本發(fā)明提供一種主備模式的擬態(tài)括號(hào)實(shí)現(xiàn)裝置及方法。該裝置包括：用戶代理單元、主業(yè)務(wù)代理單元、主表決單元、備業(yè)務(wù)代理單元、備表決單元和控制單元。用戶代理單元用于接收用戶請(qǐng)求，并將其分發(fā)至主、備業(yè)務(wù)代理單元；主業(yè)務(wù)代理單元用于將用戶請(qǐng)求分發(fā)至至少三個(gè)執(zhí)行體，并對(duì)響應(yīng)報(bào)文進(jìn)行處理；備業(yè)務(wù)代理單元用于接收鏡像的用戶請(qǐng)求，獲取各執(zhí)行體向主業(yè)務(wù)代理單元返回的響應(yīng)報(bào)文的復(fù)制報(bào)文，對(duì)復(fù)制報(bào)文進(jìn)行處理；主表決單元用于對(duì)主業(yè)務(wù)代理單元發(fā)送的響應(yīng)報(bào)文進(jìn)行表決；備表決單元用于對(duì)備業(yè)務(wù)代理單元發(fā)送的復(fù)制報(bào)文進(jìn)行表決，并將其表決結(jié)果和主表決單元的表決結(jié)果進(jìn)行校驗(yàn)；控制單元用于發(fā)起清洗操作、重置操作和主備切換操作。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種主備模式的擬態(tài)括號(hào)實(shí)現(xiàn)裝置及方法。

背景技術(shù)

在如今的互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)空間安全問(wèn)題日益成為最為嚴(yán)峻的挑戰(zhàn)之一。信息系統(tǒng)的運(yùn)行可能受到借助軟硬件漏洞和后門(mén)進(jìn)行的安全威脅攻擊，如：基于應(yīng)用層HTTP協(xié)議的網(wǎng)頁(yè)篡改、蠕蟲(chóng)病毒、SQL注入，基于應(yīng)用支撐層的web容器、分布式文件系統(tǒng)的后門(mén)和漏洞攻擊，基于基礎(chǔ)層的云容器、操作系統(tǒng)的后門(mén)和漏洞攻擊。

擬態(tài)防御技術(shù)為應(yīng)對(duì)網(wǎng)絡(luò)空間中已知和未知的漏洞和后門(mén)的威脅，以多樣化技術(shù)為基礎(chǔ)，采用“動(dòng)態(tài)異構(gòu)冗余”(Dynamic Heterogeneous Redundancy，DHR)的系統(tǒng)架構(gòu)(“鄔江興.網(wǎng)絡(luò)空間擬態(tài)防御研究[J].信息安全學(xué)報(bào),2016,第1卷第4期：1-10.”)，使用動(dòng)態(tài)性、異構(gòu)性和隨機(jī)性等特性使系統(tǒng)具有內(nèi)生的安全機(jī)理來(lái)提高系統(tǒng)的安全性。

擬態(tài)防御中的擬態(tài)括號(hào)(指DHR架構(gòu)中的輸入代理和多模表決器)是面向用戶的輸入分發(fā)和輸出裁決的關(guān)鍵組件，其裁決結(jié)果作為擬態(tài)系統(tǒng)動(dòng)態(tài)清洗的依據(jù)，是滿足擬態(tài)系統(tǒng)動(dòng)態(tài)性指標(biāo)的前提。但是，擬態(tài)括號(hào)作為用戶訪問(wèn)擬態(tài)系統(tǒng)的入口，是攻擊集中的組件，其安全性關(guān)乎擬態(tài)防御機(jī)制的有效運(yùn)行。目前缺乏對(duì)健壯的擬態(tài)括號(hào)的設(shè)計(jì)。

發(fā)明內(nèi)容

為了提高擬態(tài)防御系統(tǒng)的安全性，本發(fā)明提供一種主備模式的擬態(tài)括號(hào)實(shí)現(xiàn)裝置及方法。

本發(fā)明提供的一種主備模式的擬態(tài)括號(hào)實(shí)現(xiàn)裝置，包括：用戶代理單元、主業(yè)務(wù)代理單元、主表決單元、備業(yè)務(wù)代理單元、備表決單元和控制單元；

所述用戶代理單元，用于接收來(lái)自用戶端的用戶請(qǐng)求，把用戶請(qǐng)求分發(fā)至主業(yè)務(wù)代理單元，并鏡像用戶請(qǐng)求至備業(yè)務(wù)代理單元；

所述主業(yè)務(wù)代理單元，用于將用戶請(qǐng)求分發(fā)至至少三個(gè)執(zhí)行體，并對(duì)各執(zhí)行體的響應(yīng)報(bào)文進(jìn)行處理，將處理后的響應(yīng)報(bào)文發(fā)送至主表決單元；

所述備業(yè)務(wù)代理單元，用于接收鏡像的用戶請(qǐng)求，獲取各執(zhí)行體向主業(yè)務(wù)代理單元返回的響應(yīng)報(bào)文的復(fù)制報(bào)文，對(duì)復(fù)制報(bào)文進(jìn)行處理，將處理后的復(fù)制報(bào)文發(fā)送至備表決單元；

所述主表決單元，用于對(duì)主業(yè)務(wù)代理單元發(fā)送的響應(yīng)報(bào)文進(jìn)行表決，并返回表決結(jié)果；將表決結(jié)果發(fā)送至備表決單元；

所述備表決單元，用于對(duì)備業(yè)務(wù)代理單元發(fā)送的復(fù)制報(bào)文進(jìn)行表決，并將其表決結(jié)果和主表決單元的表決結(jié)果進(jìn)行校驗(yàn)；若校驗(yàn)結(jié)果表示主、備表決單元的表決結(jié)果不一致，則將校驗(yàn)結(jié)果上報(bào)至控制單元；

所述控制單元，用于發(fā)起清洗操作、重置操作和主備切換操作。

進(jìn)一步地，用戶代理單元設(shè)置在IO代理上，主業(yè)務(wù)代理單元、主表決單元均設(shè)置主用業(yè)務(wù)代理上，備業(yè)務(wù)代理單元、備表決單元均設(shè)置在備用業(yè)務(wù)代理上，控制單元設(shè)置在反饋控制器上。

進(jìn)一步地，所述用戶代理單元包括用戶側(cè)建鏈與維持模塊、報(bào)文解析與標(biāo)識(shí)處理模塊和數(shù)據(jù)分發(fā)與維持鏈接模塊；

所述用戶側(cè)建鏈與維持模塊，用于與用戶端建立鏈接，接收來(lái)自用戶端的用戶請(qǐng)求，返回響應(yīng)報(bào)文至用戶端；

所述報(bào)文解析與標(biāo)識(shí)處理模塊，用于在用戶請(qǐng)求中添加內(nèi)部控制信息或在響應(yīng)報(bào)文中去除內(nèi)部控制信息；