本發(fā)明涉及信息安全技術(shù)，特別是涉及一種基于組件跳變的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)方法。

背景技術(shù)：

網(wǎng)絡(luò)系統(tǒng)的安全一直是人們關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)系統(tǒng)安全防護(hù)方法有很多，例如采用防火墻將威脅、攻擊隔離阻止在外部，采用入侵檢測(cè)系統(tǒng)檢查非法訪問與入侵，采用地址端口地址跳變技術(shù)躲避攻擊等方式。

1.防火墻與入侵檢測(cè)系統(tǒng)

網(wǎng)絡(luò)防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入、內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

入侵檢測(cè)系統(tǒng)能夠檢測(cè)未授權(quán)對(duì)象針對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵企圖或行為，同時(shí)監(jiān)控授權(quán)對(duì)象對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法操作。入侵檢測(cè)系統(tǒng)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點(diǎn)收集信息，采用模式匹配、特征匹配、數(shù)據(jù)挖掘等算法進(jìn)行分析，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。

防火墻是一種靜態(tài)的訪問控制類安全設(shè)備，不能動(dòng)態(tài)的對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護(hù)。入侵檢測(cè)系統(tǒng)雖然可以檢查網(wǎng)絡(luò)流量中的入侵代碼，但其過度依賴入侵特征庫，無法檢測(cè)未知入侵行為。防火墻和入侵檢測(cè)系統(tǒng)都屬于被動(dòng)防御手段，并不能很好保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

2.地址端口跳變技術(shù)

地址端口動(dòng)態(tài)跳變技術(shù)是指在網(wǎng)絡(luò)通信中，通信一方或雙方按照協(xié)定的策略隨機(jī)地改變通信時(shí)的地址和端口信息，從而避免被攻擊者發(fā)現(xiàn)，躲避了攻擊者的攻擊和干擾，主動(dòng)防護(hù)網(wǎng)絡(luò)通信過程中的安全。相對(duì)于傳統(tǒng)的固定地址和端口的通信，它在通信過程中難以被發(fā)覺，在攻擊者看來，只是網(wǎng)絡(luò)中的多臺(tái)不同的機(jī)器在進(jìn)行通信。即使是被攻擊者所發(fā)現(xiàn)，由于其地址和端口都是動(dòng)態(tài)跳變的，等到攻擊者有足夠時(shí)間向通信主機(jī)發(fā)起攻擊時(shí)，主機(jī)的地址和端口其實(shí)已經(jīng)發(fā)生了跳變，其攻擊也就失效了。

地址端口跳變技術(shù)是一種主動(dòng)防御手段，通過地址端口動(dòng)態(tài)跳變可以提高網(wǎng)絡(luò)系統(tǒng)的生存能力，防止被攻擊或干擾的可能。但在實(shí)際網(wǎng)絡(luò)系統(tǒng)中，這是以大量地址和端口資源為代價(jià)，同時(shí)需要預(yù)先協(xié)商跳變策略，增加了應(yīng)用該技術(shù)的開銷。

上述安全防護(hù)方法并不能適用于由各個(gè)功能組件形成的網(wǎng)絡(luò)系統(tǒng)，如自動(dòng)駕駛汽車系統(tǒng)，其網(wǎng)絡(luò)內(nèi)部包含各種功能組件，如傳感器、車載雷達(dá)、車載激光器、轉(zhuǎn)向控制器及油門控制器等執(zhí)行單元、控制軟件等。又如工廠車間內(nèi)部的自動(dòng)作業(yè)系統(tǒng)等等。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問題是：針對(duì)上述存在的問題，提供一種適用于功能組件形成的網(wǎng)絡(luò)系統(tǒng)的基于組件跳變的信息安全防護(hù)方法及裝置。

其中，基于組件跳變的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)方法，包括：

組件狀態(tài)監(jiān)測(cè)的步驟，對(duì)被保護(hù)網(wǎng)絡(luò)系統(tǒng)中各個(gè)組件的狀態(tài)信息、組件與網(wǎng)絡(luò)系統(tǒng)外的設(shè)備交互信息以及網(wǎng)絡(luò)系統(tǒng)中各組件之間的交互信息進(jìn)行實(shí)時(shí)監(jiān)測(cè)；

