表决模块和异构执行体综合管理和智能调度。
较佳地,负反馈调度单元用于接收分发单元发来的状态信息和业务信息,接收表决单元发来的状态信息和裁决信息,接收各异构执行体发来的状态信息和业务负载信息,向分发单元下发命令来控制和改变分发策略,向表决单元下发命令来控制和改变裁决策略,向异构执行体下命令来实现异构执行体的清洗、上线、数据同步、重启等管理操作。
本发明还提供一种基于自定义协议的普适性拟态分发表决调度方法,其特点在于,其利用上述普适性拟态分发表决调度装置实现,其包括以下步骤:
S1、网络包接收模块接收到用户或宿主机的业务请求信息,将其过滤后发送给分发单元中的协议转换模块,同时,网络包接收模块将请求对应的网络状态信息和包编号信息推送给表决单元的网络包发送单元;
S2、分发单元中的协议转换模块接收到网络包接收模块发来的业务请求信息,进行协议转换处理后转换成自定义协议数据包并发送给分发单元的数据分发模块;
S3、分发单元中的数据分发模块将收到的自定义协议数据包同时发送给多个处于活跃状态的异构执行体,同时按需向负反馈调度单元上报自身的状态信息和业务信息;
S4、异构执行体中的数据接收模块接收到自定义协议数据包,经过滤后发送给异构执行体中的协议转换模块;
S5、异构执行体中的协议转换模块接收到自定义协议数据包后,根据自定义协议进行解析,再按照预先配置好的参数和协议类型对解析的数据重新封包后发送给异构执行单元;
S6、异构执行单元根据接收到的数据包进行相应的操作,并将回应信息发还至异构执行体中的协议转换模块;
S7、异构执行体中的协议转换模块收到回应信息后,解析并将解析后数据封装成自定义协议格式后转发给异构执行体中的数据发送模块;
S8、异构执行体中的数据发送模块将收到的回应消息通过配置好的链路发送给表决单元的数据接收模块;
S9、表决单元的数据接收模块收到数据后根据自定义协议进行数据解析,并根据解析出来的包编号对数据包进行归类汇总后,将同一编号对应的由多个执行体独立返回的数据包发送给数据表决模块进行表决;
S10、数据表决模块根据表决单元的管理模块设定的表决策略和算法对收到的数据包进行表决,并将表决结果发送至表决单元的协议转换模块,同时,数据表决模块还记录表决信息并按需推送至表决单元的管理模块;
S11、表决单元的协议转换模块根据配置参数信息将收到的表决结果信息解析后封装成适合于业务协议的数据包,并转发给网络包发送模块;
S12、网络包发送模块根据通过包编号查找出之前接收到的状态推送信息,对包进行处理后发送给业务访问者。
较佳地,在步骤S5中,按照预先配置好的参数和协议类型对解析的数据重新封包后发送给代理单元;
步骤S5和步骤S6之间包括:异构执行体中的代理单元根据异构执行体中的协议转换模块发来的数据包对异构执行单元发起请求和调用;
在步骤S6中、异构执行单元将回应信息发还至代理单元;
步骤S6和步骤S7之间包括:代理单元收到回应信息后将其转发至异构执行体中的协议转换模块。
较佳地,协议转换模块支持的业务协议包括RPC、TCP、UDP、HTTP和HTTPS网络协议;
自定义协议包含:原始协议类型、数据包编号、应用编号、IP包头信息、数据长度、数据负载、校验长度、校验数据信息。
较佳地,负反馈调度单元接收分发单元发来的状态信息和业务信息,接收表决单元发来的状态信息和裁决信息,接收各异构执行体发来的状态信息和业务负载信息,向分发单元下发命令来控制和改变分发策略,向表决单元下发命令来控制和改变裁决策略,向异构执行体下命令来实现异构执行体的清洗、上线、数据同步、重启等管理操作。
在符合本领域常识的基础上,上述各优选条件,可任意组合,即得本发明各较佳实例。
本发明的积极进步效果在于:
1)本发明提供了一套具有普适性的拟态构造框架,有利于快速简便的开发出各类拟态防御设备。
2)本发明所提供的安全效应不依赖于先验知识和其他安全手段,相对传统防御机制,可获得大幅度的安全性提升,以此对***实施更高等级的安全防护。
3)本发明所提供的分发单元与表决单元分离的模式可以提高表决器自身的安全性,补齐拟态防御设备整体的短板,进而保障***级的安全性。
4)本发明内置了协议转换模块,可以良好的兼容各类协议,有效降低了对各类业务进行拟态化改造的难度。
附图说明
图1为本发明较佳实施例的基于自定义协议的普适性拟态分发表决调度装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本实施例提供一种基于自定义协议的普适性拟态分发表决调度装置。
