适用于拟态防御系统的多队列随机参数归一化装置及方法制造方法及图纸

本发明专利技术提供一种适用于拟态防御系统的多队列随机参数归一化装置，通过计算随机参数请求散列值的方式归一化表征不同应用的随机参数请求，利用随机参数生效标签表征队列存储随机参数在不同执行的应用情况，基于多队列并行比较的方式，为拟态防御系统异构执行体提供统一的随机参数。所提出的多队列随机参数归一化装置，能解决乱序随机参数请求的同步问题，提高随机参数同步匹配效率。本发明专利技术将随机数、时间戳的随机参数应用需求归一化到统一的硬件装置中，可为拟态防御系统随机参数归一化提供一体化解决方案。

【技术实现步骤摘要】
适用于拟态防御系统的多队列随机参数归一化装置及方法
本专利技术涉及拟态防御
特别是涉及一种基于多队列的随机参数归一化方法与装置。
技术介绍
受限于科技发展水平，人们当前无法对信息系统产品生产的产业链条进行管控，亦无法对信息系统产品的漏洞后门做出全面可靠的检测。基于未知漏洞后门的攻击威胁问题，已经成为世界级的安全防御难题，传统基于先验信息的安全防御手段只能起到亡羊补牢的效果。在此背景下，中国工程院邬江兴院士基于共识机制提出了拟态防御理论，通过“动态-异构-冗余”的系统架构，将系统的不确定扰动问题归一化为工程方法能解决的可靠性问题。拟态防御系统的关键操作在于，对多个等价异构执行体的输出结果进行多数表决，及时检测出被攻击的对象并执行清洗操作。上述表决能生效的前提是，等价异构执行体在正常运行情况时对相同输入会具有相同输出，在经受攻击者攻击时，执行体输出表现出与运行环境相关的差异，也被称之为IPO模型。然而在少量关键的场景，等价异构执行体在没有受到攻击时输出也会表现出随机性，具体表现有：1、为保证通信会话新鲜度与安全加密强度由执行体自生成的随机数；2、标记消息时间由执行体自生成的时间戳；3、为区分不同会话由执行体自生成的随机数；等等。所有这些参数都需要进行归一化处理，并且执行体之间不能相互沟通联系，以避免增加攻击路径。因此需要设计统一的随机参数归一化装置，进行随机参数管理。另一方面，执行体同时所需的随机参数可能不止1个，随机参数归一化装置还需要解决乱序随机参数请求的同步问题，并且提高并行效率。<br>
技术实现思路
本专利技术采用的技术方案是：一种适用于拟态防御系统的多队列随机参数归一化装置，其中，所述拟态防御系统由多个执行体、裁决器、输入代理器和输出代理器组成；所述多队列随机参数归一化装置包括随机参数服务控制接口、随机参数生成器、散列函数计算器、随机参数缓存队列、以及并行搜索匹配引擎5大模块。其中：随机参数服务控制接口，负责接收执行体的随机参数请求，识别出随机参数执行体请求编号、提取请求的随机参数类型和随机参数请求的具体信息，以及从随机参数缓存队列获取的随机参数反馈至对应执行体。随机参数生成器，根据所述随机参数类型，在并行搜索匹配引擎的控制下生成对应的随机参数，写入到随机参数缓存队列。散列函数计算器，用于根据随机参数请求的具体信息计算散列值；随机参数缓存队列，包含多个队列，每个队列由参数缓存寄存器和定时器组成，每个所述参数缓存寄存器记录随机参数生效标签、散列值和所述随机参数；所述定时器计时队列的执行时间，当超出定时阈值时执行超时异常复位：清空队列，复位定时器将随机参数生效标签记录的数值反馈至拟态防御系统的裁决器；所述随机参数生效标签长度与拟态防御系统的余度相等，所述随机参数生效标签每个比特位与拟态防御系统执行体一一对应；并行搜索匹配引擎，用于获取随机参数缓存队列中的可用队列，再根据散列函数计算器当前计算的散列值与可用队列中记录的散列值的并行匹配结果，完成随机参数归一化生成、标记随机参数生效标签并发送随机参数至随机参数服务控制接口。