異常分析的步驟，根據(jù)第一策略判斷組件的狀態(tài)信息、組件與網(wǎng)絡(luò)系統(tǒng)外的設(shè)備交互信息以及網(wǎng)絡(luò)系統(tǒng)中各組件之間的交互信息是否出現(xiàn)異常并定位異常組件；

組件跳變的步驟，在出現(xiàn)異常時(shí)隔離異常組件并啟動(dòng)與被隔離的異常組件功能相同的備份組件。

異常分析的步驟還包括，根據(jù)第二策略判斷所述異常的類別，并報(bào)告各異常及其所屬類別。

進(jìn)一步，令功能相同的各個(gè)組件組成一個(gè)功能單元，組件跳變的步驟還包括，在未出現(xiàn)異常時(shí)每隔一定時(shí)間則關(guān)閉當(dāng)前工作的某個(gè)組件并在其所在的功能單元內(nèi)部隨機(jī)選擇一備份組件，并啟動(dòng)該備份組件。

進(jìn)一步，令功能相同的各個(gè)組件組成一個(gè)功能單元，組建跳變的步驟還包括，在出現(xiàn)異常時(shí)隔離異常組件并在被隔離的異常組件所在功能單元中按照第三策略選擇一個(gè)備份組件，然后啟動(dòng)備份組件。

進(jìn)一步，在啟動(dòng)備份組件時(shí)先對(duì)備份組件進(jìn)行配置。

本發(fā)明提供的一種基于組件跳變的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)裝置，包括：

組件狀態(tài)監(jiān)測(cè)模塊，用于對(duì)被保護(hù)網(wǎng)絡(luò)系統(tǒng)中各個(gè)組件的狀態(tài)信息、組件與網(wǎng)絡(luò)系統(tǒng)外的設(shè)備交互信息以及網(wǎng)絡(luò)系統(tǒng)中各組件之間的交互信息進(jìn)行實(shí)時(shí)監(jiān)測(cè)；

異常分析模塊，用于根據(jù)第一策略判斷組件的狀態(tài)信息、組件與網(wǎng)絡(luò)系統(tǒng)外的設(shè)備交互信息以及網(wǎng)絡(luò)系統(tǒng)中各組件之間的交互信息是否出現(xiàn)異常并定位異常組件；

組件跳變模塊，用于在出現(xiàn)異常時(shí)隔離異常組件并啟動(dòng)與被隔離的異常組件功能相同的備份組件。

異常分析模塊還用于根據(jù)第二策略判斷所述異常的類別，并報(bào)告各異常及其所屬類別。

進(jìn)一步，令功能相同的各個(gè)組件組成一個(gè)功能單元，組件跳變模塊還用于，在未出現(xiàn)異常時(shí)每隔一定時(shí)間則關(guān)閉當(dāng)前工作的某個(gè)組件并在其所在的功能單元內(nèi)部隨機(jī)選擇一備份組件，并啟動(dòng)該備份組件。

進(jìn)一步，令功能相同的各個(gè)組件組成一個(gè)功能單元，組建跳變的模塊還用于，在出現(xiàn)異常時(shí)隔離異常組件并在被隔離的異常組件所在功能單元中按照第三策略選擇一個(gè)備份組件，然后啟動(dòng)備份組件。

進(jìn)一步，還包括組件配置模塊，用于在啟動(dòng)備份組件時(shí)先對(duì)備份組件進(jìn)行配置。

綜上所述，由于采用了上述技術(shù)方案，本發(fā)明的有益效果是：

本發(fā)明能夠主動(dòng)、動(dòng)態(tài)、智能的監(jiān)視網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)，及時(shí)檢測(cè)、識(shí)別和定位異常組件，通過組件跳變快速修復(fù)異常系統(tǒng)，維護(hù)網(wǎng)絡(luò)系統(tǒng)持續(xù)穩(wěn)定的運(yùn)行?；诮M件跳變的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)方法為被保護(hù)系統(tǒng)引入多樣性組件冗余，增加系統(tǒng)實(shí)現(xiàn)技術(shù)的多樣性，提升網(wǎng)絡(luò)系統(tǒng)的魯棒性，避免單一組件存在相同漏洞或受到植入木馬攻擊、供應(yīng)鏈攻擊等，可以防御來自內(nèi)外部的威脅或攻擊。