分发单元,其用于接收用户或宿主机的访问请求,进行相应处理后按需同时分发给多个异构执行体。具体实现方式包括但不限于纯软件模块、独立服务器、嵌入式***、FPGA芯片、ASIC芯片等。其具体又包含以下模块:
网络包接收模块,用来接收用户或宿主机发过来的访问请求,经黑白名单过滤后转发给协议转换模块。协议转换模块支持的业务协议包括但不限于RPC\TCP\UDP\HTTP\HTTPS等各种网络协议。同时,协议转换模块在处理TCP及其衍生协议如RPC\HTTP等时,还需要将TCP协议状态信息如窗口大小、序列号、确认号等信息主动推送至表决单元的网络包发送模块。协议转换模块还需要接收管理模块下发的指令并执行相应的操作,如关闭自身、修改黑白名单等。
协议转换模块,用来接收网络包接收模块发来的数据包,并将其转换成自定义协议所要求的格式,再转发至数据分发模块。自定义协议包含但不限于以下内容:原始协议类型、数据包编号、应用编号、IP包头信息、数据长度、数据负载、校验长度、校验数据等信息。
数据分发模块,用来接收协议转换模块转换好的数据信息,接收管理模块发来的分发配置信息,并按照配置信息要求通过专用或通用数据链路将数据按需转发至相应的异构执行体。
管理模块,其用于收集分发单元的状态及业务信息,并按需上报至负反馈调度单元。同时接收负反馈调度单元的各类指令并按指令要求执行相应的操作。指令包括但不限于开启或关闭分发单元内的任一模块、配置和修改分发策略、配置和修改待分发对象、配置和管理网络包接收模块的黑白名单,配置各类报警指标等。
表决单元,其用于接收多个异构执行体的数据信息,进行智能裁决,并将裁决结果经合适处理后发送给访问者(普通用户或宿主机)。具体实现方式包括但不限于纯软件模块、独立服务器、嵌入式***、FPGA芯片、ASIC芯片等。其具体又包含以下模块:
数据接收模块,其用于接收异构执行体发来的回应数据包,按回应数据包中的包编号进行分类汇总后交付给数据表决模块进行后继处理。同时,数据接收模块还需要处理某路异构执行体超过指定时间未返回数据包的情况。
数据表决模块,其用于接收数据接收模块发来的待表决信息,进行智能表决,将表决结果信息发送给协议转换模块。智能表决算法包括但不限于大数一致表决算法、基于时间及访问特性的智能裁决算法等、基于历史表决记录的自学习算法等。
协议转换模块,其用于接收数据表决模块发来的表决结果信息,并将依据数据包中的包类型标识,将该表决结果信息转换成与包类型标识对应的传输协议一致的数据包,再转发至网络包发送模块进行后继处理。该处支持的协议类型包括但不限于RPC协议、http协议、DNS协议、https协议,以及其它的基于TCP和UDP的各类协议。
网络包发送模块,其用于接收协议转换模块发来的数据包以及分发单元推送过来的状态信息,然后根据这些信息重新组装适当的网络数据包,并通过网络发还给业务访问者。此处支持发送的网络数据包包括但不限于TCP、UDP以及其它基于IP协议的各类数据包。
管理模块,其用于收集表决单元的状态及业务信息,并按需上报至负反馈调度单元。同时接收负反馈调度单元的各类指令并按指令要求执行相应的操作。指令包括但不限于开启或关闭表决单元内的任一模块、配置和修改表决算法与策略、配置各类报警指标等。
负反馈调度单元,其用于对分发、表决、执行体等模块的综合管理和智能调度。具体功能如下:接收分发单元发来的状态信息和业务信息;接收表决单元发来的状态信息和裁决信息;接收各异构执行体发来的状态信息和业务负载信息;向分发单元下发命令来控制和改变分发策略;向表决单元下发命令来控制和改变裁决策略;向异构执行体下命令来实现异构执行体的清洗、上线、数据同步、重启等管理操作。负反馈调度单元的具体实现方式包括但不限于纯软件模块、独立服务器、嵌入式***、FPGA芯片、ASIC芯片等。
异构执行体,其用于接收分发单元发来的相关的命令,执行并输出结果至表决单元。异构执行体应采用协议转换、数据重封包等方式来实现其对外表现的一致性(同一输入,在任意执行体上处理,应产生同一结果)。其支持的异构层次包含但不限于硬件芯片层、操作***层、中间件层、应用层等。该部分具体又包含以下模块:
数据接收模块,其用于接收分发单元发来的请求数据信息,经过滤后转发给协议转换模块。支持的过滤方式包括但不限于白名单方式、黑名单方式、其于规则匹配的方式等。
