CN111624869B - 自动感知攻击行为方法、***及以太网交换机 - Google Patents
自动感知攻击行为方法、***及以太网交换机 Download PDFInfo
- Publication number
- CN111624869B CN111624869B CN202010335962.8A CN202010335962A CN111624869B CN 111624869 B CN111624869 B CN 111624869B CN 202010335962 A CN202010335962 A CN 202010335962A CN 111624869 B CN111624869 B CN 111624869B
- Authority
- CN
- China
- Prior art keywords
- controller
- data
- switch
- main controller
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/351—Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于网络安全技术领域,特别涉及一种自动感知攻击行为方法、***及以太网交换机,将交换机服务请求分发至响应模块,所述响应模块包含用于数据交互处理的主控制器和用于交互数据处理的辅助控制器,所述主控制器和辅助控制器两者采用软和/或硬件存在差异且功能等价的控制器结构;响应模块中两个控制器依据服务请求分别生成响应数据;对响应数据进行比对来判定交换机异常并通知管理员。本发明依据该两个控制器的响应结果自动感知识别交换机异常,方案简单,便于部署实施,通过对响应数据比对可以成功多种攻击方式并上报管理员,实现自动感知交换机控制器异常,且能够保证交换机的工作状态始终受控,进一步确保网络空间的安全性和稳定可靠性。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种自动感知攻击行为方法、***及以太网交换机。
背景技术
随着网络技术的不断发展,网络空间安全的重要性愈发凸显。以太网交换机作为网络中广泛应用的节点设备,其安全性对整个网络空间的安全有着重要影响。现有的增强交换机安全性的方法,主要有流量控制、层过滤、充分利用日志功能,或者使用加密登录方式如SSH等、限制登录地址、做好时钟同步、统一日志管理,或通过划分VLAN、设置访问控制列表、利用NetFlow、加强安全认证、加强端口安全以提高网络安全性。以上方法,大致可分为限制非法用户接入、增加非法用户破解难度、禁用不必要的服务以及完善日志管理等若干方面;其仅仅缩小了交换机的服务面,减少了被攻击概率,但并没有从根本上解决针对攻击的识别和防御问题。即使在交换机上安装具备识别攻击功能的杀毒软件,由于资源受限及不方便更新,效果也不够好。而且以上措施均伴随一个局限,即仅能抵御已知的攻击方法或带有已知攻击特征的攻击行为,但无法识别基于未知漏洞或后门所展开的攻击。如何识别基于未知漏洞或后门所实施的攻击,成为以太网交换机设计中亟待解决的问题。
发明内容
为此,本发明提供一种自动感知攻击行为方法、***及以太网交换机,以解决如何有效识别交换机的受攻击状态等问题,确保交换机的工作状态始终受控,保证网络空间的安全性和稳定可靠性。
按照本发明所提供的设计方案,一种自动感知攻击行为方法,包含:
将交换机服务请求分发至响应模块,所述响应模块包含用于数据交互处理的主控制器和用于交互数据处理的辅助控制器,所述主控制器和辅助控制器两者采用软和/或硬件存在差异且功能等价的控制器结构;
响应模块中主控制器和辅助控制器依据服务请求分别生成各自的响应数据;
对两者生成的响应数据进行比对,若比对结果不一致,则判定交换机异常并通知管理员,并将辅助控制器响应数据反馈至交换机,若比对结果一致,则将主控制响应数据反馈至交换机。
作为本发明自动感知攻击行为方法,进一步地,主控制器和辅助控制器两者以CPU为中心的硬件层面和/或多样化编译的软件层面存在差异,该软件层面差异包含两者采用不同型号和/或版本配置的操作***和/或协议栈和/或管理软件,形成软和/或硬件存在差异且功能等价的控制器结构。
作为本发明自动感知攻击行为方法,进一步地,所述主控制器用于正常数据交互处理;所述辅助控制器用于接收与主控制器一致的分发数据并做出响应,其在交互数据处理过程中处于与交换机隔离的隐身状态。
进一步地,本发明还提供一种自动感知攻击行为***,包含:分发模块、响应模块和感知模块,其中,
分发模块,用于将交换机服务请求分发至响应模块,所述响应模块包含用于正常数据交互处理状态的主控制器和用于交互数据处理且处于隐身状态的辅助控制器,所述主控制器和辅助控制器两者采用软和/或硬件存在差异且功能等价的控制器结构;
响应模块,用于利用主控制器和辅助控制器依据服务请求分别生成各自的响应数据;
感知模块,用于对主控制器和副主控制器两者生成的响应数据进行比对,若比对结果不一致,则判定交换机异常并通知管理员,并将辅助控制器响应数据反馈至交换机,若比对结果一致,则将主控制响应数据反馈至交换机。
作为本发明自动感知攻击行为***,进一步地,主控制器和辅助控制器两者以CPU为中心的硬件层面和/或多样化编译的软件层面存在差异,该软件层面差异包含两者采用不同型号和/或版本配置的操作***和/或协议栈和/或管理软件,形成软和/或硬件存在差异且功能等价的控制器结构。
进一步地,本发明还提供一种自动感知攻击行为的以太网交换机,包含:
用于数据转发的交换芯片;
用于在正常数据交互处理状态接收由交换芯片分发的服务请求数据并进行响应的主控制器;
用于在隐身状态接收由交换芯片分发的服务请求数据并进行响应的辅助控制器,所述辅助控制器采用与主控制器异构且功能等价的控制器结构;
