本发明属于计算机软件技术领域,具体是一种高效的实现拟态防御模型分发器的方法。
背景技术:
web服务器系统面临的安全问题日益严重,而传统防御技术又处在被动防御位置,难以很好地应对未知攻击威胁的问题。于是美国提出了移动目标防御(movingtargetdefense,mtd)的设想,这是美国针对防御者当前所处劣势地位而提出的一个“改变游戏规则”的网络安全发展方向,期望通过实施持续、动态的变化迷惑攻击者,以增加其攻击成本和复杂度,降低其攻击成功率。
有人提出了基于“动态异构冗余”结构的拟态防御模型,期望通过在主动和被动触发条件下动态地、伪随机地选择执行各种硬件变体以及相应的软件变体,使得内外部攻击者观察到的硬件执行环境和软件工作状况非常不确定,无法或很难构建起基于漏洞(bug)或后门的攻击链,以达成降低系统安全风险的目的。“动态异构冗余”结构在“处理”环节使用异构执行体集合进行处理,将同一输入通过输入代理复制为n份,并分发给执行体集中的n个异构执行体进行处理,将处理结果收集至表决器进行表决,得到唯一的相对正确的输出。这样就可以大大提高web服务器的安全性。
技术实现要素:
本发明的目的是针对现有技术的不足,提供一种高效的实现拟态防御模型分发器的方法。
本发明解决其技术问题所采用的技术方案包括如下步骤:
步骤(1)对于每个客户端发来的数据包,将其存放在分发器中,由于多个后端服务器中保存有多个不同的sessionid,所以需要在分发器中维护一个虚拟sessionid到真实sessionid的映射表,客户端发来的请求中sessionid为虚拟sessionid,在映射表中替换为真实sessionid,映射表的key值为虚拟sessionid,value值为n个服务器的真实sessionid,虚拟sessionid由分发器生成,客户端收到的http返回包中,只有这个虚拟的sessionid,客户端也只需要使用这个虚拟的sessionid和服务器端交互;
步骤(2)当用户请求过大时,如果单纯的将请求的数据复制n份,那么将会多占用分发器n倍的空间,采取“头复制,体链接”的方式,即只对http请求头进行复制,http请求头中包含有cookie、sessionid等信息,而请求体的数据并不需要发生变化,所以只需要保存http请求体的链接即可。当分发器将请求复制分发给n个服务器后,此请求所占用空间即可收回;
步骤(3)经过步骤(1)和(2)的两次预处理后,分发器就能够高效的将用户请求发送到服务器后端的执行体上,实现分发器的功能。
本发明有益效果:
本发明通过采用映射表维护虚拟sessionid到真实sessionid的映射,并且采用“头复制,体链接”的方案,实现了分发器模块,从而尽可能降低延时、提高效率,为整套系统提供了更加高效的解决方案。
本发明借助映射表和指针的精细操作,实现了一个高效的拟态防御模型的分发器模块。
附图说明
图1为本发明示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。
如图1所示,一种高效的实现拟态防御模型分发器的方法,包括如下步骤:
步骤(1)对于每个客户端发来的数据包,将其存放在分发器中,由于多个后端服务器中保存有多个不同的sessionid,所以需要在分发器中维护一个虚拟sessionid到真实sessionid的映射表,客户端发来的请求中sessionid为虚拟sessionid,在映射表中替换为真实sessionid,映射表的key值为虚拟sessionid,value值为n个服务器的真实sessionid,虚拟sessionid由分发器生成,客户端收到的http返回包中,只有这个虚拟的sessionid,客户端也只需要使用这个虚拟的sessionid和服务器端交互;
步骤(2)当用户请求过大时,如果单纯的将请求的数据复制n份,那么将会多占用分发器n倍的空间,我们采取了“头复制,体链接”的方式,即只对http请求头进行复制,http请求头中包含有cookie、sessionid等信息,而请求体的数据并不需要发生变化,所以只需要保存http请求体的链接即可。当分发器将请求复制分发给n个服务器后,此请求所占用空间即可收回;
步骤(3)经过如上所述的两次预处理后,分发器就可以高效的将用户请求发送到服务器后端的执行体上,实现分发器的功能。