CN111163070A - 一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质 - Google Patents

一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质 Download PDF

Info

Publication number
CN111163070A
CN111163070A CN201911311849.XA CN201911311849A CN111163070A CN 111163070 A CN111163070 A CN 111163070A CN 201911311849 A CN201911311849 A CN 201911311849A CN 111163070 A CN111163070 A CN 111163070A
Authority
CN
China
Prior art keywords
service
data
service chain
class
deployment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911311849.XA
Other languages
English (en)
Inventor
汤中运
李传煌
王伟明
雷睿
叶晨轶
陈泽斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Gongshang University
Original Assignee
Zhejiang Gongshang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Gongshang University filed Critical Zhejiang Gongshang University
Priority to CN201911311849.XA priority Critical patent/CN111163070A/zh
Publication of CN111163070A publication Critical patent/CN111163070A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质,该方法包括:获取所有服务链部署执行体的数据,每组数据的内容包括服务功能和服务路径;将所有服务功能分别提取对比,并对服务路径分别提取对比,若两组数据的服务功能相同且服务路径相同则判定为两组数据一致,将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据;将输出为异常数据的执行体进行反馈,并进行清洗或下线。本申请提供的一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质,增强了拟态服务链部署***的安全性。

Description

一种拟态防御下服务链***署的正确链路判决方法、装置、 设备及介质
技术领域
本申请实施例涉及服务部署和拟态安全防御领域,具体涉及一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质。
背景技术
随着软件定义网络(Software Defined Network,SDN)技术和网络功能虚拟化(Network Function Virtualization,NFV)技术的出现和运用,服务功能链的部署又重新焕发出了生机。基于SDN/NFV技术进行服务功能链部署,NFV技术能够虚拟化常见的物理设备,并且能够为各种网络服务功能构建资源池。SDN技术通过将网络设备的控制与转发进行分离,可以动态的、集中地调度流量的路径,从而提供定制化和灵活的对接。用户和运营商可以通过NFV技术识别业务的需求,创建服务功能链上的各个虚拟服务功能(VirtualNetwork Function,VNF),并且可以自动地配置这些虚拟服务功能的业务逻辑,再通过SDN自动地引导相关业务流量依次、有序的通过这些虚拟服务功能,来完成服务功能链的创建。
动态异构冗余(DHR)模型为拟态防御的基本模型,在该模型下,异构执行体集合进行处理这一重要环节,调度器将同一输入复制成M份,并将这M份消息发送到异构执行体集合,由异构执行体集合中的M个执行体对这M份消息进行处理,将处理的结果送到判决器中进行判决,得到唯一的相对正确的输出结果,调度器根据***运行时的反馈控制消息,调度器将生成新的异构执行体集合来替代当前的集合。拟态防御是基于攻击的本质,通过***架构的内生特征提供防御功能。因此,无论是对已知的和还是未知的安全威胁均可以起到较强的防御效果。
拟态防御下服务部署***中的判决器主要有两个重要作用:1、通过比较各个执行体的输出结果,即服务功能和服务路径数据,来选择出相对多数的结果作为正确结果进行最终的服务链部署输出。从而保证如果部分执行体被攻击,也可以输出正确结果,从而保证服务链的正常部署。攻击者若想成功攻击本***,需成功攻击多数不同***下的不同服务部署执行体,这大大增加了攻击者攻击难度。2、判决器还将根据其判决结果将异常的服务链部署执行体反馈给调度器,由调度器进行下线和清洗处理,从而保证整个执行体池的纯洁性。本发明的判决方法是需同时进行两次判决工作,包括服务功能编排和服务路径选择。最后,判决器将在正常的执行体集合中随机选择一个执行体,通过其与底层服务资源池进行连接,在具体实例中完成满足用户业务需求的服务功能链。
