单拟态括号装置、方法、可读存储介质和拟态防御架构制造方法及图纸

本发明专利技术提出一种单拟态括号装置、方法、可读存储介质和拟态防御架构，其中，单拟态括号装置包括：I/O接口模块，支持流量输入和输出；分流模块，与所述I/O接口模块连接，用于实现输入流的复制分发；N个异构执行体，分别与所述分流模块连接，接收及处理所述分流模块复制分发出来的输入流，并计算各个异构执行体的输出流的输出矢量；流控模块，与所述N个异构执行体连接，接收所述输出矢量，根据所述输出矢量以及预置的流控选择策略，输出流控指令；合流模块，与所述N个异构执行体、所述I/O接口模块及所述流控模块连接，接收所述N个异构执行体的输出流及所述流控指令，根据所述流控指令选择一条输出流转发到所述I/O接口模块。输出流转发到所述I/O接口模块。输出流转发到所述I/O接口模块。

【技术实现步骤摘要】
单拟态括号装置、方法、可读存储介质和拟态防御架构


[0001]本专利技术涉及拟态防御领域，具体涉及一种单拟态括号装置、方法、可读存储介质和拟态防御架构。

技术介绍

[0002]经典拟态防御架构如图1所示，该架构实现对执行体的拟态化改造，用户通过拟态括号间接与执行体交互。拟态括号由输入分配与代理、输出代理与裁决器组成，是指可能存在包含未知漏洞后门或病毒木马等不确定扰动因素在内的异构执行体集合的防护边界。拟态架构解决了执行体的内生安全问题，把功能复杂的执行体安全问题转化为功能简单的拟态括号安全问题，因此拟态括号需要满足自身的漏洞不可达或不可利用特性，从而保障拟态括号的安全性。另外拟态括号是否可靠决定了执行体是否可用，因此需要提高拟态括号的可靠性。

