一种功能等价体集合的异构度评估方法及系统技术方案

本发明专利技术属于网络空间安全防护技术领域，尤其涉及一种功能等价体集合的异构度评估方法及系统。一种功能等价体集合的异构度评估方法，包括：将功能等价体集合中的每个功能等价体划分为1个以上独立功能层；计算任意两个功能等价体的任一独立功能层的异构度值；计算任意两个功能等价体的异构度归一化值；根据需要调度的功能等价体的数量，计算对应数量的任意功能等价体集合的异构度评估值；根据各功能等价体集合的异构度评估值进行功能等价体集合调度。一种功能等价体集合的异构度评估系统，包括：划分模块；第一计算模块；第二计算模块；第三计算模块；调度模块。本发明专利技术对拟态防御架构下功能等价体的异构度给出了定量评估方法。

Method and system for evaluating heterogeneous degree of function equivalent volume set

The invention belongs to the technical field of network space security protection, and particularly relates to a method and system for evaluating the degree of isomerism of the functional equivalent set. An evaluation method of functional equivalence, body sets include: heterogeneous degree each function equivalence division functional equivalence in the collection for the body more than 1 independent functional layer; any independent function layer of heterogeneous value calculation of arbitrary two functional equivalent; calculate any two functions of bivalent heterogeneous degree normalized value; according to the number of functional equivalence to scheduling, calculation of arbitrary function equivalent of a corresponding number of sets of heterogeneous degree value; evaluation value function of equivalent set scheduling according to the function equivalent of a collection of heterogeneous degree. A heterogeneous evaluation system of function equivalent volume set includes: partition module; first calculation module; second calculation module; third calculation module; scheduling module. The present invention provides a quantitative evaluation method for the heterogeneity of functional equivalent bodies under the pseudo defense architecture.

