本发明涉及计算机网络安全技术领域,具体涉及一种基于拟态防御的攻击防御装置、方法、设备和介质。
背景技术:
当前网络空间正处在一个“易攻难守”的安全态势,如何提高网络空间的安全是目前信息化时代最严峻的挑战之一。拟态防御技术是以动态异构冗余构造为核心的内生安全理论,能够防范基于未知和已知漏洞后门等的安全威胁,大幅增强了关键业务网络应对外部入侵和内部渗透的能力。
拟态产品是在现有的网络设备基础上,融合拟态防御技术,在其架构中引入多个异构处理引擎作为异构执行体,并包含硬件实现的拟态调度器等部件实现的拟态网络基础设施设备,能有效应对未知漏洞后门病毒木马等不确定性威胁,极大提高攻击难度和攻击代价,保证网络空间的安全性。
由于外部攻击或者本身未知漏洞可能会导致拟态调度器发送给异构执行体的报文数据使异构执行体出现异常输出结果,目前的方案是,根据拟态调度器的判决策略判别异构执行体是否存在异常,对异常次数达到一定阈值的异构执行体进行清洗恢复,重新恢复到正常可用的状态。但是,如果拟态调度器将相同的攻击报文再次发送给此异构执行体,此异构执行体接收后仍然会再次出现异常现象,导致了此异构执行体一直处于不可用的状态,极大地降低了异构冗余的优越性,影响系统的整体稳定性。
技术实现要素:
技术目的:针对现有技术中异构执行体持续出现异常、需要反复进行清洗的缺陷,本发明公开了一种基于拟态防御的攻击防御装置、方法、设备和介质,通过在拟态调度器中增加攻击防御模块,对上送给每个异构执行体的报文数据做一个攻击检测判断,不将有异常的报文数据上送给相应的异构执行体,减少了异构体执行体经过多次的重启清洗使其他协议报文得不到有效处理的概率,提高了异构执行体的可靠性和可用性,也进一步增强了拟态产品的整体安全性。
技术方案:为实现上述技术目的,本发明采用以下技术方案。
一种基于拟态防御的攻击防御装置,包括拟态调度器和若干异构执行体;所述异构执行体用于接收和处理拟态调度器上送的报文数据,并将处理的结果作为下行数据,下发至拟态调度器;
所述拟态调度器是异构执行体与外部唯一的数据传输接口,用于接收前端芯片发送的报文数据并转发给异构执行体,实现对异构执行体的数据分发、拟态判决和清洗管理,拟态调度器中包括拟态判决模块和攻击防御模块;
所述拟态判决模块接收异构执行体的下行数据,并根据拟态判决策略对下行数据做出判断,同时将拟态判决结果发送给攻击防御模块;
所述攻击防御模块,用于对前端芯片发送的报文数据进行采集、提取、日志存储,结合拟态判决模块发送的拟态判决结果,进行日志更新、攻击防御检测和攻击数据过滤。
优选地,所述攻击防御模块包括数据采集和提取模块、日志模块和攻击检测模块;所述数据采集和提取模块用于采集前端芯片发送的报文数据,并提取报文数据中的关键数据,所述日志模块用于将数据采集和提取模块提取的关键数据存储于日志中,并根据拟态判决模块发送的拟态判决结果对日志模块中存储的信息进行更新,所述攻击检测模块用于根据前端芯片发送的报文数据结合日志模块中存储的关键数据判断报文数据是否存在异常攻击,并将异常攻击数据进行过滤,不将异常攻击数据上送给相应的异构执行体。
优选地,所述日志模块中存储的内容包括关键数据和与关键数据对应的异构执行体数据;所述关键数据包括协议类型标识、协议关键参数,所述异构执行体数据包括与协议类型标识对应的异构执行体编号及对应的异常次数;所述异构执行体数据从拟态判决模块发送的拟态判决结果中提取,将拟态判决结果异常的异构执行体编号更新于日志模块中,并更新异构执行体编号对应的异构执行体的异常次数。
优选地,所述若干异构执行体采用不同的结构,所述结构包括不同架构的处理器和异构操作系统。
一种基于拟态防御的攻击防御方法,包括以下步骤:
s1、数据采集和提取:拟态调度器采集前端芯片发送的报文数据,提取报文数据中的关键数据后,将关键数据保存于自身的日志中;
