【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种异构冗余架构中执行体同步状态备份系统及方法。
技术介绍
1、信息系统面临各种漏洞和后门威胁,传统的安全防护都是基于已知的风险或未知的已知的安全风险的基础上的,难以对未知的安全风险进行有效的防护,为此,国内专家提出了一种动态异构冗余的架构,该结构对外具备统一接口,内部服务动态冗余重构的技术,将网络信息系统架构从相似性、静态性向异构性、动态性转变,不仅能有效抵御已知的漏洞后门等攻击,而且能有效的抑制未知的网络威胁攻击。在具体实施过程中,建立异构冗余执行体后,执行体运行过程中受到攻击扰动会造成执行体状态异常,需要通过异常状态前的执行体来恢复系统的正常使用。因此对正常状态的执行体进行备份保存以供发生异常后的清洗恢复重构执行体使用是该系统的重要组成部分。
2、目前市场上的大部分执行体备份的方法大多是定时轮询系统变化或者通过定时备份状态的方法进行状态保存,由于在异构的系统上运行,存在着系统状态同步点难以设置的问题,如果系统同步点设置过于频繁会造成系统资源过度消耗难以维持,影响系统的正常使用,如果系统同步点设置过少,会造成系统部分数据丢失,无法达到对数据完整性的维护。同时由于无法对系统的变动内容进行识别,只得采用全量保存的方式对执行体的状态进行保存,影响了系统的清洗恢复效率。
技术实现思路
1、本专利技术的目的是为了解决
技术介绍
存在的技术问题,为此,提供了一种异构冗余架构中执行体同步状态备份系统及方法,首先对非相似异构冗余架构的分发代理进行改进,增
2、为了实现上述目的,本专利技术所采用的技术方案如下:
3、一种异构冗余架构中执行体同步状态备份系统,包括分发代理组件、判决组件、监控组件、反馈控制组件和执行体组件;
4、所述分发代理组件和执行体组件通信连接,所述执行体组件和判决组件通信连接;
5、所述分发代理组件和监控组件通信连接,所述监控组件和执行体组件通信连接,所述监控组件和判决组件通信连接;
6、所述判决组件和反馈控制组件通信连接,所述反馈控制组件和分发代理组件通信连接,所述反馈控制组件和执行体组件通信连接。
7、以下为本专利技术中系统进一步限定的技术方案,所述分发代理组件将单一请求复制并转发到n个冗余的后台应用执行体,并接受裁决组件对执行体裁决后的响应结果返回给用户,其中n≥3;
8、分发代理组件是唯一的对外入口,其它组件都对外构建网络边界建立逻辑层面的资源隔离,执行体的变化是由于分发代理的行为转发而引起的。
9、以下为本专利技术中系统进一步限定的技术方案,所述判决组件对后端的应用执行体的响应结果进行裁决,判决执行体是否出现异常,是反馈控制组件清洗恢复的参考依据,同时也是对监控组件监控分发代理对执行体完成操作行为的标志,通过判决结果,分发代理组件决定最终返回的响应结果。
10、以下为本专利技术中系统进一步限定的技术方案,所述监控组件接收分发代理组件分发的操作行为后的执行体文件、内存进行监控,同时设置心跳监控机制,定时对执行体状态进行分析,防止系统因为攻击扰动造成的系统变动未被捕获;在监控组件对执行体状态进行分析时,对状态产生影响的行为,通知反馈控制组件设置同步点进行状态的同步,对于状态未产生影响的行为,通知分发代理组件,记录入行为规则库。
11、以下为本专利技术中系统进一步限定的技术方案,所述反馈控制组件一方面负责管理执行体的备份状态文件,另一方面根据裁决组件返回的裁决响应结果确定是否需要对执行体进行清洗恢复,从而保障执行体服务的可用性,保障其不受攻击影响。
12、以下为本专利技术中系统进一步限定的技术方案,所述执行体组件是需要的进行安全防护的软硬件,采用异构冗余的部署方式,通过异构冗余架构的调度,实现对未知威胁和后门漏洞攻击的免疫。
13、一种异构冗余架构中执行体同步状态备份方法,包括以下步骤:
14、步骤1:分发代理组件接受客户端发送的报文解析,对用户的请求路径与参数进行提取,构建成本次行为的操作指纹,查询行为规则库,并根据规则库的查询结果进行后续处理;
15、步骤1.1:对于未找到相同的行为,分发代理组件通知监控组件对行为进行监控,并等待监控组件返回监控结果,转至步骤1.2;对于存在相同的行为,对于上次操作造成执行体状态发生变动,则通知裁决组件,在执行体运行结束后,进行状态备份;对于前一次操作未造成执行体状态变动的情况,则转到步骤2;
16、步骤1.2:监控组件开启执行体变化的监控,转至步骤2;
17、步骤2:报文复制及转发,分发代理组件从配置或管理端获取执行体的地址,与执行体建立连接,并将报文转发给执行体进行处理;