协议转换模块,其用于接收数据接收模块转来的基于自定义协议的请求数据信息,将其解析后重新封装成代理单元可以识别的数据包,再转发给代理单元。同时,协议转换模块也要接收代理单元发来的回应消息数据,解析后重新封装成自定义协议格式的数据包,再转发给数据发送模块。此处协议转换模块可支持转换的协议包括但不限于RPC协议、http协议、DNS协议、https协议,以及其它的基于TCP和UDP的各类协议。
代理单元,其用于实现对异构执行单元的访问,通常由现有业务的标准客户端进行少量二次开发而成。代理单元不是构成本套装置的必须模块。但使用代理单元后可大幅降低异构执行单元的开发难度和开发成本。
异构执行单元,其用于接收代理单元的请求,执行相应的操作,并返回处理结果信息。该模块通常由用户基于现有业务服务端进行少量二次开发而成。用户自己开发好后整合到本装置中,即可以形成一套完整的拟态防御设备。
数据发送模块,其用于接收协议转换模块发来的回应数据信息,并通过适当的数据链路转发给表决单元。
本实施例还提供一种基于自定义协议的普适性拟态分发表决调度方法,包括以下步骤:
1、分发单元中的网络包接收模块接收到用户或宿主机的业务请求信息,将其过滤后发送给分发单元中的协议转换模块。同时,网络包接收模块将请求对应的网络状态信息如TCP窗口大小和包编号等信息推送给表决单元的网络包发送单元。
2、分发单元中的协议转换模块接收到本单元的网络包接收模块发来的业务请求信息,进行协议转换处理后(转换成自定义协议的数据包格式),发送给本单元的数据分发模块。
3、分发单元中的数据分发模块将收到的数据包同时发送给多个处于活跃状态的异构执行体,同时按需向负反馈调度单元上报自身的状态信息和业务信息。
4、异构执行体中的数据接收模块接收到分发单元转发来的自定义协议数据包,经过滤后发送给异构执行体中的协议转换模块。
5、异构执行体中的协议转换模块接收到数据包后,根据自定义协议进行解析,然后再按照预先配置好的参数和协议类型对解析的数据重新封包后发送给代理单元。
6、异构执行体中的代理单元根据异构执行体中的协议转换模块发来的数据包对异构执行单元发起请求和调用。
7、异构执行体中的异构执行单元根据接收到的数据包进行相应的操作(查询状态、执行命令等),并将回应信息发还给代理单元。
8、异构执行体中的代理单元收到异构执行单元发来的回应信息后将其转发至异构执行体中的协议转换模块。
9、异构执行体中的协议转换模块收到代理单元发来的回应信息后,先解析,再将数据封装成自定义协议格式后转发给异构执行体中的数据发送模块。
10、异构执行体中的数据发送模块将收到的回应消息通过配置好的链路发送给表决单元的数据接收模块。
11、表决单元的数据接收模块收到数据后根据自定义协议进行数据解析,并根据解析出来的包编号对数据包进行归类汇总后,将同一编号对应的多个数据包(由多个执行体独立返回)发送给数据表决模块进行表决。
12、数据表决模块根据表决单元的管理模块设定的表决策略和算法对收到的数据包进行表决,并将表决结果发送至表决单元的协议转换模块。同时,数据表决模块还要记录表决信息并按需推送至表决单元的管理模块。
13、表决单元的协议转换模块根据配置参数信息将收到的表决结果信息解析后封装成适合于业务协议的数据包,然后转发给网络包发送模块。
14、网络包发送模块根据通过包编号查找出之前接收到的状态推送信息,对包进行处理后发送给业务访问者。由于TCP等协议要求连接是点对点的,所以此处需要对数据包进行处理,来模拟点对点通信的效果。
至此一次对拟态构造设备的访问请求结束。从访问者的角度看,其访问的是一台普通的业务服务器,而不是一套拟态构造设备。
1)本发明采用基于自定义协议的方式开发一套具有较好普适性和通用性的分发表决调度装置和方法。
2)本发明增加协议转换模块实现各种业务协议到自定义协议的转换,从而实现该装置和方法的普适性。
3)本发明采用单向状态推送技术,进行分发单元到表决单元间的状态同步,从而在保证业务正常连续的情况下实现分发单元和表决单元间的有效隔离,切断攻击可达路径,消除现有平台中TCP业务协议下的安全短板。
4)本发明可同时提供分发单元、表决单元和负反馈调度单元,涵盖了拟态防御装置所必须的三大核心模块,采用该发明后,只要做少量的适配工作,即可以快速发开发出新的拟态防御装置。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (10)

