本發(fā)明提供了一種基于策略的擬態(tài)裁決系統(tǒng)及方法，包括輸入輸出代理、異構(gòu)執(zhí)行體、策略下發(fā)器、緩存器、監(jiān)控器、裁決器以及負(fù)反饋管理器，本發(fā)明構(gòu)建圍繞策略控制的多模裁決方法，將冗余執(zhí)行體到多模裁決服務(wù)的調(diào)用以連接對象的形式表達(dá)，可有效控制執(zhí)行體性能、狀態(tài)對響應(yīng)效率以及裁決器等待時延的影響，同時N?1模判決可降低裁決器負(fù)載，提升響應(yīng)輸出效率。僅在異常狀態(tài)下，監(jiān)控器將3個執(zhí)行體響應(yīng)交由裁決器判決，且在負(fù)反饋管理器通知異構(gòu)執(zhí)行體清洗恢復(fù)后系統(tǒng)遷躍至正常狀態(tài)服務(wù)模式。本發(fā)明實現(xiàn)基于緩存器的多模裁決服務(wù)的調(diào)用提升系統(tǒng)可用性。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)空間安全技術(shù)領(lǐng)域，具體地，涉及一種基于策略的擬態(tài)裁決系統(tǒng)及裁決方法。

背景技術(shù)

網(wǎng)絡(luò)安全是信息產(chǎn)業(yè)全球化背景下世界各國面臨的共性問題和挑戰(zhàn)，當(dāng)前的基本態(tài)勢是“攻易守難”，漏洞的普遍性、后門的易安插、網(wǎng)絡(luò)空間構(gòu)架基因的單一性和攻防雙方的不對稱性使得安全漏洞無法被根除且容易被利用，從而導(dǎo)致漏洞頻發(fā)。

網(wǎng)絡(luò)空間擬態(tài)防御技術(shù)來源于相對正確公理、異構(gòu)冗余可靠性理論與方法、廣義魯棒性控制理論與方法、可靠性驗證理論和方法，以計算機(jī)結(jié)構(gòu)的動態(tài)性和異構(gòu)性，解決了漏洞和后門被利用問題，從而大幅增加網(wǎng)絡(luò)攻擊成功的難度和成本，使網(wǎng)絡(luò)攻擊的成功率呈指數(shù)級下降，解決了未知漏洞和后門的有效防御問題，是面向未來的顛覆性技術(shù)。

網(wǎng)絡(luò)空間擬態(tài)防御技術(shù)以多模裁決為核心，基于相對正確公理的邏輯表達(dá)為多模輸出矢量測量感知手段，有效防御攻擊者實施時空維度上協(xié)同一致的同態(tài)攻擊。

專利文獻(xiàn)為CN 110781012 A的發(fā)明專利公開了一種基于統(tǒng)一消息隊列的擬態(tài)裁決器和裁決方法，通過n個統(tǒng)一消息隊列接收異構(gòu)執(zhí)行體發(fā)送的消息，n為異構(gòu)體數(shù)量且為3個或多于3個。消息讀取模塊分別從n個統(tǒng)一消息隊列中讀取執(zhí)行體消息及消息序號，根據(jù)大數(shù)定理對獲得的所有消息序號進(jìn)行判決，基于隊列結(jié)構(gòu)降低擬態(tài)裁決消息序列亂序率，提高擬態(tài)裁決針對相同請求的冗余異構(gòu)體消息定位效率。由于采用了經(jīng)典擬態(tài)防御裁決架構(gòu)，裁決器需要針對3個或多于3個異構(gòu)體消息進(jìn)行裁決，雖然隊列結(jié)構(gòu)保障了異構(gòu)體消息的按序服務(wù)從而提高了裁決效率，但是并沒有在擬態(tài)防御裁決架構(gòu)上進(jìn)行裁決效率和系統(tǒng)時延的優(yōu)化。

專利文獻(xiàn)為201911016346.X的發(fā)明專利公開了一種基于統(tǒng)一消息隊列的擬態(tài)裁決器和裁決方法，包括n個執(zhí)行體消息接收接口、n個統(tǒng)一消息隊列、消息讀取模塊、序號裁決模塊、字節(jié)裁決模塊以及裁決結(jié)果輸出模塊，每個消息接收接口對應(yīng)一個唯一的統(tǒng)一消息隊列；所述消息接收接口，接收異構(gòu)執(zhí)行體發(fā)送的執(zhí)行體消息并送入對應(yīng)的統(tǒng)一消息隊列中；所述消息讀取模塊，同時從n個統(tǒng)一消息隊列中讀取執(zhí)行體消息，并獲得執(zhí)行體消息的消息序號；所述序號裁決模塊，根據(jù)大數(shù)裁決機(jī)制對獲得的所有消息序號進(jìn)行判決，獲得判決序號；所述字節(jié)裁決模塊，根據(jù)大數(shù)裁決機(jī)制對執(zhí)行體消息中消息序號等于裁決序號的所有執(zhí)行體消息進(jìn)行裁決，并通過所述裁決結(jié)果輸出模塊輸出裁決結(jié)果。本發(fā)明還提供一種裁決方法。

上述方案采用經(jīng)典擬態(tài)防御架構(gòu)，可通過專利所述技術(shù)構(gòu)建擬態(tài)裁決器，為信息系統(tǒng)內(nèi)生安全提供多模裁決支撐，但因經(jīng)典擬態(tài)防御架構(gòu)需要構(gòu)建至少包含3個異構(gòu)執(zhí)行體的裁決器，其功耗將極大的高于本發(fā)明提出的基于策略切換異構(gòu)執(zhí)行體模數(shù)的擬態(tài)裁決裝置。

上述方案采用隊列結(jié)構(gòu)支持響應(yīng)緩存與按序裁決服務(wù)，而本專利采用緩存器與監(jiān)控器的技術(shù)路線，其優(yōu)勢在于緩存器根據(jù)異構(gòu)執(zhí)行體響應(yīng)速度存儲請求連接，監(jiān)控器掃描緩存器，將已返回策略規(guī)定模數(shù)響應(yīng)的請求連接至裁決器，而不是如該專利所述按序裁決，可更加高效的返回用戶響應(yīng)，并降低裁決阻塞的概率。