拟态架构路由交换系统被动防御模块、系统及实现方法与流程

本发明涉及数据通信技术领域，具体涉及一种拟态架构路由交换系统被动防御模块、系统及实现方法。

背景技术：

拟态架构路由交换系统是基于传统路由交换系统及其经常面临安全威胁的研究基础上，结合拟态防御架构实现的路由交换系统。针对每一种软件系统的功能，引入多个异构冗余的功能执行体，对同一输入进行处理，并对多个功能执行体输出的消息进行拟态裁决，识别功能执行体输出异常消息，进而实现对路由交换系统漏洞、后门、病毒木马等威胁的主动安全防御。

动态异构冗余(dynamicheterogeneousredundancy,dhr)架构是实现拟态防御的一种原理性方法，以可靠性领域非相似余度结构(dissimilarredundancystructure,drs)为基础，导入多维动态重构机制，使其具有了drs的高可靠特性，同时又具备拟态防御的高安全性。

如图1所示，现有的基于dhr架构的拟态路由交换系统由以下几部分组成：输入代理单元、多个异构功能执行体、裁决器、反馈控制与决策单元和策略调度器。其中，输入代理单元将数据源分发到多个异构功能执行体，多个异构功能执行体经过计算输出各自的结果并传递给裁决器，裁决器接收到异构功能执行体的结果，进行大数判决对正确结果进行输出。策略调度器主要完成对异构功能执行体的策略调度，以及对异常异构功能执行体的监控和处理。反馈控制与决策单元收集系统运行过程中的各类异常和状态信息，进行系统运行参数的主动调整，使其自主跳变，满足拟态防御需求。

当前动态异构冗余dhr架构能很好地解决因异构执行体被攻击篡改或者植入恶意代码，使异构等价体输出异常等问题。但相较于传统路由交换系统的单一功能执行体，拟态架构路由交换系统引入了多个异构冗余的功能执行体以及相应的输入代理单元、裁决器、反馈控制与决策单元和策略调度器等功能部件，这些软件功能部件作为控制平面功能单元运行于处理器上。拟态架构的引入，会导致路由交换系统控制平面的复杂度极大增加，大大加重处理器资源的消耗，甚至会影响到系统正常功能的运行。

但实际运行中，拟态架构路由交换系统中由于cpu资源的限制，多个异构功能执行体同时运行会占用较大cpu资源，如果多个异构功能执行体忙于对安全攻击的处理，那么系统可靠性会大幅降低，甚至正常业务处理可能会出现故障。因此，本领域技术人员亟需一种在拟态架构路由交换系统中可实现的，可在异构功能等价体前的输入代理单元提前对已知和动态识别的攻击报文进行处理的系统和运行方案，以减轻异构功能等价体的处理负担。

技术实现要素：

针对现有技术中存在的缺陷，本发明的目的在于提供一种拟态架构路由交换系统被动防御模块、系统及实现方法，可实现未知攻击的识别及反馈集中处理，降低处理资源的占用，提高系统稳定性。

为达到以上目的，本发明采取的技术方案是：

一种拟态架构路由交换系统被动防御模块，包括：

规则分析模块，用于接收系统配置的已知攻击规则，以及新入侵攻击的特征，在进行规则分析后获得acl规则数据结构和regex规则，并下发；acl规则模块，用于将规则分析模块下发的acl规则数据结构进行归并、存储，并下发给转发引擎的报文过滤模块；dpi引擎模块，用于采用开源dfa引擎，对经过的报文与特征分析模块下发的regex规则进行匹配，对匹配的报文进行过滤处理。

在上述技术方案的基础上，所述规则分析模块还用于：

将新入侵攻击的特征分为单一特征规则和复合特征规则，其中，将报文特征明确固定的单一规则分类为单一特征规则，将有状态会话的规则分类为复合特征规则。

在上述技术方案的基础上，所述规则分析模块还用于：

将单一特征规则和系统配置的已知攻击规则抽象为统一的acl规则，将复合特征规则根据完成状态会话的特征转化抽象为regex规则；将acl规则输出给acl规则模块，将regex规则用正则表达式进行描述并输出给dpi引擎模块。