1.一种基于自定义协议的普适性拟态分发表决调度装置,其特征在于,其包括分发单元、异构执行体、表决单元和负反馈调度单元,分发单元包括网络包接收模块、协议转换模块、数据分发模块和管理模块,异构执行体包括数据接收模块、协议转换模块、异构执行单元和数据发送模块,表决单元包括数据接收模块、数据表决模块、协议转换模块、网络包发送模块和管理模块;
网络包接收模块用于接收到用户或宿主机的业务请求信息,将其过滤后发送给分发单元中的协议转换模块,同时,网络包接收模块将请求对应的网络状态信息和包编号信息推送给表决单元的网络包发送单元;
分发单元中的协议转换模块用于接收到网络包接收模块发来的业务请求信息,进行协议转换处理后转换成自定义协议数据包并发送给分发单元的数据分发模块;
分发单元中的数据分发模块用于将收到的自定义协议数据包同时发送给多个处于活跃状态的异构执行体,同时按需向负反馈调度单元上报自身的状态信息和业务信息;
异构执行体中的数据接收模块用于接收到自定义协议数据包,经过滤后发送给异构执行体中的协议转换模块;
异构执行体中的协议转换模块用于接收到自定义协议数据包后,根据自定义协议进行解析,再按照预先配置好的参数和协议类型对解析的数据重新封包后发送给异构执行单元;
异构执行单元用于根据接收到的数据包进行相应的操作,并将回应信息发还至异构执行体中的协议转换模块;
异构执行体中的协议转换模块用于收到回应信息后,解析并将解析后数据封装成自定义协议格式后转发给异构执行体中的数据发送模块;
异构执行体中的数据发送模块用于将收到的回应消息通过配置好的链路发送给表决单元的数据接收模块;
表决单元的数据接收模块用于收到数据后根据自定义协议进行数据解析,并根据解析出来的包编号对数据包进行归类汇总后,将同一编号对应的由多个执行体独立返回的数据包发送给数据表决模块进行表决;
数据表决模块用于根据表决单元的管理模块设定的表决策略和算法对收到的数据包进行表决,并将表决结果发送至表决单元的协议转换模块,同时,数据表决模块还记录表决信息并按需推送至表决单元的管理模块;
表决单元的协议转换模块用于根据配置参数信息将收到的表决结果信息解析后封装成适合于业务协议的数据包,并转发给网络包发送模块;
网络包发送模块用于根据通过包编号查找出之前接收到的状态推送信息,对包进行处理后发送给业务访问者。
2.如权利要求1所述的基于自定义协议的普适性拟态分发表决调度装置,其特征在于,异构执行体中的协议转换模块用于按照预先配置好的参数和协议类型对解析的数据重新封包后发送给代理单元;
代理单元用于根据异构执行体中的协议转换模块发来的数据包对异构执行单元发起请求和调用;
异构执行单元用于将回应信息发还至代理单元;
代理单元用于收到回应信息后将其转发至异构执行体中的协议转换模块。
3.如权利要求1所述的基于自定义协议的普适性拟态分发表决调度装置,其特征在于,协议转换模块支持的业务协议包括RPC、TCP、UDP、HTTP和HTTPS网络协议。
4.如权利要求1所述的基于自定义协议的普适性拟态分发表决调度装置,其特征在于,自定义协议包含:原始协议类型、数据包编号、应用编号、IP包头信息、数据长度、数据负载、校验长度、校验数据信息。
5.如权利要求1所述的基于自定义协议的普适性拟态分发表决调度装置,其特征在于,负反馈调度单元用于对分发模块、表决模块和异构执行体综合管理和智能调度。
6.如权利要求5所述的基于自定义协议的普适性拟态分发表决调度装置,其特征在于,负反馈调度单元用于接收分发单元发来的状态信息和业务信息,接收表决单元发来的状态信息和裁决信息,接收各异构执行体发来的状态信息和业务负载信息,向分发单元下发命令来控制和改变分发策略,向表决单元下发命令来控制和改变裁决策略,向异构执行体下命令来实现异构执行体的清洗、上线、数据同步、重启等管理操作。
7.一种基于自定义协议的普适性拟态分发表决调度方法,其特征在于,其利用如权利要求1中的普适性拟态分发表决调度装置实现,其包括以下步骤:
S1、网络包接收模块接收到用户或宿主机的业务请求信息,将其过滤后发送给分发单元中的协议转换模块,同时,网络包接收模块将请求对应的网络状态信息和包编号信息推送给表决单元的网络包发送单元;
S2、分发单元中的协议转换模块接收到网络包接收模块发来的业务请求信息,进行协议转换处理后转换成自定义协议数据包并发送给分发单元的数据分发模块;
S3、分发单元中的数据分发模块将收到的自定义协议数据包同时发送给多个处于活跃状态的异构执行体,同时按需向负反馈调度单元上报自身的状态信息和业务信息;
S4、异构执行体中的数据接收模块接收到自定义协议数据包,经过滤后发送给异构执行体中的协议转换模块;
S5、异构执行体中的协议转换模块接收到自定义协议数据包后,根据自定义协议进行解析,再按照预先配置好的参数和协议类型对解析的数据重新封包后发送给异构执行单元;
S6、异构执行单元根据接收到的数据包进行相应的操作,并将回应信息发还至异构执行体中的协议转换模块;
S7、异构执行体中的协议转换模块收到回应信息后,解析并将解析后数据封装成自定义协议格式后转发给异构执行体中的数据发送模块;
S8、异构执行体中的数据发送模块将收到的回应消息通过配置好的链路发送给表决单元的数据接收模块;
S9、表决单元的数据接收模块收到数据后根据自定义协议进行数据解析,并根据解析出来的包编号对数据包进行归类汇总后,将同一编号对应的由多个执行体独立返回的数据包发送给数据表决模块进行表决;
S10、数据表决模块根据表决单元的管理模块设定的表决策略和算法对收到的数据包进行表决,并将表决结果发送至表决单元的协议转换模块,同时,数据表决模块还记录表决信息并按需推送至表决单元的管理模块;
S11、表决单元的协议转换模块根据配置参数信息将收到的表决结果信息解析后封装成适合于业务协议的数据包,并转发给网络包发送模块;
S12、网络包发送模块根据通过包编号查找出之前接收到的状态推送信息,对包进行处理后发送给业务访问者。
8.如权利要求7所述的基于自定义协议的普适性拟态分发表决调度方法,其特征在于,在步骤S5中,按照预先配置好的参数和协议类型对解析的数据重新封包后发送给代理单元;
步骤S5和步骤S6之间包括:异构执行体中的代理单元根据异构执行体中的协议转换模块发来的数据包对异构执行单元发起请求和调用;
在步骤S6中、异构执行单元将回应信息发还至代理单元;
步骤S6和步骤S7之间包括:代理单元收到回应信息后将其转发至异构执行体中的协议转换模块。
9.如权利要求7所述的基于自定义协议的普适性拟态分发表决调度方法,其特征在于,协议转换模块支持的业务协议包括RPC、TCP、UDP、HTTP和HTTPS网络协议;
自定义协议包含:原始协议类型、数据包编号、应用编号、IP包头信息、数据长度、数据负载、校验长度、校验数据信息。
10.如权利要求7所述的基于自定义协议的普适性拟态分发表决调度方法,其特征在于,负反馈调度单元接收分发单元发来的状态信息和业务信息,接收表决单元发来的状态信息和裁决信息,接收各异构执行体发来的状态信息和业务负载信息,向分发单元下发命令来控制和改变分发策略,向表决单元下发命令来控制和改变裁决策略,向异构执行体下命令来实现异构执行体的清洗、上线、数据同步、重启等管理操作。
CN201910716373.1A 2019-08-05 2019-08-05 基于自定义协议的普适性拟态分发表决调度装置及方法 Active CN110557437B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910716373.1A CN110557437B (zh) 2019-08-05 2019-08-05 基于自定义协议的普适性拟态分发表决调度装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910716373.1A CN110557437B (zh) 2019-08-05 2019-08-05 基于自定义协议的普适性拟态分发表决调度装置及方法

