[发明专利]一种基于随机阈值的拟态防御动态调度方法

说明书

本发明公开了一种基于随机阈值的拟态防御动态调度方法。该方法为：在拟态防御系统中，包括多个功能相同结构各异的异构执行体、一个执行体可选集合、一个执行体服务集合、一个策略调度器，用一台独立的服务器构建随机阈值池，并通过Ziggurat算法周期性地向随机阈值池中添加新元素；系统初始化时所有执行体服务器从阈值池中获取随机阈值，工作过程中，如果服务集合中的执行体达到预先设定的阈值，策略调度器将该执行体添加到可选集合的尾部并为它分配新的阈值，再将可选集合中的第一个执行体替补到服务集合中的空缺位置。本发明不依赖于拟态防御架构的反馈机制，实现了细粒度的主动调度，兼顾了随机性和可控性从而保证服务系统的安全性。

技术领域

本发明属于网络空间安全技术领域，特别是一种基于随机阈值的拟态防御动态调度方法。

背景技术

目前现有的全球互联网络空间漏洞百出，接入网络的信息系统容易被非法者侵入。为确保信息系统安全性，该系统必须具备机密性、完整性和可用性，为此专家和学者们提出了一系列方法来保证信息系统这些特性的实现。

现有的防御技术都必须在发现攻击者攻击特征或者攻击目标异常反应的前提下才能做出有效反应，对那些尚未被察觉到的攻击方式则暂时无解。现有防御方法的局限性导致网络安全事件频频发生。多样化的网络攻击方式令防御方防不胜防，现今防御方在网络攻防之中呈被动态势。针对这种情况，邬江兴院士提出的网络空间拟态防御理论，扭转了网络安全防御方的被动态势，而作为拟态防御架构中的重要环节，动态调度算法实现了服务集中执行体的动态变化，决定了拟态防御架构的安全性和可靠性。不过，拟态防御架构中的动态调度方法存在调度被动性和调度粒度大的问题。

发明内容

本发明的目的在于提供一种基于随机阈值的拟态防御动态调度方法，实现动态随机性的细粒度主动调度，且兼顾随机性和可控性从而保证服务系统的安全性。

实现本发明目的的技术解决方案为：一种基于随机阈值的拟态防御动态调度方法，包括以下步骤：

步骤1、在拟态防御架构之外，用一台独立的服务器来建立一个数据库，新建一张数据表来存储随机阈值，用作随机阈值池；

步骤2、在拟态防御架构中，以执行体服务器的执行时间或者执行任务数量作为目标来生成随机阈值；

步骤3、从随机阈值池中选取阈值分配给拟态防御架构中的所有执行体服务器，拟态防御系统开始工作；

步骤4、在拟态防御架构中，策略调度器根据服务集中的执行体达到阈值状态来进行执行体的变换。

进一步地，步骤1所述的用一台独立的服务器来建立一个数据库，新建一张数据表来存储随机阈值，用作随机阈值池，具体如下：

在一台独立的服务器上新建一个数据库，再新建一张数据表，用于存储随机阈值，随机阈值从数据表的表头开始选取，并且选取之后立即删除。

进一步地，步骤2所述的在拟态防御架构中，以执行体服务器的执行时间或者执行任务数量作为目标来生成随机阈值，具体如下：

先为每一个执行体服务器制定安全指标和人为控制指标，以执行体服务器的执行时间或者执行任务数量作为监听目标，生成相应的随机阈值，步骤如下；

步骤2.1、对于执行体服务器P_i，根据安全测试结果得到P_i的安全系数β_i，根据执行体服务器自身的重要程度，为P_i设定人为控制系数α_i，其中1≤i≤m，m为所有执行体服务器的总数目；

步骤2.2、通过公式计算所有执行体服务器的权重系数，其中ω_i为执行体服务器P_i的权重系数；