在上述技术方案的基础上，所述acl规则模块还用于：

在发现入侵攻击时，通过所记录的入侵攻击轨迹进行学习，得到新入侵攻击的特征，对被动防御的特征库和检测规则进行智能更新。

在上述技术方案的基础上，所述acl规则模块还用于按以下方式设置数据结构及进行规则的存储：设置包含二层、三层、四层报文头以及匹配规则字符串、匹配规则掩码的访问控制列表规则，所述访问控制列表规则中还包括相对于各层报文头头部第一个字节开始的偏移量。

本发明还包括一种拟态架构路由交换系统被动防御系统，包括输入代理单元、策略调度单元、异构功能执行体、裁决器和转发引擎，其特征在于，还包括：

如前任一项所述的被动防御模块；特征提取模块，所述特征提取模块设置于策略调度单元中，用于根据反馈控制与决策模块收集的异常信息进行特征提取，并将包括漏洞端口号、报文特征、完整状态会话的新入侵攻击的特征，反馈给所述被动防御模块。

本发明还包括一种拟态架构路由交换系统被动防御系统实现方法，其包括：

s1、接收并配置系统发送的已知攻击规则；s2、在收集的异常信息中提取新入侵攻击的特征，在进行规则分析后下发给acl规则模块及dpi引擎模块；s3、acl规则模块将规则分析模块下发的acl规则数据结构进行归并、存储，并下发给转发引擎的报文过滤模块；s4、dpi引擎模块采用开源dfa引擎，对数据平面上送的报文与特征分析模块下发的正则表达式进行匹配，对匹配的报文进行过滤处理。

在上述技术方案的基础上，所述步骤s2中规则分析的过程具体包括：根据特征提取模块反馈的攻击特征分类，将报文特征明确固定的单一规则，转化抽象成acl规则，下发给acl模块；将有状态会话的规则根据完成状态会话的特征转化抽象为regex规则，下发给dpi引擎模块。

在上述技术方案的基础上，在步骤s1前，还包括：去使能异构功能执行体内的基本安全防御模块功能。

在上述技术方案的基础上，在同时存在多个被动防御功能模块时，将被动防御功能模块去使能并交由输入代理单元的被动防御功能模块统一管理。

与现有技术相比，本发明的优点在于：

(1)本发明的拟态架构路由交换系统被动防御实现方法，通过对反馈控制与决策单元收集系统运行过程中的各类异常和状态信息进行分析，对异常信息进行攻击特征的提取，并反馈至输入代理单元的被动防御模块，实现被动防御。对导致异常的相同未知攻击，该反馈机制生成防御规则后，可以有效防御后续相同类型未知攻击，避免通过异构功能执行体、裁决器等模块的再次处理，减轻cpu资源的占用，提高系统稳定性。

(2)本发明的拟态架构路由交换系统被动防御系统通过在输入代理单元中引入了全面的被动防御功能模块，可以集中统一处理已知/未知的安全攻击，所以去使能多个异构功能等价体中被动安全防护功能，减轻多个异构功能等价体运行的cpu资源占用，提高系统稳定性。

附图说明

图1为现有技术中拟态架构路由交换系统的原理框图；

图2为一个带有本发明一个实施例中被动防御系统的拟态架构路由交换系统的原理框图；

图3为本发明一个实施例中拟态架构路由交换系统被动防御系统内被动防御模块的原理框图；

图4为本发明一个实施例中拟态架构路由交换系统被动防御实现方法的流程图。

具体实施方式

以下结合附图及实施例对本发明作进一步详细说明。

在第一方面，本发明实施例提供一种拟态架构路由交换系统被动防御模块，其包括：

规则分析模块，用于接收系统配置的已知攻击规则，以及特征提取模块反馈的新入侵攻击的特征，在进行规则分析后下发给acl规则模块及dpi引擎模块；acl规则模块，用于将规则分析模块下发的acl规则数据结构进行归并、存储，并下发给转发引擎的报文过滤模块；dpi引擎模块，用于采用开源dfa引擎，对经过的报文与特征分析模块下发的正则表达式进行匹配，对匹配的报文进行过滤处理。

