本發明屬于網絡安全技術領域，公開一種基于可信度量的擬態交換機裁決系統，包括轉發平面、管理接口代理、中間適配模塊、轉發平面代理、多個異構的執行體、基于可信度量的擬態裁決模塊和態勢感知與負反饋調度模塊；本發明還公開一種基于可信度量的擬態交換機裁決方法，包括：擬態交換機裁決元素設定；輸入信息分發；輸出信息收集；基于可信度量的擬態裁決；裁決結果下發以及交換機威脅態勢感知和執行體調度；基于可信度量的擬態裁決包括：建立執行體可信指標樹；收集與更新執行體可信指標數據；計算各執行體輸出結果可信權重；各輸出結果可信性計算。本發明能有效降低未知漏洞和潛在后門的影響，提升局域網安全防護水平。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種基于可信度量的擬態交換機裁決系統及方法。

背景技術

隨著網絡通信技術的飛速發展，網絡已經融入到社會的各個領域，對政治、經濟以及人們的工作、生活帶來了深遠影響。然而近年來網絡安全事件層出不窮，對國家、社會、經濟、人們的工作、生活造成了巨大影響，網絡安全也引起了各個國家的廣泛重視，網絡安全行業也在飛速發展之中。交換機作為重要的網絡基礎設施，無論是在企業網絡，還是在數據中心網絡或者運營商網絡中，都充斥著交換機的身影，發揮著極其重要的作用。然而現有技術水平(網絡空間擬態防御原理——廣義魯棒控制與內生安全[M].科學出版社,2018.)(仝青,張錚,張為華,等.擬態防御Web服務器設計與實現[J].軟件學報,2017(4).)，仍難以實現對交換機網絡操作系統未知漏洞的及時發現與有效避免，此外全球化的多方軟硬件提供方式，更使得交換機軟硬件難以實現對后門、陷門的有效管控。而現有打補丁式的交換機防御方法僅能防御已知漏洞和后門造成的安全威脅，而對零日漏洞和未知后門束手無策。如果惡意攻擊者一旦發現并利用這些漏洞和后門，將會對交換機所在局域網絡產生巨大的安全威脅。因此急需一種更為通用的交換機操作系統漏洞與后門防御方法，以有效降低未知漏洞和潛在后門的影響，提升局域網安全防護水平。

發明內容

本發明針對現有打補丁式的交換機防御方法僅能防御已知漏洞和后門造成的安全威脅，而對零日漏洞和未知后門束手無策的問題，提出了一種基于可信度量的擬態交換機裁決系統及方法，該擬態交換機具備內生安全能力，能有降低交換機的未知漏洞和潛在后門對局域網造成的安全威脅。

為了實現上述目的，本發明采用以下技術方案：

一種基于可信度量的擬態交換機裁決系統，包括轉發平面、管理接口代理、中間適配模塊、轉發平面代理、多個異構的執行體、基于可信度量的擬態裁決模塊和態勢感知與負反饋調度模塊：

所述轉發平面用于完成數據報文的轉發、協議報文的上報以及管理系統的接入；

所述管理接口代理用于完成管理配置信息向多個執行體的分發，實現多執行體向管理用戶的單一呈現，同時實現管理用戶對態勢感知與負反饋調度模塊的接入；

所述轉發平面代理用于完成協議報文向多個執行體的分發，實現多執行體向轉發平面的單一呈現；

所述執行體用于完成通用交換機網絡操作系統的功能，實現協議報文的解析、計算和表項的生成，實現路由交換協議棧的功能，并將計算結果上報基于可信度量的擬態裁決模塊；

所述基于可信度量的擬態裁決模塊用于與態勢感知與負反饋調度模塊進行交互，獲取各執行體的可信指標數據，并使用各執行體的可信指標數據計算各執行體的可信度；收集各個執行體的MAC表、ARP表、路由表、管理配置信息計算結果，基于可信度量完成對多執行體同一輸入信息全體輸出結果的擬態裁決，將裁決結果下發至中間適配模塊，并將裁決時發現的執行體異常信息上報態勢感知與負反饋調度模塊；

所述中間適配模塊用于將基于可信度量的擬態裁決模塊下發的輸出結果進行轉譯，將轉譯結果下發到轉發平面，包括MAC表、ARP表、路由表、管理配置信息的轉譯與下發；