发明内容
鉴于此,本申请实施例提供一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质,解决了多执行体联合工作方式下的输出结果判决问题。
本申请实施例所采用的技术方案如下:
第一方面,本申请实施例提供一种拟态防御下服务链***署的正确链路判决方法,应用于,包括:
获取所有服务链部署执行体的数据,每组数据的内容包括服务功能和服务路径;
将所有服务功能分别提取对比,并对服务路径分别提取对比,若两组数据的服务功能相同且服务路径相同则判定为两组数据一致,将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据;
将输出为异常数据的执行体进行反馈;
对输出为异常数据的执行体进行清洗或下线。
进一步的,所述接收所有服务链部署执行体的数据,每组数据的内容包括服务功能和服务路径,包括:
用集合V来表示所有服务链部署执行体中M个执行体的输出结果:
V=(V1,V2,…,Vi,…,VM)
其中每个执行体的输出结果用一个四元组来描述,即:
Vi=(Ii,Ei,SFi,SFPi)
其中,Ii,Ei分别表示第i个执行体输出结果中的服务链请求业务流量经过的源地址和目的地址,SFi表示第i个执行体输出结果中的服务链请求业务流量经过的各种服务功能的集合,SFPi表示第i个执行体输出结果中服务链请求业务流量经过的服务路径的集合。
进一步的,所述将上述所有服务功能分别提取对比,并对服务路径分别提取对比,若两组数据的服务功能相同且服务路径相同则判定为两组数据一致,将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据,包括:
定义服务功能比较函数w1(SFi,SFj)来表示各个执行体输出结果中的服务链请求业务流量经过的服务功能相互之间的比较结果,其中i≠j,则:
Figure BDA0002324744970000021
定义服务路径比较函数w2(SFPi,SFPj)来表示各个执行体的输出结果中的服务链请求业务流量经过的服务路径相互之间的比较结果,其中i≠j,则:
Figure BDA0002324744970000031
当两个执行体的输出结果中的服务功能和服务路径两者的判决结果均一致时,认为两个执行体的输出结果是一致的,即:
SFi=SFj∪SFPi=SFPj
Vi=Vj
(i≠j)
将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据。
进一步的,所述将异常数据对应的执行体进行清洗或下线,包括:
令sign为反馈标志函数:
Figure BDA0002324744970000032
当反馈标志函数sign值为1时,表示执行体集合中的执行体均是正常的,当反馈标志函数sign值为-1时,表示执行体集合中有执行体发生了异常,此时判决器会向调度器进行异常反馈,调度器在收到判决器的反馈后会对发生异常的执行体进行清洗或下线处理,直到执行体集合中只剩下了正常的执行体。
第二方面,本申请实施例提供一种拟态防御下服务链***署的正确链路判决装置,其特征在于,包括:
接收模块,用于获取所有服务链部署执行体的数据,每组数据的内容包括服务功能和服务路径;
判决模块,用于将所有服务功能分别提取对比,并对服务路径分别提取对比,若两组数据的服务功能相同且服务路径相同则判定为两组数据一致,将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据;
反馈模块,用于将输出为异常数据的执行体进行反馈;
清除模块,用于对输出为异常数据的执行体进行清洗或下线。
第三方面,本申请实施例提供一种设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面所述的一种拟态防御下服务链***署的正确链路判决方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面所述的一种拟态防御下服务链***署的正确链路判决方法。
采用上述的技术方案,本申请实施例所带来的有益效果如下:
本申请采用了一种拟态防御下服务链***署的判决方法,通过执行体数据结果少数服从多数的方法,能有效地增加黑客攻破***的工作量,只有当黑客攻破半数以上执行体时才能攻击成功。同时本申请的反馈、清洗模块能有效地保护执行体集合的纯洁性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例一提供的一种拟态防御下服务链***署的正确链路判决方法的流程图;
图2为本申请实施例一提供的判决处理具体工作流程图;
图3为本申请实施例二提供的一种拟态防御下服务链***署的正确链路判决装置的结构示意图;
图4为申请实施例三提供的一种设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一:
图1为本申请实施例一提供的一种拟态防御下服务链***署的正确链路判决方法的流程图,应用于服务器端,该方法包括:
步骤S100、判决器在获取所有服务链部署执行体的数据,每组数据的内容包括服务功能和服务路径;
具体的,用集合V来表示所有服务链部署执行体中M个执行体的输出结果:
V=(V1,V2,…,Vi,…,VM)
