拟态资源调度方法、系统及介质与流程

本发明涉及网络安全技术领域，具体地，涉及一种拟态资源调度方法、系统及介质。

背景技术：

当前，网络空间安全问题正日益受到社会各阶层的高度关注，各种创新的网络安全技术也不断涌现。然而，漏洞和后门的数量反而呈现越来越多的趋势。拟态防御期望创建一种能够统一静态或动态防御、被动或主动防御的理论体系，在工程上能够将目标对象的不确定威胁问题归一化为经典可靠性问题的技术架构。以相对正确公理的逻辑表达实现不依赖攻击者先验知识或行为特征信息的敌我识别机制；以动态异构冗余架构内在的隐身功能改变防御环境的静态性、相似性和确定性；用给定矢量空间策略裁决机制形成“非配合条件下，动态多元目标协同一致攻击难度”以实现面防御功能；用基于输出矢量裁决的策略调度和多为动态重构负反馈机制提供点防御功能；用点面融合防御功能形成的测不准场景，防御或阻止针对目标系统执行体暗功能的试错式攻击；以简洁的广义鲁棒控制架构和机制使得目标对象具有高可靠、高可信、高可用三位一体的特性。

网络空间拟态防御(cmd)：在技术层面表现为，基于一种创新的广义鲁棒控制架构和颇具欺骗性的拟态伪装或隐性隐身机制，可以产生出一种与量子力学测不准效应相类似的物理或逻辑的场景，运用这一效应能够在目标软硬件系统中获得应用服务提供、可靠性保障、安全可信防御“三位一体”的集约化功能。

拟态防御架构(dynamicheterogeneousredundancy，dhr架构)：具有管控广义不确定扰动的能力，能够有效抑制包括已知的未知安全风险或未知的未知安全威胁在内的不确定扰动。若将拟态伪装机制赋予dhr架构的多模裁决、策略调度、负反馈控制、多维动态重构等环节，就可以建立起网络空间拟态防御的基础体系。

拟态呈现(mimicdisplay，md)：一种基于动态异构冗余原理的智能调度功能，是在时间、空间和策略等维度上组合应用异构执行体集合的过程。本质上来说，拟态呈现是基于拟态特性的结构表征方法，动态化、多样化、随机化和负反馈机制等是其制造复杂拟态场景的基本手段，拟态呈现质量(即结构表征的诡异性或狡黠性)对保证拟态防御效果有着重要的影响。

专利文献《一种基于拟态域名服务器的dns动态调度方法》(cn108900654a)：提供一种基于拟态域名服务器的dns动态调度方法，包括：步骤1.1、初始化ccur；步骤1.2、从ch中选择k个物理服务器组成候选集合hk，从hk中选择，在的执行体子池中选择执行体c加入ccur；步骤1.3、若hk中已没有候选物理服务器，执行步骤1.5；反之执行步骤1.4；步骤1.4、从hk中选择，根据预设安全增益算法，在的执行体子池中确定使系统安全增益最大的执行体c’，加入ccur，执行步骤1.6；步骤1.5、遍历当前执行体所在执行体子池中的其余所有执行体，根据预设安全增益算法，在所述其余所有执行体中确定使系统安全增益最大的执行体c’，加入ccur；步骤1.6、重复执行步骤1.3，直至ccur的执行体个数达到m。本发明基于安全增益选择在线执行体，从而能够最大化系统安全增益。第一个执行体是随机选取的，而后依次选取安全增益较大的执行体，这会造成系统等待和时间差，在效率上存在一定的滞后性；而本提交发明所提方法是在满足负载均衡情况下，满足动态性、随机性、异构性三性最大化的选取出n异构执行体组后进行调度。

专利文献《面向拟态安全防御的异构功能等价体调度算法》(通信学报，2018，39(07):188-198)：拟态安全防御的一个关键环节是异构功能等价体的调度，现有的调度策略缺乏对冗余体间相似度的考虑，且调度算法较为单一。基于此，提出了一种兼顾动态性和可靠性的异构功能等价体调度算法——随机种子最小相似度算法，首先，在正常工作的异构冗余体中随机确定任务执行余度和一个种子冗余体，为拟态调度引入动态性(种子冗余体包含于调度方案中)，然后根据最小相似度原则选择整体相似度最小的调度方案。从理论上出发，基于异构执行体的相似性进行随机调度；而实际拟态应用场景中，异构执行体和运行环境节点软硬件的相似度是可预先确定的，工程上需要综合考虑n异构执行体和运行节点资源的随机性、动态性、异构性。

