技術領域

本發明屬于計算機軟件技術領域，具體是一種采用Hash表組合實現擬態防御模型表決器的方法。

背景技術

Web服務器系統面臨的安全問題日益嚴重，而傳統防御技術又處在被動防御位置，難以很好地應對未知攻擊威脅的問題。于是美國提出了移動目標防御(moving target defense，MTD)的設想，這是美國針對防御者當前所處劣勢地位而提出的一個“改變游戲規則”的網絡安全發展方向，期望通過實施持續、動態的變化迷惑攻擊者，以增加其攻擊成本和復雜度，降低其攻擊成功率。

有人提出了基于“動態異構冗余”結構的擬態防御模型，期望通過在主動和被動觸發條件下動態地、偽隨機地選擇執行各種硬件變體以及相應的軟件變體，使得內外部攻擊者觀察到的硬件執行環境和軟件工作狀況非常不確定，無法或很難構建起基于漏洞(bug)或后門的攻擊鏈，以達成降低系統安全風險的目的。“動態異構冗余”結構在“處理”環節使用異構執行體集合進行處理,將同一輸入通過輸入代理復制為N份,并分發給執行體集中的N個異構執行體進行處理,將處理結果收集至表決器進行表決,得到唯一的相對正確的輸出。這樣就可以大大提高Web服務器的安全性。

發明內容

本發明的目的是針對現有技術的不足，提供一種采用Hash表組合實現擬態防御模型表決器的方法。

本發明解決其技術問題所采用的技術方案包括如下步驟：

步驟(1)對于每個服務器發來的數據包，將其存放到緩沖區中，緩沖區分成多個塊，每個塊保存一個服務器中傳來的數據包，隊列Q₁,Q₂...Q_n中的元素與緩沖區一一對應,即同一個緩沖區的數據只會按順序傳輸到一個隊列。

步驟(2)將隊列中的數據包依次散列到Hash表中進行表決，如果有超過N/2的數據包映射到Hash表的同一位置，則將其返回給用戶。由于使用多線程，所以隊列中的數據包，無需等待所有的隊列中的包到達就能夠開始對比，但是要確保每個隊列都要取出一個數據包，而且當本次表決返回正確的結果后，需要設置flag值；某些隊列中還未進入Hash表的數據包將被丟棄，從而確保每個隊列取出一個數據包進行按序比較，并且減少了不必要的比較。

步驟(3)在Hash表和存儲隊列數據的緩沖區之間保持映射，用P_i->(B_k,n)表示。其中每個條目包含兩個數據字段：P_i數據包的標識、映射到此處的次數n及其對應數據包緩沖區位置B_k。

當數據包比較完成后，其映射條目將從Hash表中刪除，相應的緩沖區位置將被釋放。

步驟(4)當一個數據包從P_i到達時，先在Hash表項的標識字段中查找P_i是，如果在Hash表中找到這個條目，則將數據包的次數加1，并更新緩沖區位置；否則分配一個新的緩沖區B_k，并輸入一個條目P_i->(B_k,1)。一旦次數超過N/2，代表大多數服務器都存在此數據包，需要將此數據包返回給用戶，本次表決完成，刪除Hash表映射條目P_i->(B_k,n)。

本發明有益效果：

本發明通過采用緩沖區臨時存放文件服務器發來的數據包，再為每個服務器創建一個隊列，并將數據包散列到Hash表中，Hash表采用紅黑樹減少操作復雜度，實現了表決器模塊，從而盡可能降低延時、提高效率，為整套系統提供了更加高效的解決方案。

本發明借助緩沖區和Hash表的精細操作，實現了擬態防御模型的表決器模塊。

附圖說明

圖1為本發明示意圖。

具體實施方式

下面結合附圖和實施例對本發明作進一步說明。

如圖1所示，一種采用Hash表組合實現擬態防御模型表決器的方法，包括如下步驟：

步驟(1)對于每個服務器發來的數據包，將其存放到緩沖區中，緩沖區分成多個塊，每個塊保存一個服務器中傳來的數據包，隊列Q₁,Q₂...Q_n中的元素與緩沖區一一對應,即同一個緩沖區的數據只會按順序傳輸到一個隊列。