[0001] 本申请涉及网络通信技术领域，特别涉及一种裁决方法、装置、设备及介质。

[0002] 网络空间拟态防御以成熟的异构冗余可靠性技术架构为基础，通过导入基于拟态伪装策略的多维动态重构机制，建立动态异构冗余的系统构造，从而在不依赖攻击者先验知识或行为特征的前提下，使网络信息系统具备广义鲁棒性控制的内生安全能力。拟态架构最核心的就是裁决部分，现有技术中，针对OpenFlow协议的裁决，通常是通过对异构执行体生成的静态流表进行的，进而判断出哪个异构执行体被攻击。但存在裁决不准确，导致无法检测到执行体被攻击的情况。

[0042] 下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

[0043] OpenFlow是一种网络通信协议，应用于SDN(即Software Defined Network，软件定义网络)架构中控制器和转发器之间的通信。软件定义网络SDN的一个核心思想就是“转发、控制分离”，要实现转、控分离，就需要在控制器与转发器之间建立一个通信接口标准，允许控制器直接访问和控制转发器的转发平面。OpenFlow引入了“流表”的概念，转发器通过流表来指导数据包的转发。控制器正是通过OpenFlow提供的接口在转发器上部署相应的流表，从而实现对转发平面的控制。

[0044] 随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。将主动防御方式引入到网络空间中，能够解决网络空间安全问题，尤其是面对当前最大的安全威胁——未知漏洞后门、病毒木马等不确定威胁时，具有显著效果，克服了传统安全方法存在的诸多问题，CMD(即CyberspaceMimicDefense，网络空间拟态防御)理论应运而生。网络空间拟态防御以成熟的异构冗余可靠性技术架构为基础，通过导入基于拟态伪装策略的多维动态重构机制，建立动态异构冗余的系统构造，从而在不依赖攻击者先验知识或行为特征的前提下，使网络信息系统具备广义鲁棒性控制的内生安全能力。拟态架构最核心的就是裁决部分，现有技术中，针对OpenFlow协议的裁决，通常是通过对异构执行体生成的静态流表进行的，进而判断出哪个异构执行体被攻击。但存在裁决不准确，导致无法检测到执行体被攻击的情况。为此，本申请提供一种裁决方案，能够避免在流表正确的情况下，OpenFlow协议栈本身存在漏洞而受到攻击，导致裁决不准确，无法检测出攻击的问题，从而提升攻击的检出率。

[0045] 参见图1所示，本申请实施例公开了一种裁决方法，包括：

[0046] 步骤S11：从各个在线异构执行体发送的报文中识别待裁决的OpenFlow协议报文。

[0047] 本申请实施例可以从指定端口获取各个在线异构执行体发送的OpenFlow协议报文；对OpenFlow协议报文进行解析，并基于解析得到的OpenFlow协议类型字段识别待裁决的OpenFlow协议报文。对于不参与裁决的OpenFlow协议报文，进行丢弃。另外，本申请实施例还可以基于报文中的TCP(即Transmission Control Protocol，传输控制协议)端口校验报文是否为OpenFlow协议报文，不是则丢弃。

[0048] 并且，识别发送待裁决的OpenFlow协议报文的在线异构执行体；从待裁决的OpenFlow协议报文裁减掉以太头、IP(即Internet Protocol，网际互连协议)头以及TCP头；将裁剪后的OpenFlow协议报文存储至对应在线异构执行体的存储对象中。本申请实施例可以基于报文中的源IP地址和/或源MAC地址(即Media Access Control Address，媒体存取控制地址)识别发送待裁决的OpenFlow协议报文的在线异构执行体，还可以基于目的IP地址和/或目的MAC地址判断报文的接收方。

[0049] 步骤S12：将待裁决的OpenFlow协议报文存储至各个所述在线异构执行体各自对应的存储对象中。

[0050] 其中，存储对象中还保存待裁决的OpenFlow协议报文对应的接收时间。也即，本申请实施例中，还可以将待裁决的OpenFlow协议报文对应的接收时间存入存储对象。并且，存储对象可以为字典；所述字典中，键用于保存待裁决的OpenFlow协议报文，值用于保存待裁决的OpenFlow协议报文对应的接收时间。