及用于分发交换芯片服务请求数据至主控制器和辅助控制器并对两个控制器响应数据进行比对判别的比对器,所述比对器依据比对判别结果进行数据转发和/或通知管理员。
作为本发明自动感知攻击行为的以太网交换机,进一步地,主控制器和辅助控制器两者以CPU为中心的硬件层面和/或多样化编译的软件层面存在差异,该软件层面差异包含两者采用不同型号和/或版本配置的操作***和/或协议栈和/或管理软件,形成软和/或硬件存在差异且功能等价的控制器结构。
作为本发明自动感知攻击行为的以太网交换机,进一步地,所述主控制器用于正常数据交互处理;所述辅助控制器用于接收与主控制器一致的分发数据并做出响应,其在交互数据处理过程中通过比对器分发数据且始终处于与交换芯片隔离的隐身状态。
本发明的有益效果:
本发明通过两个异构其功能等价的控制器对同样的服务请求进行响应,依据该两个控制器的响应结果自动感知识别交换机异常,方案简单,便于部署实施,无论攻击采用什么方式、能否被传统的安全措施识别,都可以通过对响应数据比对成功识别交换机受攻击状态并上报管理员,实现自动感知识别交换机控制器异常,且保证交换机的工作状态始终受控,以确保网络空间的安全性和稳定可靠性。
附图说明:
图1为实施例中自动感知攻击行为方法流程示意图;
图2为实施例中自动感知攻击行为***示意图;
图3为实施例中交换机结构示意图之一;
图4为实施例中交换机结果示意图之二。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
围绕提高以太网交换机的安全性,已有很多技术。但这些技术仅能够基于先验知识进行防御,即仅能识别和抵御已知的攻击方法或包含已知攻击特征的攻击行为。当攻击者改变了攻击流中的数据特征或流特征,或者使用了新的、防御者不知道的攻击路径时,现有的防御体系和防御措施就失效了。特别地,漏洞是软硬件***设计中无法规避的问题,后门则是在当前全球化和社会大分工趋势下使用非自主可控器件、组件时无法杜绝的问题。当攻击者利用未公开的漏洞或后门实施攻击时,防御者所设计的防御体系便形同虚设,无法对攻击行为和攻击数据实施有效的识别和防御。为此,本发明实施例,参见图1所示,提供一种自动感知攻击行为方法,包含:
S101、将交换机服务请求分发至响应模块,所述响应模块包含用于数据交互处理的主控制器和用于交互数据处理的辅助控制器,所述主控制器和辅助控制器两者采用软和/或硬件存在差异且功能等价的控制器结构;
S102、响应模块中主控制器和辅助控制器依据服务请求分别生成各自的响应数据;
S103、对两者生成的响应数据进行比对,若比对结果不一致,则判定交换机异常并通知管理员,并将辅助控制器响应数据反馈至交换机,若比对结果一致,则将主控制响应数据反馈至交换机。
通过两个异构其功能等价的控制器对同样的服务请求进行响应,依据该两个控制器的响应结果自动感知识别交换机异常,结构简单,设计科学、合理,无论攻击采用什么方式、能否被传统的安全措施识别,都通过对响应数据比对以成功识别交换机受攻击状态并上报管理员,进而自动识别交换机控制器异常,高效、快捷、便于实现。
作为本发明实施例中的自动感知攻击行为方法,进一步地,主控制器和辅助控制器两者以CPU为中心的硬件层面和/或多样化编译的软件层面存在差异,该软件层面差异包含两者采用不同型号和/或版本配置的操作***和/或协议栈和/或管理软件,形成软和/或硬件存在差异且功能等价的控制器结构。控制器由以CPU为中心的硬件以及操作***、协议栈、管理软件等软件构成,两个软和/或硬件存在差异且功能等价的控制器在功能上完全相同,即对相同的输入应产生相同的输出,但在硬件和软件上存在差异,可由不同的CPU、不同的操作***及协议栈软件构成,也可采用相同型号硬件和/或软件但其版本或参数存在差异,即两个控制器能够实现多样化编译,使得有效的攻击方法、木马或病毒仅能对主控制器生效,对辅助控制器无效;当主控制器被攻击时,辅助控制器由于软硬件环境的不同而导致攻击无效,主控制器的受攻击状态将通过输出比对被识别并交由管理员处理。
作为本发明实施例中的自动感知攻击行为方法,进一步地,所述主控制器用于正常数据交互处理;所述辅助控制器用于接收与主控制器一致的分发数据并做出响应,其在交互数据处理过程中处于与交换机隔离的隐身状态。交换机受到攻击并被攻击者控制时,会试图向下发转发表添加表项的指令,该指令到达比对器后,由于辅助控制器并无该指令输出,因此,比对结果不一致;通过比对结果判别交换机异常进而上报给管理员,由管理员处理,方案简单,便于部署实现。
进一步地,基于上述的方法,本发明实施例还提供一种自动感知攻击行为***,参见图2所示,包含:分发模块、响应模块和感知模块,其中,
分发模块,用于将交换机服务请求分发至响应模块,所述响应模块包含用于正常数据交互处理状态的主控制器和用于交互数据处理且处于隐身状态的辅助控制器,所述主控制器和辅助控制器两者采用软和/或硬件存在差异且功能等价的控制器结构;
响应模块,用于利用主控制器和辅助控制器依据服务请求分别生成各自的响应数据;
感知模块,用于对主控制器和副主控制器两者生成的响应数据进行比对,若比对结果不一致,则判定交换机异常并通知管理员,并将辅助控制器响应数据反馈至交换机,若比对结果一致,则将主控制响应数据反馈至交换机。
通过两个异构其功能等价的控制器对同样的服务请求进行响应,依据该两个控制器的响应结果自动感知识别交换机异常,方案简单,便于部署实施。
作为本发明实施例中的自动感知攻击行为***,进一步地,主控制器和辅助控制器两者以CPU为中心的硬件层面和/或多样化编译的软件层面存在差异,该软件层面差异包含两者采用不同型号和/或版本配置的操作***和/或协议栈和/或管理软件,形成软和/或硬件存在差异且功能等价的控制器结构。两个软和/或硬件存在差异且功能等价的的控制器在功能上完全相同,即对相同的输入应产生相同的输出,但在硬件和软件上各不相同,由不同的CPU、不同的操作***及协议栈软件构成,便于攻击行为的有效识别和防御。
