[发明专利]一种拟态防御装置、拟态防御方法和拟态防御架构

权利要求书

1.一种拟态防御装置，其特征在于：包括输入模块、输出模块、代理模块和多个异构处理器模块，所述代理模块包括复制分发单元、判决单元和选择输出单元；

所述输入模块，支持外部数据的接收和发送；

所述复制分发单元，分别与所述输入模块和多个异构处理器模块连接，接收所述输入模块发送的外部数据并复制分发至多个异构处理器模块；

每个异构处理器模块，均包括输入代理、多个异构虚拟机和裁决器，所述输入代理分别与多个异构虚拟机连接，用于接收外部数据并将外部数据复制分发至多个异构虚拟机；所述异构虚拟机与所述裁决器连接，用于对外部数据进行处理，并将处理结果输出至所述裁决器；所述裁决器用于对多个异构虚拟机的处理结果进行裁决，并输出裁决结果；

所述选择输出单元，分别与多个异构处理器模块连接，用于接收多个异构处理器模块输出的裁决结果；

所述判决单元，与所述选择输出单元连接，用于从所述选择输出单元获取多个异构处理器模块的裁决结果，进行判决，并将判决结果返回至所述选择输出单元；

所述选择输出单元，与所述输出模块连接，根据所述判决结果和以及预置的选择策略选择一个异构处理器模块的裁决结果，并通过所述输出模块输出该裁决结果；其中，所述选择策略具体包括：

若存在裁决结果正确的异构处理器模块，且裁决结果正确的异构处理器模块包含有上一次选择的输出异构处理器模块，则维持上一次选择；

若只存在一个裁决结果正确的异构处理器模块，且裁决结果正确的异构处理器模块不包含上一次选择的输出异构处理器模块，则选择所述裁决结果正确的异构处理器模块的裁决结果，以进行输出；

若存在多个裁决结果正确的异构处理器模块，且裁决结果正确的异构处理器模块不包含上一次选择的输出异构处理器模块，则根据历史权重从裁决结果正确的异构处理器模块中选择权重最高的异构处理器模块的裁决结果，以进行输出。

2.根据权利要求1所述的拟态防御装置，其特征在于：多个异构虚拟机运行功能相同的不同软件系统。

3.根据权利要求1所述的拟态防御装置，其特征在于：多个异构处理器模块具有不同的硬件架构。

4.根据权利要求1所述的拟态防御装置，其特征在于：所述输入模块、所述输出模块为接口模块；所述代理模块为FPGA芯片；所述异构处理器模块为处理器平台。

5.一种拟态防御方法，其特征在于，包括以下步骤：

输入模块接收外部数据，并通过代理模块的复制分发单元将外部数据复制分发至多个异构处理器模块；

每个异构处理器模块的输入代理将外部数据复制分发至多个异构虚拟机，多个异构虚拟机对外部数据进行处理并将处理结果输出至裁决器；裁决器对多个异构虚拟机的处理结果进行裁决，并输出裁决结果至选择输出单元；

判决单元从选择输出单元获取多个异构处理器模块输出的裁决结果，对多个裁决结果进行判决，并将判决结果返回至选择输出单元；

选择输出单元根据判决结果以及预置的选择策略，选择一个异构处理器模块的裁决结果，并通过输出模块将该裁决结果输出；其中，选择输出单元根据判决结果以及预置的选择策略一个异构处理器模块的裁决结果，具体包括：

判断是否存在裁决结果正确的异构处理器模块，若存在，则进一步判断裁决结果正确的异构处理器模块是否包含有上一次选择的输出异构处理器模块；

若包含，则维持上一次选择；

若不包含，则判断是否只有一个裁决结果正确的异构处理器模块，若是，则选择所述裁决结果正确的异构处理器模块的裁决结果，以进行输出；若不是，则根据历史权重从裁决结果正确的异构处理器模块中选择权重最高的异构处理器模块的裁决结果，以进行输出。

6.一种拟态防御架构，其特征在于：包括权利要求1-4任一项所述的拟态防御装置和执行体，所述拟态防御装置与执行体连接，用于接收外部数据，对外部数据进行解析处理和裁决，并输出裁决结果至所述执行体；所述执行体响应所述裁决结果。