本发明专利技术提供了一种针对安全认证网关的保护方法和装置,其中,该方法包括:调用包含混淆方法的共享库对安全认证网关源文件进行多次编译,得到多个异构的二进制文件;选取相似性最低的至少三个异构的二进制文件激活,得到至少三个执行体;通过至少三个执行体根据安全认证网关的输入信息计算输出结果;根据输出结果调用对应的策略对安全认证网关进行保护。通过本发明专利技术,解决了相关技术中存在的安全认证网关在提高主动防御能力时硬件成本过高的问题。在提高主动防御能力时硬件成本过高的问题。在提高主动防御能力时硬件成本过高的问题。
【技术实现步骤摘要】
一种针对安全认证网关的保护方法和装置
[0001]本专利技术涉及电力信息安全领域,尤其涉及一种针对安全认证网关的保护方法和装置。
技术介绍
[0002]随着电力物联网、能源互联网建设、光伏云、车联网、综合能源服务等新业务发展,给网络安全防护体系带来更泛在的网络安全防护边界、更灵活多样的业务安全接入需求,也对边界安全攻击防御等各方面都提出了更高的要求。传统的被动防御技术,如防火墙技术、入侵检测技术以及入侵隔离技术,通常在针对已经被发现的病毒或者入侵手段时效果显著,一旦出现未知的病毒和入侵方式整个系统可能面临崩溃。此外,攻击者可以利用逆向工具分析防火墙和网关的代码,从而利用防御技术本身漏洞作为入侵的突破口。
[0003]入侵容忍技术作为新一代防护技术,通过消除入侵造成的影响以维持系统的可用性,如拟态防御技术、移动目标防御技术,这些入侵容忍技术主要服务于大型系统的安全防御,需要消耗大量成本产生硬件异构体,而安全认证网关作为系统安全的第一道防线具有数量需求大,更换硬件困难的等特点。因此,现有技术中存在安全认证网关在提高主动防御能力时硬件成本过高的问题。
技术实现思路
[0004]本专利技术提供了一种针对安全认证网关的保护方法和装置,以至少解决相关技术中存在安全认证网关在提高主动防御能力时硬件成本过高的问题。
[0005]根据本专利技术实施例的第一方面,提供了一种针对安全认证网关的保护方法,该方法包括:调用包含混淆方法的共享库对安全认证网关源文件进行多次编译,得到多个异构的二进制文件;选取相似性最低的至少三个异构的二进制文件激活,得到至少三个执行体;通过所述至少三个执行体根据安全认证网关的输入信息计算输出结果;根据所述输出结果调用对应的策略对所述安全认证网关进行保护。
[0006]可选地,所述混淆方法包括:获取通过LLVM中间表示得到的所述安全认证网关源文件对应的基本块;对所述基本块调用基本块分割指令,根据第一参数控制所述基本块的分割次数,得到多个分割后的基本块;根据第二参数选取预设数量的所述分割后的基本块,将根据第二参数选取的各基本块划分为入口块、主体块和返回块,通过深度复制主体块生成克隆块,根据随机跳转语句生成各基本块内所述入口块、所述主体块、所述返回块和所述克隆块间的虚假控制流;设置总入口块、分发块和总返回块,将所有基本块置于所述分发块和所述总返回块间,根据不重复的随机数生成所述分发块和所述所有基本块间的跳转条件,其中,所述所有基本块包括生成虚假控制流和未生成虚假控制流的多个分割后的基本块。
[0007]可选地,当执行体数量为三个时,所述根据所述输出结果调用对应的策略对所述安全认证网关进行保护包括:若三个执行体输出结果一致,判定所述输入信息通过认证;若
有一个执行体输出结果异常,判定所述输入信息存在异常,终止输出结果异常的执行体,动态调入一个与异常执行体具有最小相似性的所述异构的二进制文件进行激活,其中,所述有一个执行体输出结果异常包括所述输出结果与另外两个执行体的输出结果不一致或等待输出的时间过长;若三个执行体的输出结果均不一致,判定所述输入信息存在异常,终止输出结果异常的执行体,动态调入三个相似性最低的所述异构的二进制文件进行激活。
[0008]可选地,所述方法还包括:根据存在异常的输入信息和输出结果异常的执行体对网关源文件进行修复;根据修复后的网关源文件生成新的执行体对所述安全认证网关进行保护。
[0009]可选地,当执行体数量为三个时,所述选取相似性最低的至少三个异构的二进制文件激活,得到至少三个执行体包括:根据函数名称、函数调用、基本块、跳转指令和一般指令计算任意两个异构的二进制文件的匹配度;计算任意三个异构的二进制文件中两个异构的二进制文件的所有组合的匹配度和的最小值,得到相似性最低的三个异构的二进制文件;以多线程的方式启动所述相似性最低的三个异构的二进制文件得到三个执行体。
[0010]可选地,所述根据不重复的随机数生成所述分发块和所述所有基本块间的跳转条件包括:根据随机数发生器的初始化函数和time模块生成随机数序列;根据所述随机数序列生成所述分发块和所述所有基本块间的跳转条件。
