一种基于FPGA动态管理拟态执行体的方法及装置与流程

本发明涉及计算机安全领域，具体涉及一种基于fpga动态管理拟态执行体的方法及装置。

背景技术：

1、面对计算机安全领域日益严峻的挑战，基于拟态异构执行体概念的拟态防御理论应运而生。目前管理拟态异构执行体上线、配置与下线的方法主要通过基于cpu的操作系统实现或基于传统fpga管理系统实现。其中cpu硬件层面和操作系统层面都存在未知与不可控的安全漏洞风险；传统fpga管理系统虽然解决了cpu层面与操作系统层面的相关风险，但也存在管理方法简单，拟态执行体数据固定单一，不能动态管理拟态执行体的缺点。

技术实现思路

1、本发明的目的在于针对现有技术的不足，提供一种基于fpga动态管理拟态执行体的方法及装置。

2、本发明的目的是通过以下技术方案来实现的：本发明实施例第一方面提供了一种基于fpga动态管理拟态执行体的方法，该方法包括以下步骤：

3、（1）监控三个在线拟态执行体的拟态数据，将所述拟态数据分为被动拟态数据与主动拟态数据，统计接口数据实时速率，所述接口数据实时速率为被动拟态数据实时速率与主动拟态数据实时速率之和；

4、（2）将被动拟态数据与主动拟态数据进行基础特性标注后划分同种比较数据，并基于排列组合输出有效比较值组合与无效比较值组合；

5、（3）统一有效比较值组合与无效比较值组合基础特性标注，输出三比特标识有效比较结果与三比特标识无效异常结果，基于优先轮询策略生成离散汇聚结果；

6、（4）监控步骤（1）统计的接口数据实时速率与步骤（3）得到的离散汇聚结果，管理控制执行体运行状态；所述管理控制执行体运行状态为输出执行体上线、配置、下线和动态检测指令。

7、进一步地，所述步骤（1）中，所述被动拟态数据为三个在线拟态执行体工作时与外界系统交互的数据。

8、进一步地，所述步骤（1）中，所述主动拟态数据为发起执行体任务查询指令后各在线拟态执行体返回的执行体任务数据与主动发起执行体状态查询指令后各在线拟态执行体返回的执行体状态数据。

9、进一步地，所述步骤（2）中，所述将被动拟态数据与主动拟态数据进行基础特性标注后划分同种比较数据具体为：所述被动拟态数据基础特性与在线拟态执行体具体任务相关，为动态特性；所述基础特性标注为从基础特性集中挑选组合一组基础特性，所述基础特性集包括模拟特性、数字特性、离散特性、连续特性、高带宽特性、低带宽特性；若不同在线拟态执行体被动拟态数据具有同基础特性标注与同通道，则它们为同种比较数据；所述同通道为被动拟态数据中同基础特性标注数据在多路通道下出现；

10、所述主动拟态数据基础特性与在线拟态执行体具体任务无关，为静态特性；基础特性标注不可变，包含所述执行体任务数据的数字离散高带宽特性与所述执行体状态数据的数字离散低带宽特性；若不同在线拟态执行体主动拟态数据有同基础特性标注，则它们为所述同种比较数据。

11、进一步地，所述步骤（2）中，所述基于排列组合输出有效比较值组合与无效比较值组合具体为：所述排列组合为将三个在线拟态执行体同种比较数据进行排列组合，共产生三组同类比较值组合；所述比较值组合基础特性标注继承自组合中比较数据基础特性标注，与所述比较数据基础特性相同；若在超时时间内，同种比较数据在三个在线拟态执行体产生，则产生的比较值组合为所述有效比较值组合；否则比较值组合为所述无效比较值组合。

12、进一步地，所述步骤（3）中，所述统一有效比较值组合与无效比较值组合基础特性标注，输出三比特标识有效比较结果与三比特标识无效异常结果具体为：统一比较值组合基础特性标注为数字离散低带宽，带有模拟基础特性的比较值组合通过单位时间积分转换为数字基础特性；带有连续基础特性的比较值组合通过采样时间ts采样的方法转换为离散特性；带有高带宽基础特性的比较值组合通过散列算法转换为低带宽基础特性；若同类比较值组合中出现无效比较值组合，则该类三组比较值组合输出三比特标识无效异常结果，其中未超时的组合标识为比特0，超时的组合标识为比特1；否则该类三组比较值组合输出三比特标识有效比较结果，将各比较值组合中的数据进行逐字节比较，比较结果相同标识为比特0，不同标识为比特1。

13、进一步地，所述步骤（3）中，所述基于优先轮询策略生成离散汇聚结果包括以下子步骤：

14、（a）若同时出现三比特标识有效比较结果与三比特标识无效异常结果，则跳转至步骤（b）；否则只有三比特标识有效比较结果或只有三比特标识无效异常结果，跳转至步骤（c）；

15、（b）触发优先策略，具体为优先选择保留三比特标识无效异常结果，省略同时出现的三比特标识有效比较结果，跳转至步骤（c）；

16、（c）触发轮询策略，在同一种三比特标识结果数据中轮询选择，得到离散汇聚结果；

17、（d）缓存离散汇聚结果。

18、进一步地，所述步骤（4）包括以下子步骤：

19、（a）监控缓存数量；

20、（b）若缓存数量大于0，则读取缓存中的三比特标识结果数据，并跳转至子步骤（d）；否则监控接口数据实时速率，并跳转至子步骤（c）；

21、（c）若接口数据实时速率大于阈值，则发送动态检测指令中的执行体任务查询指令，并跳转至子步骤（a）；否则发送动态检测指令中的执行体状态查询指令，并跳转至子步骤（a）；

22、（d）判断读取的三比特标识，若三比特标识包含比特1，则跳转至子步骤（e）；否则跳转至子步骤（a）；

23、（e）发送下线指令，下线所述三比特标识中比特1所对应的在线执行体，并跳转至子步骤（f）；

24、（f）发送上线指令与配置指令，上线新执行体以替换被子步骤（e）中下线的执行体，并跳转至子步骤（a）。

25、本发明实施例第二方面提供了一种基于fpga动态管理拟态执行体的装置，包括存储器和处理器，所述存储器与所述处理器耦接；其中，所述存储器用于存储程序数据，所述处理器用于执行所述程序数据以实现上述基于fpga动态管理拟态执行体的方法。

26、本发明实施例第三方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述的基于fpga动态管理拟态执行体的方法。

27、本发明与现有技术相比，其有益效果是：

28、1、本发明提出主动拟态数据概念，当某在线拟态执行体防御系统已被破坏需要拟态裁决检出时，若受任务影响的被动拟态数据正好处于空闲状态，则已破坏的在线拟态执行体防御系统无法被及时检出；而主动拟态数据可以无视任务影响，及时检出相关异常。为平衡被动拟态数据的带宽的可变特性，本发明将主动拟态数据分为一种高带宽数据：任务数据与另一种低带宽数据，即状态数据；通过监控当前接口数据速率动态分配两种数据查询命令，以满足平衡数据带宽，在fpga资源有限的基础上满足拟态系统实时性要求。

29、2、本发明提出基础特性标注的概念，对不同类型的数据进行基础特性集分类以满足拟态数据多样性要求，提出统一基础特性方法将多样性的拟态数据转换统一为一固定格式，以实现fpga模块兼容性与复用性。

30、3、本发明将拟态数据超时与拟态数据不一致进行优先级的区分，提出了无效异常结果与有效比较结果两种概念，并提出基于优先轮询方法对所述无效异常结果与有效比较结果进行处理。优先级的划分进一步提高fpga系统实时处理多样性拟态数据的能力，使设计思路和设计方法便于体现fpga并行模块处理与流水线模块优点。