一种多模态网络支持拟态系统、方法、装置及存储介质制造方法及图纸

本发明专利技术涉及一种多模态网络支持拟态系统、方法、装置及存储介质，其中系统包括多模态控制器、多模态网元及多模态端设备；多模态控制器连接多个多模态网元，多模态端设备通过多模态网元接入多模态网络；多模态控制器用于完成控制协议的拟态化以及拟态系统的调度实现，多模态控制器中同时运行有多个不同模态的模态转发协议软件，以实现控制面的异构；多模态网元用于完成数据面的拟态化及拟态系统的裁决功能；多模态端设备上运行有多个不同模态的转发平面实现异构。本方法通过将多模态网络实现拟态化改造，从而实现了多模态网络的内生安全。全。全。

【技术实现步骤摘要】
一种多模态网络支持拟态系统、方法、装置及存储介质


[0001]本专利技术涉及网络通信
，尤其是涉及一种多模态网络支持拟态系统、方法、装置及存储介质。

技术介绍

[0002]网络空间在蓬勃发展的同时，正面临着严峻的安全形势，存在大量针对网络空间的恶意攻击事件；另外网络系统复杂，不可避免的存在漏洞，因此网络空间既有来自外部的威胁，又与内部安全漏洞问题相互交织，网络空间安全风险严峻复杂。在新的网络空间安全形势下，基于先验知识的传统防御手段难以应对各种攻击，需要转变防御思路，定义新的防御边界，巩固防线纵深，实现从被动迈向内生安全的主动防御。
[0003]网络空间拟态防御(Cyber Mimic Defense，CMD)是为应对网络空间中不同领域相关应用层次上基于未知漏洞、后门、病毒或木马等未知威胁，提供具有普适创新意义的防御理论和方法。
[0004]现有技术中，缺乏基于网络空间拟态防御原理对多模态网络进行防御的研究。

技术实现思路

[0005]本专利技术针对多种模态运行的新型网络存在的各种安全问题，提供一种多模态网络支持拟态系统、方法、装置及存储介质，从而实现多模态网络的内生安全。
[0006]本专利技术的目的可以通过以下技术方案来实现：
[0007]一种多模态网络支持拟态系统，包括多模态控制器、多模态网元及多模态端设备；
[0008]所述多模态控制器连接多个多模态网元，所述多模态端设备通过多模态网元接入多模态网络；
[0009]所述多模态控制器用于完成控制协议的拟态化以及拟态系统的调度实现，多模态控制器中同时运行有多个不同模态的模态转发协议软件，以实现控制面的异构；
[0010]所述多模态网元用于完成数据面的拟态化及拟态系统的裁决功能；
[0011]所述多模态端设备上运行有多个不同模态的转发平面实现异构。
[0012]进一步地，所述多模态控制器包括模态转换模块、多模态协议栈及裁决和调度模块；
[0013]所述模态转换模块、多模态协议栈及裁决和调度模块依次相连；
[0014]所述多模态协议栈中包括多个执行体，每个执行体运行不同模态的模态转发协议软件。
[0015]进一步地，所述模态转换模块用于：
[0016]接受多模态端设备的注册认证，并判定当前运行的多模态网络能否支持多模端设备运行的模态；
[0017]实现多模态端设备不同多模态标识和端标识的映射，并将映射信息和接入点信息发送给多模态协议栈，多模态协议栈根据所述映射信息和接入点信息将多模态端设备加入
到不同模态执行体的全局网络视图中；
[0018]从多模态协议栈中获取当前运行的模态执行体，然后构造模态转换流表和还原流表下发到多模态网元对应的多模态端设备中。
[0019]进一步地，所述多模态协议栈用于通过不同模态的协议栈实现控制面的异构，不同模态协议栈信息通过协议无关的链路协议进行维护，包括以下步骤：
[0020]将端和网络拓扑构造为协议无关的全局视图，同时在不同模态执行体中维护协议无关表述和对应模态表述的映射关系；
[0021]模态执行体利用执行体内部对应模态的全局设备，下发对应转发流表到网元的对应模态执行体中，其内部会维持当前运行执行体；
[0022]新上线执行体同步转发表项时，被同步执行体首先将转发表项转换为协议无关表述，新上线执行体将所述协议无关表述转换为自身模态信息，同时转发流表下发到自己对应的网元模态执行体中。
[0023]进一步地，所述裁决和调度模块用于获取多模态网元的裁决结果，对多模态控制器和多模态网元的多模态执行体同时执行调度。
[0024]进一步地，所述多模态网元包括输入队列、输入协议转换模块、多模态转发模块、模态输出队列、输出裁决模块、输出协议转换模块及输出模块；
[0025]所述输入队列、输入协议转换模块、多模态转发模块、模态输出队列、输出裁决模块、输出协议转换模块及输出模块依次相连。
[0026]进一步地，所述输入队列用于接受多模态报文，并将所述多模态报文发送给输入协议转换模态。
[0027]进一步地，所述输入协议转换模块用于上报关键报文，并将所述多模态报文转为目标模态报文，同时将所述目标模态报文分发给多模态转发模块的不同的模态执行体中。
[0028]进一步地，所述关键报文包括端注册报文和首个数据报文。
[0029]进一步地，所述多模态转发模块中运行有多个执行体，各个执行体均独立运行其绑定的模态转发平面；各个执行体用于将执行动作写入多模态报文的输出元数据中，并将多模态报文及其元数据放入模态输出队列中。
[0030]进一步地，所述各个执行体之间实现物理隔离。
[0031]进一步地，所述模态输出队列用于保证多模态转发模块中各个执行体的输出同步。
[0032]进一步地，所述输出裁决模块用于裁决输出报文的输出元信息和报文的载荷，若所述输出报文的输出元信息和报文的载荷存在不一致，则输出裁决模块生成裁决结果，并将所述裁决结果、输出报文的输出元信息和报文的载荷内容上传至多模态控制器的裁决和调度模块，所述裁决和调度模块判定不一致的内容是否和模态相关，若不相关则按照裁决结果执行调度，若与模态相关，则会对模态相关内容做语义转换为模态无关的再做裁决，根据裁决结果更新网元裁决模块的裁决结果，并执行调度操作，随后输出报文。
[0033]进一步地，所述输出协议转换模块用于将报文还原为原模态报文。
[0034]进一步地，所述输出裁决模块用于从多模态控制器获取原模态报文信息，并从裁定正确的报文中选择一个发送给输出协议转换模块，若存在原模态报文，则优先选择原模态报文发送给输出协议转换模块；否则采用择多选举，并将裁定结果发送给多模态控制器。
[0035]一种多模态网络支持拟态方法，基于如上所述的一种多模态网络支持拟态系统实现，包括以下步骤：
[0036]S1、多模态端设备发送注册信息，由多模态网元将所述注册信息上传给多模态控制器，多模态控制器中的模态转换模块根据当前模态网络支持的模态，判定是否支持该多模态端设备，若多模态端设备申请的模态集合都在多模态网络支持的模态内，则返回注册成功消息至多模态端设备，然后进入步骤S2，否则发送注册失败消息至多模态端设备，并终止全部步骤；