进一步地，所述执行体请求编号长度与拟态防御系统的余度相等，所述执行体请求编号与随机参数生效标签长度一致，执行体请求编号由发出随机数请求的执行体确定，所述执行体请求编号采用独热编码方式编码。进一步地，所述散列值为截短数值，位数等于32减随机参数生效标签长度。进一步地，所述随机参数生效标签采用0或1表示，其中0表示随机参数未生效，1表示生效；队列状态根据随机参数生效标签的数值分为如下四种状态：空闲状态，随机参数生效标签内数值全为零，标识该队列空间不被占用；置位状态，当所存储的随机参数反馈给某一执行体时，随机参数生效标签内所对应的比特位数值置1；超时复位状态，当超出定时阈值队列仍未完成任务时执行超时异常复位：清空队列，复位定时器并将随机参数生效标签记录的数值反馈至裁决器；完成复位状态，当队列中随机参数生效标签全部置1时，表明该随机参数已经完成归一化同步，队列清空，随机参数生效标签清零，复位定时器。进一步地，获取随机参数缓存队列中的可用队列具体为：将执行体请求编号与所有队列中的随机参数生效标签的数值执行并行与操作后，把按位或运算结果作为可用队列标志，其中运算结果为0的队列为可用队列。进一步地，根据散列函数计算器当前计算的散列值与可用队列中记录的散列值的并行匹配结果，完成随机参数归一化生成、标记随机参数生效标签并发送随机参数至随机参数服务控制接口具体为：若匹配命中，则将对应队列存储的随机参数作为所述发起随机参数请求的执行体的随机参数，并发送至随机参数服务控制接口反馈，随机参数生效标签对应比特位内数值置1；若匹配丢失，则随机参数生成器根据执行体发起的随机参数请求生成随机参数，选取随机参数缓存队列中的空队列并存储随机参数，发送随机参数至随机参数服务控制接口反馈，随机参数生效标签对应比特位内数值置1。进一步地，以队列随机参数生效标签内数值全为零，并结合队列寄存器序号选择空队列。本专利技术还提供了一种上述适用于拟态防御系统的多队列随机参数归一化装置的随机参数归一化方法，包括如下步骤：步骤一：随机参数服务控制接口将来自于某一执行体的随机数请求解析得到执行体请求编号与所需的随机参数类型，并行搜索匹配引擎将执行体请求编号与随机参数缓存队列中的随机参数生效标签数值相与，并按位或运算，所得结果为0的队列为可用队列；其中，空队列的随机参数生效标签数值为全零；步骤二：在可用队列中，将散列函数计算器计算的当前发起的随机参数请求的散列值与可用队列中的存储的散列值进行比较：若匹配命中，则将对应队列存储的随机参数作为所述发起随机参数请求的执行体的随机参数，并发送至随机参数服务控制接口反馈，随机参数生效标签内对应比特位的数值置1；若匹配丢失，则跳转到步骤三；步骤三：判断所有队列的随机参数生效标签内数值是否全为零，选择其中序号最小且队列随机参数生效标签内数值全为零的队列，装载随机参数生成器生成的随机参数并标记随机参数生效标签，填充随机参数请求的散列值，随后将随机参数反馈至对应执行体；其中，当随机参数生效标签数值从全零跳转至其他状态时，定时器开始计时，当超出定时阈值时执行超时异常复位：清空队列，复位定时器将随机参数生效标签记录的数值反馈至拟态防御系统的裁决器；当队列中随机参数生效标签内数值全部都置1时，表明该随机参数已经完成归一化同步，队列清空，随机参数生效标签清零，复位定时器。本专利技术所述的随机参数归一化装置，利用散列函数算法归一化多种随机参数请求，采用多队列并行比较的方式实现随机参数的归一化与同步，可以满足拟态防御系统的随机参数归一化需求，解决乱序随机参数请求的同步问题，提升随机参数的生成与同步效率。本专利技术将随机数、时间戳的随机参数应用需求归一化到统一的硬件装置中，可为拟态防御系统随机参数归一化提供一体化解决方案。附图说明图1为随本文档来自技高网...