技术实现思路

[0003]本专利技术的目的是针对拟态括号装置安全性的需求，提供一种单拟态括号装置、方法、可读存储介质和拟态防御架构，通过对拟态括号进行拟态化改造，保证了拟态括号装置的安全性和可靠性。
[0004]为了实现上述目的，本专利技术第一方面提供了一种单拟态括号装置，该装置包括：I/O接口模块，支持流量输入和输出；分流模块，与所述I/O接口模块连接，用于实现输入流的复制分发；N个异构执行体，分别与所述分流模块连接，接收及处理所述分流模块复制分发出来的输入流，并计算各个异构执行体的输出流的输出矢量；流控模块，与所述N个异构执行体连接，接收所述输出矢量，根据所述输出矢量以及预置的流控选择策略，输出流控指令；合流模块，与所述N个异构执行体、所述I/O接口模块及所述流控模块连接，接收所述N个异构执行体的输出流及所述流控指令，根据所述流控指令选择一条输出流转发到所述I/O接口模块。
[0005]基于上述，每个异构执行体对输入流的处理包括：所述异构执行体对输入流进行复制分发。
[0006]基于上述，每个异构执行体对输入流的处理包括：所述异构执行体对输入流进行裁决。
[0007]基于上述，所述异构执行体对各自的输出流进行预处理生成唯一序列并按顺序存储生成关系对，一行关系对内容包括序号、输出流和输出流预处理序列，其中序号和输出流预处理序列组成输出矢量；所述流控模块对比各个输出矢量中的输出流预处理序列；如果对比一致，不发送控制指令至所述合流模块，并响应输出矢量中对应的序号到对
应的异构执行体；如果对比不一致，降低不一致的异构执行体的可信度，再根据各异构执行体的历史可信度发送控制指令到所述合流模块，同时响应输出矢量中对应的序号到对应的异构执行体；各个异构执行体根据收到的序号，根据序号查找对应的输出流，发送输出流至所述合流模块；若所述合流模块收到控制指令，则选择一条输出流发送到I/O接口模块；若所述合流模块未收到控制指令，则选择预置的当前输出流发送到I/O接口模块。
[0008]基于上述，所述I/O接口模块采用光纤法兰，所述分流模块采用光纤分光器，所述合流模块采用光开关，所述流控模块采用FPGA；或者，所述分流模块、所述合流模块和所述流控模块基于FPGA硬件可编程逻辑实现并被固化在FPGA中。
[0009]本专利技术第二方面提供了一种基于所述的单拟态括号装置的拟态防御方法，该方法包括以下步骤：来自外部的流量经所述I/O接口模块接入所述分流模块；所述分流模块将输入流复制分发为N条输入流发送至N个异构执行体；各个异构执行体对接收到的输入流进行处理后作为输出流输出至所述合流模块，同时将计算出的各自输出流的输出矢量发送至所述流控模块；所述流控模块根据所述输出矢量以及预置的流控选择策略，输出流控指令，控制所述合流模块选择一条输出流转发到所述I/O接口模块以输出至外部。
[0010]本专利技术第三方面提供了一种计算机可读存储介质，其上存储有计算机指令，该计算机指令被处理器执行时实现所述构建方法的步骤。
[0011]本专利技术相对现有技术具有突出的实质性特点和显著的进步，具体地说：1、本专利技术方案通过分流模块、合流模块和流控模块的分别处理，实现了在I/O接口处把输入流和输出流分开。
[0012]2、本专利技术的单拟态括号装置，实现了在拟态系统的关键控制环节导入流水线的处理方式，使控制功能分段化，形成一个不依赖控制分段“绝对可信”的单线或单向联系机制以管控未知威胁的潜在影响和可能的扩散范围。流水线的处理流程能够造成攻击通道可达性障碍，使配合式攻击所需的信息传递或病毒木马上传机制构建或维持困难，最终造成即使拟态括号装置中存在漏洞也难以利用的局面。
[0013]3、通过将分流模块、合流模块和流控模块的逻辑功能用硬件编程固化，使漏洞不可注入，提高了本专利技术拟态括号装置的安全性。
[0014]4、本专利技术拟态防御架构能够实现数据流在拟态系统内部单向输入、单向输出及内部单向传输，从而使该拟态系统获得单向联系机制的安全增益。
附图说明
[0015]图1是经典拟态防御架构图。
[0016]图2是本专利技术单拟态括号装置的逻辑图。
[0017]图3是本专利技术实施例4中左括号的逻辑图。
[0018]图4是本专利技术实施例5中右括号的逻辑图。
[0019]图5是本专利技术实施例6中同时采用左括号和右括号的结构框图。
具体实施方式
[0020]实施例1本实施例提供了一种单拟态括号装置，如图2所示，该装置包括：I/O接口模块，支持流量输入和输出，在物理层实现输入流和输出流分离；分流模块，与所述I/O接口模块连接，用于实现输入流的复制分发；N个异构执行体，分别与所述分流模块连接，接收及处理所述分流模块复制分发出来的输入流，并计算各个异构执行体的输出流的输出矢量；流控模块，与所述N个异构执行体连接，接收所述输出矢量，根据所述输出矢量以及预置的流控选择策略，输出流控指令；合流模块，与所述N个异构执行体、所述I/O接口模块及所述流控模块连接，接收所述N个异构执行体的输出流及所述流控指令，根据所述流控指令处理输出流并选择一条输出流转发到所述I/O接口模块。
[0021]本实施例单拟态括号装置的工作原理：1）I/O接口模块的输入流到达分流模块，分流模块复制输入流为一模一样的多条流发送到异构执行体；2）异构执行体完成数据处理后发送输出流到合流模块，同时发送输出矢量到流控模块；3）流控模块接收和对比各个异构执行体的输出矢量，根据所述输出矢量以及预置的流控选择策略发送流控指令到合流模块；4）合流模块接收各个异构执行体的输出流和流控模块的流控指令，根据流控指令选择一条输出流转发到I/O接口模块。
[0022]本实施例的单拟态括号装置实现了在拟态系统的关键控制环节导入流水线的处理方式，使控制功能分段化，形成一个不依赖控制分段“绝对可信”的单线或单向联系机制以管控未知威胁的潜在影响和可能的扩散范围。流水线的处理流程能够造成攻击通道可达性障碍，使配合式攻击的所需信息传递或病毒木马上传机制构建或维持困难，最终造成即使拟态括号装置中存在漏洞也难以利用的局面。
[0023]本实施例中的单拟态括号装置，每个异构执行体对输入流的处理包括：所述异构执行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种单拟态括号装置，其特征在于，该装置包括：I/O接口模块，支持流量输入和输出；分流模块，与所述I/O接口模块连接，用于实现输入流的复制分发；N个异构执行体，分别与所述分流模块连接，接收及处理所述分流模块复制分发出来的输入流，并计算各个异构执行体的输出流的输出矢量；流控模块，与所述N个异构执行体连接，接收所述输出矢量，根据所述输出矢量以及预置的流控选择策略，输出流控指令；合流模块，与所述N个异构执行体、所述I/O接口模块及所述流控模块连接，接收所述N个异构执行体的输出流及所述流控指令，根据所述流控指令选择一条输出流转发到所述I/O接口模块。2.根据权利要求1所述的单拟态括号装置，其特征在于，每个异构执行体对输入流的处理包括：所述异构执行体对输入流进行复制分发。3.根据权利要求1所述的单拟态括号装置，其特征在于，每个异构执行体对输入流的处理包括：所述异构执行体对输入流进行裁决。4.根据权利要求2或3所述的单拟态括号装置，其特征在于：所述异构执行体对各自的输出流进行预处理生成唯一序列并按顺序存储生成关系对，一行关系对内容包括序号、输出流和输出流预处理序列，其中序号和输出流预处理序列组成输出矢量；所述流控模块对比各个输出矢量中的输出流预处理序列；如果对比一致，不发送控制指令至所述合流模块，并响应输出矢量中对应的序号到对应的异构执行体；如果对比不一致，降低不一致的异构执行体的可信度，再根据各异构执行体的历史可信度发送控制指令到所述合流模块，同时响应输出矢量中对应的序号到对应的异构执行体；各个异构执行体根据收到的序号，根据序号查找对应的输出流，发送输出流至所述合流模块；若所述合流模块收到控制指令，则选择一条输出流发送到I/O接口模块；若所述合流模块未收到控制指令，则选择预置的当前输出流发送到I/O接口模块。5.根据权利要求4所述的单拟态括号装置，其特征在于：所述I/O接口模块采用光纤法兰，所述分流模块采用光纤分光器，所述合流模块采用光开关，所述流控模块采用FPGA；或者，所述分流模块、所述合流模块和所述流控模块基于FPGA硬件可编程逻辑实现并被固化在FPGA中。6.一种基于权利要求1所述的单拟态括号装置的拟态防御方法，其特征在于，该方法包括以下步骤：来自外部的流量经所述I/O接口模块接入...

【专利技术属性】
技术研发人员：郭义伟，宋延坡，冯志峰，吕青松，鲍尚策，孙统帅，
申请(专利权)人：珠海高凌信息科技股份有限公司，
类型：发明
国别省市：