本发明提供资源调度的框架和算法设计，框架的核心组成部分是调度算法的有效性，算法效果的好坏直接影响了框架的拟态呈现。

其中框架部分解决的技术问题包括拟态初始化组件和拟态调度服务。

算法设计主要解决的技术问题包括但不限于根据n个异构执行体的各层软硬件异构特征，实现资源调度的随机性、动态性、异构性最大化调度。

现有的随机选取冗余体，再进行最小相似性比较的调度算法，在实际拟态应用场景中，异构执行体和运行环境节点软硬件的相似度是可预先确定的，算法的实用性还显不足。本发明基于现有环境下的资源状态映射，实现了同时满足随机性、动态性、异构性的调度，为整个系统实现服务请求执行过程的自动化，达到已未知后门和漏洞主动防御、安全威胁攻击及时阻断、数据完整性确保等拟态防御目标提供必要的技术支撑。

专利文献cn109218440a(申请号：201811190446.x)公开了一种场景化的拟态web服务器异构执行体动态调度方法。该方法包括：计算线下执行体与线上执行体的整体差异值；统计目标场景下攻击者的类型集合l和攻击者l的攻击方式策略集合nl，得到各类型攻击者的攻击概率表pa＝{p1，p2，...，pl}；计算攻击者l针对任一执行体发起攻击时，攻防双方在各种攻击方式下的收益值al和dl；将贝叶斯-斯塔克尔伯格博弈模型映射到拟态web服务器上，构建用于求解最优调度策略的目标函数；将所述整体差异值和攻防双方的收益值al和dl带入所述目标函数中，得到防御者的最优混合策略x。

技术实现要素：

针对现有技术中的缺陷，本发明的目的是提供一种拟态资源调度方法、系统及介质。

根据本发明提供的拟态资源调度方法，包括：

步骤1：建立基础数据结构；

步骤2：根据基础数据结构制定拟态资源调度准则；

步骤3：对拟态资源调度进行初始化；

步骤4：构建异构特征分类器；

步骤5：对异构特征进行分类，构建异构执行体n元组；

步骤6：对异构特征分类器和异构执行体n元组进行一致性更新；

步骤7：进行负载均衡计算；

步骤8：进行随机调度。

优选地，所述步骤1包括：创建拟态管理资源调度的基础表，所述基础表包括各层软硬件数字化表示的异构特征。

优选地，所述步骤2包括：拟态管理资源调度基于制定的准则进行调度；

拟态资源调度基于所述准则最大化目标和现有软硬件环境进行优化设计。

优选地，所述步骤4包括：根据各层软硬件异构特征和不同节点进行分类，构建异构特征分类器。

优选地，所述步骤5包括：对运行节点异构特征进行全局分类，形成n元组集合；

根据服务请求的n异构执行体资源调度需求，将符合设定的异构特征的运行节点作为n元组元素，当异构特征小于需求时，对n元组元素进行扩展，构建节点n元组；

计算各节点n元组的异构度并进行异构度排序；

根据节点n元组构建异构执行体n元组。

优选地，所述步骤6包括：当运行节点和异构执行体发生动态变化时，进行一致性更新，形成动态变化后的异构执行体n元组集合。

优选地，所述步骤7包括：

输入对象包括运行节点和异构执行体n元组；

输出对象包括异构执行体n元组负载均衡队列。

优选地，所部步骤8包括：在满足异构性和负载均衡的情况下，进行随机调度。

根据本发明提供的拟态资源调度系统，包括：

模块m1：建立基础数据结构；

模块m2：根据基础数据结构制定拟态资源调度准则；

模块m3：对拟态资源调度进行初始化；

模块m4：构建异构特征分类器；

模块m5：对异构特征进行分类，构建异构执行体n元组；

模块m6：对异构特征分类器和异构执行体n元组进行一致性更新；

模块m7：进行负载均衡计算；

模块m8：进行随机调度。

与现有技术相比，本发明具有如下的有益效果：

1、开创性的制定了资源资源调度的准则；

2、采用分类器的方法实现对各层软硬件异构特征的分类，同时对节点n元组进行分层，以更好的实现调度结果的最大化；

3、结合负载均衡策略保证可调度情况下的随机调度；实现了动态性、随机性、异构性三性的最大化，有效应对了工程上异构执行体和运行节点软硬件相似度可预先设定的问题。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为拟态资源调度功能模块及交互示意图；

图2为调度算法设计流程图；

图3为拟态资源异构执行n元组调度流程图；

图4为n元组运行资源负载均衡和调度活动图；

图5为服务器节点负载均衡调度流程图；

图6为云容器负载均衡调度流程图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

拟态资源调度服务主要为客户端服务请求的执行分别提供n异构执行体服务器、分发服务器、内部和服务请求响应二表决服务器的运行资源调度。其调度目标在于最大化地确保n个服务器运行节点三层软硬件的随机性、动态性和异构性，并实现资源的调度和负载均衡。

拟态资源调度服务基于构建特定系统应用服务程序的异构执行体n元组表及全局映像按需调度具有异构性和负载均衡的n元组，包括但不限于运行节点，云容器或虚拟机。图1所示为拟态资源调度功能模块，包括拟态资源初始化组件、拟态调度服务两个模块。

拟态初始化组件包括：

1、构造异构特征分类器；

2、执行运行节点异构特征分类；

3、构建异构执行体n元组集合。

基于异构特征索引矩阵，提供具有异构特征优先级和最大化排序的异构执行体n元组集合。

拟态调度服务包括：

1、基于全局映像和资源更新记录，实施分类器和分类数据一致性更新，并更新具有异构特征优先级和最大化排序的异构执行体n元组集合，提供调度的候选集；

2、结合资源全局表实现n元组的n异构执行体节点资源和云资源对象的负载均衡调度。

优选地，图2为调度算法设计流程图，对拟态资源调度的流程做出排序。

具体针对mcoe管理服务中资源调度的实施例：

步骤一：基础数据结构的建立：

本方法主要以n异构执行体为对象，描述资源调度的设计与实现。分发、内部和外部二表决服务器的资源调度是单一服务器运行资源的调度，是n异构执行体服务器的n＝1特例。实施例中以n异构执行体的调度为例描述技术方案。

步骤1.1、拟态应用为拟态资源管理创建了资源管理所需的基础表，给出了各层(以三层为例)软硬件通用异构特征的8位(也可以为更多位，仅仅是举例)二进制数字化表示，其中：异构特征表征为：一位为1、七位为0。最多表示8个异构特征；多于8个异构特征的情况，依相似度合并为8个表征。实际上大多数软硬件异构特征≤3。

步骤1.2、基于分类索引构建运行节点全局特征表并实施相应的表记录分类，形成异构执行体分类索引表。

步骤二：制定拟态资源调度准则：

拟态管理资源调度服务基于如下五条准则实现n个异构执行体(部署：服务器、云容器或虚拟机)和相应执行体运行节点资源及资源对象的调度算法：

步骤2.1、调度准则1：n个异构执行体应符合源代码异构特征最大化原则，具有调度的随机性。

步骤2.2、调度准则2：n个运行节点基础层应符合软硬件异构特征最大化原则，并确保异构执行体均衡分布在不同运行节点上。

步骤2.3、调度准则3：在遵循准则1和2前提下，n个运行节点应用支撑层软件应符合异构特征最大化原则。

步骤2.4、调度准则4：高优先级防御的软硬件异构特征最大化应优先满足的原则(由拟态系统应用管理给出)。

步骤2.5、调度准则5：资源调度动态变化性和负载均衡性。

n异构执行体资源调度应遵循运行节点资源负载均衡，并兼顾客户端按序服务请求的前、后n异构执行体运行节点资源的动态变化性最大原则。

拟态资源管理遵循调度准则，规划运行节点各层软硬件异构特征和负载的均衡配置及部署，拟态资源调度算法基于该均衡配置和部署假设的前提下进行优化设计。

步骤三：拟态资源调度初始化；

如图3所示的拟态资源异构执行n元组调度流程图，实施例中异构特征考虑三层(基础层、源代码、应用支撑层)，根据支撑层和源代码的异构特征和不同节点进行分类构建异构特征分类器，并对拟态系统运行节点异构特征全局表进行分类，形成按用户定义的软硬件异构特征优先级和遵循调度准则排序的、异构执行体及其部署的运行节点两元素对的n元组集合，作为拟态资源调度服务组件实施负载均衡和调度的资源对象。

步骤四：构建异构特征分类器；

构建的异构特征分类器，并给出层和源代码异构特征分类索引最大值和标识，以及各层软硬件异构特征最大值和标识定义情况；分类索引由类似[i]、[i，j]、[i，j，k]、[i，j，k，l]这样的多维数组表示，每个索引指向运行节点集合和部署的异构执行体集合，分别表示经过上层分类结果形成的具有异构特征组合的分类标识索引，索引所指向的值包括运行节点索引集合和运行节点部署的异构执行体组合。