s2、攻击数据判断:拟态调度器将当前保存的关键数据与日志中历史存储内容进行分析,判断当前报文数据是否为异常攻击数据,若是,则进入步骤s3;若否,将当前报文数据分发至任意的若干异构执行体中进行处理,进入步骤s4;
s3、报文过滤:拟态调度器获取当前报文数据中协议类型标识所对应的异构执行体数据,获取存在异常攻击对应的异构执行体编号,对所述异构执行体编号对应的异构执行体进行过滤,不将当前报文数据分发至所述异构执行体中,将当前报文数据分发至过滤后的其他若干异构执行体中进行处理;
s4、拟态判决:对当前报文数据进行处理的所有异构执行体将处理结果发送至拟态调度器,拟态调度器中拟态判决模块对所有的处理结果进行判决,输出拟态判决结果,拟态判决策略包括基于经验可信度的择多判决、基于权值的择多判决、基于抽样择多的复合单选判决;
s5、日志更新和清洗管理:根据当前拟态判决结果将异构执行体输出正常的下行数据发送至前端芯片;标记步骤s4中处理结果与拟态判决结果一致的异构执行体为正常异构执行体,不一致的异构执行体为异常异构执行体,对异常异构执行体进行清洗管理,根据当前拟态判决结果获取所述标记后的异构执行体对应的异构执行体编号,并将其保存和更新于日志中。
优选地,所述步骤s2中,日志中历史存储内容包括关键数据和与关键数据对应的异构执行体数据;所述关键数据包括协议类型标识、协议关键参数,所述异构执行体数据包括与协议类型标识对应的异构执行体编号及对应的异常次数。
优选地,所述步骤s2中,判断当前报文数据是否为异常攻击数据的过程为:
s21、判断当前协议类型标识是否与日志中历史存储内容相同:将当前报文数据提取的关键数据中的当前协议类型标识与日志中历史存储内容相比较,若日志中历史存储内容包含当前协议类型标识,则进步骤s22,若日志中历史存储内容不包含当前协议类型标识,则进入步骤s24;
s22、判断异常次数是否大于设定的阈值:获取日志中历史存储内容在当前报文数据的协议类型标识下的异构执行体数据,若存在一个异构执行体编号,其对应的异常次数大于设定的阈值,则进入步骤s23;若所有异构执行体编号对应的异常次数均小于或等于设定的阈值,则进入步骤s24;
s23、判断当前协议关键参数是否与日志中历史存储内容相同:将当前报文数据提取的关键数据中的当前协议关键参数与日志中历史存储内容相比较,若当前协议关键参数与日志中历史存储内容完全相同,则判定当前报文数据为异常攻击,筛选出异常次数大于阈值的所有异构执行体编号,否则,进入步骤s24;
s24、判定当前报文数据不是异常攻击数据,保存当前报文数据的关键数据于日志中。
优选地,所述步骤s5中,根据当前拟态判决结果获取所述标记后的异构执行体对应的异构执行体编号,并将其保存和更新于日志中的具体过程为:
s51、判断异构执行体是否标记为正常异构执行体:根据标记判断异构执行体是否标记为正常异构执行体,
若是,则获取标记为正常异构执行体的异构执行体编号,在日志中当前报文数据的当前协议类型标识下搜索是否记录搜索异构执行体编号,若有,则将所述异构执行体编号对应的异常次数置0,若无,则不处理;
若否,则进入步骤s52;
s52、判断当前报文数据在日志中是否已记录:获取当前报文数据的当前协议类型标识,与日志中历史存储内容相比较,若当前报文数据在日志中已记录,则进入步骤s54,若当前报文数据在日志中未记录,则进入步骤s53;
s53、创建保存空间:在日志中创建新的保存空间,存储当前报文数据的协议类型标识,在该协议类型标识下,保存协议关键参数以及异构执行体数据,所述异构执行体数据包括处理结果不一致的异构执行体编号以及其异常次数,其中,异常次数赋值1;