进一步地,基于上述的方法和***,本发明还提供一种自动感知攻击行为的以太网交换机,包含:
用于数据转发的交换芯片;
用于在正常数据交互处理状态接收由交换芯片分发的服务请求数据并进行响应的主控制器;
用于在隐身状态接收由交换芯片分发的服务请求数据并进行响应的辅助控制器,所述辅助控制器采用与主控制器异构且功能等价的控制器结构;
及用于分发交换芯片服务请求数据至主控制器和辅助控制器并对两个控制器响应数据进行比对判别的比对器,所述比对器依据比对判别结果进行数据转发和/或通知管理员。
如图3所示,如图1所示,交换芯片与比对器连接,比对器与多个控制器连接,其中,交换芯片实现交换机的数据转发功能,包括二层转发、三层转发、转发表查找与决策、报文处理、转发数据调度等。交换芯片可向比对器发送服务请求并期待获得服务响应,例如交换芯片可向比对器转发网络协议控制报文,并期待其下发转发表项,或交换芯片可向比对器转发管理员控制管理请求报文并期待其反馈控制管理响应报文等。进一步地,所述主控制器和辅助控制器两者分别由不同CPU、不同操作***及协议栈软件构成,形成软和/或硬件存在差异且功能等价的控制器。进一步地,所述主控制器用于正常数据交互处理;所述辅助控制器用于接收与主控制器一致的分发数据并做出响应,其在交互数据处理过程中通过比对器分发数据且始终处于与交换芯片隔离的隐身状态。使得有效的攻击方法、木马或病毒仅能对主控制器生效,对辅助控制器无效;当主控制器被攻击时,辅助控制器由于软硬件环境的不同而导致攻击无效,主控制器的受攻击状态将通过输出比对被识别并交由管理员处理。控制器接收比对器的服务请求并反馈服务响应。控制器由以CPU为中心的硬件以及操作***、协议栈、管理软件等软件构成。同时,2个控制器在功能上应完全相同,即对相同的输入应产生相同的输出,但在硬件和软件上应各不相同,应由不同的CPU、不同的操作***及协议栈软件构成。比对器,将交换芯片的服务功能请求上送分发给2个控制器;将控制器1的输出数据下送给交换芯片;对2个控制器的输出进行比对,并将结果上报管理员。比对器进行分发时候,当交换芯片有服务请求时,接收服务请求,将服务请求向2个控制器分发,且分发给两个控制器的数据完全一致;比对器进行响应数据比对时,接收2个在线控制器的服务响应输出,如果输出相同,说明控制器1状态正常,交换机未被攻击;如果输出不同,则说明交换机可能处于受攻击状态。比对器在下送时仅将控制器1的输出下送给交换芯片,因此交换机对外呈现的只有控制器1,攻击者无法获知控制器2的信息,使得对控制器1有效的攻击方法、木马或病毒仅能对该控制器生效,而对控制器2无效。当控制器1被攻击成功后,控制器2由于软硬件环境的不同而导致攻击无效,控制器1的受攻击状态将通过输出比对被识别,并交由管理员处理。
实施例中,交换机中的交换芯片,功能及工作方式可与普通商用以太网交换机内的交换芯片完全相同。参见图4所示,采用市售商业交换芯片。比对器采用Xilinx公司的Virtex XC7VX690T FPGA芯片实现。控制器为2块CPU子卡,CPU分别采用x86、ARM、架构,配置2GB DDR内存和16GB Flash存储空间。操作***分别采用Linux的内核3.10版和内核4.41版,协议栈软件和管理软件采用源码的多样化编译获得。交换机上电后,控制器1和控制器2正常工作。比对器将交换芯片上送的服务请求复制分发给2个控制器,并将控制器1的输出下发给交换芯片。当控制器1状态正常时,2个控制器的输出完全相同,比对器的比对结果一致。当控制器1受到攻击并被攻击者控制,试图向交换芯片下发一条转发表添加表项指令。该指令到达比对器后,由于控制器2并无该指令输出,因此比对结果不一致。比对结果上报给管理员,并由管理员处理。可见,通过比对,控制器1的受攻击状态被成功识别。无论该攻击采用什么方式,无论该攻击能否被传统的安全措施识别,都将在该发明上被识别。本发明的交换机,可以自动识别针对交换机控制器的攻击,并上报管理员,保证交换机的工作状态始终受控。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的***,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的***。
基于上述的***,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的***。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述***实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述***实施例中相应内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考前述***实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的***、***和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和***,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述***的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种自动感知攻击行为方法,其特征在于,包含:
将交换机服务请求分发至响应模块,所述响应模块包含用于数据交互处理的主控制器和用于交互数据处理的辅助控制器,所述主控制器和辅助控制器两者采用软和/或硬件存在差异且功能等价的控制器结构;
响应模块中主控制器和辅助控制器依据服务请求分别生成各自的响应数据;
对两者生成的响应数据进行比对,若比对结果不一致,则判定交换机异常并通知管理员,并将辅助控制器响应数据反馈至交换机,若比对结果一致,则将主控制响应数据反馈至交换机;
所述主控制器用于正常数据交互处理;所述辅助控制器用于接收与主控制器一致的分发数据并做出响应,其在交互数据处理过程中处于与交换机隔离的隐身状态。
2.根据权利要求1所述的自动感知攻击行为方法,其特征在于,主控制器和辅助控制器两者以CPU为中心的硬件层面和/或多样化编译的软件层面存在差异,该软件层面差异包含两者采用不同型号和/或版本配置的操作***和/或协议栈和/或管理软件,以形成软和/或硬件存在差异且功能等价的控制器结构。
3.一种自动感知攻击行为***,其特征在于,基于权利要求1所述的方法实现,包含:分发模块、响应模块和感知模块,其中,
分发模块,用于将交换机服务请求分发至响应模块,所述响应模块包含用于正常数据交互处理状态的主控制器和用于交互数据处理且处于隐身状态的辅助控制器,所述主控制器和辅助控制器两者采用软和/或硬件存在差异且功能等价的控制器结构;
响应模块,用于利用主控制器和辅助控制器依据服务请求分别生成各自的响应数据;
感知模块,用于对主控制器和副主控制器两者生成的响应数据进行比对,若比对结果不一致,则判定交换机异常并通知管理员,并将辅助控制器响应数据反馈至交换机,若比对结果一致,则将主控制响应数据反馈至交换机。
4.根据权利要求3所述的自动感知攻击行为***,其特征在于,主控制器和辅助控制器两者以CPU为中心的硬件层面和/或多样化编译的软件层面存在差异,该软件层面差异包含两者采用不同型号和/或版本配置的操作***和/或协议栈和/或管理软件,以形成软和/或硬件存在差异且功能等价的控制器结构。
5.一种自动感知攻击行为的以太网交换机,其特征在于,基于权利要求1所述的方法实现,包含:
用于数据转发的交换芯片;
用于在正常数据交互处理状态接收由交换芯片分发的服务请求数据并进行响应的主控制器;
用于在隐身状态接收由交换芯片分发的服务请求数据并进行响应的辅助控制器,所述辅助控制器采用与主控制器异构且功能等价的控制器结构;
及用于分发交换芯片服务请求数据至主控制器和辅助控制器并对两个控制器响应数据进行比对判别的比对器,所述比对器依据比对判别结果进行数据转发和/或通知管理员。
6.根据权利要求5所述的自动感知攻击行为的以太网交换机,其特征在于,主控制器和辅助控制器两者以CPU为中心的硬件层面和/或多样化编译的软件层面存在差异,该软件层面差异包含两者采用不同型号和/或版本配置的操作***和/或协议栈和/或管理软件,以形成软和/或硬件存在差异且功能等价的控制器结构。
7.根据权利要求5所述的自动感知攻击行为的以太网交换机,其特征在于,所述主控制器用于正常数据交互处理;所述辅助控制器用于接收与主控制器一致的分发数据并做出响应,其在交互数据处理过程中通过比对器分发数据且始终处于与交换芯片隔离的隐身状态。
8.一种服务器,包含存储器和处理器,在所述存储器上存储有能够在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1~2任一项所述的方法。
9.一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现权利要求1~2任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010335962.8A CN111624869B (zh) | 2020-04-25 | 2020-04-25 | 自动感知攻击行为方法、***及以太网交换机 |
| US17/084,619 US11570202B2 (en) | 2020-04-25 | 2020-10-29 | Method, device and ethernet switch for automatically sensing attack behaviors |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010335962.8A CN111624869B (zh) | 2020-04-25 | 2020-04-25 | 自动感知攻击行为方法、***及以太网交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111624869A CN111624869A (zh) | 2020-09-04 |
| CN111624869B true CN111624869B (zh) | 2023-03-28 |
Family
ID=72271677
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010335962.8A Active CN111624869B (zh) | 2020-04-25 | 2020-04-25 | 自动感知攻击行为方法、***及以太网交换机 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11570202B2 (zh) |
| CN (1) | CN111624869B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117439765A (zh) * | 2023-09-08 | 2024-01-23 | 重庆数智融合创新科技有限公司 | 基于应用感知的数据存储转发方法及*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140088340A (ko) * | 2013-01-02 | 2014-07-10 | 한국전자통신연구원 | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 |