[0051] 步骤S13：当满足预设裁决触发条件，则依次将各个所述在线异构执行体对应的存储对象作为目标存储对象，从所述目标存储对象中逐个提取待裁决的OpenFlow协议报文作为目标报文，与非目标存储对象中待裁决的OpenFlow协议报文进行比对裁决。

[0052] 其中，预设裁决触发条件可以为定时条件，也即，当达到定时时间，则满足预设裁决触发条件，比如，创建定时器，设置定时器的时间为3分钟。定时器到时后，调用裁决流程，进行裁决处理。也可以为事件条件，比如接收到一条OpenFlow协议报文，则满足预设裁决触发条件。当然，在一些实施例中，也可以当满足定时条件或事件条件，则判定满足预设裁决触发条件，即采取了实时裁决与定时裁决相结合的方法，保证裁决结果准确的情况下，大大节省了设备资源。

[0053] 并且，本申请实施例中，若所有非目标存储对象中均存在与所述目标报文一致的待裁决的OpenFlow协议报文，则判定比对裁决成功，将所述目标报文以及、所有非目标存储对象中与所述目标报文一致的待裁决的OpenFlow协议报文从存储对象中删除。若任一非目标存储对象中不存在与所述目标报文一致的待裁决的OpenFlow协议报文，则判定比对裁决失败，基于所述目标报文的接收时间确定报文存储时间，并判断所述报文存储时间是否超过预设时间阈值，若未超过所述预设时间阈值，则等待下一次比对裁决，若超过所述预设时间阈值，则上报异常，并且，将目标报文从存储对象中删除。若非目标存储对象中存在与目标报文一致的报文，也可以将该报文删除。在存储报文前，可以获取当前时间作为报文的接收时间。可以理解的是，报文存储时间即判定比对裁决失败后获取的当前时间减去报文的接收时间。

[0054] 也即，本申请实施例中，依次将各个所述在线异构执行体对应的存储对象作为目标存储对象，其他在线异构执行体对应的存储对象为非目标存储对象，从所述目标存储对象中逐个提取待裁决的OpenFlow协议报文作为目标报文，与每个非目标存储对象中所有的待裁决的OpenFlow协议报文一一进行比对以完成裁决。考虑到接收到不同在线异构体发送的报文的时间可能不一致，本申请实施例通过保存报文接收时间，与预设时间阈值比对的方式，避免了报文接收时间不一致导致的裁决不准确问题。

[0055] 本申请实施例，可以使用sniff抓取指定端口的报文，得到OpenFlow协议报文；根据报文的源IP、目的IP、源MAC、目的MAC判断出报文的源异构执行体；剥离二层以太头、三层IP头以及TCP头，基于OpenFlow协议报文的类型字段判断报文是否为待裁决的OpenFlow协议报文，如果不是待裁决的OpenFlow协议报文，则将报文丢弃。并且针对每个异构执行体创建一个字典，每个字典对应的存储一个异构执行体的待裁决的OpenFlow协议报文，在将待裁决的OpenFlow协议报文存储前，获取当前时间，作为报文的接收时间。报文的存储采用字典的方式，key(即键)保存待裁决的OpenFlow协议报文，Vlaue(即值)保存报文的接收时间。字典结构如表1所示：

[0056]