本發(fā)明還增設(shè)了異常分析步驟，對(duì)異常進(jìn)行分類，能幫助工作人員識(shí)別異常發(fā)生的原因，當(dāng)異常是由惡意行為造成，則需對(duì)組件的安全防護(hù)措施進(jìn)行評(píng)估及完善；當(dāng)異常是組件損壞或者邏輯脆弱性引起的，則對(duì)組件本身進(jìn)行硬件或軟件糾錯(cuò)或改進(jìn)。進(jìn)一步提供了網(wǎng)絡(luò)系統(tǒng)的可靠性及穩(wěn)定性。

附圖說明

本發(fā)明將通過例子并參照附圖的方式說明，其中：

圖1為本發(fā)明功能框圖。

圖2為本發(fā)明應(yīng)用在自動(dòng)駕駛汽車系統(tǒng)中的應(yīng)用示例的功能框圖。

具體實(shí)施方式

本說明書中公開的所有特征，或公開的所有方法或過程中的步驟，除了互相排斥的特征和/或步驟以外，均可以以任何方式組合。

本說明書中公開的任一特征，除非特別敘述，均可被其他等效或具有類似目的的替代特征加以替換。即，除非特別敘述，每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子而已。

本發(fā)明中的組件是指用于構(gòu)建網(wǎng)絡(luò)系統(tǒng)，且具有獨(dú)立功能的組件，這種功能組件包括軟件或硬件或軟硬結(jié)合的各種模塊或模塊的集合。如自動(dòng)駕駛系統(tǒng)中的通信組件、車載雷達(dá)、各類傳感器、轉(zhuǎn)向控制器、制動(dòng)控制器、油門控制器等等。又如自動(dòng)化車間中的機(jī)械手控制軟件、傳輸系統(tǒng)等等。

參見圖1，本發(fā)明包括狀態(tài)監(jiān)測(cè)步驟、異常分析步驟及組件跳變步驟。狀態(tài)監(jiān)測(cè)步驟實(shí)時(shí)接收被保護(hù)網(wǎng)絡(luò)系統(tǒng)內(nèi)組件狀態(tài)信息、網(wǎng)絡(luò)系統(tǒng)內(nèi)組件的傳輸信息、系統(tǒng)與外部的交互信息等，監(jiān)測(cè)被保護(hù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，異常分析步驟識(shí)別和定位網(wǎng)絡(luò)系統(tǒng)異?；蚪M件異常。當(dāng)檢測(cè)到異常情況后，立即觸發(fā)組件跳變，完成異常組件的隔離和相同功能組件的跳變切換，異常分析步驟還進(jìn)行異常原因的分析，完成異常情況的閉環(huán)處理。

具體的：

組件狀態(tài)監(jiān)測(cè)的步驟，對(duì)被保護(hù)網(wǎng)絡(luò)系統(tǒng)中各個(gè)組件的狀態(tài)信息、組件與網(wǎng)絡(luò)系統(tǒng)外的設(shè)備交互信息以及網(wǎng)絡(luò)系統(tǒng)中各組件之間的交互信息進(jìn)行實(shí)時(shí)監(jiān)測(cè)。

