拟态化网络操作系统、构建装置及方法制造方法及图纸

本发明专利技术公开一种拟态化网络操作系统构建装置，包括变体管理单元、NOS单元和拟态单元，变体管理单元由变体模板池和变体管理两个子单元构成，NOS单元由从变体模板池中选出的多个模板实例化后的NOS组成，拟态单元接收来自NOS单元的计算结果，并进行多模判决。本发明专利技术还公开了一种基于上述拟态化网络操作系统构建装置的方法，包括将来自底层网络的消息分发给每一个在线运行的异构的网络操作系统，网络操作系统中内置的监控代理实时地对其状态进行检测，并将结果反馈给变体管理单元，各个运行的网络操作系统独立执行计算；对来自各个网络操作系统的计算结果进行多模判决。本发明专利技术还公开一种拟态化网络操作系统，包括变体模板池、变体管理层、NOS层和拟态层。

Pseudo network operating system, construction device and method

The invention discloses a pseudo network operating system construction device, including variant management unit, NOS unit and management unit by unit mimicry, variant variant template pool and variant management of two sub units, NOS unit is composed of a plurality of template selected from the template in the pool after the variant of NOS, the pseudo unit receives the calculation results from the NOS unit, and multimode judgment. The invention discloses a method based on the pseudo network operating system construction device, including the future from the underlying network to distribute the message to the network operating system of each on-line heterogeneous network operating system, built-in monitor in real time the state agency for testing, and the results back to the variant management unit, network operating system of each run independently perform calculations; multimode judgment on the calculated from each network operating system results. The invention also discloses a pseudo network operating system, which comprises a variant template pool, a variant management layer, a NOS layer and a mimetic layer.

