[发明专利]一种采用Hash表组合实现拟态防御模型表决器的方法

说明书

技术领域

本发明属于计算机软件技术领域，具体是一种采用Hash表组合实现拟态防御模型表决器的方法。

背景技术

Web服务器系统面临的安全问题日益严重，而传统防御技术又处在被动防御位置，难以很好地应对未知攻击威胁的问题。于是美国提出了移动目标防御(moving target defense，MTD)的设想，这是美国针对防御者当前所处劣势地位而提出的一个“改变游戏规则”的网络安全发展方向，期望通过实施持续、动态的变化迷惑攻击者，以增加其攻击成本和复杂度，降低其攻击成功率。

有人提出了基于“动态异构冗余”结构的拟态防御模型，期望通过在主动和被动触发条件下动态地、伪随机地选择执行各种硬件变体以及相应的软件变体，使得内外部攻击者观察到的硬件执行环境和软件工作状况非常不确定，无法或很难构建起基于漏洞(bug)或后门的攻击链，以达成降低系统安全风险的目的。“动态异构冗余”结构在“处理”环节使用异构执行体集合进行处理,将同一输入通过输入代理复制为N份,并分发给执行体集中的N个异构执行体进行处理,将处理结果收集至表决器进行表决,得到唯一的相对正确的输出。这样就可以大大提高Web服务器的安全性。

发明内容

本发明的目的是针对现有技术的不足，提供一种采用Hash表组合实现拟态防御模型表决器的方法。

本发明解决其技术问题所采用的技术方案包括如下步骤：

步骤(1)对于每个服务器发来的数据包，将其存放到缓冲区中，缓冲区分成多个块，每个块保存一个服务器中传来的数据包，队列Q₁,Q₂...Q_n中的元素与缓冲区一一对应,即同一个缓冲区的数据只会按顺序传输到一个队列。

步骤(2)将队列中的数据包依次散列到Hash表中进行表决，如果有超过N/2的数据包映射到Hash表的同一位置，则将其返回给用户。由于使用多线程，所以队列中的数据包，无需等待所有的队列中的包到达就能够开始对比，但是要确保每个队列都要取出一个数据包，而且当本次表决返回正确的结果后，需要设置flag值；某些队列中还未进入Hash表的数据包将被丢弃，从而确保每个队列取出一个数据包进行按序比较，并且减少了不必要的比较。

步骤(3)在Hash表和存储队列数据的缓冲区之间保持映射，用P_i->(B_k,n)表示。其中每个条目包含两个数据字段：P_i数据包的标识、映射到此处的次数n及其对应数据包缓冲区位置B_k。

当数据包比较完成后，其映射条目将从Hash表中删除，相应的缓冲区位置将被释放。

步骤(4)当一个数据包从P_i到达时，先在Hash表项的标识字段中查找P_i是，如果在Hash表中找到这个条目，则将数据包的次数加1，并更新缓冲区位置；否则分配一个新的缓冲区B_k，并输入一个条目P_i->(B_k,1)。一旦次数超过N/2，代表大多数服务器都存在此数据包，需要将此数据包返回给用户，本次表决完成，删除Hash表映射条目P_i->(B_k,n)。

本发明有益效果：

本发明通过采用缓冲区临时存放文件服务器发来的数据包，再为每个服务器创建一个队列，并将数据包散列到Hash表中，Hash表采用红黑树减少操作复杂度，实现了表决器模块，从而尽可能降低延时、提高效率，为整套系统提供了更加高效的解决方案。

本发明借助缓冲区和Hash表的精细操作，实现了拟态防御模型的表决器模块。

附图说明

图1为本发明示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明。

如图1所示，一种采用Hash表组合实现拟态防御模型表决器的方法，包括如下步骤：

步骤(1)对于每个服务器发来的数据包，将其存放到缓冲区中，缓冲区分成多个块，每个块保存一个服务器中传来的数据包，队列Q₁,Q₂...Q_n中的元素与缓冲区一一对应,即同一个缓冲区的数据只会按顺序传输到一个队列。