[发明专利]拟态化网络操作系统、构建装置及方法有效
申请号: | 201710431764.X | 申请日: | 2017-06-09 |
公开(公告)号: | CN107360135B | 公开(公告)日: | 2020-07-24 |
发明(设计)人: | 扈红超;齐超;程国振;陈福才;邬江兴;季新生;毛宇星;艾健健;赵硕;卢振平 | 申请(专利权)人: | 中国人民解放军信息工程大学 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 郑州大通专利商标代理有限公司 41111 | 代理人: | 陈大通 |
地址: | 450000 河*** | 国省代码: | 河南;41 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 拟态 网络 操作系统 构建 装置 方法 | ||
本发明公开一种拟态化网络操作系统构建装置,包括变体管理单元、NOS单元和拟态单元,变体管理单元由变体模板池和变体管理两个子单元构成,NOS单元由从变体模板池中选出的多个模板实例化后的NOS组成,拟态单元接收来自NOS单元的计算结果,并进行多模判决。本发明还公开了一种基于上述拟态化网络操作系统构建装置的方法,包括将来自底层网络的消息分发给每一个在线运行的异构的网络操作系统,网络操作系统中内置的监控代理实时地对其状态进行检测,并将结果反馈给变体管理单元,各个运行的网络操作系统独立执行计算;对来自各个网络操作系统的计算结果进行多模判决。本发明还公开一种拟态化网络操作系统,包括变体模板池、变体管理层、NOS层和拟态层。
技术领域
本发明涉及网络空间安全技术领域,特别是涉及一种拟态化网络操作系统、构建装置及方法。
背景技术
软件定义网络(Software Defined Networking, SDN)通过将网络控制平面与网络转发平面解耦从而使得网络更加灵活、开放和可编程,被认为有望改变未来网络架构的革命性技术,近年来在学术界和产业界均引起了广泛关注,且逐步应用于商业网络领域。然而,SDN技术也是一把双刃剑,在提升网络性能和灵活性的同时,网络控制的集中化引入诸多新的安全问题,由于具备全局网络视图和控制,攻击者一旦控制或瘫痪了其中枢—软件定义控制器(或称网络操作系统),就可直接篡改或瘫痪整个网络。因此安全问题是SDN技术走向大规模商用部署面临的关键难题之一。
现有的网络操作系统安全机制在应对控制器劫持、停机和流表篡改等安全威胁时还存在很大不足,因此急需一种能够防御未知漏洞缺陷、快速检测攻击威胁和具有内生安全能力的网络操作系统装置。
发明内容
针对现有技术中存在的缺陷,本发明提供一种拟态化网络操作系统、构建装置及方法,用于构造一个具备内生安全性的网络操作系统架构,从而解决网络运行面临的控制器劫持、流表篡改等安全威胁。
为了实现上述目的,本发明采用以下的技术方案:
一种拟态化网络操作系统构建装置,包括变体管理单元、NOS单元和拟态单元;
变体管理单元,由变体模板池和变体管理两个子单元构成;其中,变体模板池由多个异构的软件定义控制器组成,变体管理子单元对变体模板池进行管理,对变体进行监控、调度和清洗;
NOS单元,由从变体模板池中选出的
拟态单元,接收来自NOS单元的计算结果,并进行多模判决,根据判决结果选择出相对可信的结果发送给底层网络。
进一步地,所述变体管理子单元由变体模板管理、变体监控、变体调度和变体清洗四个子模块构成;
变体模板管理模块,对变体模板池中的变体模板进行维护管理,包括变体查询、删除、增加以及实例化功能;
变体监控模块,实时获取变体的运行状态,并进行诊断变体是否异常;
变体调度模块,依据变体监控结果或预先设定的变体调度算法,对在线的变体进行调度,选择当前时间周期内运行的变体,根据选择结果将新变体上线,将需要下线的变体下线;
变体清洗模块,根据变体监控结果,对在线或下线的NOS变体进行清洗、重置、修复和剔除操作,确保变体的可信。
进一步地,所述拟态单元由输入输出代理、状态池和裁决器子单元构成;
输入输出代理,隔离保护上层的NOS单元,与底层的交换机建立连接并进行交互,将来自交换机的消息转发给每一个在线运行的网络操作系统,同时将拟态单元的裁决结果消息发送给底层的交换机;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军信息工程大学,未经中国人民解放军信息工程大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710431764.X/2.html,转载请声明来源钻瓜专利网。