CN111628978A - 一种拟态归一化裁决***、方法及可读存储介质 - Google Patents

一种拟态归一化裁决***、方法及可读存储介质 Download PDF

Info

Publication number
CN111628978A
CN111628978A CN202010433431.2A CN202010433431A CN111628978A CN 111628978 A CN111628978 A CN 111628978A CN 202010433431 A CN202010433431 A CN 202010433431A CN 111628978 A CN111628978 A CN 111628978A
Authority
CN
China
Prior art keywords
response information
normalization
serial number
processing module
normalized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010433431.2A
Other languages
English (en)
Other versions
CN111628978B (zh
Inventor
乔季军
宋延坡
郭义伟
冯志峰
鲍尚策
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Original Assignee
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Comleader Information Technology Co Ltd, Henan Xinda Wangyu Technology Co Ltd filed Critical Zhuhai Comleader Information Technology Co Ltd
Priority to CN202010433431.2A priority Critical patent/CN111628978B/zh
Publication of CN111628978A publication Critical patent/CN111628978A/zh
Application granted granted Critical
Publication of CN111628978B publication Critical patent/CN111628978B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种拟态归一化裁决***包括输入分发代理模块、若干个功能等价异构执行体、归一化处理模块和裁决器;所述输入分发代理模块分别与每个功能等价异构执行体连接,用于接收请求信息,并复制分发至每个功能等价异构执行体;所述功能等价异构执行体与所述归一化处理模块连接,用于响应所述请求信息,并输出响应信息至所述归一化处理模块;所述归一化处理模块与所述裁决器连接,用于按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,并将归一化响应信息输送至所述裁决器;所述裁决器,用于根据大数原则的判决方法对所有归一化响应信息进行裁决,并输出裁决结果。