其中每个执行体的输出结果用一个四元组来描述,即:
Vi=(Ii,Ei,SFi,SFPi)
V=(V1,V2,…,Vi,…,VM)Vi=(Ii,Ei,SFi,SFPi)其中,Ii,Ei分别表示第i个执行体输出结果中的服务链请求业务流量经过的源地址和目的地址,SFi表示第i个执行体输出结果中的服务链请求业务流量经过的各种服务功能的集合,SFPi表示第i个执行体输出结果中服务链请求业务流量经过的服务路径的集合。
步骤S200、判决器再进行判决处理,即将所有服务功能分别提取对比,并对服务路径分别提取对比,若两组数据的服务功能相同且服务路径相同则判定为两组数据一致,将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据;如图2所示,具体的:
定义服务功能比较函数w1(SFi,SFj)来表示各个执行体输出结果中的服务链请求业务流量经过的服务功能相互之间的比较结果,其中i≠j,则:
Figure BDA0002324744970000051
定义服务路径比较函数w2(SFPi,SFPj)来表示各个执行体的输出结果中的服务链请求业务流量经过的服务路径相互之间的比较结果,其中i≠j,则:
Figure BDA0002324744970000052
当两个执行体的输出结果中的服务功能和服务路径两者的判决结果均一致时,认为两个执行体的输出结果是一致的,即:
SFi=SFj∪SFPi=SFPj
Vi=Vj
(i≠j)
将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据。判决器输出正确数据作为判决结果。
步骤S300、判决器与调度器对接,将判决结果中输出为异常数据的执行体进行反馈给调度器;具体的:
定义异常执行体反馈函数
f*=feedback()
其调用格式如下:
f*=feedback(D,S,sign)
其中,D代表判决器模块,S代表调度器模块,sign为反馈标志函数:
Figure BDA0002324744970000053
当反馈标志函数sign值为1时,表示执行体集合中的执行体均是正常的,当反馈标志函数sign值为-1时,表示执行体集合中有执行体发生了异常,此时判决器会向调度器进行异常反馈。
步骤S400、由调度器对输出为异常数据的执行体进行清洗或下线。
调度器在收到判决器的反馈后会对发生异常的执行体进行清洗或下线处理,即:
Figure BDA0002324744970000061
表示对发生异常的执行体进行清洗处理。其中
Figure BDA0002324744970000062
为第n个异常执行体,
Figure BDA0002324744970000063
为第n个清洗后的正常执行体。
当执行体集合中只剩下了正常的执行体,则表示为:
Figure BDA0002324744970000064
表示对发生异常的执行体进行下线处理。
通过这两种方式均可确保执行体集合的纯洁性。
本申请中的判决器主要完成对异构执行体集合中各个执行体的输出结果进行少数服从多数的判决,从而丢弃相对错误或者被篡改的服务链。本文的判决器需要进行服务功能和服务路径两次判决工作,主要是因为服务链部署的过程包括服务功能编排和服务路径选择两个步骤。在服务功能编排工作完成后进行一次判决,保证被选择的服务功能实例的安全性,在服务链部署执行体完成服务路径选择工作后进行一次判决,保证服务路径的安全性。该判决过程可以实现对***内部执行体的异常感知,并且将发生异常的执行体反馈给调度器,由调度器对发生异常的执行体进行清洗或下线处理。最后,判决器将在正常的执行体集合中随机选择一个执行体,通过其服务链部署执行体与底层服务资源池进行连接,在具体实例中部署满足用户需求的服务链。
判决器是对数据的把关的重要关卡,当执行体遭受攻击或有异常行为时,其服务功能与服务路径的异常会由判决器察觉,即便少数执行体已被攻击成功,也不影响最终的正确结果,并将异常执行体进行反馈,大大增加攻击者的难度,增强了拟态服务链部署***的安全性。
本申请实施例通过模拟攻击者对服务链部署拟态防御***进行攻击,观察***在拟态关闭和拟态开启两种不同状态下最终部署的服务链与用户下发的服务链请求是否一致。若在拟态关闭的状态下,***在受到攻击的情况下部署的服务链与用户下发的服务链请求不一致,在拟态状态开启后,部署的服务链与用户下发的服务链请求一致,说明服务链部署拟态防御***实现了拟态防御的效果,否则说明未能实现拟态防御的效果。
首先将拟态状态关闭,采用Nmap扫描工具对服务链部署拟态防御***进行扫描探测,获取服务链部署拟态防御***开放的端口、启动的服务、以及操作***版本等信息。先获取第一次扫描探测的结果,一段时间后,再次用Nmap工具对目标***进行第二次扫描探测,扫描探测的结果与第一次是一致的,一段时间后,再次用Nmap工具对目标***进行第三次扫描探测,扫描探测的结果与第一次仍然是一致的,说明此时目标***是处于静止状态的。模拟用户进行相应的服务链部署操作,在Web前端界面输入相应的服务功能名称、服务功能MAC地址等服务链请求数据。接下来模拟攻击者对目标***进行篡改攻击,模拟攻击者对执行体向交换机下发的流表项进行篡改,本申请实施例通过手动修改的方式来修改执行体输出流表项的关键字段值,篡改攻击完成之后,观察到最终部署的服务链与用户的服务链请求不一致,实验结果说明本次服务链部署失败。
