[发明专利]一种增强型拟态输入代理

说明书

本发明提供了一种增强型拟态输入代理，包括：流量控制器，包括流量过滤器和流量复制分发器；流量过滤器，根据安全策略对输入流量进行过滤处理；接收流量威胁检测器发出的第一流量阻断反馈信号，以及由拟态裁决器发出的依据对执行体的流量记录裁决出的未知攻击生成的第二流量阻断反馈信号，根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略；流量复制分发器，将过滤后的输入流量复制分发为两路，一路作为输入代理的输入流量分发到输入代理，另一路作为安全检测的输入流量分发到流量威胁检测器；流量威胁检测器，依据安全防护规则对作为安全检测的输入流量进行检测，并根据检测出的威胁流量生成第一流量阻断反馈信号。

技术领域

本发明属于拟态安全技术领域，具体的说，涉及了一种增强型拟态输入代理。

背景技术

基于拟态构造的网络设备往往由输入/输出代理、拟态裁决器、拟态调度器、异构执行体组成，输入代理暴露于攻击面的最前端，为拟态构造系统的第一道防线，如何增强输入代理的安全性对于增强拟态构造系统的安全性具有重要意义。同时，目前的拟态构造系统能检测并防范未知威胁，往往无法在输入代理层面阻隔未知威胁流量，及时阻断未知威胁流量，对于增强系统的安全性具有重要意义。

发明内容

本发明的目的是针对现有技术的不足，提供一种快速裁决系统及方法。

为了实现上述目的，本发明所采用的技术方案是：

本发明第一方面提供了一种增强型拟态输入代理实现方法，包括：

根据安全策略对输入流量进行过滤处理，将过滤后的输入流量复制分发为两路，一路作为输入代理的输入流量，另一路作为安全检测的输入流量；

依据安全防护规则对作为安全检测的输入流量进行检测，并根据检测出的威胁流量生成第一流量阻断反馈信号；

接收执行体定时发送的本机的流量记录，并进行裁决，裁决出未知攻击以后，生成第二流量阻断反馈信号；

接收第一流量阻断反馈信号和第二流量阻断反馈信号，根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略。

基于上述，所述安全策略包括根据目的MAC、IP、端口号，源MAC、IP、端口号，协议号进行过滤的基于ACL的安全策略；基于用户行为的过滤检测；基于病毒库特征的过滤。

本发明第二方面提供了一种增强型拟态输入代理，包括：

流量控制器，包括流量过滤器和流量复制分发器；

流量过滤器，根据安全策略对输入流量进行过滤处理；接收流量威胁检测器发出的第一流量阻断反馈信号，以及由拟态裁决器发出的依据对执行体的流量记录裁决出的未知攻击生成的第二流量阻断反馈信号，根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略；

流量复制分发器，将过滤后的输入流量复制分发为两路，一路作为输入代理的输入流量分发到输入代理，另一路作为安全检测的输入流量分发到流量威胁检测器；

流量威胁检测器，依据安全防护规则对作为安全检测的输入流量进行检测，并根据检测出的威胁流量生成第一流量阻断反馈信号。

基于上述，所述流量威胁检测器采用在IPS或IDS设备上增加反馈输出功能实现。

基于上述，所述流量控制器采用FPGA或者专有芯片的方式进行实现。

基于上述，所述流量控制器与所述流量威胁检测器、所述拟态裁决器单向通信。

本发明第三方面提供了一种拟态防御架构，包括输入代理、输出代理、执行体、拟态裁决器和调度器，所述输入代理采用所述的增强型拟态输入代理。