s54、判断异构执行体编号在日志中是否已记录:获取日志中当前协议类型标识下的异构执行体编号,若当前处理过程中处理结果不一致的异构执行体所对应的异构执行体编号不在日志中,则在该协议类型标识下,保存异构执行体编号及其异常次数,其中,异常次数赋值1;若当前处理过程中处理结果不一致的异构执行体所对应的异构执行体编号在日志中,则在该协议类型标识下,将异构执行体编号对应的异常次数加1。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上任一所述的一种基于拟态防御的攻击防御方法。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行以上任一所述的一种基于拟态防御的攻击防御方法。
有益效果:本发明通过在拟态调度器中增加攻击防御模块,对上送给每个异构执行体的报文数据做一个攻击检测判断,不将有异常的报文数据上送给相应的异构执行体,减少了异构体执行体经过多次的重启清洗使其他协议报文得不到有效处理的概率,提高了异构执行体的可靠性和可用性,也进一步增强了拟态产品的整体安全性;此外本发明并没有增加现有设备的系统组成和设备体积。
附图说明
图1为本发明的总结构示意图;
图2为图1中拟态调度器的结构示意图;
图3为本发明的总方法流程图;
图4为本发明实施例中的部分方法流程图。
具体实施方式
以下结合附图和实施例对本发明的一种基于拟态防御的攻击防御装置、方法、设备和介质做进一步的说明和解释。
如附图1所示,一种基于拟态防御的攻击防御装置,包括拟态调度器和若干异构执行体。本发明的一种基于拟态防御的攻击防御装置是一种拟态产品,具体是指基于拟态防御机理研制的多种网络基础设施设备,实现对已知和未知漏洞后门等的有效防御,大幅增强了关键业务网络应对外部入侵和内部渗透的能力,为网络安全提供基础性设施保障,包括拟态交换机、拟态路由器、拟态存储器、拟态域名服务和拟态防火墙等。
异构执行体用于接收和处理拟态调度器上送的报文数据,并将处理的结果作为下行数据,下发至拟态调度器。各个异构执行体采用不同的结构,结构包括不同架构的处理器、和不同的操作系统等。其中,处理器为arm、mips、x86、powerpc等,操作系统为windows7、ubuntu、centos等。
拟态调度器是异构执行体与外部唯一的数据传输接口,用于接收前端芯片发送的报文数据并转发给异构执行体,实现对异构执行体的数据分发、拟态判决和清洗管理等,拟态调度器中包括拟态判决模块和攻击防御模块;拟态判决模块接收异构执行体的下行数据,并根据拟态判决策略对下行数据做出判断,同时将拟态判决结果发送给攻击防御模块。
如附图2所示,攻击防御模块,用于对前端芯片发送的报文数据进行采集、提取、日志存储,结合拟态判决模块发送的拟态判决结果,进行日志更新、攻击防御检测和攻击数据过滤。
攻击防御模块包括数据采集和提取模块、日志模块和攻击检测模块;数据采集和提取模块用于采集前端芯片发送的报文数据,并提取报文数据中的关键数据,日志模块用于将数据采集和提取模块提取的关键数据存储于日志中,并根据拟态判决模块发送的拟态判决结果对日志模块中存储的信息进行更新,攻击检测模块用于根据前端芯片发送的报文数据结合日志模块中存储的关键数据判断报文数据是否为异常攻击数据,并将异常攻击数据进行过滤,不将异常攻击数据上送给相应的异构执行体,避免异构执行体遭受同样的报文攻击。
日志模块中存储的内容包括关键数据和与关键数据对应的异构执行体数据;关键数据包括协议类型标识、协议关键参数,异构执行体数据包括与协议类型标识对应的异构执行体编号及对应的异常次数;异构执行体数据从拟态判决模块发送的拟态判决结果中提取,将拟态判决结果异常的异构执行体编号更新于日志模块中,并更新异构执行体编号对应的异构执行体的异常次数。表1中给出了一些实施例中日志模块中自定义日志内容的格式说明:
表1
表2中对协议信息的格式做进一步说明:
表2
本发明在拟态调度器中新增攻击防御模块,能够实现对所有异构执行体的状态监测、异常情况记录、攻击数据检测等。对上送给每个异构执行体的报文数据做一个攻击检测判断,不将有异常的报文数据上送给相应的异构执行体,降低了异构体执行体经过多次的重启清洗使其他协议报文得不到有效处理的概率,提高了异构执行体的可靠性和可用性,也进一步增强了拟态产品的整体安全性;此外本发明并没有增加现有设备的系统组成和设备体积。
本发明的一种基于拟态防御的攻击防御方法可分为两个阶段,一个是攻击数据的学习阶段,一个是攻击数据的检测过滤阶段。其中攻击数据的学习阶段工作流程包括以下步骤:
步骤一、拟态调度器采集来自前端芯片上送的报文数据,并提取其中关键性的参数作为自定义日志内容的一部分,并保存自定义日志内容;
步骤二、拟态调度器将报文数据上送给异构执行体,异构执行体处理后将输出结果下发给拟态调度器;
步骤三、拟态调度器对异构执行体的下行结果进行拟态判决,并将结果进行标记,更新到自定义日志内容中,作为攻击检测的数据依据。拟态调度器对异构执行体的下行数据进行拟态判决,并将判决异常的异构执行体标记为异常,将判决正常的异构执行体标记为正常,并更新自定义日志内容“异常次数”字段的数值。拟态调度器根据拟态判决结果,动态调整异常次数的值,当标记结果为异常时对应异构执行体的异常次数值加1,标记结果正常时异常次数值直接置0。标记结果为正常的说明有可能此异构执行体已经能正常处理此报文数据,或者存在之前误判的可能性,异常次数直接置0,能够避免误判现象的发生,也能够防止对此类数据的错误过滤,提高了攻击防御模块的可靠性。
拟态调度器通过对攻击数据的学习,能够记录报文数据具体是何种报文协议,并且能知道每个异构执行体的异常情况,同时实时更新,防止误判断情况的发生。
当拟态调度器对攻击数据的学习阶段完成之后,就可以依据自定义日志内容对收到的协议报文进行检测,其中攻击数据的检测阶段工作流程包括以下步骤:
步骤一、拟态调度器收到前端芯片发送的上行协议报文后,对协议报文中的关键性参数进行提取;
步骤二、判断此协议报文的异常次数情况以及本次提取的关键性参数值和已保存的自定义日志内容中的值是否相同。如果某个异构执行体的异常次数已达到设置的最大阈值,并且提取关键性参数值与已保存的也相同,则不将此协议报文上送给此异构执行体,从而避免异构执行体受到此类协议报文的攻击。
本发明在拟态调度器中新增不局限于一种协议的自定义日志内容,能够对大多数协议报文进行一定的攻击性检测,甚至可以实现已知网络协议的全覆盖。
如附图3所示,本发明的一种基于拟态防御的攻击防御方法,总的方法流程包括以下步骤:
s1、数据采集和提取:拟态调度器采集前端芯片发送的报文数据,提取报文数据中的关键数据后,将关键数据保存于自身的日志中;
s2、攻击数据判断:拟态调度器将当前保存的关键数据与日志中历史存储内容进行分析,判断当前报文数据是否为异常攻击数据,若是,则进入步骤s3;若否,将当前报文数据分发至任意的若干异构执行体中进行处理,进入步骤s4;
s3、报文过滤:拟态调度器获取当前报文数据中协议类型标识所对应的异构执行体数据,获取存在异常攻击对应的异构执行体编号,对所述异构执行体编号对应的异构执行体进行过滤,不将当前报文数据分发至所述异构执行体中,将当前报文数据分发至过滤后的其他若干异构执行体中进行处理;
s4、拟态判决:对当前报文数据进行处理的所有异构执行体将处理结果发送至拟态调度器,拟态调度器对所有的处理结果进行判决,输出拟态判决结果,拟态判决策略包括基于经验可信度的择多判决、基于权值的择多判决、基于抽样择多的复合单选判决;
