一种基于过程要素的多维度拟态表决方法与流程

本发明属于网络安全技术领域，具体属于网络安全拟态防御技术领域，尤其涉及一种基于过程要素的多维度拟态表决方法。

背景技术：

随着互联网的不断演进、攻击技术的不断进化，网络攻击呈现“隐蔽性、协同性、精确性”等特点，网络安全处于“易攻难守”的态势。为了彻底改变传统的“封堵查杀”等被动应对的防护模式，形成主动防御能力，拟态防御技术应运而生。拟态防御技术是指以系统内部动态异构冗余结构为基础提出的一种主动防御技术，能够应对网络空间中的各类未知威胁。由于采用综合性的防御手段，拟态防御技术具有良好的可靠性与普适性，近年来成为学术界与工业界的研究热点。

基于过程要素的多维度拟态表决方法是拟态防御技术中的一个重要组成部分。基于过程要素的多维度拟态表决方法是指在拟态产品中表决器通过对实现节点功能的目标文件的监控发现已经被攻击的节点。在节点正常运行时，通过实时比对实现节点功能的目标文件，判断该节点是否被攻击。目标文件是指：进程状态数据、内存数据、网络状态数据等运行过程中的实时数据与可执行文件、配置文件、日志文件等运行过程中的相关文件。基于过程要素的多维度拟态表决方法可以扩大拟态表决的范围，实时进行拟态表决，更快发现被攻击的节点。现有的拟态表决算法只是针对结果要素进行表决，无法对过程要素进行拟态表决，发现攻击节点有一定的延迟，使得拟态表决适用性具有局限性。因此，拟态防御中的基于过程要素的多维度拟态表决方法在拟态防御中尤为重要。

现有的基于结果要素的拟态表决方法是将用户请求输入多个节点，请求在节点内部执行以后，每个节点各输出一个结果，表决器通过对多个节点的输出结果进行拟态表决，从而发现被攻击的节点。该方法存在两方面缺陷：首先，具有一定的局限性，对于没有输出结果的请求无法实现拟态表决；其次，现在的拟态表决方法不够实时，需要等待输出结果以后才能够发现是否被攻击；

因此，现有的拟态表决方法并不能满足实时进行拟态表决、基于过程表决的使用需求。为保证实际拟态防御技术的高可靠性与高可用性，亟需一种基于过程要素的多维度拟态表决方法，扩大拟态表决的范围，更快响应表决结果。

技术实现要素：

本发明的目的在于针对现有技术的不足，提供一种基于过程要素的多维度拟态表决方法。本发明方法具有打破拟态表决局限性，实时进行表决的优点。

本发明的目的是通过以下技术方案来实现的：一种基于过程要素的多维度拟态表决方法，包括以下步骤：

(1)采用异构的硬件设备部署多个功能相同的节点，通过异构的硬件设备实现拟态的异构性；将用户请求分发给其中一个节点，节点内部执行该请求，并将执行结果同步到其它节点；

(2)表决器检测实现节点功能的目标文件，通过比对实现节点功能的目标文件，判断节点是否受到攻击：如果节点没有受到攻击，则继续正常运行；如果节点受到攻击，则进行下一步；

(3)检测节点的运行状态，根据当前节点的负载情况和计算能力进行排序，并选择合适的节点，包括以下子步骤：

(3.1)获取当前正常运行节点的负载情况和计算能力；用n表示节点的个数，用ci表示第i个节点的计算能力，用vi表示第i个节点的负载情况，i＝1，2，…，n；

(3.2)根据步骤(3.1)获取的负载情况vi和计算能力ci，将节点按照的值进行排序，选择值最小的一个节点；

(4)将实现步骤(3.2)选择的节点的节点功能的目标文件，同步到步骤(2)中受到攻击的节点，使其恢复正常。

本发明的有益效果是：本发明方法通过实时比对实现节点功能的目标文件，综合考虑系统资源与工作效率等因素，满足实时拟态表决的需求，同时打破传统拟态表决的局限性。与现在的拟态表决相比，本发明实时性更强，能对基于过程要素的请求实现拟态表决。

附图说明

图1为本发明实施例中请求传输模型示意图；

图2为本发明方法的流程图。

具体实施方式

以下结合附图并举实施例对本发明做进一步详细说明。

本发明拟态防御中的基于过程要素的多维度拟态表决方法，包括以下步骤：

(1)采用异构的硬件设备部署多个功能相同的节点，通过异构的硬件设备实现拟态的异构性；将用户请求分发给其中一个节点，节点内部执行该请求，并将执行结果同步到其它节点；

(2)表决器检测实现节点功能的目标文件，通过比对实现节点功能的目标文件，判断节点是否受到攻击：如果节点没有受到攻击，则继续正常运行；如果节点受到攻击，则进行下一步；

(3)检测节点的运行状态，根据当前节点的负载情况和计算能力进行排序，并选择合适的节点，包括以下子步骤：

(3.1)获取当前正常运行节点的负载情况和计算能力；用n表示节点的个数，用ci表示第i个节点的计算能力，用vi表示第i个节点的负载情况，i＝1,2,…,n；

(3.2)根据步骤(3.1)获取的负载情况vi和计算能力ci，将节点按照的值进行排序，选择值最小的一个节点；

(4)将实现步骤(3.2)选择的节点的节点功能的目标文件，同步到步骤(2)中受到攻击的节点，使其恢复正常。

实施例

本实例工作在拟态云防御中，如图1所示，管理节点下一共运行a1～a33朵云，用户请求构成的流量从管理节点进入服务器；本发明的方法依靠如下具体步骤选出a2，a2在处理用户请求的同时，表决器比对实现节点多个功能的目标文件，如果表决器发现a2目标文件和a1、a3的目标文件不一致；则判定a2朵云受到攻击，对a1、a3的运行状态进行检测，选择合适的节点，进行实时同步，使被攻击节点恢复正常。

如图2所示，本实例具体通过以下步骤实现：

步骤一、采用异构的硬件设备部署多个功能相同的节点，其中一个接收用户请求，节点内部执行该请求，并将执行结果同步到其它节点；

步骤二、表决器实时监测实现节点多个功能的目标文件，如果表决器检测出执行请求节点的受到攻击；服务器内部获取a1、a3的负载情况vi(i＝1，3)和当前计算能力ci(i＝1，3)，并按照进行排序，选择最小的一个节点a1；

步骤三、同步a1的目标文件内容，使a2恢复正常。

以上所述为本发明的一个实施例，本发明不受上述实施例限制，可将本发明的技术方案与实际应用场景结合确定具体实施方法。