本發明提出一種基于擬態防御的協議代理處理方法，包括：協議收報端口發送協議報文至輸入代理和SDK；SDK獲取與協議收報端口相關的第二報文信息，從所述協議報文中提取第一報文信息，將第一報文信息與第二報文信息一一對應存儲，并創建第一報文信息查詢接口；輸入代理將協議報文復制并分發至多個異構執行體；每個異構執行體根據所述協議報文里的第一報文信息從SDK中獲取第二報文信息，并根據第一報文信息和第二報文信息對協議報文進行處理；每個異構執行體根據調度模塊發布的主執行體信息判斷是否為主執行體，若為主執行體，則向前端接口發送協議報文處理結果。本發明還提供一種基于擬態防御的協議代理處理系統。

技術領域

本發明涉及網絡空間安全技術領域，具體涉及一種基于擬態防御的協議代理處理方法及系統。

背景技術

隨著網絡的快速發展，網絡空間的安全問題越來越多的被暴露出來，傳統被動防御往往對日益復雜的網絡安全問題無能為力。網絡空間擬態防御技術從根本上轉變對未知環境的未知問題的被動防御為主動防御。

擬態防御系統一般由輸入代理、等價異構執行體、裁決器、反饋控制器組成。輸入代理完成外部輸入信息的復制分發到異構執行體；異構執行體執行外部輸入的信息并輸出結果；裁決器對輸入結果進行多模裁決；反饋控制器對裁決結果進行處理，調整異構執行體，實現擬態偽裝。

擬態防御系統包含普通交換系統的協議功能，而協議報文與普通命令有所不同，在代理的過程中，所有端口收到的報文都被轉發到了指定的端口，如linux_proxy，這樣就丟失了源端口信息，傳統的方法是端口通過修改轉發到linux_proxy的報文，在報文上加了標簽標記等信息，來標識源端口號，這就導致擬態系統中協議報文的處理過程復雜繁瑣；同時執行體返回結果時會導致協議報文重復。

發明內容

本發明針對上述問題，有必要提供一種基于擬態防御的協議代理處理方法及系統，其解決了現有擬態防御系統中協議報文處理復雜且能夠減少協議報文重復的問題。

本發明第一方面提出一種基于擬態防御的協議報文處理方法，包括：

協議收報端口發送協議報文至輸入代理和SDK，所述協議報文包括第一報文信息；所述第一報文信息包括源mac和vlan信息；

SDK獲取與協議收報端口相關的第二報文信息，從所述協議報文中提取第一報文信息，將第一報文信息與第二報文信息一一對應存儲，并創建第一報文信息查詢接口；所述第二報文信息包括協議收報端口的源端口號；

輸入代理將協議報文復制并分發至多個異構執行體；

每個異構執行體根據所述協議報文里的第一報文信息從SDK中獲取第二報文信息，并根據第一報文信息和第二報文信息對協議報文進行處理；

每個異構執行體根據訂閱調度模塊發布的主執行體信息判斷是否為主執行體，若為主執行體，則向前端接口發送協議報文處理結果；否則無動作。

基于上述，每個異構執行體根據所述協議報文里的第一報文信息從SDK中獲取第二報文信息具體包括：每個異構執行體通過第一報文信息查詢接口查詢SDK中是否存儲有第一報文信息，若有，則返回與其對應的第二報文信息，若無，則重新進行查詢。

本發明還提供一種基于擬態防御的協議報文處理系統，包括：協議收報端口，用于接收并轉發協議報文，所述協議報文包括第一報文信息；所述第一報文信息包括源mac和vlan信息；

SDK，包括報文信息獲取模塊、存儲模塊和第一報文查詢接口，所述報文信息獲取模塊與所述協議收報端口連接，用于提取接收的協議報文里的第一報文信息，以及獲取與協議收報端口相關的第二報文信息；所述存儲模塊，用于將第一報文信息與第二報文信息對應存儲；所述第一報文查詢接口，與所述存儲模塊連接，用于根據接收的第一報文查詢請求查詢所述存儲模塊是否存在第一報文信息，并在存在時返回對應的第二報文信息；所述第二報文信息包括協議收報端口的源端口號；