Description

一种拟态归一化裁决***、方法及可读存储介质
技术领域
本发明涉及拟态防御领域,具体的说,涉及了一种拟态归一化裁决***、方法及可读存储介质。
背景技术
拟态防御理论的提出为网络空间内生安全提供了一种有效的解决方案。拟态防御理论中指出,为了满足动态、异构、冗余的DHR架构模型,在功能等价的执行体方面,需要满足最大化的异构性。然而在实际的工程实践中,为了实现执行体之间异构性最大化,由于功能等价的异构执行体的实现方式不同,相同功能的执行体在接收同一个输入请求信息时,也无法保证输出信息的完全一致性。这种情况下,在进行多模裁决输出时,将会为裁决器的有效裁决带来极大的挑战。
同时,由于受到网络时延的影响,裁决器有可能会同时获取多个请求信息的响应信息,从而在进行裁决时无法只针对某个请求信息的响应信息进行采集裁决,影响裁决结果的准确性。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供了一种拟态归一化裁决***、方法及可读存储介质。
为了实现上述目的,本发明第一方面提供一种拟态归一化裁决***,包括输入分发代理模块、若干个功能等价异构执行体、归一化处理模块和裁决器;
所述输入分发代理模块分别与每个功能等价异构执行体连接,用于接收请求信息,并复制分发至每个功能等价异构执行体;
所述功能等价异构执行体与所述归一化处理模块连接,用于响应所述请求信息,并输出响应信息至所述归一化处理模块;
所述归一化处理模块与所述裁决器连接,用于按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,并将归一化响应信息输送至所述裁决器;
所述裁决器,对所有归一化响应信息进行裁决,并输出裁决结果。
优选的,所述归一化处理模块获得具有统一数据格式的归一化响应信息后,还分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及与其对应的归一化前的响应信息发送至所述裁决器;
所述裁决器对所有归一化响应信息的哈希值进行裁决,并输出与裁决结果相对应的归一化前的响应信息。
优选的,所述预设正则过滤规则包括但不仅限于通信协议的冗余字段或用户自定义字段、以及与异构执行体本身相关的信息。
优选的,所述输入分发代理模块接收请求信息后,生成唯一的标签序列号,将所述标签序列号添加到所述请求信息的冗余字段或自定义字段中,并将带有标签序列号的请求信息复制分发至每个功能等价异构执行体;
所述功能等价异构执行体接收所述请求信息后,从所述请求信息中获取标签序列号,响应所述请求信息,并将所述标签序列号添加到所述响应信息的冗余字段或自定义字段中,以及将带有标签序列号的响应信息输出至所述归一化模块;
所述归一化处理模块接收所述响应信息后,从所述响应信息中获取标签序列号;
所述归一化处理模块获得归一化响应信息后,将每个归一化响应信息以及其对应的标签序列号打包为一条列表数据输出至所述裁决器;
所述裁决器对具有同一标签序列号的所有列表数据中的归一化响应信息进行判决,并输出裁决结果;
或者,所述归一化处理模块获得归一化响应信息后,将每个归一化响应信息的哈希值以及其对应的标签序列号和归一化前的响应信息打包为一条列表数据输出至所述裁决器;
所述裁决器对具有同一标签序列号的所有列表数据中的归一化响应信息的哈希值进行判决,并输出裁决结果或者与裁决结果相对应的归一化前的响应信息。
优选的,还包括缓存数据库,所述缓存数据库与所述归一化处理模块连接,用于接收所述归一化处理模块输出的列表数据,进行队列缓存;所述裁决器与所述缓存数据库连接,用于从所述缓存数据库中获取具有同一标签序列号的所有列表数据。
优选的,所述获取具有同一标签序列号的所有列表数据是指:从所述缓存数据库中读取一条列表数据,获取所述列表数据的标签序列号,并根据所述标签序列号从所述缓存数据库中读取出标签序列号与所述标签序列号一样的列表数据。
优选的,若超出预设时间,所述裁决器获取的归一化响应信息或归一化响应信息的哈希值的个数小于功能等价异构执行体的个数,则对实际获取的归一化响应信息或归一化响应信息的哈希值进行裁决。
本发明第二方面提供一种拟态归一化裁决方法,包括以下步骤:
输入分发代理模块,接收请求信息,并复制分发至若干个功能等价异构执行体;
所述功能等价异构执行体,响应所述请求信息,并输出响应信息至所述归一化处理模块;
所述归一化处理模块,按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,并将归一化响应信息输送至所述裁决器;
所述裁决器,对所有归一化响应信息进行裁决,并输出裁决结果;
或者,所述归一化处理模块,按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及与其对应的归一化前的响应信息发送至所述裁决器;
所述裁决器,对所有归一化响应信息的哈希值进行裁决,并输出与裁决结果相对应的归一化前的响应信息。
本发明第三方面提供一种拟态归一化裁决方法,包括以下步骤:
输入分发代理模块,接收请求信息,并复制分发至若干个功能等价异构执行体;
所述功能等价异构执行体,响应所述请求信息,并输出响应信息至所述归一化处理模块;