在一个实施例中，规则分析模块还用于：将新入侵攻击的特征分为单一特征规则和复合特征规则，其中，将报文特征明确固定的单一规则分类为单一特征规则，以及将有状态会话的规则根据完成状态会话的特征转化抽象分类为复合特征regex规则。

优选的，规则分析模块还用于：将单一特征规则和系统配置的已知攻击规则抽象为统一的acl规则，将复合特征规则根据完成状态会话的特征转化抽象为regex规则；将acl规则输出给acl规则模块，将regex规则用正则表达式进行描述并输出给dpi引擎模块。

在一个实施例中，acl规则模块还用于：在发现入侵攻击时，通过所记录的入侵攻击轨迹进行学习，得到新入侵攻击的特征，对被动防御的特征库和检测规则进行智能更新。

具体的应用中，acl规则模块还可以设置数据结构及进行规则的存储，一个实施例中的具体设置方法如下：设置包含二层、三层、四层报文头以及匹配规则字符串、匹配规则掩码的访问控制列表规则，所述访问控制列表规则中还包括相对于各层报文头头部第一个字节开始的偏移量。

在一个具体的实施例中，如图3所示，被动防御模块由规则分析模块、acl规则模块、dpi引擎模块三部分组成。

(1)规则分析模块：接收系统(如系统的命令行管理配置接口cli或图形管理软件)配置的已知攻击规则，以及特征提取模块反馈的新入侵攻击的特征，并进行规则分析。规则分析过程为：新入侵攻击通过特征提取模块反馈未知特征，未知特征可以分为单一特征规则和复合特征规则，其中单一特征规则和系统配置的已知攻击规则可以抽象为统一的acl规则，复合特征规则抽象为regex规则，分别输出给acl规则模块和dpi引擎模块。最终规则分析模块的输出统一为2类规则，如下所示：

(a)acl规则

acl规则为访问控制列表规则，本专利acl规则采用用户自定义模板，规则定义为[l2-head|l3-head|l4-head]{rule-stringrule-maskoffset}，其中各字段含义如下：

l2-head：二层报文头

l3-head：三层报文头

l4-head：四层报文头

rule-string：匹配规则字符串rule-mask：匹配规则掩码

offset：相对于l2-head或l3-head或l4-head头部第一个字节开始的偏移量

(b)regex规则

regex规则即正则表达式规则，采用通用正则表达式语法来表示，由一些普通字符和一些元字符组成。这类规则无法使用acl规则进行表达。正则表达式规则是规则提取模块反馈的复合规则，无法用acl规则进行特征的确定性唯一描述，这类规则用正则表达式进行描述。

(2)acl规则模块：实现规则分析模块下发的acl规则数据结构的归并、存储功能，按照规则的包含关系、优先级进行归并，设计数据结构进行规则的存储。并下发给转发引擎的报文过滤模块，这样匹配规则的报文被识别为攻击报文被过滤，不会上送输入代理单元，从而实现对异构功能执行体攻击的安全防御。

(3)dpi引擎模块：采用dfa(deterministicfiniteautomaton)工作方式，对经过的报文与特征分析模块下发的正则表达式进行匹配，匹配的报文进行过滤处理，从而实现对异构功能执行体攻击的安全防御。

在第二方面，如图2所示，本发明还提供一种包括如上所述的被动防御模块的拟态架构路由交换系统被动防御系统，该系统包括输入代理单元、策略调度单元、异构功能执行体、裁决器和转发引擎，还包括：特征提取模块，所述特征提取模块设置于策略调度单元中，用于根据反馈控制与决策模块收集的异常信息进行特征提取，并反馈包括漏洞端口号、报文特征、完整状态会话的攻击特征特征给被动防御模块；被动防御模块，所述被动防御模块设置于输入代理单元中，用于接受已知攻击特征和特征提取模块反馈的未知攻击特征，并将攻击特征分解为acl规则和正则表达式规则，分别下发给报文过滤模块和dpi功能模块。

