1.本发明涉及拟态系统,具体的说,涉及了一种拟态系统内部网络设计方法及系统。
背景技术:2.拟态防御技术改变了网络空间防御的游戏规则,为网络应用实现网络安全提供了一种全新的解决方案。为了确保拟态架构中每个模块的安全性,确保单个模块出现问题后,攻击行为不被扩散,拟态系统要求内部模块的通信是单线方式的,即数据流从输入代理至执行体是单线的,执行体指至裁决器是单线的,裁决至调度器是单线的,调度器至执行体是单线的,调度器至输入代理是单线的。为了实现单线的方式,往往借助于防火墙或者交换机acl的方式进行实现。然而,此种依赖于操作系统防火墙或者交换机功能实现方式,在某些不支持防火墙或者acl的场景下,会受限制。如何提供一种较通用的方法,实现拟态系统内部网络单线的方式,对于提高拟态技术在各行业的推广应用具有重要意义。
3.为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
技术实现要素:4.本发明的目的是针对现有技术的不足,从而提供了一种拟态系统内部网络设计方法及系统。
5.为了实现上述目的,本发明所采用的技术方案是:一种拟态系统内部网络设计装置,包括:规约记录器,用于记录拟态所述构造系统使用的通信路径,所述通信路径包括每条通信链路采用的通信规约,所述通信规约包括ip地址、通信协议、通信端口、加密算法四个网络元素;规约库,包括ip地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素;规约生成模块,被配置为接收所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令,所述新规约生成指令包括需要更换通信规约的通信链路,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;规约发送器,用于发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约。
6.基于上述,所述预设替换规则包括:当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信
链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。
7.基于上述,四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。
8.基于上述,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约时,确保变更后每条通信链路的通信规约是唯一的。
9.本发明第二方面提供一种拟态系统内部网络设计方法,包括以下步骤:当接收到所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令后,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约,并发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约;其中,所述新规约生成指令包括需要更换通信规约的通信链路,所述通信规约包括ip地址、通信协议、通信端口、加密算法四个网络元素,所述规约库包括ip地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素。
10.本发明第三方面提供一种拟态系统,包括输入代理、执行体、裁决器、调度器,还包括前述的拟态系统内部网络设计装置,所述调度器在按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成新规约生成指令,并将新规约生成指令发送给所述拟态系统内部网络设计装置;所述拟态系统内部网络设计装置响应新规约生成指令,生成新通信规约返回给所述调度器;所述调度器将所述新通信规约按照原来的链路传输至所述输入代理、所述执行体以及所述裁决器;所述调度器、所述输入代理、所述执行体以及所述裁决器执行所述通信规约。
11.本发明第四方面提供一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现前述的拟态系统内部网络设计方法。
12.本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,本发明通过拟态构造系统中引入拟态系统内部网络设计装置,在不借助外部环境的情况下,动态改变拟态构造系统内部网络架构,一方面保证了内部通信的单线性,另一方面增加了内部网络的可变性,提高了内部网络的安全性和普适性。
附图说明
13.图1是本发明的结构示意图。
14.图2是所述调度器向所述拟态系统内部网络设计装置发送的报文格式。
15.图3是所述拟态系统内部网络设计装置向所述调度器发送的报文格式。
具体实施方式
16.下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
