[发明专利]基于广义鲁棒控制的网络防御方法、系统及交换机

权利要求书

1.一种基于广义鲁棒控制的网络防御方法，其特征在于，包含：

对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体，其中，n为大于2；

各异构执行体依据接收的协议报文进行响应；

针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并反馈至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理；

针对各异构执行体响应结果，采用大数判决机制选取响应输出数据时，判决对象包含：MAC表、路由表项、ARP表项、ACL表项、QoS表项及用户管理配置数据；

针对n个异构执行体，选取一个用于网络数据正常交互的主执行体，其余作为仅接收分发协议报文并做出响应的备执行体；

基于网络交换机的鲁棒控制插件对各异构执行体的反馈调度，检测各异构执行体的主备关系，通过设置轮换策略选取主执行体；所述轮换策略为自定义轮换周期；

所述异构执行体采用异构CPU和/或异构操作系统和/或异构协议栈。

2.根据权利要求1所述的基于广义鲁棒控制的网络防御方法，其特征在于，针对异常记录的异构执行体，通过对其下线清洗或降低置信度进行异常处理。

3.一种基于广义鲁棒控制的网络防御系统，其特征在于，基于权利要求1所述的方法实现，包含：分发模块、响应模块和防御模块，其中，

分发模块，用于对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体，其中，n为大于2；

响应模块，用于通过各异构执行体依据接收的协议报文进行响应；

防御模块，用于针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并转译成转发平面规则以下发至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理。

4.根据权利要求3所述的基于广义鲁棒控制的网络防御系统，其特征在于，针对n个异构执行体，通过设定轮换策略选取一个用于网络数据正常交互的主执行体，其余作为仅接收分发协议报文并做出响应的备执行体。

5.一种基于广义鲁棒控制的交换机，其特征在于，基于权利要求1所述的方法实现，包含：

n个用于对协议报文进行数据响应的异构执行体，该n个异构执行体采用异构硬件和/或软件组成的功能等价执行体；

用于将抓取的网络协议报文进行复制并分发至n个异构执行体进行响应的协议代理插件；

用于对异构执行体响应数据进行多数判决的多模裁决插件，该多模裁决插件依据多数判决结果选取响应输出数据和异常状态的异构执行体，并将响应输出数据反馈至协议代理插件以进行正常网络数据交互；

及用于对异常状态的异构执行体进行下线或降低置信度处理的鲁棒控制插件。