本發明公開一種擬態路由器執行體調度方法和擬態路由器，屬于網絡通信技術領域。針對現有技術中存在的基于執行體可信度的調度策略只考慮單個執行體的可信度，并沒有考慮整個系統的可信度和執行體之間相關性的問題，本發明在現有的調度策略方法的基礎上，增加執行體群體的可靠性以及執行體間的相關性兩個決定因素，先獲取執行體的狀態與數據信息，計算各個執行體的可信度，根據執行體的可信度計算所有可信度值大于臨界值的執行體隨機組合的執行體群體可信度，同時計算執行體間的相關性，綜合上述的計算方法生成調度策略方法，最終決策執行體的上下線情況，提高系統監測異常信息的準確度，提高系統的安全性。

技術領域

本發明涉及網絡通信技術領域，更具體地說，涉及一種擬態路由器執行體調度方法和擬態路由器。

背景技術

網絡空間領域同大自然一樣存在著包括已知的未知風險和未知的未知威脅，面對這些網絡威脅、漏洞和后門等，常用的網絡安全防御技術有認證技術、數字加密技術、防火墻技術、入侵檢測系統、虛擬專用網技術、黑客誘騙技術、蜜罐等。但是隨著“萬物互聯”、云計算、大數據時代的到來，微電子以及虛擬化技術的不斷進步，網絡空間安全防御性能的不斷提高，擬態防御理論應運而生。擬態防御理論是一種高可靠、高可用、高可信的信息系統，目前擬態防御理論廣泛應用于存儲器、DNS服務器、交換機、路由器、WEB服務器等網絡核心設備。擬態防御結構的三個重要特性是動態性、多樣性、冗余性，即構建多個功能等價、結構不同的多執行體環境，在保證系統功能不變的條件下，充分利用動態性、多樣性、隨機性來隱藏執行體內部存在的各種“暗功能”，增加攻擊者掃描系統漏洞與后門的難度，使得攻擊者難以建立連續可靠的攻擊鏈。

路由器是連接網絡的重要設備，起到網絡數據報文轉發的作用，路由器一旦受到攻擊，則網絡數據極有可能遭到篡改或者丟失，對于網絡的安全性造成極大的威脅。面對路由器這種后門隱藏深、可用漏洞多等安全性問題，則在傳統路由器的基礎上增加擬態結構即擬態路由器。擬態路由器采用動態異構冗余機制，繼承擬態動態性、異構性、冗余性三大特性，三大特性關鍵點是面對攻擊如何實現動態性，即不定時的改變對外呈現的執行體。

在擬態路由器中執行體動態性、多樣性的實現是在調度單元。動態調度單元對于網絡調度單元的主要功能是管理異構執行體池及其功能子池內執行體的運行，按照決策單元指定的調度策略，調度多個異構功能執行體，實現功能執行體的動態性和多樣性，增加攻擊者掃描發現的難度，隱藏未知漏洞和后門的可見程度。

動態調度單元設計的關鍵環節是執行體的調度策略。目前的調度策略如專利申請CN201611010128.1或CN201910148526.7，基于執行體可信度和執行體權重的兩種隨機調度策略，基于執行體可信度的調度策略目前只考慮單個執行體的可信度，并沒有考慮整個系統的可信度和執行體間的相關性，整體的穩定性和安全性不夠。

發明內容

1.要解決的技術問題

針對現有技術中存在的基于執行體可信度的調度策略只考慮單個執行體的可信度，并沒有考慮整個系統的可信度和執行體之間相關性的問題，本發明提供一種擬態路由器執行體調度方法和擬態路由器，增加執行體群體的可信度以及執行體間的相關性，提高系統監測異常信息的準確度，提高系統的安全性。

2.技術方案

本發明的目的通過以下技術方案實現。

一種擬態路由器執行體調度方法，包括以下步驟：

步驟1：擬態路由器啟動后，執行體上線，獲取執行體數據信息，所述執行體分為就緒狀態、工作狀態和異常狀態；根據執行度受攻擊情況或工作情況，執行體上線后在三種狀態之間切換；

步驟2：根據執行體受到攻擊的次數與執行體的上線時長計算執行體的可信度；

步驟3：根據執行體同時受到攻擊的比例計算執行體間的相關性系數，表示執行體之間的相關性；