[发明专利]面向拟态Web服务器的执行体管理与调度方法及系统

说明书

本发明提供了一种面向拟态Web服务器的执行体管理与调度方法及系统，涉及网络安全技术领域，该方法包括：步骤S1：根据执行体资源确定关键异构特征；步骤S2：构建执行体资源分类树；步骤S3：当执行体资源发生变化时，更新分类树；步骤S4：对分类树的概率进行初始化；步骤S5：从根节点出发，沿着分类树进行随机游动，直至到达某个叶子节点，选定相应的执行体；步骤S6：删除相应执行体节点和受影响的内部节点；步骤S7：更新剪枝后的分类树的概率；步骤S8：重复步骤S5～步骤S7，确定外部接口需要的N个执行体。本发明能够实时调整调度过程中对异构特征的偏好，提高调度策略的异构性，适应不同的任务负载，提高拟态Web服务器的安全性和可靠性。

技术领域

本发明涉及网络安全技术领域，具体地，涉及一种面向拟态Web服务器的执行体管理与调度方法及系统。

背景技术

随着信息技术的飞速发展，Web服务日趋复杂，应用质量良莠不齐，导致传统的Web服务常常处于一种“被后门、被透明、被制网、主权失控”的状态，某些个人或团体利用少量资源即可实现对Web服务器的攻击，因此Web服务器的安全性和可用性已成为当前网络安全领域的焦点问题。针对Web服务器面临的严重威胁，拟态Web服务器应运而生。拟态防御作为邬江兴院士首创的主动防御技术，采用“动态异构冗余”(Dynamic HeterogeneousRedundancy，DHR)的系统架构，综合主动防御和被动防御架构的优点，极大地克服了以往计算机系统漏洞、后门或者病毒导致的时间不确定性、危害未知性和资源破坏性。根据拟态防御原理，在搭建Web服务器的过程中通过部署具有不同软硬件特征的执行体以避免出现共性或共态故障，进而通过策略性调度和可重构机制获得拟态括号内防御场景的差异化改变，产生一种与“测不准”效应相类似的物理或逻辑场景以增大漏洞后门和病毒木马等利用的难度，即可得到具备“动态异构冗余”架构的拟态Web服务器。

公开号为CN110855692A的发明专利，公开了一种面向拟态构造Web服务器的执行体调度方法，从拟态资源管理方面，该专利不包含拟态资源管理功能，而本发明中，提出了拟态资源分类树的概念，可以管理和维护现有的拟态资源。从拟态资源调度方法面，该专利围绕贝叶斯-斯塔克尔伯格博弈模型，将拟态Web服务器的调度问题描述成相应目标函数的最优化问题，并生成在该指标下最优的调度策略，调度过程的随机性和异构性有所下降。而本发明通过在构造的分类树上随机游动实现执行体资源的调度，具有内在的随机性和异构性，安全性更高。

公开号为CN111556030A的发明专利，公开了一种基于多级队列的拟态防御动态调度方法，在拟态资源管理方面，该专利不包含拟态资源管理功能，而本发明提出了拟态资源分类树的概念，可以对现有拟态资源进行管理和维护。在拟态调度服务方面，该专利首先构造异构执行体的多级队列容器，然后根据执行体之间的相似度初始化异构执行体服务集，最后应用策略调度器实现执行体的变换，多级队列容器的构建、调度过程中队列的变换较为复杂，可能存在较长的系统等待和时间差。而在本发明中，调度服务使用的是分类树这一数据结构，效率更高，但同样可以避免出现同宗同源漏洞，并适应不同的任务负载。

公开号为CN111124663A的发明专利，公开了一种拟态资源调度方法、系统及介质，从异构特征分类角度：该专利基于分类索引构建运行节点全局特征表，通过实施相应的表记录分类，形成异构执行体分类索引表。本发明则使用树状结构对异构特征进行组织和描述，形成基于分类树的执行体分类和管理方法。从拟态调度服务角度：该专利对运行节点异构特征进行全局分类，形成N元组集合，收到调度请求时，计算各节点N元组的异构度并进行排序，然后根据节点N元组按照给定准则构建异构执行体N元组，实现过程较为复杂，有许多参数需要设定，灵活性较差。本发明通过在构造的分类树上随机游动进行调度，实现简单，扩展性强，对任意个异构执行体的调度请求均具有很好的适应性。