異常分析的步驟，根據(jù)第一策略判斷組件的狀態(tài)信息、組件與網(wǎng)絡(luò)系統(tǒng)外的設(shè)備交互信息以及網(wǎng)絡(luò)系統(tǒng)中各組件之間的交互信息是否出現(xiàn)異常并定位異常組件。這里的第一策略是指按照一種規(guī)則，并未限定某種特定的規(guī)則，根據(jù)本發(fā)明適用的場景及應(yīng)用需求制定，例如，當(dāng)組件的某一狀態(tài)信息超過標(biāo)準(zhǔn)范圍時(shí)，認(rèn)為該組件出現(xiàn)了異常，又如，當(dāng)網(wǎng)絡(luò)系統(tǒng)中某組件與外面的設(shè)備交互頻率過高，認(rèn)為該組件出現(xiàn)了異常，再如，當(dāng)網(wǎng)絡(luò)系統(tǒng)中某組件與網(wǎng)絡(luò)系統(tǒng)內(nèi)部其它組件的信息交互時(shí)序出現(xiàn)問題，也認(rèn)為該組件出現(xiàn)了異常，具體的，如組件A應(yīng)當(dāng)依次與組件B、組件C、組件D交互，但是實(shí)際上組件A跳過組件B直接與組件C交互，那么就認(rèn)為組件A出現(xiàn)異常，或者未檢測(cè)到組件A與組件B、C、D交互，也認(rèn)為組件A出現(xiàn)異常。

在更加優(yōu)選的實(shí)施例中本步驟還會(huì)根據(jù)一定策略分析異常情況的原因，對(duì)異常進(jìn)行分類，以便工作人員了解。如，當(dāng)組件的某一狀態(tài)信息超過標(biāo)準(zhǔn)范圍時(shí)，認(rèn)為該組件的異常類型為組件損壞，并告知工作人員，對(duì)組件進(jìn)行維修或更換。又如，當(dāng)網(wǎng)絡(luò)系統(tǒng)中某組件與外面的設(shè)備交互頻率過高，認(rèn)為該組件的異常為收到惡意攻擊，則需要對(duì)安全防護(hù)措施進(jìn)行完善。再如，當(dāng)網(wǎng)絡(luò)系統(tǒng)中某組件與網(wǎng)絡(luò)系統(tǒng)內(nèi)部其它組件的信息交互時(shí)序出現(xiàn)問題，則認(rèn)為該組件的異?？赡苁浅绦蜻壿嫯惓＃韫ぷ魅藛T對(duì)組件相關(guān)代碼的邏輯進(jìn)行檢查。同樣的異常分析策略可根據(jù)具體情況制定，并不局限于上述實(shí)例。

組件跳變的步驟，在出現(xiàn)異常時(shí)隔離異常組件并啟動(dòng)與被隔離的異常組件功能相同的備份組件。為了支撐組件跳變，被保護(hù)網(wǎng)絡(luò)系統(tǒng)需要對(duì)某些特定功能的組件進(jìn)行多樣化冗余，即為同一功能組件配備多種實(shí)現(xiàn)方式不同的軟件和/或硬件的副本。這樣可以快速啟用新的組件來恢復(fù)異常系統(tǒng)，也可以增加系統(tǒng)的實(shí)現(xiàn)技術(shù)多樣性和魯棒性。

令功能相同的各個(gè)組件組成一個(gè)功能單元，組件跳變可以按照一定的策略進(jìn)行，如在未出現(xiàn)異常時(shí)每隔一定時(shí)間則關(guān)閉當(dāng)前工作的某個(gè)組件并在其所在的功能單元內(nèi)部隨機(jī)選擇一備份組件，并啟動(dòng)該備份組件。

又如，在出現(xiàn)異常時(shí)隔離異常組件并在被隔離的異常組件所在功能單元中按照一定的策略選擇一個(gè)備份組件，然后啟動(dòng)備份組件。如給功能單元中的組件標(biāo)上優(yōu)先級(jí)，那么在組件跳變時(shí)可以優(yōu)先啟動(dòng)優(yōu)先級(jí)最高的備用組件，從而替換掉當(dāng)前正在工作的組件。這里的策略也是可以變換的，如根據(jù)組件不同的指標(biāo)進(jìn)行優(yōu)先級(jí)劃分，可根據(jù)組件廠商或者組件的某一電氣參數(shù)等。

對(duì)于有些組件啟用是需要進(jìn)行配置，因而在又一實(shí)施例中，在啟動(dòng)備份組件時(shí)先對(duì)備份組件進(jìn)行配置，配置內(nèi)容包括組件的初始值或者環(huán)境數(shù)據(jù)等。