接着将拟态状态开启,重复与上述相同的操作,采用Nmap扫描工具对服务链服务部署拟态防御***进行扫描探测,获取服务链部署拟态防御***开放的端口、启动的服务、以及操作***版本等信息。首先获取第一次扫描探测的结果,此次的扫描结果为Windows操作***和Floodlight控制器,一段时间后,再次用Nmap工具对目标***进行第二次扫描探测,此次的扫描结果为Linux操作***和RYU控制器,一段时间后,再次用Nmap工具对目标***进行第三次扫描探测,此次的扫描结果为Linux操作***和ONOS控制器,三次扫描探测的结果均不同,说明拟态状态开启后***是处于动态变换的。模拟用户重复与前一次相同的服务链部署操作,在Web前端界面输入相应的服务功能名称、服务功能MAC地址等服务链请求数据。同样,模拟攻击者通过手动修改的方来修改其中一个执行体输出流表项的关键字段值,execute 1输出流表项的输出端口发生了改变,execute 2和execute 3均下发了相同的流表项,但判决器仍然可以做出正确的判决,输出正确的流表项。因此,执行体下发的2条正常流表项仍然可以下发到交换机上,观察最终部署的服务链与用户下发的服务链请求是一致的。
实施例二:
图3为本实施例二中提供的一种拟态防御下服务链***署的正确链路判决装置的结构示意图,该装置可以执行任意本申请任意实施例所提供的一种拟态防御下服务链***署的正确链路判决方法,具备执行该方法相应的功能模块和有益效果。如图3所示,该装置包括:
接收模块100,用于获取所有服务链部署执行体的数据,每组数据的内容包括服务功能和服务路径;
判决模块200,用于将所有服务功能分别提取对比,并对服务路径分别提取对比,若两组数据的服务功能相同且服务路径相同则判定为两组数据一致,将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据;
反馈模块300,用于将输出为异常数据的执行体进行反馈;
清除模块400,用于对输出为异常数据的执行体进行清洗或下线。
实施例三
图4为本发明实施例三提供的一种设备的结构示意图。图4示出了适于用来实现本发明实施方式的示例性设备1的框图。图4显示的设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,设备1以通用计算设备的形式表现。设备1的组件可以包括但不限于:一个或者多个处理器或者处理单元2,存储器3,连接不同***组件(包括存储器3和处理单元2)的总线4。
总线4表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,***总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及***组件互连(PCI)总线。
设备1典型地包括多种计算机***可读介质。这些介质可以是任何能够被设备1访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器3可以包括易失性存储器形式的计算机***可读介质,例如随机存取存储器(RAM)5和/或高速缓存存储器6。设备1可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机***存储介质。仅作为举例,存储***8可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CDROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线4相连。存储器3可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块8,可以存储在例如存储器3中,这样的程序模块8包括但不限于操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块8通常执行本发明所描述的实施例中的功能和/或方法。
设备1也可以与一个或多个外部设备10(例如键盘、指向设备、显示设备9等)通信,还可与一个或者多个使得用户能与该设备1交互的设备通信,和/或与使得该设备1能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口11进行。并且,设备1还可以通过网络适配器12与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图4所示,网络适配器12通过总线4与设备1的其它模块通信。应当明白,尽管图4中未示出,可以结合设备1使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
处理单元2通过运行存储在存储器3中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的一种拟态防御下服务链***署的正确链路判决方法。
实施例四
本发明实施例四还提供了一种计算机可读存储介质,其上存储有计算机程序(或称为计算机可执行指令),该程序被处理器执行时用于执行一种拟态防御下服务链***署的正确链路判决方法,该方法实施例一所述的方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CDROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (7)