Publications (2)

Publication Number Publication Date
CN110557437A true CN110557437A (zh) 2019-12-10
CN110557437B CN110557437B (zh) 2021-11-19

Family

ID=68737071

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910716373.1A Active CN110557437B (zh) 2019-08-05 2019-08-05 基于自定义协议的普适性拟态分发表决调度装置及方法

Country Status (1)

Country Link
CN (1) CN110557437B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111416865A (zh) * 2020-03-24 2020-07-14 河南信大网御科技有限公司 一种基于拟态防御的协议代理处理方法及***
CN111475805A (zh) * 2020-04-13 2020-07-31 中国人民解放军战略支援部队信息工程大学 一种拟态表决器的安全运行方法及***
CN111628978A (zh) * 2020-05-21 2020-09-04 河南信大网御科技有限公司 一种拟态归一化裁决***、方法及可读存储介质
CN111698234A (zh) * 2020-06-03 2020-09-22 北京润通丰华科技有限公司 一种dns防御***中异构体的调用方法
CN111866030A (zh) * 2020-09-21 2020-10-30 之江实验室 一种拟态边缘网关的工业协议识别装置及方法
CN111865661A (zh) * 2020-06-16 2020-10-30 中国人民解放军战略支援部队信息工程大学 一种面向网络设备管理协议的异常配置检测装置及方法
CN112130798A (zh) * 2020-09-23 2020-12-25 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 武器装备控制内生安全计算机设计***及方法
CN112235269A (zh) * 2020-09-29 2021-01-15 中国人民解放军战略支援部队信息工程大学 一种分布式模式的拟态括号实现装置及方法
CN112242998A (zh) * 2020-09-29 2021-01-19 中国人民解放军战略支援部队信息工程大学 一种主备模式的网络威胁检测与处理装置及方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160371489A1 (en) * 2015-06-17 2016-12-22 Accenture Global Services Limited Event anomaly analysis and prediction
CN106534046A (zh) * 2015-09-10 2017-03-22 中国科学院声学研究所 一种拟态数据传输服务器及数据传输方法
CN107395414A (zh) * 2017-07-19 2017-11-24 上海红阵信息科技有限公司 一种基于输出裁决的负反馈控制方法及***
CN108400968A (zh) * 2018-01-16 2018-08-14 杭州电子科技大学 一种高效的实现拟态防御模型分发器的方法
CN109408452A (zh) * 2018-01-29 2019-03-01 天津芯海创科技有限公司 拟态工控处理器及数据处理方法
CN109450900A (zh) * 2018-11-09 2019-03-08 天津市滨海新区信息技术创新中心 拟态判决方法、装置及***
CN109491668A (zh) * 2018-10-11 2019-03-19 浙江工商大学 一种sdn/nfv服务部署的拟态防御构架及方法
CN109525418A (zh) * 2018-10-11 2019-03-26 浙江工商大学 一种拟态防御下服务部署执行体集合异构度保证的调度方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160371489A1 (en) * 2015-06-17 2016-12-22 Accenture Global Services Limited Event anomaly analysis and prediction
