本發(fā)明公開了一種功能等價體異構(gòu)度最大化調(diào)度方法及裝置，所述方法首先確定系統(tǒng)內(nèi)可用功能等價體集合，為響應(yīng)外部服務(wù)請求，在上述功能等價體集合中，根據(jù)調(diào)度參數(shù)確定需要調(diào)度的異構(gòu)功能等價體數(shù)量n，在接收到調(diào)度請求后，輸入代理器在上述功能等價體集合中隨機(jī)選擇一個功能等價體作為初始異構(gòu)功能等價體，由所述功能等價體集合中初始異構(gòu)功能等價體和其它任意n?1個功能等價體構(gòu)成包含n個功能等價體的子集，計算上述每個功能等價體子集的異構(gòu)度，對所有功能等價體子集的異構(gòu)度進(jìn)行排序，選擇異構(gòu)度最大的功能等價體子集，并按照該子集中的異構(gòu)功能等價體進(jìn)行調(diào)度。該方法能夠避免同時調(diào)度異構(gòu)性較差的功能等價體，為系統(tǒng)安全提供保障。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)空間安全防護(hù)技術(shù)領(lǐng)域，特別是涉及一種功能等價體異構(gòu)度最大化調(diào)度方法及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)設(shè)備和服務(wù)的不斷發(fā)展和普及，人們對網(wǎng)絡(luò)空間的依賴性越來越強(qiáng)，而網(wǎng)絡(luò)安全的重要性也愈發(fā)凸顯。傳統(tǒng)的網(wǎng)絡(luò)空間領(lǐng)域中，完成特定服務(wù)功能的設(shè)備和裝置(包括軟件和硬件)對外表征的屬性是靜態(tài)的、確定的，且與其內(nèi)在結(jié)構(gòu)之間存在強(qiáng)相關(guān)的對應(yīng)關(guān)系，攻擊者通過對其表征內(nèi)容和對應(yīng)關(guān)系的收集與分析，可以在一定程度上掌握有關(guān)設(shè)備和裝置內(nèi)部的具體信息，并可能發(fā)現(xiàn)可利用的漏洞或缺陷，進(jìn)而實(shí)施入侵，威脅網(wǎng)絡(luò)空間安全。

擬態(tài)防御架構(gòu)是一種應(yīng)對網(wǎng)絡(luò)攻擊威脅的新技術(shù)，通過構(gòu)建動態(tài)異構(gòu)冗余的系統(tǒng)架構(gòu)和運(yùn)行機(jī)制能夠?qū)崿F(xiàn)針對未知系統(tǒng)漏洞或后門的入侵防御。擬態(tài)防御架構(gòu)具有內(nèi)生安全性的關(guān)鍵之一是異構(gòu)，作為系統(tǒng)響應(yīng)外部服務(wù)請求的功能主體，只有異構(gòu)的功能等價體才能夠避免在同一時間或場景下被攻擊者同時攻破，“異構(gòu)”是功能等價體規(guī)避被攻擊者同時嗅探和利用系統(tǒng)漏洞缺陷的基礎(chǔ)。如圖2所示，在擬態(tài)防御系統(tǒng)中，冗余控制器接收外部控制參數(shù)，生成冗余調(diào)度策略和結(jié)果仲裁策略，分別發(fā)送給輸入代理器和輸出代理器，輸入代理器依據(jù)接收到的冗余調(diào)度策略選擇相應(yīng)的異構(gòu)功能等價體響應(yīng)外部服務(wù)請求，異構(gòu)功能等價體將結(jié)果發(fā)送至輸出代理器，輸出代理器根據(jù)冗余控制器生成的結(jié)果仲裁策略對各個結(jié)果進(jìn)行判決，最終選擇一路作為響應(yīng)輸出。

當(dāng)外部服務(wù)請求發(fā)起時，輸入代理首先根據(jù)冗余控制器生成的調(diào)度策略，選擇若干個異構(gòu)功能等價體來響應(yīng)外部服務(wù)請求，常用的冗余體調(diào)度策略有基于可信度的調(diào)度策略、隨機(jī)調(diào)度策略等。

基于可信度的調(diào)度策略，從異構(gòu)功能等價體“是否可信”的角度判斷其調(diào)度與否，通過構(gòu)建異構(gòu)功能等價體池中異構(gòu)體的可信度列表，根據(jù)判決結(jié)果判決動態(tài)調(diào)整異構(gòu)功能等價體的可信度權(quán)值。進(jìn)行冗余調(diào)度時，輸入代理器選擇可信度高于預(yù)設(shè)閾值的異構(gòu)功能等價體響應(yīng)外部服務(wù)請求。

隨機(jī)調(diào)度策略為異構(gòu)功能等價體的調(diào)度過程導(dǎo)入動態(tài)性和不確定性，從而降低攻擊者對特定系統(tǒng)漏洞或缺陷的利用，冗余控制器根據(jù)外部控制參數(shù)產(chǎn)生隨機(jī)種子，用于確定隨機(jī)的異構(gòu)功能等價體的數(shù)量和編號，輸入代理器根據(jù)生成的調(diào)度策略分配異構(gòu)功能等價體響應(yīng)外部服務(wù)請求。

當(dāng)前已有的調(diào)度策略，均未考慮待調(diào)度異構(gòu)功能等價體可能存在的同構(gòu)性，如果調(diào)度了存在同構(gòu)性的功能等價體，則針對同構(gòu)部分的后門和漏洞的攻擊可能繞開擇多判決，給系統(tǒng)帶來安全性風(fēng)險。

發(fā)明內(nèi)容

現(xiàn)有的異構(gòu)功能等價體調(diào)度策略，包括基于可信度的調(diào)度策略和隨機(jī)調(diào)度策略，均沒有考慮異構(gòu)功能等價體之間的異構(gòu)度差異，如果調(diào)用了異構(gòu)度較低或者同構(gòu)度較高的功能等價體，那么一旦其同構(gòu)部分的漏洞或者后門被攻擊者利用，則在擬態(tài)判決時可能得到多數(shù)一致但實(shí)際上是入侵目標(biāo)的錯誤結(jié)果，會極大地增加系統(tǒng)的安全風(fēng)險。本發(fā)明提供一種功能等價體異構(gòu)度最大化調(diào)度方法及裝置，能夠避免同時調(diào)度異構(gòu)性較差的功能等價體，為系統(tǒng)安全提供保障。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用以下的技術(shù)方案：

一種功能等價體異構(gòu)度最大化調(diào)度方法，包括以下步驟：

步驟1，確定系統(tǒng)內(nèi)可用功能等價體集合，該集合包含m個功能等價體；