[0011]根据本专利技术实施例的第二方面,还提供了一种针对安全认证网关的保护装置,该装置包括:第一得到模块,用于调用包含混淆方法的共享库对安全认证网关源文件进行多次编译,得到多个异构的二进制文件;第二得到模块,用于选取相似性最低的至少三个异构的二进制文件激活,得到至少三个执行体;计算模块,用于通过所述至少三个执行体根据安全认证网关的输入信息计算输出结果;策略调度模块,用于根据所述输出结果调用对应的策略对所述安全认证网关进行保护。
[0012]可选地,所述第一得到模块包括:获取单元,用于获取通过LLVM中间表示得到的所述安全认证网关源文件对应的基本块;第一得到单元,用于对所述基本块调用基本块分割指令,根据第一参数控制所述基本块的分割次数,得到多个分割后的基本块;第一生成单元,用于根据第二参数选取预设数量的所述分割后的基本块,将根据第二参数选取的各基本块划分为入口块、主体块和返回块,通过深度复制主体块生成克隆块,根据随机跳转语句生成各基本块内所述入口块、所述主体块、所述返回块和所述克隆块间的虚假控制流;第二生成单元,用于设置总入口块、分发块和总返回块,将所有基本块置于所述分发块和所述总返回块间,根据不重复的随机数生成所述分发块和所述所有基本块间的跳转条件,其中,所述所有基本块包括生成虚假控制流和未生成虚假控制流的多个分割后的基本块。
[0013]可选地,所述策略调度模块包括:判定单元,用于若三个执行体输出结果一致,判定所述输入信息通过认证;第一动态调入单元,用于若有一个执行体输出结果异常,判定所述输入信息存在异常,终止输出结果异常的执行体,动态调入一个与异常执行体具有最小相似性的所述异构的二进制文件进行激活,其中,所述有一个执行体输出结果异常包括所述输出结果与另外两个执行体的输出结果不一致或等待输出的时间过长;第二动态调入单元,用于若三个执行体的输出结果均不一致,判定所述输入信息存在异常,终止输出结果异常的执行体,动态调入三个相似性最低的所述异构的二进制文件进行激活。
[0014]可选地,所述装置还包括:修复单元,用于根据存在异常的输入信息和输出结果异
常的执行体对网关源文件进行修复;第三生成单元,用于根据修复后的网关源文件生成新的执行体对所述安全认证网关进行保护。
[0015]可选地,所述第二得到模块包括:计算单元,用于根据函数名称、函数调用、基本块、跳转指令和一般指令计算任意两个异构的二进制文件的匹配度;第二得到单元,用于计算任意三个异构的二进制文件中两个异构的二进制文件的所有组合的匹配度和的最小值,得到相似性最低的三个异构的二进制文件;第三得到单元,用于以多线程的方式启动所述相似性最低的三个异构的二进制文件得到三个执行体。
[0016]可选地,所述第二生成单元包括:第一生成子模块,用于根据随机数发生器的初始化函数和time模块生成随机数序本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种针对安全认证网关的保护方法,其特征在于,所述方法包括:调用包含混淆方法的共享库对安全认证网关源文件进行多次编译,得到多个异构的二进制文件;选取相似性最低的至少三个异构的二进制文件激活,得到至少三个执行体;通过所述至少三个执行体根据安全认证网关的输入信息计算输出结果;根据所述输出结果调用对应的策略对所述安全认证网关进行保护。2.根据权利要求1所述的针对安全认证网关的保护方法,其特征在于,所述混淆方法包括:获取通过LLVM中间表示得到的所述安全认证网关源文件对应的基本块;对所述基本块调用基本块分割指令,根据第一参数控制所述基本块的分割次数,得到多个分割后的基本块;根据第二参数选取预设数量的所述分割后的基本块,将根据第二参数选取的各基本块划分为入口块、主体块和返回块,通过深度复制主体块生成克隆块,根据随机跳转语句生成各基本块内所述入口块、所述主体块、所述返回块和所述克隆块间的虚假控制流;设置总入口块、分发块和总返回块,将所有基本块置于所述分发块和所述总返回块间,根据不重复的随机数生成所述分发块和所述所有基本块间的跳转条件,其中,所述所有基本块包括生成虚假控制流和未生成虚假控制流的多个分割后的基本块。3.根据权利要求1所述的针对安全认证网关的保护方法,其特征在于,当执行体数量为三个时,所述根据所述输出结果调用对应的策略对所述安全认证网关进行保护包括:若三个执行体输出结果一致,判定所述输入信息通过认证;若有一个执行体输出结果异常,判定所述输入信息存在异常,终止输出结果异常的执行体,动态调入一个与异常执行体具有最小相似性的所述异构的二进制文件进行激活,其中,所述有一个执行体输出结果异常包括所述输出结果与另外两个执行体的输出结果不一致或等待输出的时间过长;若三个执行体的输出结果均不一致,判定所述输入信息存在异常,终止输出结果异常的执行体,动态调入三个相似性最低的所述异构的二进制文件进行激活。4.根据权利要求3所述的针对安全认证网关的保护方法,其特征在于,所述方法还...
【专利技术属性】
技术研发人员:王云帆,席泽生,张波,何川,
申请(专利权)人:国网安徽省电力有限公司信息通信分公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。