CN106534046A (zh) * 2015-09-10 2017-03-22 中国科学院声学研究所 一种拟态数据传输服务器及数据传输方法
CN107395414A (zh) * 2017-07-19 2017-11-24 上海红阵信息科技有限公司 一种基于输出裁决的负反馈控制方法及***
CN108400968A (zh) * 2018-01-16 2018-08-14 杭州电子科技大学 一种高效的实现拟态防御模型分发器的方法
CN109408452A (zh) * 2018-01-29 2019-03-01 天津芯海创科技有限公司 拟态工控处理器及数据处理方法
CN109491668A (zh) * 2018-10-11 2019-03-19 浙江工商大学 一种sdn/nfv服务部署的拟态防御构架及方法
CN109525418A (zh) * 2018-10-11 2019-03-26 浙江工商大学 一种拟态防御下服务部署执行体集合异构度保证的调度方法
CN109450900A (zh) * 2018-11-09 2019-03-08 天津市滨海新区信息技术创新中心 拟态判决方法、装置及***

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
仝青等: "拟态防御Web服务器设计与实现", 《软件学报》 *
吕平: "新一代软件定义体系结构", 《中国科学:信息科学》 *
李卫超: "基于拟态防御架构的多余度裁决建模与风险分析", 《信息安全学报》 *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111416865A (zh) * 2020-03-24 2020-07-14 河南信大网御科技有限公司 一种基于拟态防御的协议代理处理方法及***
CN111416865B (zh) * 2020-03-24 2022-12-13 河南信大网御科技有限公司 一种基于拟态防御的协议代理处理方法及***
CN111475805B (zh) * 2020-04-13 2022-12-02 中国人民解放军战略支援部队信息工程大学 一种拟态表决器的安全运行方法及***
CN111475805A (zh) * 2020-04-13 2020-07-31 中国人民解放军战略支援部队信息工程大学 一种拟态表决器的安全运行方法及***
CN111628978A (zh) * 2020-05-21 2020-09-04 河南信大网御科技有限公司 一种拟态归一化裁决***、方法及可读存储介质
CN111698234A (zh) * 2020-06-03 2020-09-22 北京润通丰华科技有限公司 一种dns防御***中异构体的调用方法
CN111865661A (zh) * 2020-06-16 2020-10-30 中国人民解放军战略支援部队信息工程大学 一种面向网络设备管理协议的异常配置检测装置及方法
CN111866030A (zh) * 2020-09-21 2020-10-30 之江实验室 一种拟态边缘网关的工业协议识别装置及方法
CN112130798A (zh) * 2020-09-23 2020-12-25 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 武器装备控制内生安全计算机设计***及方法
CN112130798B (zh) * 2020-09-23 2024-04-02 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 武器装备控制内生安全计算机设计***及方法
CN112235269B (zh) * 2020-09-29 2022-06-21 中国人民解放军战略支援部队信息工程大学 一种分布式模式的拟态括号实现装置及方法
CN112242998A (zh) * 2020-09-29 2021-01-19 中国人民解放军战略支援部队信息工程大学 一种主备模式的网络威胁检测与处理装置及方法
CN112235269A (zh) * 2020-09-29 2021-01-15 中国人民解放军战略支援部队信息工程大学 一种分布式模式的拟态括号实现装置及方法

