本发明专利技术公开了一种执行体的调度方法、装置和电子设备,其中方法包括:基于各个执行体相对于其他执行体的相似度,生成各个执行体的相似度指标;基于预设时间段内各个执行体相对于执行体集的投票表决差异情况,计算各个执行体的历史工作表现指标;将各个执行体的相似度指标和历史工作表现指标对应融合,得到各个执行体的综合评价指标;基于各个执行体的综合评价指标,从各个执行体中提取预设数量的目标执行体。本发明专利技术提供的技术方案,降低了系统被攻击成功的可能性。成功的可能性。成功的可能性。
【技术实现步骤摘要】
一种执行体的调度方法、装置和电子设备
[0001]本专利技术涉及内生安全
,具体涉及一种执行体的调度方法、装置和电子设备。
技术介绍
[0002]随着信息技术的飞速发展,社会逐渐进入“万物互联”的时代,网络成为人们日常生活不可或缺的重要组成部分。越来越多智能终端的接入需求,对于网络安全稳定运行提出了更高要求。但传统网络防御技术必须基于先验知识才能发挥效用,而软硬件漏洞后门具有不可避免性,导致攻击者与防御者的地位不对等,网络攻防长期处于易攻难守的态势。网络攻击拟态防御技术改变了这种不对等的情况,实现对未知漏洞和后门威胁的主动防御。
[0003]拟态防御是一种具有包容性、开放性、主动性的革命性防御技术体系。拟态防御不再追求建立一种无漏洞、无后门、无缺陷、完美无瑕的防御系统来对抗网络空间安全威胁,而是采取多样的、不断变化的评价和部署机制与策略,构建一种动态的、异构的、冗余的、不确定的体系架构,形成“探测难、渗透难、攻击激励难、攻击成果利用难”等困境,打破攻击链赖以形成的网络架构的静态性、确定性和相似性。通俗来讲,拟态防御技术通过部署执行体集,执行体集中包括多种执行体,每个执行体包含不同种类的模块,每个模块又具有多种组件类型,例如每个执行体按照功能划分,均包含的模块有处理器、操作系统、应用软件、协议栈等。以处理器为例,处理器包含的组件类型有x86、GPU、FPGA、ARM等,假设一个执行体的处理器使用的组件是x86CPU,另一个执行体的处理器使用的组件是ARM核,则认为这两个执行体的处理器模块存在差异,其他模块同理。在系统运行时,各个执行体均接收用户的输入,后端对各个执行体的输出进行投票表决,根据投票表决结果再决定是否响应用户的输出,如果某个执行体遭受网络攻击从而输出异常,导致各个执行体投标表决结果不一致,后端则拒绝响应。由于不同执行体内的相同模块之间存在差异,黑客需要渗透所有执行体才能攻击成功,并且拟态防御还会以预设周期或者在某个执行体被攻破时对执行体集中的执行体进行替换,使得黑客渗透执行体的成本显著增加。
[0004]由于功能的等价,各异构执行体之间不可能做到完全相异,且相互之间的差异也有大小之分,故相似度大的几个等价体之间存在漏洞或缺陷交集的可能性较大,例如x86CPU和某些GPU有一些共通之处。由于现有的拟态判决策略以多数一致性判决为主,若产生的调度策略选择了相互之间相似度较大的功能等价执行体集,则攻击者可以利用这些可能存在的漏洞缺陷交集进行攻击,得到多数一致的错误结果,进而通过仲裁得到了错误的输出。
[0005]目前针对调度执行体集的研究存在一些局限性。现有研究对于执行体单元的划分粒度不够,这使得执行体彼此之间异构性较低,相似程度较高,从而使系统被攻击成功的可能性增高。
技术实现思路
[0006]有鉴于此,本专利技术实施方式提供了一种执行体的调度方法、装置和电子设备,从而降低了系统被攻击成功的可能性。
[0007]根据第一方面,本专利技术实施例提供了一种执行体的调度方法,所述方法包括:基于各个执行体相对于其他执行体的相似度,生成各个执行体的相似度指标;基于预设时间段内各个执行体相对于执行体集的投票表决差异情况,计算各个执行体的历史工作表现指标;将各个执行体的所述相似度指标和所述历史工作表现指标对应融合,得到各个执行体的综合评价指标;基于各个执行体的所述综合评价指标,从各个执行体中提取预设数量的目标执行体。
[0008]可选地,所述基于各个执行体相对于其他执行体的相似度,生成各个执行体的相似度指标,包括:遍历计算当前执行体与各个其他执行体的相同模块之间的相似度,得到当前执行体的多个模块相似值;计算所述多个模块相似值的平方和,得到当前执行体的所述相似度指标。
[0009]可选地,所述遍历计算当前执行体与各个其他执行体的相同模块之间的相似度,得到当前执行体的多个模块相似值,包括:针对当前执行体内与某个其他执行体内相同的当前模块,获取所述当前模块在所述当前执行体中的第一组件类型,并获取所述当前模块在所述某个其他执行体中的第二组件类型;根据所述第一组件类型与所述第二组件类型之间的相似度,确定所述当前执行体内与所述某个其他执行体内当前模块之间的相似度。