【技术实现步骤摘要】
拟态化网络操作系统、构建装置及方法
本专利技术涉及网络空间安全
，特别是涉及一种拟态化网络操作系统、构建装置及方法。
技术介绍
软件定义网络（SoftwareDefinedNetworking,SDN）通过将网络控制平面与网络转发平面解耦从而使得网络更加灵活、开放和可编程，被认为有望改变未来网络架构的革命性技术，近年来在学术界和产业界均引起了广泛关注，且逐步应用于商业网络领域。然而，SDN技术也是一把双刃剑，在提升网络性能和灵活性的同时，网络控制的集中化引入诸多新的安全问题，由于具备全局网络视图和控制，攻击者一旦控制或瘫痪了其中枢—软件定义控制器（或称网络操作系统），就可直接篡改或瘫痪整个网络。因此安全问题是SDN技术走向大规模商用部署面临的关键难题之一。现有的网络操作系统安全机制在应对控制器劫持、停机和流表篡改等安全威胁时还存在很大不足，因此急需一种能够防御未知漏洞缺陷、快速检测攻击威胁和具有内生安全能力的网络操作系统装置。
技术实现思路
针对现有技术中存在的缺陷，本专利技术提供一种拟态化网络操作系统、构建装置及方法，用于构造一个具备内生安全性的网络操作系统架构，从而解决网络运行面临的控制器劫持、流表篡改等安全威胁。为了实现上述目的，本专利技术采用以下的技术方案：一种拟态化网络操作系统构建装置，包括变体管理单元、NOS单元和拟态单元；变体管理单元，由变体模板池和变体管理两个子单元构成；其中，变体模板池由多个异构的软件定义控制器组成，变体管理子单元对变体模板池进行管理，对变体进行监控、调度和清洗；NOS单元，由从变体模板池中选出的m个模板实例化后的NOS组成，其中，m≥1，每个选出的NOS独立地从拟态单元接收信息，并独立执行计算，并将结果发送给拟态单元进行裁决；拟态单元，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给底层网络。进一步地，所述变体管理子单元由变体模板管理、变体监控、变体调度和变体清洗四个子模块构成；变体模板管理模块，对变体模板池中的变体模板进行维护管理，包括变体查询、删除、增加以及实例化功能；变体监控模块，实时获取变体的运行状态，并进行诊断变体是否异常；变体调度模块，依据变体监控结果或预先设定的变体调度算法，对在线的变体进行调度，选择当前时间周期内运行的变体，根据选择结果将新变体上线，将需要下线的变体下线；变体清洗模块，根据变体监控结果，对在线或下线的NOS变体进行清洗、重置、修复和剔除操作，确保变体的可信。进一步地，所述拟态单元由输入输出代理、状态池和裁决器子单元构成；输入输出代理，隔离保护上层的NOS单元，与底层的交换机建立连接并进行交互，将来自交换机的消息转发给每一个在线运行的网络操作系统，同时将拟态单元的裁决结果消息发送给底层的交换机；裁决器，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给输入输出代理；状态池，维护拟态单元的基本状态信息。本专利技术还提供一种基于上述拟态化网络操作系统构建装置的方法，包括以下步骤：步骤1，将来自底层网络的消息分发给每一个在线运行的异构的网络操作系统；步骤2，网络操作系统中内置的监控代理实时地对其状态进行检测，并将结果反馈给变体管理单元，变体管理单元通过分析上传的检测数据推断当前NOS单元的运行状况，如果发现安全风险，则实施切换操作；步骤3，各个运行的网络操作系统独立执行计算；步骤4，对来自各个网络操作系统的计算结果进行多模判决，根据判决结果选出最可信的结果发送给底层网络。进一步地，所述步骤2中切换操作具体如下：依据变体管理单元下发的策略，得到当前运行变体集合的操作；依据选举机制选出下一时刻的主网络操作系统，完成由旧到新的运行网络操作系统集合的切换。进一步地，所述选举机制具体为：当前后两个时刻运行的网络操作系统集合有交集时，将交集中最可信的变体作为主网络操作系统，若不存在交集，则从新集合中选取可信度最高的变体作为主网络操作系统。进一步地，所述异构的网络操作系统采用不同语言、不同算法、不同操作系统设计实现，或者采用多样化编译技术对同一源代码的控制器进行编译生成。本专利技术提供一种拟态化网络操作系统，包括：变体模板池、变体管理层、NOS层和拟态层；所述变体模板池具有多个异构的网络操作系统变体；所述变体管理层对变体模板池中的变体进行监控、调度和清洗；所述NOS层由从变体模板池中选出的模板实例化后的NOS构成；所述拟态层由代理、裁决器和状态池构成。与现有技术相比，本专利技术具有以下优点：本申请公开了一种拟态化网络操作系统、构建装置及方法，通过运行多样化的NOS，可有效降低NOS间的共性漏洞和后门（或者自然故障）发生的概率；通过动态调度，使得攻击者难以确定系统的内部结构，难以构建有效攻击手段；此外，多模表决能及时发现NOS异常（自然故障或攻击故障），并执行清洗，提升了攻击者的攻击难度。使得NOS面临安全威胁时，能极大提升和保证网络运行的鲁棒性、弹性和生存能力，从而提升了SDN的安全性能。附图说明图1是本专利技术实施例的一种拟态化网络操作系统构建装置的结构图；图2是本专利技术实施例变体调度模块的工作流程图；图3是本专利技术实施例一种拟态化网络操作系统调度切换的工作流程图；图4是本专利技术实施例裁决器的工作流程图；图5是本专利技术实施例输入输出代理的工作流程图。具体实施方式下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述：实施例一，参见图1，一种拟态化网络操作系统构建装置，包括变体管理单元、NOS单元和拟态单元；变体管理单元，由变体模板池和变体管理两个子单元构成；其中，变体模板池由多个异构的软件定义控制器组成，这些异构的控制器采用不同语言、不同算法、不同操作系统设计实现，或者采用多样化编译技术对同一源代码的控制器进行编译生成；变体管理子单元对变体模板池进行管理，对变体进行监控、调度和清洗；NOS单元，由变体管理单元依一定的策略从变体模板池中选出的m个模板实例化后的NOS组成，其中，m≥1，每个选出的NOS独立地从拟态单元接收信息，并独立执行计算，并将结果发送给拟态单元进行裁决，NOS单元不直接与交换机通信；拟态单元，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给底层网络。所述变体管理子单元由变体模板管理、变体监控、变体调度和变体清洗四个子模块构成；变体模板管理模块，对变体模板池中的变体模板进行维护管理，包括变体查询、删除、增加以及实例化等功能；变体监控模块，与在线运行的NOS中内置的监控代理模块以及裁决器进行通信，实时获取变体的运行状态，并进行诊断变体是否异常；变体调度模块，依据变体监控结果或预先设定的变体调度算法，对在线的变体进行调度，选择当前时间周期内运行的变体，根据选择结果将新变体上线，将需要下线的变体下线；变体清洗模块，根据变体监控结果，对在线或下线的NOS变体进行清洗、重置、修复和剔除操作，确保变体的可信。所述拟态单元由输入输出代理、状态池和裁决器子单元构成；输入输出代理，隔离保护上层的NOS单元，与底层的交换机建立连接并进行交互，将来自交换机的消息转发给每一个在线运行的网络操作系统，同时将拟态单元的裁决结果消息发送给底层的交换机；在实际设计与实现时，输入输本文档来自技高网...