17.实施例1本实施例提供一种拟态系统内部网络设计装置,包括:规约记录器,用于记录拟态所述构造系统使用的通信路径,所述通信路径包括每条通信链路采用的通信规约,所述通信规约包括ip地址、通信协议、通信端口、加密算法四个网络元素;规约库,包括ip地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素;规约生成模块,被配置为接收所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令,所述新规约生成指令包括需要更换通信规约的通信链路,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;规约发送器,用于发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约。
18.进一步的,所述预设替换规则包括:当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。
19.其中,对异常执行体深度清洗是指文件系统层面的恢复。
20.进一步的,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约时,确保变更后每条通信链路的通信规约是唯一的,从而确保执行体的异构性。
21.实施例2本实施例与实施例1的区别在于:四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;
当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。
22.网络元素的变化频率与网络元素权重值之间的关系为:权重值越低,变换频率越高;权重值约高,变化频率约低。
23.实施例3本实施例提供一种拟态系统内部网络设计方法,包括以下步骤:当接收到所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令后,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约,并发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约;其中,所述新规约生成指令包括需要更换通信规约的通信链路,所述通信规约包括ip地址、通信协议、通信端口、加密算法四个网络元素,所述规约库包括ip地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素。
24.在具体实施时,所述预设替换规则包括:当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。
25.进一步的,四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。
26.实施例4本实施例提供一种拟态系统,如图1所示,包括输入代理、执行体、裁决器、调度器,还包括前述的拟态系统内部网络设计装置,所述调度器在按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成新规约生成指令,并将新规约生成指令发送给所述拟态系统内部网络设计装置;所述拟态系统内部网络设计装置响应新规约生成指令,生成新通信规约返回给所
述调度器;所述调度器将所述新通信规约按照原来的链路传输至所述输入代理、所述执行体以及所述裁决器;所述调度器、所述输入代理、所述执行体以及所述裁决器执行所述通信规约。
27.在具体实施时,所述调度器、所述输入代理、所述执行体以及所述裁决器内均设置有通信规约接收器,以用于接收新通信规约。
28.本实施例以动态改变内部网络中的通信ip地址为例,具体描述拟态系统的工作流程。
29.初始状态下,输入代理与执行体1采用net1(192.168.1.x)网段通信,输入代理与执行体2采用net2(192.168.2.x)网段通信,输入代理与执行体3采用net3(192.168.3.x)网段通信;执行体1与裁决器采用net4(192.168.4.x)网段通信,执行体2与裁决器采用net5(192.168.5.x)网段通信,执行体3与裁决器采用net6(192.168.6.x)网段通信;裁决器与调度器采用net7(192.168.7.x)网段通信;调度器与输入代理采用net8(192.168.8.x)网段通信,调度器与执行体1采用net9(192.168.9.x)网段通信,调度器与执行体2采用net10(192.168.10.x)网段通信,调度器与执行体3采用net11(192.168.11.x)网段通信。
30.初始情况下,按照在上述分配网段范围内,输入代理、执行体、裁决器、调度器初始化一个默认ip地址。
31.对于拟态系统的网络通信方式,输入代理用p表示、执行体用o表示、裁决器用j表示、调度器用s表示、网段用n表示,则当前系统的通信路径可记录为l1={p、o1、n1}、l2={p、o2、n2}、l3={p、o3、n3}、l4={o1、j、n4}、l5={o2、j、n5}、l6={o3、j、n6}、l7={j、s、n7}、l8={s、p、n8}、l9={s、o1、n9}、l10={s、o2、n10}、l11={s、o3、n11};当前拟态系统中内部的通信方式使用集合r={t,l,
……
}表示,t代表此条通信方式使用的输出时间;因此初始状态下,通信规约记录器中会存在一条记录r1={t1、l1、l2、l3、l4、l5、l6、l7、l8、l9、l10、l11}。
32.一方面,为了避免通信规约切换过程中通信中断的情况;另一方面,所述调度器和所述拟态系统内部网络设计装置之间传输的报文数据量较小,通信内容单一;因此,所述调度器和所述拟态系统内部网络设计装置采用二层协议报文进行通信。
33.具体的,所述调度器向所述拟态系统内部网络设计装置发送的报文格式如图2所示。
34.其中,da代表通信规约器的mac地址,sa代表调度器的mac地址,type代表帧类型(用0x0101表示),data代表传输数据,fcs为帧校验;传输数据占用5个字节,其中x表示随机变换位(0和1随机选择),其余代表各模块的ip地址,如果为0,则表示此模块的ip地址不需要变换,如果为1,则表示此模块的ip地址需要变换。
35.所述拟态系统内部网络设计装置向所述调度器发送的报文格式如图3所示。
36.da为调度器的mac地址,sa为通信规约器的mac地址,type代表帧类型(用0x0102表示下发的ip地址为ipv4);data共97字节,其中x占1个字节(在0x00-0xff随机变换),其余字段占四个字节,代表ipv4地址。
37.下图为ipv6的通信格式,与ipv4不同的是,type代表帧类型(用0x0103表示下发的ip地址为ipv4),data共325个字节,每个ipv6占16个字节。
38.当通信规约生成器收到调度器发送的新规约生成指令后,通信规约生成器按照如
下步骤生成新的规约。
39.(1)判断二层报文中的type字段是否为0x0101,如果是进入到新规约生成流程,否则丢弃此报文;(2)根据前面提到的报文定义,取出需要变换ip地址的模块;(3)正常情况下,只有裁决器检测到执行体收到威胁时,才会对网络环境进行变换;因此网络链路的变换以执行体为核心进行变换;为了简化设计,系统忽略输入代理模块、调度模块、裁决模块主动向通信规约器请求ip地址。
40.(4)若是执行体o1发出ip地址变换请求,需要对n1、n4、n9链路进行ip地址变换请求;若是执行体o2发出ip地址变换请求,需要对n2、n5、n10链路进行ip地址变换请求;若是执行体o3发出ip地址变换请求,需要对n3、n6、n11链路进行ip地址变换请求。
41.(5)规约库存放的是不同网段的ip地址;(6)在确定完新的链路请求后(假如执行体o1发出了链路请求),从规约库中取出新的ip地址,生成新的路径r2={t2、l1、l2、l3、l4、l5、l6、l7、l8、l9、l10、l11},r2中的n1、n4、n9与r1中的应是不一样的;同时应保证n1、n4、n9处于不同的网段。
42.(7)将生成的新规约按照ipv4或者ipv6地址的格式,发送至调度器。
43.调度器收到新的规约消息后,将新的规约消息按照原来的链路传输至各模块,然后各模块加载新的ip地址,系统完成新路径的切换。
44.一个网段之内的终端进行数据交换,需要用到交换机,交换机是2层设备,交换机的网络处理器不能控制数据流向,而必须使用路由器来控制数据流向。路由器又叫网关,建立在一个网段和另外一些网段之间,用于控制数据从一个网段传输到另一个网段;当数据从相反方向传输回来时,则需要对向的路由器来控制。这样通过在两个方向上设置两个不同的路由器,且路由器采用不同的路径,就可以避免数据回流。也就是说通过不同方向上的路由器规定不同的路径,最终实现数据单向流动。
45.使用路由表描述路径信息,而路由表分为静态路由表和动态路由表两种,静态路由表是预先设置的,而非动态决定;显然,如果想让数据单向流动,则只能使用静态路由表,然而静态路由表更换起来不方便,本实施例中通过更换被路由表控制的终端的ip地址来最终实现路径信息的更换,简单方便。
46.实施例6本实施例提供一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现前述的拟态系统内部网络设计方法。
47.最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
技术特征:1.一种拟态系统内部网络设计装置,其特征在于,包括:规约记录器,用于记录拟态所述构造系统使用的通信路径,所述通信路径包括每条通信链路采用的通信规约,所述通信规约包括ip地址、通信协议、通信端口、加密算法四个网络元素;规约库,包括ip地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素;规约生成模块,被配置为接收所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令,所述新规约生成指令包括需要更换通信规约的通信链路,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;规约发送器,用于发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约。2.根据权利要求1所述的拟态系统内部网络设计装置,其特征在于:所述预设替换规则包括:当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。3.根据权利要求2所述的拟态系统内部网络设计装置,其特征在于:四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。4.根据权利要求1所述的拟态系统内部网络设计装置,其特征在于,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约时,确保变更后每条通信链路的通信规约是唯一的。5.一种拟态系统内部网络设计方法,其特征在于,包括以下步骤:当接收到所述拟态系统按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成的新规约生成指令后,根据预设替换规则从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约,并发送更新后的通信规约给所述拟态系统,以使所述拟态系统执行更新后的通信规约;
其中,所述新规约生成指令包括需要更换通信规约的通信链路,所述通信规约包括ip地址、通信协议、通信端口、加密算法四个网络元素,所述规约库包括ip地址集、通信协议集、通信端口集、加密算法集四个网络元素集,每个网络元素集包括多种异构网络元素。6.根据权利要求5所述的拟态系统内部网络设计方法,其特征在于:所述预设替换规则包括:当接收到所述拟态系统按照预设间隔调度进行执行体调度清洗时生成的新规约生成指令时,采用随机方式从规约库中提取至少一个异构网络元素更新相应通信链路的通信规约;当接收到所述拟态系统根据裁决结果进行执行体调度清洗时生成的新规约生成指令时,按照预设网络元素变更顺序从规约库中每次提取一个相应网络元素更新相应通信链路的通信规约,若通信规约更新后所述拟态系统判决异常执行体不再异常,则确定该被更换的网络元素为异常网络元素,增加随机方式下所述网络元素的更换频率;若通信规约更新后所述拟态系统判决异常执行体仍异常,则继续更换通信规约的下一个网络元素,当通信规约的四个网络元素均进行更换后所述拟态系统判决异常执行体仍异常,则通知所述拟态系统对异常执行体深度清洗,增加执行体调度频率,并增加随机方式下所述网络元素的更换频率。7.根据权利要求6所述的拟态系统内部网络设计方法,其特征在于:四个网络元素分别设置初始权重,初始状态下根据网络元素的初始权重排序确定网络元素的更换顺序;当确定被更换的网络元素为异常网络元素时,将所述网络元素的权重值按照预设降低规则进行减低;当新通信规约生成后或者当按照预设网络元素变更顺序对相应通信链路通信规约的四个网络元素均进行更换后,根据网络元素的权重值排序更新网络元素的更换顺序。8.一种拟态系统,其特征在于:包括输入代理、执行体、裁决器、调度器,还包括权利要求1-4所述的拟态系统内部网络设计装置,所述调度器在按照预设间隔调度或根据裁决结果进行执行体调度清洗时生成新规约生成指令,并将新规约生成指令发送给所述拟态系统内部网络设计装置;所述拟态系统内部网络设计装置响应新规约生成指令,生成新通信规约返回给所述调度器;所述调度器将所述新通信规约按照原来的链路传输至所述输入代理、所述执行体以及所述裁决器;所述调度器、所述输入代理、所述执行体以及所述裁决器执行所述通信规约。9.根据权利要求8所述的拟态系统,其特征在于:所述调度器和所述拟态系统内部网络设计装置采用二层协议报文进行通信。10.一种计算设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求5-7中任一项所述的方法。
技术总结本发明提供一种拟态系统内部网络设计方法及系统,包括以下步骤:当接收到所述调度器发送的新规约生成指令后,获取需要更换通信规约的模块,并确定所述模块参与的所有通信链路;根据预设替换规则从规约库中提取至少一个异构网络元素替换现有通信规约里对应的子元素,生成新通信规约,并按照预设协议报文格式生成新规约消息发送至调度器;调度器接收到新规约消息后,将新规约消息按照原来的通信链路传输至拟态系统中的其他模块,以使各模块的路由表加载新通信规约,完成新路径的切换。本发明在不借助外部环境的情况下,动态改变拟态构造系统内部网络架构,在保证内部通信的单线性的同时,增加了内部网络的可变性,提高了内部网络的安全性和普适性。网络的安全性和普适性。网络的安全性和普适性。
技术研发人员:吕青松 贺喜卓 郭义伟 冯志峰 张建军
受保护的技术使用者:珠海高凌信息科技股份有限公司
技术研发日:2021.12.24
技术公布日:2022/7/4