18、步骤3:执行体根据请求内容,分别独立计算,产生响应结果返回给裁决模块进行裁决;
19、步骤4:裁决组件对响应结果进行裁决,根据响应结果进行处理后,将裁决结果通知至分发代理组件;
20、步骤4.1:裁决组件对响应结果进行裁决,若裁决结果一致,转至步骤4.2,裁决结果不一致,转至步骤4.3;
21、步骤4.2:裁决组件通知监控组件停止监控,比对执行体运行前后状态变化,若状态一致,转至步骤4.4,状态不一致,转至4.5;
22、步骤4.3:裁决组件通知监控组件停止监控的同时通知反馈控制组件,反馈控制组件根据上一次同步点的状态备份对执行体进行清洗恢复,转至步骤5;
23、步骤4.4:监控组件通知分发代理组件,分发代理组件更新行为规则库,转至步骤5;
24、步骤4.5:监控组件通知裁决组件设置状态同步点,对执行体的状态信息进行备份,转至步骤5;
25、步骤5:根据裁决结果,分发代理组件返回响应内容至客户端。
26、相对于现有技术,本专利技术具有如下技术效果:
27、本专利技术的系统中采用执行体状态监控程序与分发代理中行为分析库构成正向反馈,能够精确确定系统需要状态同步备份点,减少了非必要的状态同步点的设置,显著降低同步状态备份的频率。
28、本专利技术的系统通过对监控程序的使用,能够分辨系统变量内容,可采用增量保存状态的方法,减少了状态同步的资源消耗,同时提高了系统清洗恢复的效率。
29、下面结合附图与实施例,对本专利技术进一步说明。
本文档来自技高网...【技术保护点】
1.一种异构冗余架构中执行体同步状态备份系统,其特征在于,包括分发代理组件、判决组件、监控组件、反馈控制组件和执行体组件;
2.如权利要求1所述的一种异构冗余架构中执行体同步状态备份系统,其特征在于,所述分发代理组件将单一请求复制并转发到N个冗余的后台应用执行体,并接受裁决组件对执行体裁决后的响应结果返回给用户,其中N≥3;
3.如权利要求1所述的一种异构冗余架构中执行体同步状态备份系统,其特征在于,所述判决组件对后端的应用执行体的响应结果进行裁决,判决执行体是否出现异常,是反馈控制组件清洗恢复的参考依据,同时也是对监控组件监控分发代理对执行体完成操作行为的标志,通过判决结果,分发代理组件决定最终返回的响应结果。
4.如权利要求1所述的一种异构冗余架构中执行体同步状态备份系统,其特征在于,所述监控组件接收分发代理组件分发的操作行为后的执行体文件、内存进行监控,同时设置心跳监控机制,定时对执行体状态进行分析,防止系统因为攻击扰动造成的系统变动未被捕获;在监控组件对执行体状态进行分析时,对状态产生影响的行为,通知反馈控制组件设置同步点进行状态的同步
5.如权利要求1所述的一种异构冗余架构中执行体同步状态备份系统,其特征在于,所述反馈控制组件一方面负责管理执行体的备份状态文件,另一方面根据裁决组件返回的裁决响应结果确定是否需要对执行体进行清洗恢复,从而保障执行体服务的可用性,保障其不受攻击影响。
6.如权利要求1所述的一种异构冗余架构中执行体同步状态备份系统,其特征在于,所述执行体组件是需要的进行安全防护的软硬件,采用异构冗余的部署方式,通过异构冗余架构的调度,实现对未知威胁和后门漏洞攻击的免疫。
7.一种异构冗余架构中执行体同步状态备份方法,其特征在于,包括以下步骤:
...【技术特征摘要】
1.一种异构冗余架构中执行体同步状态备份系统,其特征在于,包括分发代理组件、判决组件、监控组件、反馈控制组件和执行体组件;
2.如权利要求1所述的一种异构冗余架构中执行体同步状态备份系统,其特征在于,所述分发代理组件将单一请求复制并转发到n个冗余的后台应用执行体,并接受裁决组件对执行体裁决后的响应结果返回给用户,其中n≥3;
3.如权利要求1所述的一种异构冗余架构中执行体同步状态备份系统,其特征在于,所述判决组件对后端的应用执行体的响应结果进行裁决,判决执行体是否出现异常,是反馈控制组件清洗恢复的参考依据,同时也是对监控组件监控分发代理对执行体完成操作行为的标志,通过判决结果,分发代理组件决定最终返回的响应结果。
4.如权利要求1所述的一种异构冗余架构中执行体同步状态备份系统,其特征在于,所述监控组件接收分发代理组件分发的操作行为后的执行体文件、内存进行监控,同时设...
【专利技术属性】
技术研发人员:全水龙,吕卓,常昊,余新胜,陈岑,李翔,吴玥,
申请(专利权)人:华东计算技术研究所中国电子科技集团公司第三十二研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。