[发明专利]一种基于多级队列的拟态防御动态调度方法

权利要求书

1.一种基于多级队列的拟态防御动态调度方法，其特征在于，包括以下步骤：

步骤1、在拟态防御架构中，构造一个多级队列容器，用于存储执行体服务器的物理地址；

步骤2、在拟态防御架构之外，用一台独立的服务器来建立一个数据库，新建两张数据表分别存储时间随机阈值和任务随机阈值；

步骤3、在拟态防御架构中，考虑异构执行体之间的相似度，初始化一个执行体服务集，集合中所有执行体服务器的物理地址存储在多级队列容器的第一级队列中；

步骤4、在拟态防御架构中，策略调度器根据多级队列容器的状态，对容器中的异构执行体进行变换；

步骤3所述的初始化一个执行体服务集，具体如下：

通过公共漏洞集CVE和通用安全漏洞评分系统CVSS来获取两个异构执行体之间的相似度，用符号φ_ij标记执行体P_i和P_j之间的相似度，具体初始化步骤如下：

步骤3.1、根据公式计算出相似度阈值，其中φ_th表示相似度阈值，φ_max表示所有执行体之间相似度的最大值，φ_min表示所有执行体之间相似度的最小值，n表示拟态防御架构的冗余度，m表示可供使用的执行体总数目；

步骤3.2、在待选集合中随机选取两个执行体，标记为P_i和P_j，若φ_ij＜φ_th，重复步骤3.2，否则创建一个新的集合结构P来存储执行体P_i和P_j的物理地址，标记为P＝{P_i，P_j}；

步骤3.3、从待选集中依次选取执行体，若当前执行体P_k与集合P中所有执行体之间的相似度都小于阈值φ_th的话，就将执行体P_k也添加到集合P中；重复执行步骤3.3直到集合P的容量达到拟态防御架构的冗余度n，此时，创建一个新的集合结构P|_list来存储集合P；

步骤3.4、重置集合P＝{P_i，P_j}并返回步骤3.3，直到无法获得新的执行体集合；

步骤3.5、选取集合P|_list中综合相似度最小的执行体集作为初始化执行体服务集，并将集合中所有执行体的物理地址存储到多级队列容器的第一级队列。

2.根据权利要求1所述的基于多级队列的拟态防御动态调度方法，其特征在于，步骤1所述的构造一个多级队列容器，其特征在于：

步骤1.1、在拟态防御架构中，定义多级队列容器相关指标，具体如下：

(1)多级队列容器：在拟态防御架构中，由若干个大小固定且相等的队列结构按序组成，标记为MQ，并且容器中每一级队列均能够作为一个执行体服务集；

(2)多级队列余度：多级队列容器中所包含的队列结构总数目，标记为qn；

(3)队列容量：多级队列容器中每一个队列结构所能容纳的执行体总数目，标记为qc，并且队列容量均等于拟态防御架构的冗余度；

(4)多级队列容器中每一个队列结构分别标记为Q₁,Q₂,…,Q_qn，且存在Q_qn+1＝Q₁；每一个队列结构中的异构执行体能够通过队列层级序号sn,1≤sn≤qn和在队列中的位置k表示，标记为

步骤1.2、为多级队列容器制定维护结构的规则，具体如下：

(1)每一级队列从数据表中获取时间随机阈值，且随着层级从上到下，阈值从小到大；

(2)同一级队列中，所有执行体对象都会共享队列的时间随机阈值；

(3)同一时刻，只能够有一个队列存储服务状态下的执行体服务器地址；

(4)当下一级队列达到队列容量时，异构执行体服务集转变为下一级队列；

(5)只要上一级队列不为空，则作为当前服务队列的执行体地址待选集合；

(6)只要下一级队列未达到队列容量，则作为当前服务队列中被换执行体服务器的地址寄存集合。