| GB2516050A (en) * | 2013-07-09 | 2015-01-14 | Ibm | A Network Security System |
| CN108667853B (zh) * | 2013-11-22 | 2021-06-01 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| CN104753862A (zh) * | 2013-12-27 | 2015-07-01 | 华为技术有限公司 | 一种提高网络安全性的方法及装置 |
| CN105474602B (zh) * | 2014-06-17 | 2019-02-05 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
| EP3347845B1 (en) * | 2015-09-11 | 2023-08-02 | Curtail, Inc. | Implementation comparison-based security system |
| WO2017087964A1 (en) * | 2015-11-20 | 2017-05-26 | Acalvio Technologies, Inc. | Modification of a server to mimic a deception mechanism |
| US10394798B1 (en) * | 2015-12-07 | 2019-08-27 | Gravic, Inc. | Method of ensuring transactional integrity of a system that includes a first subsystem and a second subsystem |
| EP3420700B8 (en) * | 2016-02-24 | 2022-05-18 | Mandiant, Inc. | Systems and methods for attack simulation on a production network |
| CN107145376B (zh) * | 2016-03-01 | 2021-04-06 | 中兴通讯股份有限公司 | 一种主动防御方法和装置 |
| US20170357801A1 (en) * | 2016-06-09 | 2017-12-14 | JPS Engineering Corp. | Isolation system for cybersecurity |
| CN106534063B (zh) * | 2016-09-27 | 2019-11-12 | 上海红阵信息科技有限公司 | 一种封装异构功能等价体的装置、方法及设备 |
| EP3568963A1 (en) * | 2017-01-11 | 2019-11-20 | Nokia Solutions and Networks Oy | Security architecture for machine type communications |
| CN107291538B (zh) * | 2017-06-14 | 2020-08-21 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、*** |
| KR102016461B1 (ko) * | 2017-11-10 | 2019-08-30 | 고려대학교 산학협력단 | SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법 |
| CN108833417B (zh) * | 2018-06-21 | 2020-12-15 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态防御的邮件*** |
| JP6923809B2 (ja) * | 2018-08-23 | 2021-08-25 | 日本電信電話株式会社 | 通信制御システム、ネットワークコントローラ及びコンピュータプログラム |
| CN109508231B (zh) * | 2018-11-17 | 2020-09-18 | 中国人民解放军战略支援部队信息工程大学 | 异构多模处理器的等价体间的同步方法及装置 |
| US11038909B2 (en) * | 2018-12-28 | 2021-06-15 | Intel Corporation | Methods and apparatus for anomaly detection and recovery |
| CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及*** |
| CN110545268A (zh) * | 2019-08-21 | 2019-12-06 | 之江实验室 | 一种基于过程要素的多维度拟态表决方法 |
| CN110912876A (zh) * | 2019-11-08 | 2020-03-24 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 面向信息***的拟态防御***、方法及介质 |