所述归一化处理模块,按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及与其对应的归一化前的响应信息发送至所述裁决器;
所述裁决器,对所有归一化响应信息的哈希值进行裁决,并输出与裁决结果相对应的归一化前的响应信息。
本发明第四方面提供一种拟态归一化裁决方法,包括以下步骤:输入分发代理模块,接收请求信息,生成唯一的标签序列号,将所述标签序列号添加到所述请求信息的冗余字段或自定义字段中,并将带有标签序列号的请求信息复制分发至每个功能等价异构执行体;
所述功能等价异构执行体接收所述请求信息后,从所述请求信息中获取标签序列号,响应所述请求信息,并将所述标签序列号添加到所述响应信息的冗余字段或自定义字段中,以及将带有标签序列号的响应信息输出至所述归一化模块;
所述归一化处理模块接收所述响应信息后,从所述响应信息中获取标签序列号;按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息;
所述归一化处理模块获得归一化响应信息后,将每个归一化响应信息以及其对应的标签序列号打包为一条列表数据,输出至所述裁决器;
所述裁决器,对具有同一标签序列号的所有列表数据中的归一化响应信息进行判决,并输出裁决结果;
或者,所述归一化处理模块获得归一化响应信息后,分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及其对应的标签序列号和归一化前的响应信息打包为一条列表数据,输出至所述裁决器;
所述裁决器,对具有同一标签序列号的所有列表数据中的归一化响应信息的哈希值进行判决,并输出与裁决结果相对应的归一化前的响应信息。
基于上述,所述归一化处理模块,将每个归一化响应信息以及其对应的标签序列号打包为一条列表数据后,输出至所述缓存数据库,以进行队列缓存;
所述裁决器,从所述缓存数据库中获取具有同一标签序列号的所有列表数据,对所有列表数据中的归一化响应信息进行判决,并输出裁决结果;
或者,所述归一化处理模块将每个归一化响应信息的哈希值以及其对应的标签序列号和归一化前的响应信息打包为一条列表数据后,输出至所述缓存数据库,以进行队列缓存;
所述裁决器,从所述缓存数据库中读取具有同一标签序列号的所有列表数据,对所有列表数据中的归一化响应信息的哈希值进行判决,并输出与裁决结果相对应的归一化前的响应信息。
本发明第四方面提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,其中,所述计算机可执行指令用于执行前述的拟态归一化裁决方法。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,
(1)本发明中通过对响应信息进行正则匹配过滤,将因异构执行体通信协议的冗余性或执行体设计实现的差异性等原因造成的数据格式不一致的输出信息统一为数据格式一致的归一化响应信息,然后送入裁决器进行裁决处理,相比于将归一化问题放入裁决器内部实现而言,本发明能够极大提高裁决器的裁决效率,降低数据传输的时延;同时由于本方案不需要对执行体做任何的修改,具备普适性。
(2)本发明在对响应信息进行裁决后,分别计算每个归一化响应信息的哈希值,然后对所有哈希值进行裁决;由于哈希值是根据归一化响应信息所得,且哈希值的数据量要小于归一化响应信息的数据量,从而在保证裁决结果不变的情况下进一步提高拟态裁决的效率;另外由于哈希值的安全性要高于归一化响应信息,因此,对哈希值进行裁决还能够进一步提高拟态裁决的安全性。
(3)本发明通过输入代理分发模块为请求信息添加一个标签信息,在归一化处理前获取该标签序列号,并将该标签序列号和对应的归一化响应信息,或者将该标签序列号和对应的归一化响应信息的哈希值和归一化前的响应信息进行打包发送到所述裁决器,由裁决器对具有同一标签序列号的归一化响应信息或其哈希值进行裁决,有效解决响应信息高并发造成的裁决结果不准确的问题,提高了拟态裁决的准确性。
(4)本发明通过该标签序列号和对应的归一化响应信息或者和对应的归一化响应信息的哈希值和归一化前的响应信息进行打包发送到缓存数据库中,裁决器根据该标签序列号方便从所述缓存数据库中查找获取同一个请求信息的响应信息,其自身不需要进行同一标签序列号的区分,在提高了拟态裁决的准确性的同时,也减少了裁决器的功能损耗。
附图说明
图1是本发明实施例1的***原理框图。
图2是本发明实施例1的方法流程示意图。
图3是本发明实施例2的方法流程示意图。
图4是本发明实施例3的方法流程示意图。
图5是本发明实施例4的方法流程示意图。
图6是本发明实施例5的***原理框图。
图7是本发明实施例5的方法流程示意图。
图8是本发明实施例6的方法流程示意图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
实施例1
如图1所示,本发明公开了一种拟态归一化裁决***,包括输入分发代理模块、若干个功能等价异构执行体、归一化处理模块和裁决器;所述输入分发代理模块分别与每个功能等价异构执行体连接;所述功能等价异构执行体与所述归一化处理模块连接;所述归一化处理模块与所述裁决器连接。
如图2所示,本发明还公开了一种基于所述拟态归一化裁决***的拟态归一化裁决方法,包括以下步骤:
输入分发代理模块,接收请求信息,并复制分发至若干个功能等价异构执行体;
所述功能等价异构执行体,响应所述请求信息,并输出响应信息至所述归一化处理模块;
所述归一化处理模块,按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,并将归一化响应信息输送至所述裁决器;
所述裁决器,根据大数原则的判决方法对所有归一化响应信息进行裁决,并输出裁决结果。
由于在功能等价的异构执行体的实现中,因通信协议接口在设计阶段为了满足其通用性而设计的冗余字段,由于不同的执行体针对这些通信协议的冗余部分具体实现方式不同,从而导致执行体的输出结果不一致;考虑到通信接口的完整性,执行体在执行过程中也会将与执行体本身相关的数据信息作为部分字段信息进行封包处理,从而导致执行体的输出结果不一致;
为了解决因上述两种问题造成的输出结果不一致的问题,本实施例中所述预设正则过滤规则与通信协议的冗余字段或用户自定义字段、以及异构执行体本身相关的信息有关,具体的,所述预设正则过滤规则包括但不仅限于通信协议的冗余字段或用户自定义字段、以及与异构执行体本身相关的信息;通过将与通信协议的冗余字段或用户自定义字段、以及异构执行体本身相关的信息过滤掉,获得具有统一数据格式的归一化响应信息,便于裁决器进行裁决。相比于将归一化问题放入裁决器内部实现而言,本发明能够极大提高裁决器的裁决效率,降低数据传输的时延;同时由于本方案不需要对执行体做任何的修改,具备普适性。
需要注意的是,在数据接收过程中,可能会存在个别执行体的归一化响应信息接收延迟或者接收不到的现象,针对响应信息接收延迟或接收不到的问题,可以采用数据读取超时机制:即若超出预设时间,所述裁决器获取的归一化响应信息的个数小于功能等价异构执行体的个数,则对实际获取的归一化响应信息进行裁决。
实施例2
本实施例与实施例1的区别之处在于:
如图3所示,本发明还公开了第二种基于所述拟态归一化裁决***的拟态归一化裁决方法,包括以下步骤:
所述归一化处理模块,获得具有统一数据格式的归一化响应信息后,分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及与其对应的归一化前的响应信息发送至所述裁决器;
所述裁决器,根据大数原则的判决方法对所有归一化响应信息的哈希值进行裁决,并输出与裁决结果相对应的归一化前的响应信息。
本发明在对响应信息进行裁决后,分别计算每个归一化响应信息的哈希值,通过对所有哈希值进行裁决,然后输入与裁决结果对应的归一化前的响应信息,能够进一步提高拟态裁决的安全性。
需要注意的是,在数据接收过程中,可能会存在个别执行体的归一化响应信息的哈希值的接收延迟或者接收不到的现象,针对响应信息接收延迟或接收不到的问题,可以采用数据读取超时机制:即若超出预设时间,所述裁决器获取的归一化响应信息的哈希值的个数小于功能等价异构执行体的个数,则对实际获取的归一化响应信息的哈希值进行裁决。
实施例3
本实施例与实施例1的区别之处在于:如图4所示,本发明还公开了第三种基于所述拟态归一化裁决***的拟态归一化裁决方法,包括以下步骤:
输入分发代理模块,接收请求信息,生成唯一的标签序列号,将所述标签序列号添加到所述请求信息的冗余字段或自定义字段中,并将带有标签序列号的请求信息复制分发至每个功能等价异构执行体;
所述功能等价异构执行体接收所述请求信息后,从所述请求信息中获取标签序列号,响应所述请求信息,并将所述标签序列号添加到所述响应信息的冗余字段或自定义字段中,以及将带有标签序列号的响应信息输出至所述归一化模块;
所述归一化处理模块接收所述响应信息后,从所述响应信息中获取标签序列号;按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息;
所述归一化处理模块,将每个归一化响应信息以及其对应的标签序列号打包为一条列表数据,输出至所述裁决器;
所述裁决器,根据大数原则的判决方法对具有同一标签序列号的所有列表数据中的归一化响应信息进行判决,并输出裁决结果。
本发明通过输入代理分发模块为请求信息添加一个标签信息,在归一化处理前获取该标签序列号,并将该标签序列号和对应的归一化响应信息进行打包发送到所述裁决器,由裁决器根据方便对具有同一标签序列号的归一化响应信息进行裁决,有效解决响应信息高并发造成的裁决结果不准确的问题,提高了拟态裁决的准确性。
需要注意的是,在数据接收过程中,可能会存在个别执行体的归一化响应信息的接收延迟或者接收不到的现象,针对响应信息接收延迟或接收不到的问题,可以采用数据读取超时机制:即若超出预设时间,所述裁决器获取的归一化响应信息的个数小于功能等价异构执行体的个数,则对实际获取的归一化响应信息进行裁决。
实施例4
本实施例与实施例3的区别之处在于:如图5所示,本发明还公开了第四种基于所述拟态归一化裁决***的拟态归一化裁决方法,包括以下步骤:
所述归一化处理模块获得归一化响应信息后,分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及其对应的标签序列号和归一化前的响应信息打包为一条列表数据,输出至所述裁决器;
所述裁决器,根据大数原则的判决方法对具有同一标签序列号的所有列表数据中的归一化响应信息的哈希值进行判决,并输出与裁决结果相对应的归一化前的响应信息。