[0057] 假设有3个在线异构执行体，各个异构执行体存储报文的字典名称依次为：pkt_flow_mod_1、pkt_flow_mod_2、pkt_flow_mod_3。本申请实施例从字典pkt_flow_mod_1中提取第1个报文依次与pkt_flow_mod_2、pkt_flow_mod_3中所有报文进行对比裁决。若对比裁决成功，则将第1个报文在pkt_flow_mod_1、pkt_flow_mod_2、pkt_flow_mod_3中分别删除；对比裁决失败，判断报文存储时间是否超过3分钟，如果没有超过3分钟，则返回等待下次裁决，如果已经超过3分钟，则上报异常，同时将报文在pkt_flow_mod_1、pkt_flow_mod_2、pkt_flow_mod_3中分别删除(也即在有该报文的字典里删除)。依次从pkt_flow_mod_1中提取第2个、第3个、第N个报文与pkt_flow_mod_2、pkt_flow_mod_3中所有报文进行对比裁决。
pkt_flow_mod_1中所有报文都提取出来对比裁决后，从pkt_flow_mod_2中依次提取第1个、第2个、第3个、第N个报文与pkt_flow_mod_1、pkt_flow_mod_3中所有报文进行对比裁决。
pkt_flow_mod_2中所有报文都提取出来对比裁决后，从pkt_flow_mod_3中依次提取第1个、第2个、第3个、第N个报文与pkt_flow_mod_1、pkt_flow_mod_2中所有报文进行对比裁决。例如，参见图2所示，本申请实施例公开了一种具体的裁决方法流程图，从端口获取OpenFlow协议报文。判断报文是否为需要裁决的报文类型，如果不是则丢弃。获取当前时间，作为收到报文的时间。对需要裁决的报文，进行解析，裁剪处理。使用字典将报文和收到报文的时间进行存储。对收到的报文进行裁决处理，如果裁决成功，删除对应的报文；如果裁决失败，判断报文收到的时间是否超过3分钟，没有超过3分钟，则返回等待下一次裁决，如果超过3分钟，则上报异常，同时删除对应报文。

[0058] 进一步的，本申请实施例当满足预设裁决触发条件，则判断预设延迟时间是否为0；所述预设延迟时间为当有新的执行体上线，设置的延迟时间；若所述预设延迟时间为0，则触发依次将各个所述在线异构执行体对应的存储对象作为目标存储对象，从所述目标存储对象中逐个提取待裁决的OpenFlow协议报文作为目标报文，与非目标存储对象中待裁决的OpenFlow协议报文进行比对裁决的步骤；若所述预设延迟时间不为0，则对所述预设延迟时间进行减操作。比如减1。需要指出的是，当存在新上线的执行体，各执行体会切断TCP连接，在指定时间后再连接，通过预设延迟时间，可以保障各个在线执行体均建立好连接后再进行裁决，避免了无效的执行裁决操作。比如，预设延时时间的初始值为3，也即，当有新的执行体上线，预设延时时间设置为3，当满足预设裁决触发条件，则判断预设延迟时间是否为0，此时预设延时时间为3，则减1变为2，并等待下一次满足预设裁决触发条件，再次判断预设延迟时间是否为0，此时预设延时时间为2，则减1变为1，并等待下一次满足预设裁决触发条件，再次判断预设延迟时间是否为0，此时预设延时时间为1，则减1变为0，并等待下一次满足预设裁决触发条件，再次判断预设延迟时间是否为0，此时预设延时时间为0，触发依次将各个所述在线异构执行体对应的存储对象作为目标存储对象，从所述目标存储对象中逐个提取待裁决的OpenFlow协议报文作为目标报文，与非目标存储对象中待裁决的OpenFlow协议报文进行比对裁决的步骤。可以理解的是，预设延迟时间可以根据各执行体切断TCP连接至再次连接的时间设置，当预设裁决触发条件为定时条件，还可以考虑定时时间，当预设裁决触发条件为事件条件，还可以考虑两次事件发生的时间间隔。

[0059] 在另一种实施方式中，本申请实施例可以当满足预设裁决触发条件，则判断在线异构执行体的数量是否达到预设数量阈值，若未达到预设数量阈值，则删除所有存储的报文，若达到数量阈值，则判断预设延迟时间是否为0；所述预设延迟时间为当有新的执行体上线，设置的延迟时间；若所述预设延迟时间为0，则触发依次将各个所述在线异构执行体对应的存储对象作为目标存储对象，从所述目标存储对象中逐个提取待裁决的OpenFlow协议报文作为目标报文，与非目标存储对象中待裁决的OpenFlow协议报文进行比对裁决的步骤；若所述预设延迟时间不为0，则对所述预设延迟时间进行减操作。其中，预设数量阈值可以为3，这样，能够避免在线异构执行体的数量不足导致的裁决不准确的问题。