在上述方案中，本发明通过引入了特征提取和被动防御模块。其中特征提取模块将反馈控制与决策单元采集的信息中与攻击相关的特征信息反馈至被动防御模块，被动防御模块接受已知攻击特征和反馈的未知攻击特征，并进行特征分析，分解为acl规则和正则表达式规则，分别下发给报文过滤模块和dpi功能模块，实现已知攻击的主动防御和未知规则的被动防御功能。

其中acl模块作为第一道防御阵线，是解决大部分目前已知的网络攻击手段的防御问题；dhr架构主动防御作为第二道防线，解决未知攻击、漏洞和后门的防御问题。在主动防御发现入侵攻击时，可通过所记录的入侵攻击轨迹进行学习，得到新入侵攻击的特征，对被动防御的特征库和检测规则进行智能更新。被动防御可以利用现有的高效检测机制在入侵到达第二道防线前过滤掉大部分攻击，主动防御则有效检测第一道防线无法防御的未知攻击。同时多个异构功能等价体中原有被动防御功能模块(若原先存在)可以去使能，交由输入代理单元的被动防御功能模块统一处理，减轻了多个异构功能等价体中同时运行动态防御功能的cpu资源占用。

输入代理单元中被动防御模块利用“acl技术+dpi技术”组合能对已知攻击和后端分析反馈的攻击、漏洞等进行有效防御，同时减轻了系统执行的处理器资源消耗，提高了系统的稳定性。

第三方面，如图4所示，本发明还提供一种拟态架构路由交换系统被动防御系统实现方法，该方法包括：

s1、接收并配置系统发送的已知攻击规则；s2、在收集的异常信息中提取新入侵攻击的特征，在进行规则分析后下发给acl规则模块及dpi引擎模块；s3、acl规则模块将规则分析模块下发的acl规则数据结构进行归并、存储，并下发给转发引擎的报文过滤模块；s4、dpi引擎模块采用开源dfa引擎，对数据平面上送的报文与特征分析模块下发的正则表达式进行匹配，对匹配的报文进行过滤处理。

在一个具体的实施例中，所述步骤s2中规则分析的过程具体包括：根据特征提取模块反馈的攻击特征分类，将报文特征明确固定的单一规则，转化抽象成acl规则，下发给acl模块；将有状态会话的规则根据完成状态会话的特征转化抽象为regex规则，下发给dpi引擎模块。

为节约系统资源，在步骤s1前，还可包括：去使能异构功能执行体内的基本安全防御模块功能。

优选的，在同时存在多个被动防御功能模块时，将被动防御功能模块去使能并交由输入代理单元的被动防御功能模块统一管理。

下面就一个具体实施例中的优化处理过程进行说明，该过程包括以下步骤：

1、去使能异构功能执行体内的基本安全防御模块功能。

2、特征提取模块根据反馈控制与决策模块收集的异常信息如端口漏洞、特殊协议报文、有状态会话攻击等进行特征提取，并反馈漏洞端口号、报文特征、完整状态会话等特征给被动防御模块。

3、拟态架构路由交换系统通过配置界面(cli或图形网管)按acl规则要求配置已知规则，规则可以定义为过滤以太网报文中的任意协议确定的各类字段，如mac地址、ip地址、协议端口号等，并下发给acl规则模块。

4、特征分析模块根据特征提取模块反馈的攻击特征，对报文特征明确固定的单一规则，转化抽象成acl规则，对有状态会话的规则根据完成状态会话特征转化抽象为regex规则。同时分别下发给acl模块和dpi引擎模块。

5、acl规则模块收到规则分析模块下发的acl规则，进行acl规则包含性、优先级的检测，对规则进行归并处理，并对处理后的规则进行表项存储。按表项顺序下发给数据平面的报文转发模块进行攻击报文的过滤。

6、dpi引擎模块采用通用的开源dfa引擎，运行于控制平面，对数据平面上送的报文进行regex规则的检测，对符合规则的报文做过滤处理。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。