s5、日志更新和清洗管理:根据当前拟态判决结果将异构执行体输出正常的下行数据发送至前端芯片;标记步骤s4中处理结果与拟态判决结果一致的异构执行体为正常异构执行体,不一致的异构执行体为异常异构执行体,对异常异构执行体进行清洗管理,根据当前拟态判决结果获取所述标记后的异构执行体对应的异构执行体编号,并将其保存和更新于日志中。
在步骤s2中,日志中历史存储内容包括关键数据和与关键数据对应的异构执行体数据;关键数据包括协议类型标识、协议关键参数,拟态调度器会根据报文数据中协议的不同收集其中对协议起关键性作用的参数作为自定义日志的一部分内容,目的是为了减少内存空间的占用同时能反映此协议的基本特征。
日志内容中的协议类型标识,是为了对网络协议进行区分,因为一些网络协议报文中有命名重复的字段,加入协议类型字段就可以确定是哪个协议报文的关键性参数。
日志内容中的协议关键参数,需要根据每个协议的原理和流程,提取对协议起关键性作用的参数。例如stp(spanningtreeprotocol生成树协议)协议,网桥id的大小作为选择根网桥的原则之一,若攻击者精心设计一个网络id比较小的bpdu,被误认为是根网桥,容易导致stp重新收敛,从而引起环路,甚至导致网络崩溃。所以stp协议bpdu单元中的网桥id、根网桥id、根路径开销、端口id、hellotime等关键性字段都需要放入日志中。
异构执行体数据包括与协议类型标识对应的异构执行体编号及对应的异常次数,异构执行体编号和异常次数,是为了明确具体是哪个异构执行体以及对应的接收到攻击数据的次数。
步骤s2中,判断当前报文数据是否为异常攻击的过程为:
s21、判断当前协议类型标识是否与日志中历史存储内容相同:将当前报文数据提取的关键数据中的当前协议类型标识与日志中历史存储内容相比较,若日志中历史存储内容包含当前协议类型标识,则进步骤s22,若日志中历史存储内容不包含当前协议类型标识,则进入步骤s24;
s22、判断异常次数是否大于设定的阈值:获取日志中历史存储内容在当前报文数据的协议类型标识下的异构执行体数据,若存在一个异构执行体编号,其对应的异常次数大于设定的阈值,则进入步骤s23;若所有异构执行体编号对应的异常次数均不大于设定的阈值,则进入步骤s24;
s23、判断当前协议关键参数是否与日志中历史存储内容相同:将当前报文数据提取的关键数据中的当前协议关键参数与日志中历史存储内容相比较,若当前协议关键参数与日志中历史存储内容完全相同,则判定当前报文数据为异常攻击,筛选出异常次数大于阈值的所有异构执行体编号,否则,进入步骤s24;
s24、判定当前报文数据不是异常攻击数据,保存当前报文数据的关键数据于日志中。
步骤s5中,根据当前拟态判决结果获取所述异构执行体对应的异构执行体编号,并将其保存和更新于日志中的具体过程为:
s51、判断异构执行体是否标记为正常异构执行体:根据标记判断异构执行体是否标记为正常异构执行体,
若是,则获取标记为正常异构执行体的异构执行体编号,在日志中当前报文数据的当前协议类型标识下搜索是否记录搜索异构执行体编号,若有,则将所述异构执行体编号对应的异常次数置0,若无,则不处理;
若否,则进入步骤s52;
s52、判断当前报文数据在日志中是否已记录:获取当前报文数据的当前协议类型标识,与日志中历史存储内容相比较,若当前报文数据在日志中已记录,则进入步骤s54,若当前报文数据在日志中未记录,则进入步骤s53;
s53、创建保存空间:在日志中创建新的保存空间,存储当前报文数据的协议类型标识,在该协议类型标识下,保存协议关键参数以及异构执行体数据,所述异构执行体数据包括处理结果不一致的异构执行体编号以及其异常次数,其中,异常次数赋值1,这里异常次数赋值1是指异常次数的初值赋值为1;