本发明通过归一化处理模块在归一化处理后计算归一化响应的哈希值,并将该标签序列号和对应的归一化响应信息的哈希值以及归一化前的响应信息进行打包发送到所述裁决器,然后由裁决器根据方便对具有同一标签序列号的归一化响应信息的哈希值进行裁决;由于哈希值是根据归一化响应信息所得,且哈希值的数据量要小于归一化响应信息的数据量,从而在保证裁决结果不变的情况下进一步提高拟态裁决的效率;另外由于哈希值的安全性要高于归一化响应信息,因此,对哈希值进行裁决还能够进一步提高拟态裁决的安全性。
需要注意的是,在数据接收过程中,可能会存在个别执行体的归一化响应信息的哈希值接收延迟或者接收不到的现象,针对归一化响应信息的哈希值接收延迟或接收不到的问题,可以采用数据读取超时机制:即若超出预设时间,所述裁决器获取的归一化响应信息的哈希值的个数小于功能等价异构执行体的个数,则对实际获取的归一化响应信息的哈希值进行裁决。
实施例5
本实施例与实施例1的区别之处在于:
如图6所示,本发明还公开了第二种拟态归一化裁决***,包括输入分发代理模块、若干个功能等价异构执行体、归一化处理模块、缓存数据库和裁决器;所述输入分发代理模块分别与每个功能等价异构执行体连接;所述功能等价异构执行体与所述归一化处理模块连接;所述归一化处理模块与所述缓存数据库连接;所述缓存数据库与所述裁决器连接。
如图7所示,本发明还公开了一种基于所述第二种拟态归一化裁决***的拟态归一化裁决方法,包括以下步骤:
输入分发代理模块,接收请求信息,生成唯一的标签序列号,将所述标签序列号添加到所述请求信息的冗余字段或自定义字段中,并将带有标签序列号的请求信息复制分发至每个功能等价异构执行体;
所述功能等价异构执行体接收所述请求信息后,从所述请求信息中获取标签序列号,响应所述请求信息,并将所述标签序列号添加到所述响应信息的冗余字段或自定义字段中,以及将带有标签序列号的响应信息输出至所述归一化模块;
所述归一化处理模块接收所述响应信息后,从所述响应信息中获取标签序列号;按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息;
所述归一化处理模块,将每个归一化响应信息以及其对应的标签序列号打包为一条列表数据,输出至所述缓存数据库,以进行队列缓存;
所述裁决器,从所述缓存数据库中获取具有同一标签序列号的所有列表数据,根据大数原则的判决方法对所有列表数据中的归一化响应信息进行判决,并输出裁决结果;
本发明通过输入代理分发模块为请求信息添加一个标签信息,在归一化处理前获取该标签序列号,并将该标签序列号和对应的归一化响应信息进行打包发送到缓存数据库中,裁决器根据该标签序列号方便从所述缓存数据库中查找获取同一个请求信息的响应信息,其自身不需要进行同一标签序列号的区分,在提高了拟态裁决的准确性的同时,也减少了裁决器的功能损耗。
需要注意的是,在从所述缓存数据库中接收列表数据的过程中,可能会存在个别执行体对应的列表数据的接收延迟或者接收不到的现象,针对列表数据接收延迟或接收不到的问题,可以采用数据读取超时机制:即若超出预设时间,所述裁决器获取的列表数据的个数小于功能等价异构执行体的个数,则对实际获取的所有列表数据中的归一化响应信息进行裁决。
实施例6
本实施例与实施例5的区别之处在于:
如图8所示,本发明还公开了另一种基于所述第二种拟态归一化裁决***的拟态归一化裁决方法,包括以下步骤:
所述归一化处理模块获得归一化响应信息后,分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及其对应的标签序列号和归一化前的响应信息打包为一条列表数据,输出至所述缓存数据库,以进行队列缓存;
所述裁决器,从所述缓存数据库中读取具有同一标签序列号的所有列表数据,根据大数原则的判决方法对所有列表数据中的归一化响应信息的哈希值进行判决,并输出与裁决结果相对应的归一化前的响应信息。
本发明通过输入代理分发模块为请求信息添加一个标签信息,在归一化处理前获取该标签序列号,并将该标签序列号和对应的归一化响应信息的哈希值和归一化前的响应信息进行打包发送到缓存数据库中,裁决器根据该标签序列号方便从所述缓存数据库中查找获取同一个请求信息的归一化响应信息的哈希值,通过对所有哈希值进行裁决;由于哈希值是根据归一化响应信息所得,且哈希值的数据量要小于归一化响应信息的数据量,从而在保证裁决结果不变的情况下进一步提高拟态裁决的效率;另外由于哈希值的安全性要高于归一化响应信息,因此,对哈希值进行裁决还能够进一步提高拟态裁决的安全性。
需要注意的是,在从所述缓存数据库中接收列表数据的过程中,可能会存在个别执行体对应的列表数据的接收延迟或者接收不到的现象,针对列表数据接收延迟或接收不到的问题,可以采用数据读取超时机制:即若超出预设时间,所述裁决器获取的列表数据的个数小于功能等价异构执行体的个数,则对实际获取的所有列表数据中的归一化响应信息的哈希值进行裁决。
实施例7
本发明提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,其中,所述计算机可执行指令用于执行前述的拟态归一化裁决方法。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (10)

