[发明专利]拟态DHR架构下执行体状态监测方法及系统

说明书

本发明属于网络安全技术领域，特别涉及一种拟态DHR架构下执行体状态监测方法及系统，用于对系统中各执行体状态进行实时监控以保证动态异构冗余系统的运行性能，包含如下内容：监测系统内执行体多维状态数据，获取执行体状态异常数据，其中，多维状态数据包含进程状态、资源状态、系统配置文件及敏感日志；将状态异常数据反馈给裁决器，裁决器依据预设裁决策略判定异常执行体，发出异常报警信号，异常状态较为严重时通过调度模块对异常执行体清洗调度。本发明对执行体系统资源、进程状态、关键文件及敏感日志等进行多维状态监测解析，为执行体稳定安全运行提供必要条件，降低“攻击逃逸”风险，提高系统安全性、稳定性与可靠性，具有较好应用前景。

技术领域

本发明属于网络安全技术领域，特别涉及一种拟态DHR架构下执行体状态监测方法及系统。

背景技术

随着信息技术的飞速发展，网络已经成为人们生产生活中不可分割的一部分，网络功能能否稳定运行，系统安全能否得到保障对人们生产生活的影响越来越深。对于网络攻击进行防御，难点在于攻击者与防御者双方不平等的博弈，攻击者往往用较小的代价即可导致系统扰动甚至瘫痪，同时系统自身软硬件漏洞后门不可避免导致未知攻击的固存性，从根本上抵御外在入侵及自身软硬件漏洞后门保证系统安全难以实现。网络攻击拟态防御技术改变了攻击者与防御者之间地位不平等的情况，为防御未知攻击提供了可能。拟态防御典型构造—动态异构冗余架构(Dynamic Heterogeneous Redundancy，DHR)是使用功能等价的多样化软硬异构构件搭建运行环境，通过策略调度、重构重组和虚拟化等多维动态的不确定性机制，使得针对系统的攻击难以实施。在DHR架构下，一般采取k/n表决的方法，即在n个执行体中，至少有k个执行体的运算结果一样，则以该结果作为系统输出并发送至裁决模块，执行体系统能够安全稳定运行至关重要。在实践中由于网络空间的复杂性和网络攻击的多样性，以及系统随机噪声误差等因素的影响，同时由于执行体自身软硬件不可避免后门漏洞，均会为执行体正常运行带来风险，从而影响执行体结果正确输出，导致错误结果的执行体个数到阈值k，甚至出现n个执行体的运算结果均为错误的情形(简称无法表决)导致“攻击逃逸”。

发明内容

为此，本发明提供一种拟态DHR架构下执行体状态监测方法及系统，通过对执行体系统资源、进程状态、关键文件及敏感日志等进行多维状态监测解析，为执行体稳定安全运行提供必要条件，降低“攻击逃逸”风险，提高系统安全性、稳定性与可靠性。

按照本发明所提供的设计方案，一种拟态DHR架构下执行体状态监测方法，用于对系统中各执行体状态进行实时监控以保证动态异构冗余系统的运行性能，包含如下内容：

监测系统内执行体的多维状态数据，获取执行体状态异常数据，其中，多维状态数据包含进程状态、资源状态、系统配置文件及敏感日志；

将状态异常数据反馈给裁决器，裁决器依据预设裁决策略判定异常执行体，发出异常报警信号，通过调度模块对异常执行体进行调度。

作为本发明拟态DHR架构下执行体状态监测方法，进一步的，依据系统配置文件获取进程名称，通过进程识别号获取进程状态，将进程状态异常的执行体信息进行封装并反馈给裁决器，其中，进程状态异常至少包含僵尸状态及已停止状态。

作为本发明拟态DHR架构下执行体状态监测方法，进一步地，依据系统资源文件或资源使用信息对系统资源进行量化，通过设定的阈值界限来获取资源状态异常的执行体，并将状态异常的执行体信息进行封装反馈给裁决器。

作为本发明拟态DHR架构下执行体状态监测方法，进一步地，监测并量化的系统资源包含：CPU、内存、TCP Socket连接、计划任务及用户组信息。

作为本发明拟态DHR架构下执行体状态监测方法，进一步地，通过计算CPU和内存利用率，依据CPU和/或内存利用率和/或是TCP Socket连接的连接数否超出对应阈值界限来获取资源状态异常的执行体；对计划任务及用户组信息相关文件进行哈希处理，并通过监控哈希处理结果文件，依据文件是否被篡改来获取资源状态异常的执行体。