一种拟态防御装置、拟态防御方法和拟态防御架构制造方法及图纸

本发明专利技术提供一种拟态防御装置、拟态防御方法和拟态防御架构，其中拟态防御装置包括输入模块、输出模块、代理模块和多个异构处理器模块，所述代理模块包括复制分发单元、判决单元和选择输出单元；复制分发单元，接收输入模块发送的外部数据并复制分发至多个异构处理器模块；每个异构处理器模块，均包括裁决器和多个异构虚拟机，异构虚拟机用于对外部数据进行处理，裁决器用于对多个异构虚拟机的处理结果进行裁决；选择输出单元，根据所述判决结果和以及预置选择策略选择一个异构处理器模块的裁决结果通过所述输出模块输出；所述判决单元，用于对多个异构处理器模块输出的裁决结果进行判决。

【技术实现步骤摘要】
一种拟态防御装置、拟态防御方法和拟态防御架构
本专利技术涉及拟态防御领域，具体的说，涉及了一种拟态防御装置、拟态防御方法和拟态防御架构。
技术介绍
动态异构冗余架构（DHR）是实现拟态防御的一种原理性方法，以可靠性领域非相似余度结构为基础，导入多维动态重构机制，使其具有了DRS的高可靠特性，同时又具备拟态防御的高安全性。在DHR架构中，系统的输入代理将输入转发给当前异构执行体集中的各执行体，并将这些执行体的输出矢量提交给裁决器进行表决,得到系统输出；我们将输入代理和多模裁决器通称为“拟态括号”（MimicBracket,MB）；显然，拟态括号是整个拟态防御系统必要组成部分。但是，在组建拟态防御系统时，为了使执行体或执行体集具有拟态化的防御功能，需要对原有执行体或原有执行体集的结构形式进行改变，从而增加了执行体拟态化改造的难度和成本，降低了执行体拟态化改造的效率。为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。
技术实现思路
本专利技术的目的是针对现有技术的不足，从而提供了一种拟态防御装置、构建方法、使用方法和拟态防御架构。为了实现上述目的，本专利技术第一方面提供一种拟态防御装置，包括输入模块、输出模块、代理模块和多个异构处理器模块，所述代理模块包括复制分发单元、判决单元和选择输出单元；所述输入模块，支持外部数据的接收和发送；所述复制分发单元，分别与所述输入模块和多个异构处理器模块连接，接收所述输入模块发送的外部数据并复制分发至多个异构处理器模块；每个异构处理器模块，均包括输入代理、多个异构虚拟机和裁决器，所述输入代理分别与多个异构虚拟机连接，用于接收外部数据并将外部数据复制分发至多个异构虚拟机；所述异构虚拟机与所述裁决器连接，用于对外部数据进行处理，并将处理结果输出至所述裁决器；所述裁决器用于对多个异构虚拟机的处理结果进行裁决，并输出裁决结果；所述选择输出单元，分别与多个异构处理器模块连接，用于接收多个异构处理器模块输出的裁决结果；所述判决单元，与所述选择输出单元连接，用于从所述选择输出单元获取多个异构处理器模块的裁决结果，进行判决，并将判决结果返回至所述选择输出单元；所述选择输出单元，与所述输出模块连接，根据所述判决结果和以及预置选择策略选择一个异构处理器模块的裁决结果，并通过所述输出模块输出该裁决结果。优选的，所述选择策略具体包括：若存在裁决结果正确的异构处理器模块，且裁决结果正确的异构处理器模块包含有上一次选择的输出异构处理器模块，则维持上一次选择；若只存在一个裁决结果正确的异构处理器模块，且裁决结果正确的异构处理器模块不包含上一次选择的输出异构处理器模块，则选择所述裁决结果正确的异构处理器模块的裁决结果，以进行输出；若存在多个裁决结果正确的异构处理器模块，且裁决结果正确的异构处理器模块不包含上一次选择的输出异构处理器模块，则根据历史权重从裁决结果正确的异构处理器模块中选择权重最高的异构处理器模块的裁决结果，以进行输出。