1.一种拟态归一化裁决***,其特征在于:包括输入分发代理模块、若干个功能等价异构执行体、归一化处理模块和裁决器;
所述输入分发代理模块分别与每个功能等价异构执行体连接,用于接收请求信息,并复制分发至每个功能等价异构执行体;
所述功能等价异构执行体与所述归一化处理模块连接,用于响应所述请求信息,并输出响应信息至所述归一化处理模块;
所述归一化处理模块与所述裁决器连接,用于按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,并将归一化响应信息输送至所述裁决器;
所述裁决器,用于对所有归一化响应信息进行裁决,并输出裁决结果。
2.根据权利要求1所述的拟态归一化裁决***,其特征在于:所述归一化处理模块获得具有统一数据格式的归一化响应信息后,还分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及与其对应的归一化前的响应信息发送至所述裁决器;
所述裁决器对所有归一化响应信息的哈希值进行裁决,并输出与裁决结果相对应的归一化前的响应信息。
3.根据权利要求1或2所述的拟态归一化裁决***,其特征在于:所述预设正则过滤规则,包括但不仅限于通信协议的冗余字段或用户自定义字段、以及与异构执行体本身相关的信息。
4.根据权利要求1或2所述的拟态归一化裁决***,其特征在于:所述输入分发代理模块接收请求信息后,生成唯一的标签序列号,将所述标签序列号添加到所述请求信息的冗余字段或自定义字段中,并将带有标签序列号的请求信息复制分发至每个功能等价异构执行体;
所述功能等价异构执行体接收所述请求信息后,从所述请求信息中获取标签序列号,响应所述请求信息,并将所述标签序列号添加到所述响应信息的冗余字段或自定义字段中,以及将带有标签序列号的响应信息输出至所述归一化模块;
所述归一化处理模块接收所述响应信息后,从所述响应信息中获取标签序列号;
所述归一化处理模块获得归一化响应信息后,将每个归一化响应信息以及其对应的标签序列号打包为一条列表数据输出至所述裁决器;
所述裁决器对具有同一标签序列号的所有列表数据中的归一化响应信息进行判决,并输出裁决结果;
或者,所述归一化处理模块获得归一化响应信息后,将每个归一化响应信息的哈希值以及其对应的标签序列号和归一化前的响应信息打包为一条列表数据输出至所述裁决器;
所述裁决器对具有同一标签序列号的所有列表数据中的归一化响应信息的哈希值进行判决,并输出裁决结果或者与裁决结果相对应的归一化前的响应信息。
5.根据权利要求4所述的拟态归一化裁决***,其特征在于:还包括缓存数据库,所述缓存数据库与所述归一化处理模块连接,用于接收所述归一化处理模块输出的列表数据,进行队列缓存;所述裁决器与所述缓存数据库连接,用于从所述缓存数据库中获取具有同一标签序列号的所有列表数据。
6.一种拟态归一化裁决方法,其特征在于,包括以下步骤:
输入分发代理模块,接收请求信息,并复制分发至若干个功能等价异构执行体;
所述功能等价异构执行体,响应所述请求信息,并输出响应信息至所述归一化处理模块;
所述归一化处理模块,按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,并将归一化响应信息输送至所述裁决器;
所述裁决器,对所有归一化响应信息进行裁决,并输出裁决结果;
或者,所述归一化处理模块,按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及与其对应的归一化前的响应信息发送至所述裁决器;
所述裁决器,对所有归一化响应信息的哈希值进行裁决,并输出与裁决结果相对应的归一化前的响应信息。
7.一种拟态归一化裁决方法,其特征在于,包括以下步骤:
输入分发代理模块,接收请求信息,并复制分发至若干个功能等价异构执行体;
所述功能等价异构执行体,响应所述请求信息,并输出响应信息至所述归一化处理模块;
所述归一化处理模块,按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息,分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及与其对应的归一化前的响应信息发送至所述裁决器;
所述裁决器,对所有归一化响应信息的哈希值进行裁决,并输出与裁决结果相对应的归一化前的响应信息。
8.一种拟态归一化裁决方法,其特征在于,包括以下步骤:
输入分发代理模块,接收请求信息,生成唯一的标签序列号,将所述标签序列号添加到所述请求信息的冗余字段或自定义字段中,并将带有标签序列号的请求信息复制分发至每个功能等价异构执行体;
所述功能等价异构执行体接收所述请求信息后,从所述请求信息中获取标签序列号,响应所述请求信息,并将所述标签序列号添加到所述响应信息的冗余字段或自定义字段中,以及将带有标签序列号的响应信息输出至所述归一化模块;
所述归一化处理模块接收所述响应信息后,从所述响应信息中获取标签序列号;按照预设正则过滤规则对响应信息进行过滤,获得具有统一数据格式的归一化响应信息;
所述归一化处理模块获得归一化响应信息后,将每个归一化响应信息以及其对应的标签序列号打包为一条列表数据,输出至所述裁决器;
所述裁决器,对具有同一标签序列号的所有列表数据中的归一化响应信息进行判决,并输出裁决结果;
或者,所述归一化处理模块获得归一化响应信息后,分别计算每个归一化响应信息的哈希值,将每个归一化响应信息的哈希值以及其对应的标签序列号和归一化前的响应信息打包为一条列表数据,输出至所述裁决器;
所述裁决器,对具有同一标签序列号的所有列表数据中的归一化响应信息的哈希值进行判决,并输出与裁决结果相对应的归一化前的响应信息。
9.根据权利要求8所述的一种拟态归一化裁决方法,其特征在于:
所述归一化处理模块,将每个归一化响应信息以及其对应的标签序列号打包为一条列表数据后,输出至所述缓存数据库,以进行队列缓存;
所述裁决器,从所述缓存数据库中获取具有同一标签序列号的所有列表数据,对所有列表数据中的归一化响应信息进行判决,并输出裁决结果;
或者,所述归一化处理模块将每个归一化响应信息的哈希值以及其对应的标签序列号和归一化前的响应信息打包为一条列表数据后,输出至所述缓存数据库,以进行队列缓存;
所述裁决器,从所述缓存数据库中读取具有同一标签序列号的所有列表数据,对所有列表数据中的归一化响应信息的哈希值进行判决,并输出与裁决结果相对应的归一化前的响应信息。
10.一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,其特征在于:所述计算机可执行指令用于执行权利要求6或7或8或9中所述的拟态归一化裁决方法。
CN202010433431.2A 2020-05-21 2020-05-21 一种拟态归一化裁决***、方法及可读存储介质 Active CN111628978B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010433431.2A CN111628978B (zh) 2020-05-21 2020-05-21 一种拟态归一化裁决***、方法及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010433431.2A CN111628978B (zh) 2020-05-21 2020-05-21 一种拟态归一化裁决***、方法及可读存储介质