| CN111049677B (zh) * | 2019-11-27 | 2021-11-23 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
| US11425163B2 (en) * | 2020-02-05 | 2022-08-23 | King Fahd University Of Petroleum And Minerals | Control of cyber physical systems subject to cyber and physical attacks |
-
2020
- 2020-04-25 CN CN202010335962.8A patent/CN111624869B/zh active Active
- 2020-10-29 US US17/084,619 patent/US11570202B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111624869A (zh) | 2020-09-04 |
| US11570202B2 (en) | 2023-01-31 |
| US20210336986A1 (en) | 2021-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112242923A (zh) | 基于拟态防御的统一数据管理网络功能实现***及方法 | |
| US9906538B2 (en) | Automatic network attack detection and remediation using information collected by honeypots | |
| EP3142011B9 (en) | Anomaly recovery method for virtual machine in distributed environment | |
| EP3128720B1 (en) | Post-cluster brain split quorum processing method and quorum storage device and system | |
| EP2860657B1 (en) | Determining a security status of potentially malicious files | |
| US9760712B2 (en) | Application whitelisting using user identification | |
| US20120284794A1 (en) | Peer integrity checking system | |
| US20160205116A1 (en) | Method and system for virtual security isolation | |
| JP6782331B1 (ja) | バックアップシステム | |
| WO2015130715A1 (en) | Systems and methods for optimizing scans of pre-installed applications | |
| US20170155667A1 (en) | Systems and methods for detecting malware infections via domain name service traffic analysis | |
| CN102867146B (zh) | 一种防止计算机病毒反复感染***的方法及*** | |
| CA3021285C (en) | Methods and systems for network security | |
| US8402539B1 (en) | Systems and methods for detecting malware | |
| CN109669822B (zh) | 电子装置、备用存储池的创建方法和计算机可读存储介质 | |
| US8285850B1 (en) | Configuration and dynamic detection of connection-based backup policies | |
| CN107547566B (zh) | 一种处理业务报文的方法及装置 | |
| CN111324891A (zh) | 用于容器文件完整性监视的***和方法 | |
| CN111624869B (zh) | 自动感知攻击行为方法、***及以太网交换机 | |
| CN110505246B (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
| CN103679024B (zh) | 病毒的处理方法及设备 | |
| CN111669342B (zh) | 基于广义鲁棒控制的网络防御方法、***及交换机 | |
| US20220374511A1 (en) | Systems and methods for assuring integrity of operating system and software components at runtime | |
| CN110012033B (zh) | 一种数据传输方法、***及相关组件 | |
| US20170099317A1 (en) | Communication device, method and non-transitory computer-readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |