异构功能等价执行体归一化装置、方法、架构及存储介质与流程
本发明涉及拟态防御领域,具体涉及一种异构功能等价执行体归一化装置、方法、架构及存储介质。
背景技术:
拟态防御的主要技术特征是其构建的动态异构冗余(dhr)构造,此构造由输入代理、异构功能等价执行体池、输出代理与裁决、反馈控制器四部分组成。其中,异构功能等价执行体在硬件层面通常采用不同架构的cpu进行设计,在软件层面则往往通过构建不同类型的操作系统来实现上层应用软件的异构环境。异构功能等价执行体应具备功能等价条件,但在实际应用中由于操作系统以及应用协议某些参数的随机性,往往会造成应用程序在不同执行体上有不同的输出,从而造成异构功能等价执行体失去功能等价的特性。
技术实现要素:
本发明的目的是提供一种异构功能等价执行体归一化装置、方法、架构及存储介质。
为了实现上述目的,本发明第一方面提供了一种异构功能等价执行体归一化模块,其特征在于,该模块包括:
归一化参数提供单元,用于产生异构功能等价执行体所需的归一化参数;
通信接口单元,用于建立该装置与异构功能等价执行体的通信连接,用以接收所述异构功能等价执行体的归一化请求,及将所述归一化参数输出至所述异构功能等价执行体。
基于上述,所述归一化参数提供单元包括tcp认证模块、ssl认证模块、加密函数模块和随机函数模块中的一种或多种组合。
基于上述,所述通信接口单元为单向输出接口单元。
基于上述,所述通信接口单元采用spi、i2c、pcie和串口中的一种或多种组合。
基于上述,所述归一化参数提供单元通过裸程序、fpga逻辑编程或者专有芯片的方式实现参数归一。
本发明第二方面提供了一种异构功能等价执行体归一化方法,其特征在于,该方法包括以下步骤:各个异构功能等价执行体接收到外部clinet发送的同步请求后,主动从权利要求1-5任一项所述的异构功能等价执行体归一化模块获取归一化参数;
各个异构功能等价执行体获取到归一化参数后,将生成的内容一致的同步请求应答报文返回至外部clinet;
各个异构功能等价执行体收到外部client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
本发明第三方面提供了一种异构功能等价执行体归一化装置,该装置包括所述的异构功能等价执行体归一化模块;
所述异构功能等价执行体归一化模块,在收到各个待归一化的异构功能等价执行体在接收到外部clinet发送的同步请求后生成的归一化请求后,生成归一化参数并输出至所述异构功能等价执行体;
各个待归一化的异构功能等价执行体获取到归一化参数后,将生成的内容一致的同步请求应答报文返回至外部clinet;
各个待归一化的异构功能等价执行体收到外部client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
基于上述,所述归一化参数提供单元在接到所有在线的异构功能等价执行体的获取请求后,才会生成归一化参数。
本发明第三方面提供了一种拟态防御架构,包括输入代理、输出代理、异构功能等价执行体、反馈控制器与裁决器,还包括所述的异构功能等价执行体归一化装置,用以实现异构功能等价执行体的参数归一化。
基于上述,所述异构功能等价执行体归一化装置为独立模块或集成于所述反馈控制器中。
本发明第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现所述异构功能等价执行体归一化方法的步骤。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体地说,本发明所提供的异构功能等价执行体归一化装置,通过设置归一化参数提供单元向异构功能等价执行体提供所需的归一化参数,解决了异构功能等价执行体因操作系统的多样性带来的功能等价不一致问题,保证了多个异构功能等价执行体无论是底层驱动(协议栈)还是上层应用都能获取到一致的参数,以此来实现多个异构功能等价执行体完整的功能等价。
附图说明
图1本发明实施例1提供的异构功能等价执行体归一化装置的设计框图。
图2本发明实施例2提供的异构功能等价执行体归一化方法流程框图。
图3本发明实施例3提供的异构功能等价执行体归一化方法流程框图。
图4本发明实施例4提供的拟态防御架构框图。
具体实施方式
实施例1
本实施例提供了一种异构功能等价执行体归一化模块,如图1所示,该装置包括:
归一化参数提供单元,用于产生异构功能等价执行体所需的归一化参数;
通信接口单元,用于建立该装置与异构功能等价执行体的通信连接,用以接收所述异构功能等价执行体的归一化请求,及将所述归一化参数输出至所述异构功能等价执行体。
具体的,所述归一化参数提供单元包括tcp认证模块、ssl认证模块、加密函数模块和随机函数模块中的一种或多种组合,特别的还有其它所需的归一化函数;在具体实现时,所述归一化参数提供单元还设置控制管理模块,接收所述异构功能等价执行体的归一化请求后,调用相应的模块中的随机化函数、tcp协议认证、ssl认证、加密函数、时间函数等生成各个异构功能等价执行体无法保证一致的参数。