本专利技术第二方面提供一种拟态防御方法，具体包括以下步骤：输入模块接收外部数据，并通过代理模块的复制分发单元将外部数据复制分发至多个异构处理器模块；每个异构处理器模块的输入代理将外部数据复制分发至多个异构虚拟机，多个异构虚拟机对外部数据进行处理并将处理结果输出至裁决器；裁决器对多个异构虚拟机的处理结果进行裁决，并输出裁决结果至选择输出单元；判决单元从选择输出单元获取多个异构处理器模块输出的裁决结果，对多个裁决结果进行判决，并将判决结果返回至选择输出单元；选择输出单元根据判决结果以及预置选择策略，选择一个异构处理器模块的裁决结果，并通过所述输出模块将该裁决结果输出。优选的，选择输出单元根据判决结果选择一个异构处理器模块作为输出异构处理器模块，具体包括：判断是否存在裁决结果正确的异构处理器模块，若存在，则进一步判断裁决结果正确的异构处理器模块是否包含有上一次选择的输出异构处理器模块；若包含，则维持上一次选择；若不包含，则判断是否只有一个裁决结果正确的异构处理器模块，若是，则选择所述裁决结果正确的异构处理器模块的裁决结果，以进行输出；若不是，则根据历史权重从裁决结果正确的异构处理器模块中选择权重最高的异构处理器模块的裁决结果，以进行输出。本专利技术第三方面提供一种拟态防御架构，其特征在于：包括前述拟态防御装置和执行体，所述拟态防御装置与执行体连接，用于接收外部数据，对外部数据进行解析处理和裁决，并输出裁决结果至所述执行体；所述执行体响应所述裁决结果。本专利技术相对现有技术具有突出的实质性特点和显著的进步，具体的说，（1）本专利技术结合拟态防御原理，运用拟态防御原理方法，将拟态防御实现的过程及重要防御组成部分拟态括号单独提取出来，形成了一种通用的具有拟态防御功能的装置。（2）所述拟态防御装置能够实现外部数据在拟态系统内部单向输入、单向输出及内部单向传输，从而使该装置获得单向联系机制的安全增益。（3）所述拟态防御装置中，通过硬件方式形成异构处理器模块，并通过软件方式拟态化实现每一个异构处理器模块，可以以较少数量的硬件模块实现处理器模块的最大化的异构，节约成本；同时软硬件同时异构的方式，还可以以指数级提升拟态防御的安全性。（3）所述拟态防御装置包括两次裁决，第一次裁决是由异构处理器模块对处理结果进行裁决，以识别出带有病毒的外部数据；第二次裁决是由代理模块对异构处理器模块的裁决结果进行裁决，可以有效防止拟态逃逸，增强异构执行体本身的可信度。（4）通过在执行体前端增加具有独立功能的拟态防御装置，此时执行体接收的数据是已经所述拟态防御装置裁决过的数据，其安全性可以得到有效的保证，即可以有效保证执行体不会被本次外部数据的攻击；在不改变任一执行体组成架构的前提下，即可以使执行体具有拟态化的防御功能，大大提高对服务器拟态化改造的效率及简便程度。附图说明图1是本专利技术拟态防御装置的原理框图。图2是本专利技术拟态防御架构的原理框图。具体实施方式下面通过具体实施方式，对本专利技术的技术方案做进一步的详细描述。实施例1如图1所示，本专利技术第一方面提供一种拟态防御装置，包括输入模块、输出模块、代理模块和多个异构处理器模块，所述代理模块包括复制分发单元、判决单元和选择输出单元；优选的，所述选择输出单元、所述判决单元分别为使用软件编程在所述代理模块内部生成的软件功能模块；所述输入模块，支持外部数据的接收和发送；所述复制分发单元，分别与所述输入模块和多个异构处理器模块连接，接收所述输入模块发送的外部数据并复制分发至多个异构处理器模块；每个异构处理器模块，均包括输入代理、多个异构虚拟机和裁决器，所述输入代理分别与多个异构虚拟机连接，用于接收外部数据并将外部数据复制分发至多个异构虚拟机；所述异构虚拟机与所述裁决器连接，用于对外部数据进行处本文档来自技高网...