Also Published As

Publication number Publication date
CN110557437B (zh) 2021-11-19

Similar Documents

Publication Publication Date Title
CN110557437B (zh) 基于自定义协议的普适性拟态分发表决调度装置及方法
CN112769938B (zh) 一种基于QUIC的Kubernetes云边通信***与方法
EP0951155B1 (fr) Procédé et système d'administration de réseaux et de systèmes
US8843605B2 (en) Method and system for filtering and suppression of telemetry data
CN107070613B (zh) 分布式网络环境下数据可靠传输方法
US20140310358A1 (en) Adaptive Publish/Subscribe System
US10887408B2 (en) Remote monitoring of network communication devices
US20080162690A1 (en) Application Management System
CN104065514A (zh) 一种基于netconf中继的家庭网络管理方法
CN116346948A (zh) 一种基于微服务的多协议规约转换方法及***
US10554625B2 (en) Integrated PCS functional competency assessment
CN112486706B (zh) 一种基于mqtt消息驱动机制的物联网本地设备联动方法
CN113132218B (zh) 一种家庭网关访问方法、装置、***处理器及存储介质
US20210036973A1 (en) Chatbot context setting using packet capture
CN111064825A (zh) 一种基于arp实现dpi数据采集和控制方法和装置
CN116319729A (zh) 机器人控制方法、装置、服务器、***及存储介质
CN114089711B (zh) 工业设备控制管理方法、电子设备及存储介质
US20160147488A1 (en) Collaborative Remote Maintenance of Printing Devices via Communication with Multiple Servers
US11252064B2 (en) System and method for monitoring ingress/egress packets at a network device
US8352592B2 (en) Controlling emission of events from managed systems to external management systems
CN105577433A (zh) 一种acs集群管理方法、装置和***
CN114513502B (zh) 文件处理方法、装置、电子设备及存储介质
JP2008103787A (ja) 機器情報管理サーバ
US11729075B1 (en) Time series data collection for a network management system
CN110868317B (zh) 设备监测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20210406

Address after: 200120 118, 20, 1-42 Lane 83, Hongxiang North Road, Wanxiang Town, Pudong New Area, Shanghai.

Applicant after: SHANGHAI MIMIC DATA TECHNOLOGY Co.,Ltd.

Applicant after: Shanghai Hongzhen Information Science & Technology Co.,Ltd.

Address before: 200120 118, 20, 1-42 Lane 83, Hongxiang North Road, Wanxiang Town, Pudong New Area, Shanghai.

Applicant before: SHANGHAI MIMIC DATA TECHNOLOGY Co.,Ltd.

CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Xie Guangwei

Inventor after: Zhang Fan

Inventor after: Liu Bin

Inventor after: Wu Jiangxing

Inventor before: Zhang Fan

Inventor before: Liu Bin

Inventor before: Xie Guangwei

Inventor before: Wu Jiangxing

GR01 Patent grant
GR01 Patent grant