【技术实现步骤摘要】
一种功能等价体集合的异构度评估方法及系统
本专利技术属于网络空间安全防护
，尤其涉及一种功能等价体集合的异构度评估方法及系统。
技术介绍
随着网络设备和服务的不断发展和普及，人们对网络空间的依赖性越来越强，而网络安全的重要性也愈发凸显。传统的网络空间领域中，完成特定服务功能的设备和装置(包括软件和硬件)对外表征的属性是静态的、确定的，且与其内在结构之间存在强相关的对应关系，攻击者通过对其表征内容和对应关系的收集与分析，可以在一定程度上掌握有关设备和装置内部的具体信息，并可能发现可利用的漏洞或缺陷，进而实施入侵，威胁网络空间安全。拟态防御架构是一种应对网络攻击威胁的新技术，通过构建动态异构冗余的系统架构和运行机制能够实现针对未知系统漏洞或后门的入侵防御。在拟态防御系统中，冗余控制器接收外部控制参数，生成冗余调度策略和结果仲裁策略，分别发送给输入代理器和输出代理器，输入代理器依据接收到的冗余调度策略选择相应的功能等价体响应外部服务请求，功能等价体将结果发送至输出代理器，输出代理器根据冗余控制器生成的结果仲裁策略对各个结果进行判决，最终选择一路作为响应输出。异构的功能等价体是拟态防御系统的基本功能单元，其异构属性是避免攻击者利用相同或相近漏洞和后门达成攻击目的的关键要素之一。功能等价体是能够提供相同功能的多个装置、构件、软件等。异构功能等价体是通过运用不同的逻辑架构、不同的实现方式、不同的开发人员等，实现的具备共同功能的多个装置、构件、软件。异构功能等价体通过相异的逻辑架构、代码实现等避免共性的漏洞和缺陷。同时，功能等价体之间的差异越大，产生共性漏洞和缺陷的概率越低。理论上说，在拟态架构中，使用完全相异的功能等价体能够实现更高的安全性。然而，由于软硬件架构种类限制、平台数量有限、开发人员水平局限等因素，当可用功能等价体数量较多时，难以全部构造从硬件机构、支撑平台到应用软件都完全异构的功能等价体，往往在某些功能等价体间存在一定的同构现象。而同构部分所存在漏洞和后门一旦被利用，将极大地降低拟态架构系统的安全性。调度的功能等价体集合中，同构的部分比例越高，系统安全性越低。因此，在调度中需要考虑功能等价体间的异构度差异，而对功能等价体集合的异构度评估是实施高安全性调度的基础。现有的拟态防御架构相关研究中，对功能等价体的异构度只做了定性的描述，将其描述为“两个具有相同功能的元素之间的差异程度”，但缺乏定量的定义和分析。如果将异构度的主体概念外延，有文献定义了网络节点的异构度，网络节点的异构度取决于物理性能和网络物理带宽，用于刻画节点的端属性，其中物理性能取决于CPU计算速度、总线带宽及内存大小等。有文献定义了应用程序的异构度，提出了三种相异距离函数，分别是异构差值度量(HVDM)、内插差值度量(IVDM)和窗口差值度量(WVDM)，用于处理具有连续和离散变量的应用程序。拟态防御架构具有内生安全性的关键之一是其多个功能等价体的异构性。作为系统响应外部服务请求的功能主体，只有异构的功能等价体才能够避免在同一时间或场景下被攻击者同时攻破，“异构”是功能等价体规避被攻击者同时嗅探和利用系统漏洞缺陷的基础。然而，目前缺少对功能等价体集合异构性度量的研究，导致在功能等价体池中调度若干功能等价体响应外部服务请求时，缺乏调度依据，难以实施最优化调度，进而难以从根本上保证整个拟态架构系统的安全性。
技术实现思路
本专利技术的目的在于克服上述网络空间安全防护技术的不足，提供了一种功能等价体集合的异构度评估方法及系统，对拟态防御架构下功能等价体的异构度给出了定量评估方法。为了实现上述目的，本专利技术采用以下技术方案：一种功能等价体集合的异构度评估方法，包括以下步骤：步骤1：在拟态防御架构下，按照功能等价体的功能实现结构，将功能等价体集合中的每个功能等价体划分为1个以上独立功能层；步骤2：计算任意两个功能等价体的任一独立功能层的异构度值；步骤3：计算任意两个功能等价体的异构度归一化值；步骤4：根据需要调度的功能等价体的数量，计算对应数量的任意功能等价体集合的异构度评估值；步骤5：根据各功能等价体集合的异构度评估值进行功能等价体集合调度。优选地，所述异构度值为大于或等于0且小于或等于1的值，定义当两个功能等价体的独立功能层完全同构时，异构度值为0，当两个功能等价体的独立功能层完全异构时，异构度值为1。优选地，所述步骤3包括：步骤3.1：将任意两个功能等价体的所有独立功能层的异构度值进行求和计算；步骤3.2：将计算结果除以独立功能层的个数，得到任意两个功能等价体的异构度归一化值。优选地，所述步骤4包括：步骤4.1：根据需要调度的功能等价体的数量，计算对应数量的任意功能等价体集合中任意两个功能等价体的异构度归一化值；步骤4.2：将功能等价体集合中的所有任意两个功能等价体的异构度归一化值进行求和，将求和结果作为功能等价体集合的异构度评估值。优选地，所述步骤5包括：步骤5.1：比较得出的各功能等价体集合的异构度评估值；步骤5.2：对异构度评估值最大的功能等价体集合进行调度。基于上述的一种功能等价体集合的异构度评估方法的一种功能等价体集合的异构度评估系统，包括：划分模块，用于在拟态防御架构下，按照功能等价体的功能实现结构，将功能等价体集合中的每个功能等价体划分为1个以上独立功能层；第一计算模块，用于计算任意两个功能等价体的任一独立功能层的异构度值；第二计算模块，用于计算任意两个功能等价体的异构度归一化值；第三计算模块，用于根据需要调度的功能等价体的数量，计算对应数量的任意功能等价体集合的异构度评估值；调度模块，用于根据各功能等价体集合的异构度评估值进行功能等价体集合调度。优选地，所述第二计算模块进一步包括：第二计算第一子模块，用于将任意两个功能等价体的所有独立功能层的异构度值进行求和计算；第二计算第二子模块，用于将计算结果除以独立功能层的个数，得到任意两个功能等价体的异构度归一化值。优选地，所述第三计算模块进一步包括：第三计算第一子模块，用于根据需要调度的功能等价体的数量，计算对应数量的任意功能等价体集合中任意两个功能等价体的异构度归一化值；第三计算第二子模块，将功能等价体集合中的所有任意两个功能等价体的异构度归一化值进行求和，将求和结果作为功能等价体集合的异构度评估值。优选地，所述调度模块进一步包括：比较模块，用于比较得出的各功能等价体集合的异构度评估值；调度子模块，用于对异构度评估值最大的功能等价体集合进行调度。与现有技术相比，本专利技术具有的有益效果：本专利技术提供的一种功能等价体集合的异构度评估方法，从分析构成功能等价体的独立功能层出发，考虑各个独立功能层的异构性因素，给出了功能等价体集合的异构度定量评估方法，具有以下优势：1)对拟态防御架构下功能等价体的异构度给出了定量评估方法，将功能等价体的异构度从以往的定性描述推进到定量定义，为高安全性的拟态调度策略设计提供了定量依据；2)通过将各个功能等价体划分为独立功能层，对复杂功能等价体实施多维分析，使得对功能等价体集合的异构度评估值能够较为准确细致地反应各个功能等价体间的异构程度度量。附图说明图1为本专利技术一种功能等价体集合的异构度评估方法的基本流程示意图之一。图2为本专利技术一种功能等价体集合的异构度评估本文档来自技高网...