【技术保护点】
1.一种适用于拟态防御系统的多队列随机参数归一化装置，其特征在于，包括随机参数服务控制接口、随机参数生成器、散列函数计算器、随机参数缓存队列和并行搜索匹配引擎；其中：/n所述随机参数服务控制接口负责接收拟态防御系统中执行体的随机参数请求，识别发出随机参数请求的执行体请求编号、提取随机参数请求的随机参数类型和随机参数请求的具体信息，以及将从随机参数缓存队列获取的随机参数反馈至对应执行体；/n所述随机参数生成器，用于根据所述随机参数类型生成随机参数；/n所述散列函数计算器，用于根据随机参数请求的具体信息计算散列值；/n所述随机参数缓存队列，包含多个队列，每个队列由参数缓存寄存器和定时器组成，每个所述参数缓存寄存器记录随机参数生效标签、散列值和所述随机参数；所述定时器计时队列的执行时间，当超出定时阈值时执行超时异常复位：清空队列，复位定时器将随机参数生效标签记录的数值反馈至拟态防御系统的裁决器；所述随机参数生效标签长度与拟态防御系统的余度相等，所述随机参数生效标签每个比特位与拟态防御系统执行体一一对应；/n所述并行搜索匹配引擎，用于获取随机参数缓存队列中的可用队列，再根据散列函数计算器当前计算的散列值与可用队列中记录的散列值的并行匹配结果，完成随机参数归一化生成、标记随机参数生效标签并发送随机参数至随机参数服务控制接口。/n...

【技术特征摘要】
1.一种适用于拟态防御系统的多队列随机参数归一化装置，其特征在于，包括随机参数服务控制接口、随机参数生成器、散列函数计算器、随机参数缓存队列和并行搜索匹配引擎；其中：
所述随机参数服务控制接口负责接收拟态防御系统中执行体的随机参数请求，识别发出随机参数请求的执行体请求编号、提取随机参数请求的随机参数类型和随机参数请求的具体信息，以及将从随机参数缓存队列获取的随机参数反馈至对应执行体；
所述随机参数生成器，用于根据所述随机参数类型生成随机参数；
所述散列函数计算器，用于根据随机参数请求的具体信息计算散列值；
所述随机参数缓存队列，包含多个队列，每个队列由参数缓存寄存器和定时器组成，每个所述参数缓存寄存器记录随机参数生效标签、散列值和所述随机参数；所述定时器计时队列的执行时间，当超出定时阈值时执行超时异常复位：清空队列，复位定时器将随机参数生效标签记录的数值反馈至拟态防御系统的裁决器；所述随机参数生效标签长度与拟态防御系统的余度相等，所述随机参数生效标签每个比特位与拟态防御系统执行体一一对应；
所述并行搜索匹配引擎，用于获取随机参数缓存队列中的可用队列，再根据散列函数计算器当前计算的散列值与可用队列中记录的散列值的并行匹配结果，完成随机参数归一化生成、标记随机参数生效标签并发送随机参数至随机参数服务控制接口。


2.根据权利要求1所述的一种适用于拟态防御系统的多队列随机参数归一化装置，其特征在于，所述执行体请求编号长度与拟态防御系统的余度相等，所述执行体请求编号与随机参数生效标签长度一致，执行体请求编号由发出随机数请求的执行体确定，所述执行体请求编号采用独热编码方式编码。


3.根据权利要求1所述的一种适用于拟态防御系统的多队列随机参数归一化装置，其特征在于，所述散列值为截短数值，位数等于32减随机参数生效标签长度。


4.根据权利要求1所述的一种适用于拟态防御系统的多队列随机参数归一化装置，其特征在于，队列状态根据随机参数生效标签的数值分为如下四种状态：
空闲状态，随机参数生效标签内数值全为零，标识该队列空间不被占用；
置位状态，当所存储的随机参数反馈给某一执行体时，随机参数生效标签内所对应的比特位数值置1；
超时复位状态，当超出定时阈值队列仍未完成任务时执行超时异常复位：清空队列，复位定时器并将随机参数生效标签记录的数值反馈至裁决器；
完成复位状态，当队列中随机参数生效标签全部置1时，表明该随机参数已经完成归一化同步，队列清空，随机参数生效标签清零，复位定时器。


5.根据权利要求2所述的一种适用于拟态防御系统的多队列随...

【专利技术属性】
技术研发人员：李顺斌，张坤，李合元，张汝云，张兴明，潘宇，郑妙娟，
申请(专利权)人：之江实验室，
类型：发明
国别省市：浙江;33