本發明提供了一種增強型擬態輸入代理，包括：流量控制器，包括流量過濾器和流量復制分發器；流量過濾器，根據安全策略對輸入流量進行過濾處理；接收流量威脅檢測器發出的第一流量阻斷反饋信號，以及由擬態裁決器發出的依據對執行體的流量記錄裁決出的未知攻擊生成的第二流量阻斷反饋信號，根據第一流量阻斷反饋信號和第二流量阻斷反饋信號更新安全策略；流量復制分發器，將過濾后的輸入流量復制分發為兩路，一路作為輸入代理的輸入流量分發到輸入代理，另一路作為安全檢測的輸入流量分發到流量威脅檢測器；流量威脅檢測器，依據安全防護規則對作為安全檢測的輸入流量進行檢測，并根據檢測出的威脅流量生成第一流量阻斷反饋信號。

技術領域

本發明屬于擬態安全技術領域，具體的說，涉及了一種增強型擬態輸入代理。

背景技術

基于擬態構造的網絡設備往往由輸入/輸出代理、擬態裁決器、擬態調度器、異構執行體組成，輸入代理暴露于攻擊面的最前端，為擬態構造系統的第一道防線，如何增強輸入代理的安全性對于增強擬態構造系統的安全性具有重要意義。同時，目前的擬態構造系統能檢測并防范未知威脅，往往無法在輸入代理層面阻隔未知威脅流量，及時阻斷未知威脅流量，對于增強系統的安全性具有重要意義。

發明內容

本發明的目的是針對現有技術的不足，提供一種快速裁決系統及方法。

為了實現上述目的，本發明所采用的技術方案是：

本發明第一方面提供了一種增強型擬態輸入代理實現方法，包括：

根據安全策略對輸入流量進行過濾處理，將過濾后的輸入流量復制分發為兩路，一路作為輸入代理的輸入流量，另一路作為安全檢測的輸入流量；

依據安全防護規則對作為安全檢測的輸入流量進行檢測，并根據檢測出的威脅流量生成第一流量阻斷反饋信號；

接收執行體定時發送的本機的流量記錄，并進行裁決，裁決出未知攻擊以后，生成第二流量阻斷反饋信號；

接收第一流量阻斷反饋信號和第二流量阻斷反饋信號，根據第一流量阻斷反饋信號和第二流量阻斷反饋信號更新安全策略。

基于上述，所述安全策略包括根據目的MAC、IP、端口號，源MAC、IP、端口號，協議號進行過濾的基于ACL的安全策略；基于用戶行為的過濾檢測；基于病毒庫特征的過濾。

本發明第二方面提供了一種增強型擬態輸入代理，包括：

流量控制器，包括流量過濾器和流量復制分發器；

流量過濾器，根據安全策略對輸入流量進行過濾處理；接收流量威脅檢測器發出的第一流量阻斷反饋信號，以及由擬態裁決器發出的依據對執行體的流量記錄裁決出的未知攻擊生成的第二流量阻斷反饋信號，根據第一流量阻斷反饋信號和第二流量阻斷反饋信號更新安全策略；

流量復制分發器，將過濾后的輸入流量復制分發為兩路，一路作為輸入代理的輸入流量分發到輸入代理，另一路作為安全檢測的輸入流量分發到流量威脅檢測器；

流量威脅檢測器，依據安全防護規則對作為安全檢測的輸入流量進行檢測，并根據檢測出的威脅流量生成第一流量阻斷反饋信號。

基于上述，所述流量威脅檢測器采用在IPS或IDS設備上增加反饋輸出功能實現。

基于上述，所述流量控制器采用FPGA或者專有芯片的方式進行實現。

基于上述，所述流量控制器與所述流量威脅檢測器、所述擬態裁決器單向通信。

本發明第三方面提供了一種擬態防御架構，包括輸入代理、輸出代理、執行體、擬態裁決器和調度器，所述輸入代理采用所述的增強型擬態輸入代理。