[发明专利]一种基于抽样检测的拟态安全系统和方法

说明书

本发明中提供一种基于抽样检测的拟态安全系统和方法，该系统包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器；冗余控制器，用于对异构功能等价体的判定结果进行参数比较，并将裁决结果通知输出代理器；异构功能等价体用于抽样数据选取和同步，对抽样数据进行特征判定，并将判定结果发送给冗余控制器；异构功能等价体的拟态裁决参数为基于存储数据生成的抽样数据，极大的减少了裁决参数所需的存储空间和计算资源，还保障了裁决参数的时效性、准确性，提升大规模数据计算等网络边缘计算场景下的拟态裁决效率，增大拟态安全系统的可用性。

技术领域

本发明涉及网络通讯领域，尤其涉及一种基于抽样检测的拟态安全系统和方法。

背景技术

网络空间在蓬勃发展的同时，正面临着严峻的安全形势，存在大量针对网络空间的恶意攻击事件，另外网络系统复杂，不可避免的存在漏洞，因此网络空间既有来自外部威胁，又与内部安全漏洞问题相互交织，安全风险严峻复杂。在新的网络空间安全形势下，基于先验知识的传统防御手段难以应对各种攻击，需要转变防御思路，定义新的防御边界，巩固防线纵深，从被动迈向内生安全的主动防御。

中国专利CN201610853938.7“一种封装异构功能等价体的装置、方法及设备”提出了拟态安全防御技术，能从主动性、变化性和随机性中获得有利的内生防御态势，通过拟态环境进行动态变化，对攻击者则表现为难以观察和预测，从而大幅度增加包括未知的可利用的漏洞和后门在内的攻击难度和成本。其主要原理如附图1所示，输入代理器收到外部服务请求后，根据冗余控制器的代理策略，将外部服务请求发送给选定的一个或者多个异构功能等价体；异构功能等价体在接收到服务请求后工作运行，输出服务响应发送至输出代理器，并将拟态裁决参数发送给冗余控制器；输出代理器接收到服务响应后，根据冗余控制器的输出裁决策略，选择其中一个异构功能等价体的输出作为外部服务响应进行发送。

中国专利CN201610853938.7很好的解决了网元的安全防护问题，但是目前网络功能越来越复杂，安全攻击的种类也越来越多，例如在网络边缘计算中，网元不仅仅有网络传输功能，还有存储和计算功能，网元存储的数据通常超过G字节甚至T字节，且计算功能复杂，如果仍然采用中国专利CN201610853938.7的拟态裁决功能，则无论在时效性，还是在裁决精度上，都难以满足网络实际的需求。

发明内容

有鉴于此，本发明的主要目的在于提供一种基于抽样检测的拟态安全系统和方法，提升大规模数据计算等网络边缘计算场景下的拟态裁决效率，增大拟态安全系统的可用性。

为了达到上述目的，本发明的技术方案是这样实现的：

一种基于抽样检测的拟态安全系统，包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器；输入代理器用于收到外部服务请求后根据冗余控制器的代理策略，将外部服务请求发送给选定的一个或者多个异构功能等价体；冗余控制器，用于对异构功能等价体的判定结果进行参数比较，并将裁决结果通知输出代理器；异构功能等价体用于抽样数据选取和同步，对抽样数据进行特征判定，并将判定结果发送给冗余控制器；输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送；

进一步地，所述冗余控制器包括：

裁决参数通知模块：定时向某个异构功能等价体发送裁决参数请求消息的通知；

裁决参数比较模块：对异构功能等价体发来的判定结果进行两两相似度比较，裁决出相似度最大的异构功能等价体作为输出响应的等价体，并将该裁决结果通知输出代理器；

进一步地，所述异构功能等价体包括：

裁决参数生成模块：在收到冗余控制器发出的裁决参数请求消息后，该等价体根据存储数据生成一份抽样数据，抽样数据的大小根据裁决参数计算模块的处理能力决定；

裁决参数同步模块：生成抽样数据的等价体，将该抽样数据发送给其他等价体，各个等价体之间完成抽样数据的同步；