Publications (2)

Publication Number Publication Date
CN111628978A true CN111628978A (zh) 2020-09-04
CN111628978B CN111628978B (zh) 2022-02-22

Family

ID=72272778

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010433431.2A Active CN111628978B (zh) 2020-05-21 2020-05-21 一种拟态归一化裁决***、方法及可读存储介质

Country Status (1)

Country Link
CN (1) CN111628978B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112187833A (zh) * 2020-11-09 2021-01-05 浙江大学 一种拟态waf中的ai+正则双匹配检测方法
CN112532659A (zh) * 2021-02-10 2021-03-19 之江实验室 一种基于拟态边缘网关的tcp数据包的归一化方法
CN114084169A (zh) * 2021-11-01 2022-02-25 网络通信与安全紫金山实验室 智能网联汽车的内生安全裁决方法、***和存储介质
CN116471117A (zh) * 2023-05-15 2023-07-21 嵩山实验室 一种拟态改造消息件、消息中间件的信息处理方法及***

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534063A (zh) * 2016-09-27 2017-03-22 上海红阵信息科技有限公司 一种封装异构功能等价体的装置、方法及设备
CN108900654A (zh) * 2018-08-04 2018-11-27 中国人民解放军战略支援部队信息工程大学 一种基于拟态域名服务器的dns动态调度方法
WO2019004928A1 (en) * 2017-06-29 2019-01-03 Certis Cisco Security Pte Ltd AUTONOMOUS INCREASE SORTING PRIORITIZATION BY PERFORMANCE MODIFIER AND TIME-DECREASING PARAMETERS
CN110018895A (zh) * 2019-04-15 2019-07-16 中国人民解放军战略支援部队信息工程大学 一种基于异构性和服务质量的执行体调度方法及***
CN110166435A (zh) * 2019-04-18 2019-08-23 杭州电子科技大学 采用负载均衡进行动态调度的拟态Web网关***及方法
CN110324417A (zh) * 2019-06-29 2019-10-11 河南信大网御科技有限公司 一种基于拟态防御的云服务执行体动态重构方法
CN110557437A (zh) * 2019-08-05 2019-12-10 上海拟态数据技术有限公司 基于自定义协议的普适性拟态分发表决调度装置及方法
CN110691133A (zh) * 2019-09-29 2020-01-14 河南信大网御科技有限公司 一种应用于网络通信设备的web服务拟态***及方法
CN110768966A (zh) * 2019-10-10 2020-02-07 中国人民解放军战略支援部队信息工程大学 一种基于拟态防御的安全云管理***构建方法和装置
CN111124663A (zh) * 2019-11-15 2020-05-08 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 拟态资源调度方法、***及介质
WO2020093201A1 (zh) * 2018-11-05 2020-05-14 北京大学深圳研究生院 基于gspn和鞅理论网络空间拟态防御的安全性建模量化方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534063A (zh) * 2016-09-27 2017-03-22 上海红阵信息科技有限公司 一种封装异构功能等价体的装置、方法及设备
WO2019004928A1 (en) * 2017-06-29 2019-01-03 Certis Cisco Security Pte Ltd AUTONOMOUS INCREASE SORTING PRIORITIZATION BY PERFORMANCE MODIFIER AND TIME-DECREASING PARAMETERS
CN108900654A (zh) * 2018-08-04 2018-11-27 中国人民解放军战略支援部队信息工程大学 一种基于拟态域名服务器的dns动态调度方法
WO2020093201A1 (zh) * 2018-11-05 2020-05-14 北京大学深圳研究生院 基于gspn和鞅理论网络空间拟态防御的安全性建模量化方法
CN110018895A (zh) * 2019-04-15 2019-07-16 中国人民解放军战略支援部队信息工程大学 一种基于异构性和服务质量的执行体调度方法及***
CN110166435A (zh) * 2019-04-18 2019-08-23 杭州电子科技大学 采用负载均衡进行动态调度的拟态Web网关***及方法
CN110324417A (zh) * 2019-06-29 2019-10-11 河南信大网御科技有限公司 一种基于拟态防御的云服务执行体动态重构方法
