[发明专利]一种分布式输入代理系统、方法及拟态构造架构

说明书

本发明提出一种分布式输入代理系统、方法及拟态构造架构，该系统包括分路器、输入代理单元池和数据通信单元；所述分路器，用于将用户数据复制分发至输入代理单元池；所述数据通信单元，用于实现各个输入代理单元之间的数据通信；所述输入代理单元池，设置N个输入代理单元，每个输入代理单元对接收到的用户数据执行复制分发处理，并记录各自的处理结果；各个输入代理单元之间通过所述数据通信单元采用共识机制获取其它输入代理单元的处理结果；每个输入代理单元维护一个代理账本，所述代理账本记录N个输入代理单元的处理结果；当代理账本的处理结果出现不一致情况时，处理结果不一致对应的输入代理认定为异常运行，执行清洗或者下线操作。

技术领域

本发明涉及拟态防御领域，具体涉及一种分布式输入代理系统、方法及拟态构造架构。

背景技术

输入代理作为拟态构造架构中的核心部分，完成用户数据的复制分发并转发至后端执行体。输入代理的安全性直接关系到整个拟态防御架构是否可靠，而输入代理直接暴露在用户侧，在一定程度上给用户侧带来安全威胁。输入代理通常采用单个输入代理单元，极易因漏洞或者后门被人攻破。目前，输入代理常常借助于操作系统的协议栈，通过“反向代理”、“透明代理”等方式进行实现，并借助于传统安全技术（防火墙、IPS）等来提高输入代理的安全性。但是，传统安全技术实质是通过预先设置过滤规则或防护策略来进行安全防护，当过滤规则不够详尽或者防护策略被攻击者绕过的情况下，系统即被攻破。

针对输入代理存在的上述问题，人们一直在寻求一种理想的技术解决方案。

发明内容

本发明的目的是提供一种分布式输入代理系统、方法及拟态构造架构。

为了实现上述目的，本发明第一方面提供了一种分布式输入代理系统，该系统包括分路器、输入代理单元池和数据通信单元；

所述分路器，用于将用户数据复制分发至输入代理单元池；

所述数据通信单元，用于实现各个输入代理单元之间的数据通信；

所述输入代理单元池，设置N个输入代理单元，每个输入代理单元对接收到的用户数据执行复制分发处理，并记录各自的处理结果；各个输入代理单元之间通过所述数据通信单元采用共识机制获取其它输入代理单元的处理结果；

每个输入代理单元维护一个代理账本，所述代理账本记录N个输入代理单元的处理结果；当代理账本的处理结果出现不一致情况时，处理结果不一致对应的输入代理认定为异常运行，执行清洗或者下线操作。

基于上述，所述输入代理包括记账模块，所述记账模块用于对复制后的数据报文进行输出矢量计算，并记录计算结果到所述代理账本。

基于上述，所述共识机制为路由学习。

基于上述，所述共识机制采用由一个输入代理单元向其它输入代理单元发送自己的处理结果的主动发送方式。

本发明第二方面提供了一种分布式输入代理方法，该方法包括以下步骤：

布设带N个输入代理单元的输入代理单元池，各个输入代理单元之间通过数据通信单元进行数据通信；

每个输入代理单元接收经分路器复制分发来的用户数据后，执行复制分发处理，并记录各自的处理结果；各个输入代理单元之间通过所述数据通信单元采用共识机制获取其它输入代理单元的处理结果；

每个输入代理单元维护一个代理账本，所述代理账本记录N个输入代理单元的处理结果；当代理账本的处理结果出现不一致情况时，处理结果不一致对应的输入代理认定为异常运行，执行清洗或者下线操作。

本发明第三方面提供了一种拟态防御架构，包括输入代理、异构功能等价执行体、反馈控制器与裁决输出，所述输入代理采用所述的分布式输入代理系统。