本發(fā)明還提供了一種與上述方法步驟一一對(duì)應(yīng)的軟系統(tǒng)，包括：

組件狀態(tài)監(jiān)測(cè)模塊，用于對(duì)被保護(hù)網(wǎng)絡(luò)系統(tǒng)中各個(gè)組件的狀態(tài)信息、組件與網(wǎng)絡(luò)系統(tǒng)外的設(shè)備交互信息以及網(wǎng)絡(luò)系統(tǒng)中各組件之間的交互信息進(jìn)行實(shí)時(shí)監(jiān)測(cè)；

異常分析模塊，用于根據(jù)第一策略判斷組件的狀態(tài)信息、組件與網(wǎng)絡(luò)系統(tǒng)外的設(shè)備交互信息以及網(wǎng)絡(luò)系統(tǒng)中各組件之間的交互信息是否出現(xiàn)異常并定位異常組件；

組件跳變模塊，用于在出現(xiàn)異常時(shí)隔離異常組件并啟動(dòng)與被隔離的異常組件功能相同的備份組件。

異常分析模塊還用于根據(jù)第二策略判斷所述異常的類別，并報(bào)告各異常及其所述類別。

在又一實(shí)施例中，令功能相同的各個(gè)組件組成一個(gè)功能單元，組件跳變模塊還用于，在未出現(xiàn)異常時(shí)每隔一定時(shí)間則關(guān)閉當(dāng)前工作的某個(gè)組件并在其所在的功能單元內(nèi)部隨機(jī)選擇一備份組件，并啟動(dòng)該備份組件。

在又一實(shí)施例中，令功能相同的各個(gè)組件組成一個(gè)功能單元，組建跳變的模塊還用于，在出現(xiàn)異常時(shí)隔離異常組件并在被隔離的異常組件所在功能單元中按照第三策略選擇一個(gè)備份組件，然后啟動(dòng)備份組件。

在又一實(shí)施例，還包括組件配置模塊，用于在啟動(dòng)備份組件時(shí)先對(duì)備份組件進(jìn)行配置。

應(yīng)用實(shí)施例

隨著自動(dòng)駕駛技術(shù)的發(fā)展，自動(dòng)駕駛汽車系統(tǒng)的應(yīng)用將逐漸在汽車中推廣使用。但其發(fā)展必然面臨各種安全問題，如惡意攻擊、傳感器失明、制動(dòng)失控等。因此，本發(fā)明在自動(dòng)駕駛汽車系統(tǒng)的實(shí)施實(shí)例如圖2所示。

基于組件跳變的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)防護(hù)方法內(nèi)嵌于自動(dòng)駕駛汽車系統(tǒng)中，以獨(dú)立功能組件的形式存在。為了增強(qiáng)自動(dòng)駕駛汽車的安全性，自動(dòng)駕駛汽車需要根據(jù)安全需求和安全開銷，為其功能組件提供多樣性冗余，例如配置多個(gè)車載雷達(dá)、車載激光器、GPS/INS導(dǎo)航、轉(zhuǎn)向控制器、油門控制器和制動(dòng)控制器等組件。

基于組件跳變的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)模塊按照?qǐng)D1所示工作框架，實(shí)時(shí)接收自動(dòng)駕駛汽車的輪速傳感器、車載雷達(dá)、車載激光器、GPS/INS導(dǎo)航、轉(zhuǎn)向控制器、油門控制器、制動(dòng)控制器等功能組件的工作狀態(tài)、傳輸信息和通過通信組件與外部的交互信息，檢測(cè)異常情況，并定位異常組件。隨后，基于組件跳變的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)模塊向自動(dòng)駕駛汽車系統(tǒng)發(fā)送指令，隔離異常組件，并在完成參數(shù)配置后啟用新的相同功能組件，完成組件切換。同時(shí)，對(duì)異常事件和異常組件進(jìn)行深入分析，找出異常產(chǎn)生原因，上報(bào)汽車管理人員。

本發(fā)明并不局限于前述的具體實(shí)施方式。本發(fā)明擴(kuò)展到任何在本說明書中披露的新特征或任何新的組合，以及披露的任一新的方法或過程的步驟或任何新的組合。