【技术保护点】
1.一种拟态防御装置，其特征在于：包括输入模块、输出模块、代理模块和多个异构处理器模块，所述代理模块包括复制分发单元、判决单元和选择输出单元；/n所述输入模块，支持外部数据的接收和发送；/n所述复制分发单元，分别与所述输入模块和多个异构处理器模块连接，接收所述输入模块发送的外部数据并复制分发至多个异构处理器模块；/n每个异构处理器模块，均包括输入代理、多个异构虚拟机和裁决器，所述输入代理分别与多个异构虚拟机连接，用于接收外部数据并将外部数据复制分发至多个异构虚拟机；所述异构虚拟机与所述裁决器连接，用于对外部数据进行处理，并将处理结果输出至所述裁决器；所述裁决器用于对多个异构虚拟机的处理结果进行裁决，并输出裁决结果；/n所述选择输出单元，分别与多个异构处理器模块连接，用于接收多个异构处理器模块输出的裁决结果；/n所述判决单元，与所述选择输出单元连接，用于从所述选择输出单元获取多个异构处理器模块的裁决结果，进行判决，并将判决结果返回至所述选择输出单元；/n所述选择输出单元，与所述输出模块连接，根据所述判决结果和以及预置选择策略选择一个异构处理器模块的裁决结果，并通过所述输出模块输出该裁决结果。/n...

【技术特征摘要】
1.一种拟态防御装置，其特征在于：包括输入模块、输出模块、代理模块和多个异构处理器模块，所述代理模块包括复制分发单元、判决单元和选择输出单元；
所述输入模块，支持外部数据的接收和发送；
所述复制分发单元，分别与所述输入模块和多个异构处理器模块连接，接收所述输入模块发送的外部数据并复制分发至多个异构处理器模块；
每个异构处理器模块，均包括输入代理、多个异构虚拟机和裁决器，所述输入代理分别与多个异构虚拟机连接，用于接收外部数据并将外部数据复制分发至多个异构虚拟机；所述异构虚拟机与所述裁决器连接，用于对外部数据进行处理，并将处理结果输出至所述裁决器；所述裁决器用于对多个异构虚拟机的处理结果进行裁决，并输出裁决结果；
所述选择输出单元，分别与多个异构处理器模块连接，用于接收多个异构处理器模块输出的裁决结果；
所述判决单元，与所述选择输出单元连接，用于从所述选择输出单元获取多个异构处理器模块的裁决结果，进行判决，并将判决结果返回至所述选择输出单元；
所述选择输出单元，与所述输出模块连接，根据所述判决结果和以及预置选择策略选择一个异构处理器模块的裁决结果，并通过所述输出模块输出该裁决结果。


2.根据权利要求1所述的拟态防御装置，其特征在于，所述选择策略具体包括：
若存在裁决结果正确的异构处理器模块，且裁决结果正确的异构处理器模块包含有上一次选择的输出异构处理器模块，则维持上一次选择；
若只存在一个裁决结果正确的异构处理器模块，且裁决结果正确的异构处理器模块不包含上一次选择的输出异构处理器模块，则选择所述裁决结果正确的异构处理器模块的裁决结果，以进行输出；
若存在多个裁决结果正确的异构处理器模块，且裁决结果正确的异构处理器模块不包含上一次选择的输出异构处理器模块，则根据历史权重从裁决结果正确的异构处理器模块中选择权重最高的异构处理器模块的裁决结果，以进行输出。


3.根据权利要求1或2所述的拟态防御装置，其特征在于：多个异构虚拟机运行功能相同的不同...

【专利技术属性】
技术研发人员：武彭彭，吕青松，宋延坡，郭义伟，宋帅康，邵文超，冯志峰，陈国仁，
申请(专利权)人：河南信大网御科技有限公司，珠海高凌信息科技股份有限公司，
类型：发明
国别省市：河南;41