CN110557437A (zh) * 2019-08-05 2019-12-10 上海拟态数据技术有限公司 基于自定义协议的普适性拟态分发表决调度装置及方法
CN110691133A (zh) * 2019-09-29 2020-01-14 河南信大网御科技有限公司 一种应用于网络通信设备的web服务拟态***及方法
CN110768966A (zh) * 2019-10-10 2020-02-07 中国人民解放军战略支援部队信息工程大学 一种基于拟态防御的安全云管理***构建方法和装置
CN111124663A (zh) * 2019-11-15 2020-05-08 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 拟态资源调度方法、***及介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
HU H, WU J: "Mimic defense: a designed-in cybersecurity defense", 《IET INFORMATION SECURITY》 *
李卫超: "基于拟态防御架构的多余度裁决建模与风险分析", 《信息安全学报》 *
樊永文: "基于拟态防御的数据保护安全架构研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112187833A (zh) * 2020-11-09 2021-01-05 浙江大学 一种拟态waf中的ai+正则双匹配检测方法
CN112187833B (zh) * 2020-11-09 2021-12-17 浙江大学 一种拟态waf中的ai+正则双匹配检测方法
CN112532659A (zh) * 2021-02-10 2021-03-19 之江实验室 一种基于拟态边缘网关的tcp数据包的归一化方法
CN112532659B (zh) * 2021-02-10 2021-05-11 之江实验室 一种基于拟态边缘网关的tcp数据包的归一化方法
CN114084169A (zh) * 2021-11-01 2022-02-25 网络通信与安全紫金山实验室 智能网联汽车的内生安全裁决方法、***和存储介质
CN114084169B (zh) * 2021-11-01 2024-04-30 网络通信与安全紫金山实验室 智能网联汽车的内生安全裁决方法、***和存储介质
CN116471117A (zh) * 2023-05-15 2023-07-21 嵩山实验室 一种拟态改造消息件、消息中间件的信息处理方法及***

Also Published As

Publication number Publication date
CN111628978B (zh) 2022-02-22

Similar Documents

Publication Publication Date Title
CN111628978B (zh) 一种拟态归一化裁决***、方法及可读存储介质
CN109410045B (zh) 一种平行链共识方法、设备和存储介质
CN102630315B (zh) 用于防止死锁状态的数据处理方法及***
CN106909563B (zh) 一种分布式***
CN109255057B (zh) 区块生成方法、装置、设备及存储介质
CN111625558A (zh) 一种服务器架构及其数据库查询方法和存储介质
CN111510465B (zh) 一种基于混合数据类型工业协议的拟态裁决方法及裁决器
CN110581887B (zh) 数据处理方法、装置、区块链节点及存储介质
CN110765206A (zh) 一种数据同步***、方法、装置、设备及存储介质
CN110648124B (zh) 在区块链中并发执行交易的方法和装置
CN109213828B (zh) 区块生成方法、装置、设备及存储介质
US20230214338A1 (en) Data moving method, direct memory access apparatus and computer system
WO2023103640A1 (zh) 测试用例的生成方法、装置、电子设备和存储介质
CN111553652A (zh) 业务处理方法及装置
US7921220B2 (en) Reducing occurrences of two-phase commits in a multi-node computing system
CN113743943A (zh) 在区块链中执行交易的方法、区块链、主节点和从节点
US20120096195A1 (en) Data transfer device and data transfer method
CN116501657B (zh) 缓存数据的处理方法、设备及***
WO2024041191A1 (zh) 数据处理方法及装置
CN115174090B (zh) 区块链共识方法、装置、计算机设备及可读存储介质
Boigelot et al. Model checking in practice: An analysis of the access. bus™ protocol using spin
CN111209263A (zh) 数据存储方法、装置、设备及存储介质
CN114911588A (zh) 用于***级芯片的中断路由控制方法和中断控制器
CN111639129B (zh) 交易处理方法、装置、电子设备及计算机可读存储介质
CN113691632A (zh) 一种区块链计算资源的动态调度方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant