[发明专利]一种拟态裁决参数消息同步的装置和方法

说明书

本发明提供一种拟态裁决参数消息同步的装置及方法，该装置包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器；输入代理器用于收到外部服务请求后根据冗余控制器的代理策略，将外部服务请求发送给选定的一个或者多个异构功能等价体；冗余控制器，用于对异构功能等价体的裁决参数进行重新排序、整形和比较，并将裁决结果通知输出代理器；异构功能等价体用于产生裁决参数并发送给冗余控制器；输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送；本发明通过拟态裁决参数的定时批量同步、参数整形等方案，有效降低由于消息乱序、丢包等导致的裁决错误概率，增大了拟态安全系统的可靠性。

技术领域

本发明涉及网络空间安全防护技术领域，尤其涉及一种拟态裁决参数消息同步的装置及方法。

背景技术

网络空间在蓬勃发展的同时，正面临着严峻的安全形势，存在大量针对网络空间的恶意攻击事件，另外网络系统复杂，不可避免的存在漏洞，因此网络空间既有来自外部威胁，又与内部安全漏洞问题相互交织，安全风险严峻复杂。在新的网络空间安全形势下，基于先验知识的传统防御手段难以应对各种攻击，需要转变防御思路，定义新的防御边界，巩固防线纵深，从被动迈向内生安全的主动防御。

中国专利CN201610853938.7“一种封装异构功能等价体的装置、方法及设备”提出了拟态安全防御技术，能从主动性、变化性和随机性中获得有利的内生防御态势，通过拟态环境进行动态变化，对攻击者则表现为难以观察和预测，从而大幅度增加包括未知的可利用的漏洞和后门在内的攻击难度和成本。其主要原理如附图1所示，输入代理器收到外部服务请求后，根据冗余控制器的代理策略，将外部服务请求发送给选定的一个或者多个异构功能等价体；异构功能等价体在接收到服务请求后工作运行，输出服务响应发送至输出代理器，并将拟态裁决参数发送给冗余控制器；输出代理器接收到服务响应后，根据冗余控制器的输出仲裁策略，选择其中一个异构功能等价体的输出作为外部服务响应进行发送。

冗余控制器对多个异构体之间的拟态裁决参数进行比较时，需要对同一外部服务请求产生的裁决参数进行比较，才能从中裁决出正常的异构功能等价体，这里涉及到异构功能等价体和冗余控制器之间拟态裁决参数消息的大量同步。但是在实际网络中，当外部服务请求非常多时，异构功能等价体发送给冗余控制器的拟态裁决参数频率非常高，很容易出现消息乱序、丢包等问题，使得冗余控制器收到的拟态裁决参数不是由同一外部服务请求所产生，从而导致裁决错误。如附图2所示，外部服务请求1、2、3依次由输入代理分别发给异构功能等价体1、2、3，在正常情况下每个异构功能等价体依次输出裁决参数1、2、3给冗余控制器，其中异构功能等价体1发送的裁决参数为正常序列，即依次为裁决参数1、2、3；异构功能等价体2发送的裁决参数由于消息乱序，依次为裁决参数2、1、3；异构功能等价体3发送的裁决参数由于丢包，依次为裁决参数1、3。当冗余控制器收到裁决参数时，由于同一批裁决参数不是由同一外部服务请求所产生，无法进行比较选择正常的异构功能等价体，导致裁决错误。

发明内容

有鉴于此，本发明的主要目的在于提供一种拟态裁决参数消息同步的装置及方法，降低由于消息乱序、丢包等导致的裁决错误概率，增大拟态安全系统的可靠性。

为了达到上述目的，本发明的技术方案是这样实现的：

一种拟态裁决参数消息同步的装置，包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器；输入代理器用于收到外部服务请求后根据冗余控制器的代理策略，将外部服务请求发送给选定的一个或者多个异构功能等价体；异构功能等价体用于产生裁决参数并发送给冗余控制器；冗余控制器，用于对异构功能等价体的裁决参数进行重新排序、整形和比较，并将裁决结果通知输出代理器；输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送；

进一步地，异构功能等价体包括裁决参数存储模块、裁决参数响应模块；其中：