【技术实现步骤摘要】
可信执行体、拟态逃逸快速识别方法及拟态防御架构
本专利技术涉及拟态防御
,具体的说,涉及了一种可信执行体、拟态逃逸快速识别方法及拟态防御架构。
技术介绍
拟态防御的应用,同样存在有效范围,我们将其称之为拟态防御界(MimicDefenseBoundary,MDB),简称拟态界。如果一次攻击成功突破了拟态界,我们就称其发生了拟态逃逸(MimicEscape,ME)。拟态逃逸通常只有二种可能,其一是在裁决器的设计中植入后门改变裁决策略使裁决器条件失能,或者配合攻击可控的执行体,实现协同攻击,但均要以通过第三方拟态基准功能测试和病毒木马扫描为前提。其二是攻击者了解并能稳定掌控所有执行体中的攻击资源,以待机方式分别建立起攻击链,通过约定好的输入激励序列实现一致性无感逃逸。目前,针对拟态逃逸往往通过定时调度新的执行体上线来避免拟态逃逸的发生,拟态逃逸发生时,拟态构造系统往往是无感知的,如何快速识别出拟态逃逸,并阻断拟态逃逸,对于提高拟态架构的抗攻击能力具有重要意义。为了解决以上存在的问题,人们一直在寻求一...
【技术保护点】
1.一种可信执行体,其特征在于,包括:/n数据处理模块,用于接收输入代理发送的处理请求,并独立运行获得相应的可信执行结果;/n逃逸判断模块,用于读取裁决器输出的裁决结果,并将所述可信执行结果与所述裁决结果进行比较:其中,所述裁决结果为裁决器接收不同异构执行体输出的执行结果,并根据预置规则输出的数据;/n若所述可信执行结果与所述裁决结果不一致,则判定拟态界发生拟态逃逸事件,并向反馈调度模块传输告警信息,以告知反馈调度模块;若所述可信执行结果与所述裁决结果一致,则判定拟态界未发生拟态逃逸事件。/n
【技术特征摘要】
1.一种可信执行体,其特征在于,包括:
数据处理模块,用于接收输入代理发送的处理请求,并独立运行获得相应的可信执行结果;
逃逸判断模块,用于读取裁决器输出的裁决结果,并将所述可信执行结果与所述裁决结果进行比较:其中,所述裁决结果为裁决器接收不同异构执行体输出的执行结果,并根据预置规则输出的数据;
若所述可信执行结果与所述裁决结果不一致,则判定拟态界发生拟态逃逸事件,并向反馈调度模块传输告警信息,以告知反馈调度模块;若所述可信执行结果与所述裁决结果一致,则判定拟态界未发生拟态逃逸事件。
2.一种拟态逃逸快速识别方法,其特征在于,包括以下步骤:
可信执行体和异构执行体分别独立运行输入代理发送的处理请求;可信执行体基于处理请求生成可信执行结果;
所述可信执行体读取裁决器输出的裁决结果,并将所述可信执行结果与所述裁决结果进行比较:其中,所述裁决结果为裁决器接收不同异构执行体输出的执行结果,并根据预置规则输出的数据;
若所述可信执行结果与所述裁决结果不一致,则判定拟态界发生拟态逃逸事件;
若所述可信执行结果与所述裁决结果一致,则判定拟态界未发生拟态逃逸事件。
3.根据权利要求2所述的拟态逃逸快速识别方法,其特征在于,所述裁决器接收不同异构执行体输出的执行结果,并根据预置规则输出裁决结果时,执行:
在当前待裁决数据总数达到预设值M时,启动前置裁决模块;前置裁决模块读取前M个待裁决数据,对前M个待裁决数据进行预先裁决:若前置裁决模块判决前M个待裁决数据所包含的执行结果不一致,则将执行结果不一致状态传输至反馈调度模块;若前置裁决模块判决前M个待裁决数据所包含的执行结果一致,则将所述执行结果作为裁决结果进行输出;
在所述可信执行结果与所述裁决结果一致时,启动后置裁决模块;所述后置裁决模块获取未裁决数据,并基于所述未裁决数据对所述前置裁决模块输出的裁决结果进行校验;若所述未裁决数据所包含的执行结果与前置裁决模块输出的裁决结果不一致,则判定拟态界发生拟态逃逸事件,并向反馈调度模块传输告警信息,以告知反馈调度模块。
4.根据权利要求2所述的拟态逃逸快速识别方法,其特征在于,所述裁决器接收不同异构执行体输出的执行结果,并根据预置规则输出裁决结果时,执行:
在接收到首个待裁决数据时,触发选择输出模块;选择输出模块获取所述首个待裁决数据,并将所述首个待裁决数据作为裁决结果进行输出;
在所述可信执行结果与所述裁决结果一致时,启动数据裁决模块;所述数据裁决模块获取待裁决数据,并基于预置裁决规则对所述选择输出模块输出的裁决结果进行校验;若输出的裁决结果与剩余待裁决数据所包含的执行结果不一致,则判定拟态界发生拟态逃逸事件,并向反馈调度模块传输告警信息,以...
【专利技术属性】
技术研发人员:吕青松,贾铁振,冯志峰,胡海洋,翟英博,杨泽彭,郭义伟,陈国仁,
申请(专利权)人:河南信大网御科技有限公司,珠海高凌信息科技股份有限公司,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。