1.一种拟态防御下服务链***署的正确链路判决方法,其特征在于,包括:
获取所有服务链部署执行体的数据,每组数据的内容包括服务功能和服务路径;
将所有服务功能分别提取对比,并对服务路径分别提取对比,若两组数据的服务功能相同且服务路径相同则判定为两组数据一致,将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据;
将输出为异常数据的执行体进行反馈;
对输出为异常数据的执行体进行清洗或下线。
2.根据权利要求1所述的一种拟态防御下服务链***署的正确链路判决方法,其特征在于,所述接收所有服务链部署执行体的数据,每组数据的内容包括服务功能和服务路径,包括:
用集合V来表示所有服务链部署执行体中M个执行体的输出结果:
V=(V1,V2,…,Vi,…,VM)
其中每个执行体的输出结果用一个四元组来描述,即:
Vi=(Ii,Ei,SFi,SFPi)
其中,Ii,Ei分别表示第i个执行体输出结果中的服务链请求业务流量经过的源地址和目的地址,SFi表示第i个执行体输出结果中的服务链请求业务流量经过的各种服务功能的集合,SFPi表示第i个执行体输出结果中服务链请求业务流量经过的服务路径的集合。
3.根据权利要求1所述的一种拟态防御下服务链***署的正确链路判决方法,其特征在于,所述将所有服务功能分别提取对比,并对服务路径分别提取对比,若两组数据的服务功能相同且服务路径相同则判定为两组数据一致,将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据,包括:
定义服务功能比较函数w1(SFi,SFj)来表示各个执行体输出结果中的服务链请求业务流量经过的服务功能相互之间的比较结果,其中i≠j,则:
Figure FDA0002324744960000011
定义服务路径比较函数w2(SFPi,SFPj)来表示各个执行体的输出结果中的服务链请求业务流量经过的服务路径相互之间的比较结果,其中i≠j,则:
Figure FDA0002324744960000012
当两个执行体的输出结果中的服务功能和服务路径两者的判决结果均一致时,认为两个执行体的输出结果是一致的,即:
SFi=SFj∪SFPi=SFPj
Vi=Vj
(i≠j)
将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据。
4.根据权利要求1所述的一种拟态防御下服务链***署的正确链路判决方法,其特征在于,所述对输出为异常数据的执行体进行,包括:
令sign为反馈标志函数:
Figure FDA0002324744960000021
当反馈标志函数sign值为1时,表示执行体集合中的执行体均是正常的,当反馈标志函数sign值为-1时,表示执行体集合中有执行体发生了异常,此时判决器会向调度器进行异常反馈,调度器在收到判决器的反馈后会对发生异常的执行体进行清洗或下线处理,直到执行体集合中只剩下了正常的执行体。
5.一种拟态防御下服务链***署的正确链路判决装置,其特征在于,包括:
接收模块,用于获取所有服务链部署执行体的数据,每组数据的内容包括服务功能和服务路径;
判决模块,用于将所有服务功能分别提取对比,并对服务路径分别提取对比,若两组数据的服务功能相同且服务路径相同则判定为两组数据一致,将一致数据分为一类,统计每一类的数据量,将数据量最多的类记录为正确数据,其余为异常数据;
反馈模块,用于将输出为异常数据的执行体进行反馈;
清除模块,用于对输出为异常数据的执行体进行清洗或下线。
6.一种设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4任一项所述的一种拟态防御下服务链***署的正确链路判决方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一项所述的一种拟态防御下服务链***署的正确链路判决方法。
CN201911311849.XA 2019-12-18 2019-12-18 一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质 Pending CN111163070A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911311849.XA CN111163070A (zh) 2019-12-18 2019-12-18 一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911311849.XA CN111163070A (zh) 2019-12-18 2019-12-18 一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质

