[发明专利]一种基于可信度量的拟态交换机裁决系统及方法

说明书

本发明属于网络安全技术领域，公开一种基于可信度量的拟态交换机裁决系统，包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块；本发明还公开一种基于可信度量的拟态交换机裁决方法，包括：拟态交换机裁决元素设定；输入信息分发；输出信息收集；基于可信度量的拟态裁决；裁决结果下发以及交换机威胁态势感知和执行体调度；基于可信度量的拟态裁决包括：建立执行体可信指标树；收集与更新执行体可信指标数据；计算各执行体输出结果可信权重；各输出结果可信性计算。本发明能有效降低未知漏洞和潜在后门的影响，提升局域网安全防护水平。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于可信度量的拟态交换机裁决系统及方法。

背景技术

随着网络通信技术的飞速发展，网络已经融入到社会的各个领域，对政治、经济以及人们的工作、生活带来了深远影响。然而近年来网络安全事件层出不穷，对国家、社会、经济、人们的工作、生活造成了巨大影响，网络安全也引起了各个国家的广泛重视，网络安全行业也在飞速发展之中。交换机作为重要的网络基础设施，无论是在企业网络，还是在数据中心网络或者运营商网络中，都充斥着交换机的身影，发挥着极其重要的作用。然而现有技术水平(网络空间拟态防御原理——广义鲁棒控制与内生安全[M].科学出版社,2018.)(仝青,张铮,张为华,等.拟态防御Web服务器设计与实现[J].软件学报,2017(4).)，仍难以实现对交换机网络操作系统未知漏洞的及时发现与有效避免，此外全球化的多方软硬件提供方式，更使得交换机软硬件难以实现对后门、陷门的有效管控。而现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁，而对零日漏洞和未知后门束手无策。如果恶意攻击者一旦发现并利用这些漏洞和后门，将会对交换机所在局域网络产生巨大的安全威胁。因此急需一种更为通用的交换机操作系统漏洞与后门防御方法，以有效降低未知漏洞和潜在后门的影响，提升局域网安全防护水平。

发明内容

本发明针对现有打补丁式的交换机防御方法仅能防御已知漏洞和后门造成的安全威胁，而对零日漏洞和未知后门束手无策的问题，提出了一种基于可信度量的拟态交换机裁决系统及方法，该拟态交换机具备内生安全能力，能有降低交换机的未知漏洞和潜在后门对局域网造成的安全威胁。

为了实现上述目的，本发明采用以下技术方案：

一种基于可信度量的拟态交换机裁决系统，包括转发平面、管理接口代理、中间适配模块、转发平面代理、多个异构的执行体、基于可信度量的拟态裁决模块和态势感知与负反馈调度模块：

所述转发平面用于完成数据报文的转发、协议报文的上报以及管理系统的接入；

所述管理接口代理用于完成管理配置信息向多个执行体的分发，实现多执行体向管理用户的单一呈现，同时实现管理用户对态势感知与负反馈调度模块的接入；

所述转发平面代理用于完成协议报文向多个执行体的分发，实现多执行体向转发平面的单一呈现；

所述执行体用于完成通用交换机网络操作系统的功能，实现协议报文的解析、计算和表项的生成，实现路由交换协议栈的功能，并将计算结果上报基于可信度量的拟态裁决模块；

所述基于可信度量的拟态裁决模块用于与态势感知与负反馈调度模块进行交互，获取各执行体的可信指标数据，并使用各执行体的可信指标数据计算各执行体的可信度；收集各个执行体的MAC表、ARP表、路由表、管理配置信息计算结果，基于可信度量完成对多执行体同一输入信息全体输出结果的拟态裁决，将裁决结果下发至中间适配模块，并将裁决时发现的执行体异常信息上报态势感知与负反馈调度模块；

所述中间适配模块用于将基于可信度量的拟态裁决模块下发的输出结果进行转译，将转译结果下发到转发平面，包括MAC表、ARP表、路由表、管理配置信息的转译与下发；