【技术保护点】
一种功能等价体集合的异构度评估方法，其特征在于，包括以下步骤：步骤1：在拟态防御架构下，按照功能等价体的功能实现结构，将功能等价体集合中的每个功能等价体划分为1个以上独立功能层；步骤2：计算任意两个功能等价体的任一独立功能层的异构度值；步骤3：计算任意两个功能等价体的异构度归一化值；步骤4：根据需要调度的功能等价体的数量，计算对应数量的任意功能等价体集合的异构度评估值；步骤5：根据各功能等价体集合的异构度评估值进行功能等价体集合调度。

【技术特征摘要】
1.一种功能等价体集合的异构度评估方法，其特征在于，包括以下步骤：步骤1：在拟态防御架构下，按照功能等价体的功能实现结构，将功能等价体集合中的每个功能等价体划分为1个以上独立功能层；步骤2：计算任意两个功能等价体的任一独立功能层的异构度值；步骤3：计算任意两个功能等价体的异构度归一化值；步骤4：根据需要调度的功能等价体的数量，计算对应数量的任意功能等价体集合的异构度评估值；步骤5：根据各功能等价体集合的异构度评估值进行功能等价体集合调度。2.根据权利要求1所述的一种功能等价体集合的异构度评估方法，其特征在于，所述异构度值为大于或等于0且小于或等于1的值，定义当两个功能等价体的独立功能层完全同构时，异构度值为0，当两个功能等价体的独立功能层完全异构时，异构度值为1。3.根据权利要求1所述的一种功能等价体集合的异构度评估方法，其特征在于，所述步骤3包括：步骤3.1：将任意两个功能等价体的所有独立功能层的异构度值进行求和计算；步骤3.2：将计算结果除以独立功能层的个数，得到任意两个功能等价体的异构度归一化值。4.根据权利要求1所述的一种功能等价体集合的异构度评估方法，其特征在于，所述步骤4包括：步骤4.1：根据需要调度的功能等价体的数量，计算对应数量的任意功能等价体集合中任意两个功能等价体的异构度归一化值；步骤4.2：将功能等价体集合中的所有任意两个功能等价体的异构度归一化值进行求和，将求和结果作为功能等价体集合的异构度评估值。5.根据权利要求1所述的一种功能等价体集合的异构度评估方法，其特征在于，所述步骤5包括：步骤5.1：比较得出的各功能等价体集合的异构度评估值；步骤5.2：对异构度评估值最大...

【专利技术属性】
技术研发人员：赵博，张兴明，吕平，沈剑良，宋克，刘勤让，刘冬培，陈艇，汪欣，林森杰，
申请(专利权)人：中国人民解放军信息工程大学，天津市滨海新区信息技术创新中心，
类型：发明
国别省市：河南,41