【技术保护点】
一种拟态化网络操作系统构建装置，其特征在于，包括变体管理单元、NOS单元和拟态单元；变体管理单元，由变体模板池和变体管理两个子单元构成；其中，变体模板池由多个异构的软件定义控制器组成，变体管理子单元对变体模板池进行管理，对变体进行监控、调度和清洗；NOS单元，由从变体模板池中选出的

【技术特征摘要】
1.一种拟态化网络操作系统构建装置，其特征在于，包括变体管理单元、NOS单元和拟态单元；变体管理单元，由变体模板池和变体管理两个子单元构成；其中，变体模板池由多个异构的软件定义控制器组成，变体管理子单元对变体模板池进行管理，对变体进行监控、调度和清洗；NOS单元，由从变体模板池中选出的m个模板实例化后的NOS组成，其中，m≥1，每个选出的NOS独立地从拟态单元接收信息，并独立执行计算，并将结果发送给拟态单元进行裁决；拟态单元，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给底层网络。2.根据权利要求1所述的拟态化网络操作系统构建装置，其特征在于，所述变体管理子单元由变体模板管理、变体监控、变体调度和变体清洗四个子模块构成；变体模板管理模块，对变体模板池中的变体模板进行维护管理，包括变体查询、删除、增加以及实例化功能；变体监控模块，实时获取变体的运行状态，并进行诊断变体是否异常；变体调度模块，依据变体监控结果或预先设定的变体调度算法，对在线的变体进行调度，选择当前时间周期内运行的变体，根据选择结果将新变体上线，将需要下线的变体下线；变体清洗模块，根据变体监控结果，对在线或下线的NOS变体进行清洗、重置、修复和剔除操作，确保变体的可信。3.根据权利要求1所述的拟态化网络操作系统构建装置，其特征在于，所述拟态单元由输入输出代理、状态池和裁决器子单元构成；输入输出代理，隔离保护上层的NOS单元，与底层的交换机建立连接并进行交互，将来自交换机的消息转发给每一个在线运行的网络操作系统，同时将拟态单元的裁决结果消息发送给底层的交换机；裁决器，接收来自NOS单元的计算结果，并进行多模判决，根据判决结果选择出相对可信的结果发送给输入输...

【专利技术属性】
技术研发人员：扈红超，齐超，程国振，陈福才，邬江兴，季新生，毛宇星，艾健健，赵硕，卢振平，
申请(专利权)人：中国人民解放军信息工程大学，
类型：发明
国别省市：河南,41