为了保证异构功能等价执行体归一化模块的安全性,异构功能等价执行体归一化模块应尽量避免通过网络的方式与异构功能等价执行体之间通信,可以采用spi、i2c、pcie和串口中的一种或多种组合,并且将所述通信接口单元设置为单向输出接口单元,使异构功能等价执行体只能从异构功能等价执行体归一化模块获取数据,尽量避免异构功能等价执行体向异构功能等价执行体归一化模块发送数据。
进一步的,异构功能等价执行体归一化模块应尽量设计简单,可以通过裸程序、fpga逻辑编程或者专有芯片的方式实现参数归一,以此来实现攻击不可达。
实施例2
本实施例提供了一种异构功能等价执行体归一化方法,如图2所示,该方法包括以下步骤:各个异构功能等价执行体接收到外部clinet发送的同步请求后,主动从所述的异构功能等价执行体归一化装置获取归一化参数;
各个异构功能等价执行体获取到归一化参数后,生成内容一致的同步请求应答报文返回至外部clinet;同步请求应答报文中的归一化参数是从异构功能等价执行体归一化装置处统一获取的,以此保证多个异构功能等价执行体发送的同步请求应答报文内容是完全一致的;
外部client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
特别的,为了保证多个异构功能等价执行体获取到相同的归一化参数,所述归一化参数提供单元在接到所有在线的异构功能等价执行体的获取请求后,才会生成归一化参数。进一步地,当在t时间范围内,归一化参数提供单元如果未收到某个异构功能等价执行体的获取请求,归一化参数提供单元向反馈控制模块进行异常信息上报,此时,反馈控制模块可以将异常的异构功能等价执行体进行下线清洗;
优选地,外部client回复的确认送达数据报文可以经分发代理模块直接复制分发给各个异构功能等价执行体。
实施例3
本实施例提供了一种针对tcp协议的异构功能等价执行体归一化方法,处理流程如图3所示:
(1)异构功能等价执行体(tcp协议栈)接收外部clinet发送的tcp同步请求,其中,分发代理模块发送给每个异构功能等价执行体的报文内容应是相同的;
(2)异构功能等价执行体(tcp协议栈)接收到tcp同步请求报文后,主动从归一化参数提供单元处获取seq值;其中,归一化参数提供单元必须在接到所有在线的异构功能等价执行体的seq值请求后,才会发布seq值;当在t时间(根据具体应用进行制定,一般应为协议重传时间rt×70%)范围内,归一化参数提供单元如果未收到某个异构功能等价执行体的seq值请求,则向反馈控制模块进行异常信息上报,此时,反馈控制模块将异常的异构功能等价执行体进行下线清洗;
(3)异构功能等价执行体(tcp协议栈)从归一化单元处获取到seq值后,向外部clinet发送同步请求应答报文;
(4)外部client收到异构功能等价执行体(tcp协议栈)发送的同步请求应答报文后,通过分发代理模块将ack数据报文简单地复制分发给各个异构功能等价执行体,即可完成异构功能等价执行体的tcp协议参数归一化。
实施例4
本发明第三方面提供了一种异构功能等价执行体归一化装置,该装置包括所述的异构功能等价执行体归一化模块;
所述异构功能等价执行体归一化模块,在收到各个待归一化的异构功能等价执行体在接收到外部clinet发送的同步请求后生成的归一化请求后,生成归一化参数并输出至所述异构功能等价执行体;
各个待归一化的异构功能等价执行体获取到归一化参数后,将生成的内容一致的同步请求应答报文返回至外部clinet;
各个待归一化的异构功能等价执行体收到外部client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
特别的,为了保证多个异构功能等价执行体获取到相同的归一化参数,所述归一化参数提供单元在接到所有在线的异构功能等价执行体的获取请求后,才会生成归一化参数。进一步地,当在t时间范围内,归一化参数提供单元如果未收到某个异构功能等价执行体的获取请求,归一化参数提供单元向反馈控制模块进行异常信息上报,此时,反馈控制模块可以将异常的异构功能等价执行体进行下线清洗;
优选地,外部client回复的确认送达数据报文可以经分发代理模块直接复制分发给各个异构功能等价执行体。
实施例5
本实施例提供了一种拟态防御架构,如图4所示,包括输入代理、输出代理、异构功能等价执行体、反馈控制器与裁决器,还包括所述的异构功能等价执行体归一化装置,用以实现异构功能等价执行体的参数归一化。
进一步地,所述异构功能等价执行体归一化装置为独立模块或集成于所述反馈控制器中。
实施例6
本实施例提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现所述异构功能等价执行体归一化方法的步骤。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,还可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!