[发明专利]拟态交换机、网络设备及系统

说明书

本发明属于网络数据交换设备领域，特别涉及一种拟态交换机、网络设备及系统，该拟态交换机包含：交换芯片，用于作为数据转发实体，完成对端数据的按规则转发；拟态调度器，用于负责报文数据上送至异构控制引擎执行体和下发至交换芯片的拟态调度；若干异构控制引擎执行体，用于接收拟态调度器上送报文并通过异构等价功能执行体进行数据处理和反馈。本发明通过在控制层引入异构控制引擎以及调度器来实现控制层的动态异构冗余，针对未知漏洞、木马以及后门等，保证动态系统无缝切换，具有冗余性、异构性、动态性、负反馈特性、去服务颠簸特性、安全模式划分、内生安全特性、防御兼容性等优点，对网络交换设备发展具有重要的指导意义。

技术领域

本发明属于网络数据交换设备领域，特别涉及一种拟态交换机、网络设备及系统。

背景技术

随着互联网的发展，人们对网络的需求日益增加，网络日益复杂，交换机承载着网络枢纽的作用，所以，保证交换机的正常工作是非常重要的。当前，随着“棱镜门”、Intel处理器“熔断&幽灵”漏洞的发现，网络安全问题已经引起网络安全领域、甚至各个国家的重视。在交换机领域也不断的爆出各种漏洞和后门，比如2018年初，思科自曝318款交换机有漏洞，可能已遭渗透等等。交换机的安全可靠性成为当前交换机设计的重中之重。

当前高安全交换机设计领域，主要是通过被动防御技术解决网络攻击和后门漏洞问题。主要的防御方式包括：访问列表控制、抗DDoS泛洪、加密技术、蜜罐技术等。访问列表控制、抗DDoS泛洪等技术需要通过处理器下发配置信息，配置交换芯片相应功能模块进行实现，配置信息无法保证不被篡改；加密技术需要增加复杂的额外功能模块，提升了交换机的设计复杂度并且对交换机性能有一定的影响；蜜罐技术需要增加额外功能模块，并进行攻击模拟会增加系统的负载。当前交换机防御技术虽然能够在一定程度上解决当前的安全问题，但不能够更有效地解决日益演变的攻击手段和未知后门、未知漏洞和未知木马。针对当前交换机的防御技术特点，如何针对未知漏洞、未知后门以及未知木马进行防御；如何实现特定攻击针对冗余控制引擎的协同攻击；如何保证动态系统的无缝切换，无服务颠簸；如何解决针对不同的安全需求、资源限制的情况下交换机配置问题，已成为亟待解决的技术问题。

发明内容

为此，本发明提供一种拟态交换机、网络设备及系统，针对未知漏洞、木马以及后门等，通过引入拟态等安全思想来保证动态系统的无缝切换、无服务颠簸，进一步保证网络通信的安全性和可靠性。

按照本发明所提供的设计方案，一种拟态交换机，包含：交换芯片、拟态调度器和若干异构控制引擎执行体，其中，

交换芯片，用于作为数据转发实体，完成对端数据的按规则转发；

拟态调度器，用于负责报文数据上送至异构控制引擎执行体和下发至交换芯片的拟态调度；

若干异构控制引擎执行体，用于接收拟态调度器上送报文并通过异构等价功能执行体进行数据处理和反馈。

上述的，异构控制引擎执行体中，通过采用异构协议栈、异构操作系统及异构处理器来实现等价功能，并通过通信接口与拟态调度器进行通信；异构控制引擎执行体数量依据系统安全性需求及系统资源进行设定。

优选的，异构处理器选用通用处理器中的一种；操作系统选用交换机操作系统中的一种；协议栈选用功能等价结构不同的等价协议栈或经过多样化编译的专用交换机协议栈；所述通信接口选用通用接口中的一种。

更进一步，所述通用处理器为PowerPC、ARM或MIPS；所述通用接口为以太网接口或PCIE接口

上述的，所述拟态调度器包括拟态策略模块，与拟态策略模块连接的拟态判决模块、数据复制分发模块和清洗管理模块，及用于与交换芯片和异构控制引擎执行体通信的接口协议解析模块，其中，

接口协议解析模块，用于对异构控制引擎执行体下发或者来自交换芯片的报文数据进行解析，并将解析后的报文数据发送至拟态判决模块；