Publications (1)

Publication Number Publication Date
CN111163070A true CN111163070A (zh) 2020-05-15

Family

ID=70557774

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911311849.XA Pending CN111163070A (zh) 2019-12-18 2019-12-18 一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN111163070A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866276A (zh) * 2021-02-02 2021-05-28 浙江工商大学 一种基于拟态服务功能构架的主次重置判决***
CN115277607A (zh) * 2022-07-15 2022-11-01 天津市滨海新区信息技术创新中心 一种异构***复杂流量情况下的两级拟态判决方法
CN116318945A (zh) * 2023-03-09 2023-06-23 南京航空航天大学 一种基于内生动态防御架构的多目标服务功能链部署方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109491668A (zh) * 2018-10-11 2019-03-19 浙江工商大学 一种sdn/nfv服务部署的拟态防御构架及方法
CN109525418A (zh) * 2018-10-11 2019-03-26 浙江工商大学 一种拟态防御下服务部署执行体集合异构度保证的调度方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109491668A (zh) * 2018-10-11 2019-03-19 浙江工商大学 一种sdn/nfv服务部署的拟态防御构架及方法
CN109525418A (zh) * 2018-10-11 2019-03-26 浙江工商大学 一种拟态防御下服务部署执行体集合异构度保证的调度方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
王鹏等: "软件定义网络下的拟态防御实现架构", 《网络与信息安全学报》 *
齐星等: "多数据中心基于流量感知的DDoS攻击消除策略", 《计算机工程与应用》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866276A (zh) * 2021-02-02 2021-05-28 浙江工商大学 一种基于拟态服务功能构架的主次重置判决***
CN112866276B (zh) * 2021-02-02 2022-05-24 浙江工商大学 一种基于拟态服务功能构架的主次重置判决***
CN115277607A (zh) * 2022-07-15 2022-11-01 天津市滨海新区信息技术创新中心 一种异构***复杂流量情况下的两级拟态判决方法
CN115277607B (zh) * 2022-07-15 2023-12-26 天津市滨海新区信息技术创新中心 一种异构***复杂流量情况下的两级拟态判决方法
CN116318945A (zh) * 2023-03-09 2023-06-23 南京航空航天大学 一种基于内生动态防御架构的多目标服务功能链部署方法
CN116318945B (zh) * 2023-03-09 2023-10-20 南京航空航天大学 一种基于内生动态防御架构的多目标服务功能链部署方法
US12003528B1 (en) 2023-03-09 2024-06-04 Nanjing University Of Aeronautics And Astronautics Endogenous dynamic defense architecture-based multi-objective service function chain deployment method

Similar Documents

Publication Publication Date Title
JP7086972B2 (ja) 侵入検出のための継続的な学習
US10516698B2 (en) Honeypot computing services that include simulated computing resources
US10956477B1 (en) System and method for detecting malicious scripts through natural language processing modeling
US9734343B2 (en) Detection and prevention of sensitive information leaks
US20200193024A1 (en) Detection Of Malware Using Feature Hashing
US9521156B2 (en) Method and product for providing a predictive security product and evaluating existing security products
CN111163070A (zh) 一种拟态防御下服务链***署的正确链路判决方法、装置、设备及介质
CN109271782B (zh) 检测攻击行为的方法、介质、***和计算设备
CN109586282B (zh) 一种电网未知威胁检测***及方法
EP3789896A1 (en) Method and system for managing security vulnerability in host system using artificial neural network
US8806648B2 (en) Automatic classification of security vulnerabilities in computer software applications
US20120272322A1 (en) Determining the vulnerability of computer software applications to privilege-escalation attacks
US20170185785A1 (en) System, method and apparatus for detecting vulnerabilities in electronic devices
US8881279B2 (en) Systems and methods for zone-based intrusion detection
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
US20210232675A1 (en) Stack pivot exploit detection and mitigation
US10931706B2 (en) System and method for detecting and identifying a cyber-attack on a network
US20200226249A1 (en) Method and system for autonomous malware analysis
US11222115B2 (en) Data scan system
Peddoju et al. Natural language processing based anomalous system call sequences detection with virtual memory introspection
US11290486B1 (en) Allocating defective computing resources for honeypot services
US20170339175A1 (en) Using natural language processing for detection of intended or unexpected application behavior
CN114070642A (zh) 网络安全检测方法、***、设备及存储介质
US11347842B2 (en) Systems and methods for protecting a remotely hosted application from malicious attacks
WO2018063296A1 (en) Identification of deviant engineering modifications to programmable logic controllers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200515