s54、判断异构执行体编号在日志中是否已记录:获取日志中当前协议类型标识下的异构执行体编号,若当前处理过程中处理结果不一致的异构执行体所对应的异构执行体编号不在日志中,则在该协议类型标识下,保存异构执行体编号及其异常次数,其中,异常次数赋值1,这里异常次数赋值1是指异常次数的初值赋值为1;若当前处理过程中处理结果不一致的异构执行体所对应的异构执行体编号在日志中,则在该协议类型标识下,将异构执行体编号对应的异常次数加1。
本发明通过在拟态调度器中增加攻击防御模块,对上送给每个异构执行体的报文数据做一个攻击检测判断,不将有异常的报文数据上送给相应的异构执行体,减少了异构体执行体经过多次的重启清洗使其他协议报文得不到有效处理的概率,提高了异构执行体的可靠性和可用性,也进一步增强了拟态产品的整体安全性;此外本发明并没有增加现有设备的系统组成和设备体积。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上任一所述的一种基于拟态防御的攻击防御方法。存储器可为各种类型的存储器,可为随机存储器、只读存储器、闪存等。处理器可为各种类型的处理器,例如,中央处理器、微处理器、数字信号处理器或图像处理器等。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行以上任一所述的一种基于拟态防御的攻击防御方法。
实施例
本实施例中,本发明的一种基于拟态防御的攻击防御装置是一种拟态交换机,前端芯片为交换芯片,在拟态交换机中应用本发明的一种基于拟态防御的攻击防御方法,如附图4所示,具体过程如下:
步骤一、拟态交换机中的拟态调度器采集交换芯片上送的报文数据。
步骤二、拟态调度器提取报文数据中关键性的参数。
报文数据中协议的不同,提取的关键性参数也不尽相同。本实施例中,交换芯片上送的报文数据中,协议为stp协议、ospf协议、rip协议和tcp协议等。
针对stp协议,提取bpdu报文中的bpdu消息类型、标志位、根桥id、根路径开销、发送者id、端口id、消息生存时间、最大生存时间、hellotime以及mac地址信息等。
针对ospf协议,提取ospf的5种报文中的lsa定时刷新时间、lsa最大老化时间、lsa序列号、最大序列号、hello包时间间隔、dr选举等待时间等关键性字段内容,还有rip、tcp、ip、icmp等网络协议中提取的关键性参数。
步骤三、判断自定义日志内容中是否包含此协议类型。
根据自定义日志内容中的协议类型标识判断此协议报文是否需要进行异常攻击判断检测。如果不需要,则进行拟态判决和输出。
步骤四、判断异构执行体对应的异常次数是否大于设定的阈值。
当步骤三的判断成功,则进入本步骤。判断时需要查找对应的协议类型标识和对应的异构执行体,然后判断异构执行体编号对应的异常次数是否大于设定的异常次数阈值。本实施例中设定的异常次数阈值为5。
异构执行体个数n的确定由安全性要求以及系统资源限制进行决定,一般不少于三个,本实施例中使用的是3个异构执行体。
步骤五、判断协议关键参数是否相同。
当异常次数大于异常次数阈值,即步骤四判断成功,再判断本次提取的协议关键参数和自定义日志内容中的关键参数值是否相同。
步骤六、报文过滤及拟态判决。
当步骤四判断失败,说明异常次数不大于设定的阈值,当步骤五判断失败,说明本报文数据不属于异常攻击,不对本报文数据进行过滤,当步骤五成功,对异常次数大于异常次数阈值的异构执行体进行过滤,不将当前报文数据分发至这些异构执行体中,将当前报文数据分发至过滤后的其他多个异构执行体中进行处理;在拟态调度器中对处理结果进行判决。例如在stp协议交互过程中,黑客不断发送假冒的bpdu报文消耗异构执行体1的资源,拟态调度器判决后标记异构执行体1存在异常,当异常次数达到阈值,再次收到此bpdu报文时,此报文不在上送给异构执行体1,正常上送给异构执行体2和异构执行体3,防止异构执行体1再次收到此报文的攻击。