步骤五：运行节点异构特征的分类；

步骤5.1、面向服务请求的n异构执行体资源调度需求，优先选择具有不同基础层异构特征的运行节点作为n元组元素，构建n元组集合；

步骤5.2、n大于基础层异构特征最大数flhmax时，先构建运行节点m元组集合(m＝flhmax)，并基于各node[i]的运行节点数，按比例均衡扩展集合中的各m元组到n元组；最终均衡扩展n元组集合元素，达到运行节点均衡分布，以便于异构执行体n元组的构建。

步骤5.3、计算所有节点的异构度：l索引值运行节点异构度＝＝不同i索引值个数+不同k索引值个数+不同j源代码索引值个数；按n元组中的运行节点异构度累加值对运行节点n元组集合排序，高优先级的节点n元组优先进行异构执行体n元组的构建

步骤5.4、运行节点n元组集合中的各n元组，运行节点n元组异构度＝sum(所有n运行节点异构度)；

步骤5.5、合并相同运行节点n元项，并按照n元组异构度进行排序；

步骤六：构建异构执行体n元组集合；

步骤6.1、遍历形成异构执行体n元组；

步骤6.2、合并和去重异构执行体n元组，形成可调度的异构执行体n元组集合，每个n元组包括相应的i，j，k和软硬件异构特征符合度，n元组中各异构执行体指向的i，j，k，l，e(e为异构执行体索引)；

步骤6.3、按软硬件优先级和i，j，k异构特征符合度排序。

步骤6.4、根据记录的n元组当前的调度情况，优先调度被调度次数少的n元组，以满足均衡性，增强攻击的难度。

步骤七：分类器和n元组一致性更新；

基于分类树，当运行节点资源(增/减)和资源对象(异构执行体：容器/虚拟机增/减)动态变化时，将直接针对其各层特征进行分类器的插入和删除，对分类器和各层输出数据进行一致性更新，形成动态变化后的异构执行体n元组集合。

步骤八：负载均衡；

如图4所示为n元组运行资源负载均衡和调度活动图，当资源对象为容器时，需进行容器及其所在节点负载情况的综合考虑及计算：

(1)对服务器节点的负载均衡计算，如图5所示；

(2)对云容器、虚拟机的负载均衡计算；

云容器、虚拟机均需要基于物理服务器节点进行部署和分配，其负载均衡调度方式类似，本文以云容器为例进行设计。图6为基于容器的负载均衡调度流程图：

针对实施例的优化方法：

步骤五中根据异构度对节点n元组进行三层分层：其中可构成完全异构的n异构执行体的节点n元组为一层(各层异构特征数大于需求数的特征均不同，小于需求数的特征为该特征异构最大值)，满足用户要求优先级次序的节点n元组为一层，可扩展构成的节点n元组为一层。根据记录的节点n元组的分层情况，优先调度可构成完全异构的n异构执行体的节点n元组进入下一步异构执行体n元组的构建模块。该优选方案的优势在于，当增加节点或节点遭到破坏的情况下，直接在该步进行节点n元组的调整和更新分层(当有节点遭到攻击需要删除时，实时隐藏所有包含该节点的节点n元组；当有新节点添加时，根据新节点各层异构特征修改现有资源映射和表)，以更好的满足基于现有系统资源和运行状态的动态调度。

步骤六中算法设定了缺省的软硬件异构特征优先级和权值，如指定优先顺序依次为：源代码、cpu、os、容器、web容器。其各指标最大值分别为：scodehmax；cpuhmax；oshmax；cloudcontainerhmax；webcontainerhmax，权值依次为x，y，z，l，m(x，y，z，l，m为预先设定的权值，其和为1)。如用户定义了指定的特定一组软硬件异构特征优先级，其指定的软硬件按p％总权重和优先级分配、其它q％权重按缺省的优先级分配(p+q＝100)。

步骤八中在满足可调度情况下尽可能保证随机性，增加攻击难度，优选如下方案：选取输入的异构执行体n元组中同时满足wm小于a，方差小于b的n元组(a，b为预先设定的阈值)；统计这些n元组当前的调度情况，哈希选取调度次数小于中位数的n元组作为调度结果，并对该n元组的调度次数加1，保证随机性。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以，本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件，而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构；也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。