[0010]可选地,若所述当前模块是处理器或操作系统,则计算所述第一组件类型与所述第二组件类型之间的相似度的步骤,包括:获取第一组件类型与第二组件类型各自的漏洞,并获取第一组件类型与第二组件类型的共同漏洞;基于第一组件类型与第二组件类型各自的漏洞计算整体漏洞指标,并基于所述共同漏洞计算共同漏洞指标;将所述共同漏洞指标与所述整体漏洞指标的比值作为所述第一组件类型与所述第二组件类型之间的相似度。
[0011]可选地,所述基于预设时间段内各个执行体相对于执行体集的投票表决差异情况,计算各个执行体的历史工作表现指标,包括:在所述预设时间段内,统计当前执行体的输出与执行体集投票表决输出的差异次数;获取当前执行体的输出与执行体集投票表决输出存在差异的最近时间;基于所述最近时间和所述差异次数计算当前执行体的所述历史工作表现指标。
[0012]可选地,所述基于所述最近时间和所述差异次数计算当前执行体的所述历史工作表现指标,包括:对所述最近时间的长度进行归一化并取反,得到当前执行体的时间指标;计算所述时间指标与所述差异次数的乘积,得到当前执行体的所述历史工作表现指标。
[0013]可选地,所述将各个执行体的所述相似度指标和所述历史工作表现指标对应融合,包括:将当前执行体的所述相似度指标和所述历史工作表现指标按照预设权重进行加权融合,得到当前执行体的所述综合评价指标。
[0014]可选地,所述基于各个执行体的所述综合评价指标,从各个执行体中提取预设数量的目标执行体,包括:按照各个综合评价指标从小到大的顺序对各个执行体进行排序,得到执行体序列;从所述执行体序列中提取前面预设数量的执行体作为所述目标执行体。
[0015]根据第二方面,本专利技术实施例提供了一种执行体的调度装置,所述装置包括:相似度计算模块,用于基于各个执行体相对于其他执行体的相似度,生成各个执行体的相似度
指标;工作表现评估模块,用于基于预设时间段内各个执行体相对于执行体集的投票表决差异情况,计算各个执行体的历史工作表现指标;指标融合模块,用于将各个执行体的所述相似度指标和所述历史工作表现指标对应融合,得到各个执行体的综合评价指标;执行体调度模块,用于基于各个执行体的所述综合评价指标,从各个执行体中提取预设数量的目标执行体。
[0016]根据第三方面,本专利技术实施例提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面,或者第一方面任意一种可选实施方式中所述的方法。
[0017]根据第四方面,本专利技术实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机从而执行第一方面,或者第一方面任意一本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种执行体的调度方法,其特征在于,所述方法包括:基于各个执行体相对于其他执行体的相似度,生成各个执行体的相似度指标;基于预设时间段内各个执行体相对于执行体集的投票表决差异情况,计算各个执行体的历史工作表现指标;将各个执行体的所述相似度指标和所述历史工作表现指标对应融合,得到各个执行体的综合评价指标;基于各个执行体的所述综合评价指标,从各个执行体中提取预设数量的目标执行体。2.根据权利要求1所述的方法,其特征在于,所述基于各个执行体相对于其他执行体的相似度,生成各个执行体的相似度指标,包括:遍历计算当前执行体与各个其他执行体的相同模块之间的相似度,得到当前执行体的多个模块相似值;计算所述多个模块相似值的平方和,得到当前执行体的所述相似度指标。3.根据权利要求2所述的方法,其特征在于,所述遍历计算当前执行体与各个其他执行体的相同模块之间的相似度,得到当前执行体的多个模块相似值,包括:针对当前执行体内与某个其他执行体内相同的当前模块,获取所述当前模块在所述当前执行体中的第一组件类型,并获取所述当前模块在所述某个其他执行体中的第二组件类型;根据所述第一组件类型与所述第二组件类型之间的相似度,确定所述当前执行体内与所述某个其他执行体内当前模块之间的相似度。4.根据权利要求3所述的方法,其特征在于,若所述当前模块是处理器或操作系统,则计算所述第一组件类型与所述第二组件类型之间的相似度的步骤,包括:获取第一组件类型与第二组件类型各自的漏洞,并获取第一组件类型与第二组件类型的共同漏洞;基于第一组件类型与第二组件类型各自的漏洞计算整体漏洞指标,并基于所述共同漏洞计算共同漏洞指标;将所述共同漏洞指标与所述整体漏洞指标的比值作为所述第一组件类型与所述第二组件类型之间的相似度。5.根据权利要求1所述的方法,其特征在于,所述基于预设时间段内各个执行体相对于执行体集的投票表决差异情况,计算各个执行体的历史工作表现指标,包括:在所述预设时间段内,统计当前执行体的输出与执行体集投票表决输出的差异次数;获取当前执行体的输出与执行体集投票...
【专利技术属性】
技术研发人员:席泽生,张波,何川,缪巍巍,曾锃,张瑞,
申请(专利权)人:国网江苏省电力有限公司国网江苏省电力有限公司信息通信分公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。