步骤七、根据拟态判决结果更新对应异构执行体的异常次数值和协议关键参数值。
根据拟态判决结果对异常次数值和协议关键参数值进行更新。拟态判决异常的异构执行体对应的异常次数加1,判决正常的异构执行体对应的异常次数直接置位0,实现动态调整,保证系统的可靠性。
当协议关键参数不相同,即所述步骤五判断失败,如果此次的拟态判决结果为异常,则更新异构执行体对应的异常次数值为1,并同时更新协议关键参数值。如果此次的拟态判决结果为正常,则更新异常次数值为0,并同时更新协议关键参数。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
1.一种基于拟态防御的攻击防御装置,其特征在于:包括拟态调度器和若干异构执行体;所述异构执行体用于接收和处理拟态调度器上送的报文数据,并将处理的结果作为下行数据,下发至拟态调度器;
所述拟态调度器是异构执行体与外部唯一的数据传输接口,用于接收前端芯片发送的报文数据并转发给异构执行体,实现对异构执行体的数据分发、拟态判决和清洗管理,拟态调度器中包括拟态判决模块和攻击防御模块;
所述拟态判决模块接收异构执行体的下行数据,并根据拟态判决策略对下行数据做出判断,同时将拟态判决结果发送给攻击防御模块;
所述攻击防御模块,用于对前端芯片发送的报文数据进行采集、提取、日志存储,结合拟态判决模块发送的拟态判决结果,进行日志更新、攻击防御检测和攻击数据过滤。
2.根据权利要求1所述的一种基于拟态防御的攻击防御装置,其特征在于:所述攻击防御模块包括数据采集和提取模块、日志模块和攻击检测模块;所述数据采集和提取模块用于采集前端芯片发送的报文数据,并提取报文数据中的关键数据,所述日志模块用于将数据采集和提取模块提取的关键数据存储于日志中,并根据拟态判决模块发送的拟态判决结果对日志模块中存储的信息进行更新,所述攻击检测模块用于根据前端芯片发送的报文数据结合日志模块中存储的关键数据判断报文数据是否存在异常攻击,对于存在异常攻击的数据进行过滤,不将此数据上送给相应的异构执行体。
3.根据权利要求2所述的一种基于拟态防御的攻击防御装置,其特征在于:所述日志模块中存储的内容包括关键数据和与关键数据对应的异构执行体数据;所述关键数据包括协议类型标识、协议关键参数,所述异构执行体数据包括与协议类型标识对应的异构执行体编号及对应的异常次数;所述异构执行体数据从拟态判决模块发送的拟态判决结果中提取,将拟态判决结果异常的异构执行体编号更新于日志模块中,并更新异构执行体编号对应的异构执行体的异常次数。
4.根据权利要求1所述的一种基于拟态防御的攻击防御装置,其特征在于:所述若干异构执行体采用不同的结构,所述结构包括不同架构的处理器和不同的操作系统。
5.一种基于拟态防御的攻击防御方法,其特征在于,包括以下步骤:
s1、数据采集和提取:拟态调度器采集前端芯片发送的报文数据,提取报文数据中的关键数据后,将关键数据保存于自身的日志中;
s2、攻击数据判断:拟态调度器将当前保存的关键数据与日志中历史存储内容进行分析,判断当前报文数据是否为异常攻击数据,若是,则进入步骤s3;若否,将当前报文数据分发至任意的若干异构执行体中进行处理,进入步骤s4;
s3、报文过滤:拟态调度器获取当前报文数据中协议类型标识所对应的异构执行体数据,获取存在异常攻击对应的异构执行体编号,对所述异构执行体编号对应的异构执行体进行过滤,不将当前报文数据分发至所述异构执行体中,将当前报文数据分发至过滤后的其他若干异构执行体中进行处理;
s4、拟态判决:对当前报文数据进行处理的所有异构执行体将处理结果发送至拟态调度器,拟态调度器中拟态判决模块对所有的处理结果进行判决,输出拟态判决结果,拟态判决策略包括基于经验可信度的择多判决、基于权值的择多判决和基于抽样择多的复合单选判决;