[0037]S2、多模态端设备发送多模态报文，判定该多模态报文是否为第一个多模态报文，若是，则通过多模态网元上传给多模态控制器，并进入步骤S3，否则进入步骤S5；
[0038]S3、多模态控制器模态转换模块根据多模态报文的目的地址，查询对应的目的设备，若查询到目的设备，则通过多模态协议栈获取当前运行的执行体对应的网络模态，并进入步骤S4，否则丢弃该报文，并终止全部步骤；
[0039]S4、多模态控制器模态转换模块获取到目的设备和当前运行的执行体对应的网络模态，生成模态转换流表和模态还原流表，随后将模态转换流表下发到多模态网元的网元输入协议转换模块，将本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多模态网络支持拟态系统，其特征在于，包括多模态控制器、多模态网元及多模态端设备；所述多模态控制器连接多个多模态网元，所述多模态端设备通过多模态网元接入多模态网络；所述多模态控制器用于完成控制协议的拟态化以及拟态系统的调度实现，多模态控制器中同时运行有多个不同模态的模态转发协议软件，以实现控制面的异构；所述多模态网元用于完成数据面的拟态化及拟态系统的裁决功能；所述多模态端设备上运行有多个不同模态的转发平面实现异构。2.根据权利要求1所述的一种多模态网络支持拟态系统，其特征在于，所述多模态控制器包括模态转换模块、多模态协议栈及裁决和调度模块；所述模态转换模块、多模态协议栈及裁决和调度模块依次相连；所述多模态协议栈中包括多个执行体，每个执行体运行不同模态的模态转发协议软件。3.根据权利要求2所述的一种多模态网络支持拟态系统，其特征在于，所述模态转换模块用于：接受多模态端设备的注册认证，并判定当前运行的多模态网络能否支持多模端设备运行的模态；实现多模态端设备不同多模态标识和端标识的映射，并将映射信息和接入点信息发送给多模态协议栈，多模态协议栈根据所述映射信息和接入点信息将多模态端设备加入到不同模态执行体的全局网络视图中；从多模态协议栈中获取当前运行的模态执行体，然后构造模态转换流表和还原流表下发到多模态网元对应的多模态端设备中。4.根据权利要求2所述的一种多模态网络支持拟态系统，其特征在于，所述多模态协议栈用于通过不同模态的协议栈实现控制面的异构，不同模态协议栈信息通过协议无关的链路协议进行维护，包括以下步骤：将端和网络拓扑构造为协议无关的全局视图，同时在不同模态执行体中维护协议无关表述和对应模态表述的映射关系；模态执行体利用执行体内部对应模态的全局设备，下发对应转发流表到网元的对应模态执行体中，其内部会维持当前运行执行体；新上线执行体同步转发表项时，被同步执行体首先将转发表项转换为协议无关表述，新上线执行体将所述协议无关表述转换为自身模态信息，同时转发流表下发到自己对应的网元模态执行体中。5.根据权利要求2所述的一种多模态网络支持拟态系统，其特征在于，所述裁决和调度模块用于获取多模态网元的裁决结果，对多模态控制器和多模态网元的多模态执行体同时执行调度。6.根据权利要求1所述的一种多模态网络支持拟态系统，其特征在于，所述多模态网元包括输入队列、输入协议转换模块、多模态转发模块、模态输出队列、输出裁决模块、输出协议转换模块及输出模块；所述输入队列、输入协议转换模块、多模态转发模块、模态输出队列、输出裁决模块、输
出协议转换模块及输出模块依次相连。7.根据权利要求6所述的一种多模态网络支持拟态系统，其特征在于，所述输入队列用于接受多模态报文，并将所述多模态报文发送给输入协议转换模态。8.根据权利要求7所述的一种多模态网络支持拟态系统，其特征在于，所述输入协议转换模块用于上报关键报文，并将所述多模态报文转为目标模态报文，同时将所述目标模态报文分发给多模态转发模块的不同的模态执行体中。9.根据权利要求8所述的一种多模态网络支持拟态系统，其特征在于，所述关键报文包括端注册报文和首个数据报文。10.根据权利要求6所述的一种多模态网络支持拟态系统，其特征在于，所述多模态转发模块中运行有多个执行体，各个执行体均独立运行其绑定的模态转发平面；各个执行体用于将执行动作写入多模态报文的输出元数据中，并将多模态报文及其元数据放入模态输出队列中。11.根据权利要求10所述的一种多模态网络支持拟态系统，其特征在于，所述各个执行体之间实现物理隔离。12.根据权利要求6所述的一种多模态网络支持拟态系统，其特征在于，所述模态输出队列用于保证多模态转发模块中各个执行体的输出同步。13.根据权利要求6所述的一种多模态网络支持拟态系统，其特征在于，所述输出裁决模块用于裁决输出报文的输出元信息和报文的载荷，若所述输出报文的输出元信息和报文的载荷存在不一致，则输出裁决模块生成裁决结果，并将所述裁决结果、输出报文的输出元信息和报文的载荷内容上传至多模态控制器的裁决和调度模块，所述裁决和调度模块判定不一致的内容是否和模态相关，若不相关则按照裁决结果执行调度，若与模态相关，则会对模态相关内容做语义转换为模态无关的再做裁决，根据裁决结果...

【专利技术属性】
技术研发人员：闫林林，卢东辉，葛俊成，邹涛，张汝云，骆汉光，
申请(专利权)人：之江实验室，
类型：发明
国别省市：