s5、日志更新和清洗管理:根据当前拟态判决结果将异构执行体输出正常的下行数据发送至前端芯片;标记步骤s4中处理结果与拟态判决结果一致的异构执行体为正常异构执行体,不一致的异构执行体为异常异构执行体,对异常异构执行体进行清洗管理,根据当前拟态判决结果获取所述标记后的异构执行体对应的异构执行体编号,并将其保存和更新于日志中。
6.根据权利要求5所述的一种基于拟态防御的攻击防御方法,其特征在于:所述步骤s2中,日志中历史存储内容包括关键数据和与关键数据对应的异构执行体数据;所述关键数据包括协议类型标识、协议关键参数,所述异构执行体数据包括与协议类型标识对应的异构执行体编号及对应的异常次数。
7.根据权利要求5所述的一种基于拟态防御的攻击防御方法,其特征在于:所述步骤s2中,判断当前报文数据是否为异常攻击数据的过程为:
s21、判断当前协议类型标识是否与日志中历史存储内容相同:将当前报文数据提取的关键数据中的当前协议类型标识与日志中历史存储内容相比较,若日志中历史存储内容包含当前协议类型标识,则进步骤s22,若日志中历史存储内容不包含当前协议类型标识,则进入步骤s24;
s22、判断异常次数是否大于设定的阈值:获取日志中历史存储内容在当前报文数据的协议类型标识下的异构执行体数据,若存在一个异构执行体编号,其对应的异常次数大于设定的阈值,则进入步骤s23;若所有异构执行体编号对应的异常次数均小于或等于设定的阈值,则进入步骤s24;
s23、判断当前协议关键参数是否与日志中历史存储内容相同:将当前报文数据提取的关键数据中的当前协议关键参数与日志中历史存储内容相比较,若当前协议关键参数与日志中历史存储内容完全相同,则判定当前报文数据为异常攻击,筛选出异常次数大于阈值的所有异构执行体编号,否则,进入步骤s24;
s24、判定当前报文数据不是异常攻击数据,保存当前报文数据的关键数据于日志中。
8.根据权利要求5所述的一种基于拟态防御的攻击防御方法,其特征在于:所述步骤s5中,根据当前拟态判决结果获取所述标记后的异构执行体对应的异构执行体编号,并将其保存和更新于日志中的具体过程为:
s51、判断异构执行体是否标记为正常异构执行体:根据标记判断异构执行体是否标记为正常异构执行体,
若是,则获取标记为正常异构执行体的异构执行体编号,在日志中当前报文数据的当前协议类型标识下搜索是否记录搜索异构执行体编号,若有,则将所述异构执行体编号对应的异常次数置0,若无,则不处理;
若否,则进入步骤s52;
s52、判断当前报文数据在日志中是否已记录:获取当前报文数据的当前协议类型标识,与日志中历史存储内容相比较,若当前报文数据在日志中已记录,则进入步骤s54,若当前报文数据在日志中未记录,则进入步骤s53;
s53、创建保存空间:在日志中创建新的保存空间,存储当前报文数据的协议类型标识,在该协议类型标识下,保存协议关键参数以及异构执行体数据,所述异构执行体数据包括处理结果不一致的异构执行体编号以及其异常次数,其中,异常次数赋值1;
s54、判断异构执行体编号在日志中是否已记录:获取日志中当前协议类型标识下的异构执行体编号,若当前处理过程中处理结果不一致的异构执行体所对应的异构执行体编号不在日志中,则在该协议类型标识下,保存异构执行体编号及其异常次数,其中,异常次数赋值1;若当前处理过程中处理结果不一致的异构执行体所对应的异构执行体编号在日志中,则在该协议类型标识下,将异构执行体编号对应的异常次数加1。
9.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求5-8任一所述的一种基于拟态防御的攻击防御方法。
10.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求5-8任一所述的一种基于拟态防御的攻击防御方法。
技术总结