[0060] 参见图3所示，图3为本申请实施例公开的另一种具体的裁决方法流程图。步骤1，创建定时器，设置定时器的时间为3分钟。定时器到时后，定时器到时，调用裁决流程，裁决流程包括：判断在线执行体个数是否为3，不为3则删除所有存储报文并返回。判断g_delay_time(即预设延迟时间)是否为0，不为0则将g_delay_time减1并返回。g_delay_time用来判断是否有新执行体刚上线，如果有新执行体刚上线则需要延迟裁决处理。对存储报文进行遍历对比裁决处理，如果裁决成功，删除对应的报文；如果裁决失败，判断报文收到的时间是否超过3分钟，没有超过3分钟，则返回等待下一次裁决，如果超过3分钟，则上报异常，同时删除对应报文。这样，通过对各个异构执行体发出去的OpenFlow协议报文进行裁决处理，解决了OpenFlow协议栈本身存在漏洞导致裁决不准确问题。

[0061] 需要指出的是，本申请实施例中的步骤S11至步骤S13没有严格的先后顺序关系。当识别到任一待裁决的OpenFlow协议报文，则将该报文以及该报文的接收时间存储至相应在线异构执行体对应的存储对象中。当满足预设裁决触发条件，则进行比对裁决。

[0062] 可见，本申请实施例从各个在线异构执行体发送的报文中识别待裁决的OpenFlow协议报文并存储至各个在线异构执行体对应的存储对象中，当满足预设裁决触发条件，对基于各目标存储对象中待裁决的OpenFlow协议报文进行比对裁决，能够避免在流表正确的情况下，OpenFlow协议栈本身存在漏洞而受到攻击，导致裁决不准确，无法检测出攻击的问题，从而提升攻击的检出率。

[0063] 进一步的，参见图4所示，本申请实施例公开了一种裁决装置，包括：

[0064] 识别模块11，用于从各个在线异构执行体发送的报文中识别待裁决的OpenFlow协议报文；

[0065] 存储模块12，用于将待裁决的OpenFlow协议报文存储至各个所述在线异构执行体各自对应的存储对象中；

[0066] 裁决模块13，用于当满足预设裁决触发条件，则依次将各个所述在线异构执行体对应的存储对象作为目标存储对象，从所述目标存储对象中逐个提取待裁决的OpenFlow协议报文作为目标报文，与非目标存储对象中待裁决的OpenFlow协议报文进行比对裁决。

[0067] 可见，本申请实施例从各个在线异构执行体发送的报文中识别待裁决的OpenFlow协议报文并存储至各个在线异构执行体对应的存储对象中，当满足预设裁决触发条件，对基于各目标存储对象中待裁决的OpenFlow协议报文进行比对裁决，能够避免在流表正确的情况下，OpenFlow协议栈本身存在漏洞而受到攻击，导致裁决不准确，无法检测出攻击的问题，从而提升攻击的检出率。

[0068] 其中，存储对象中还保存待裁决的OpenFlow协议报文对应的接收时间；裁决模块13具体用于若裁决模块确定所有非目标存储对象中均存在与所述目标报文一致的待裁决的OpenFlow协议报文，判定比对裁决成功；若任一非目标存储对象中不存在与所述目标报文一致的待裁决的OpenFlow协议报文，则判定比对裁决失败，基于所述目标报文的接收时间确定报文存储时间，并判断所述报文存储时间是否超过预设时间阈值，若未超过所述预设时间阈值，则等待下一次比对裁决，若超过所述预设时间阈值，则上报异常。

[0069] 所述装置还包括删除模块，用于在裁决模块判定裁决成功的情况下，将所述目标报文以及与所述目标报文一致的待裁决的OpenFlow协议报文从存储对象中删除。

[0070] 并且，所述存储对象为字典；所述字典中，键用于保存待裁决的OpenFlow协议报文，值用于保存待裁决的OpenFlow协议报文对应的接收时间。

[0071] 识别模块11，具体包括：

[0072] 报文获取子模块，用于从指定端口获取各个在线异构执行体发送的OpenFlow协议报文；

[0073] 报文识别子模块，用于对OpenFlow协议报文进行解析，并基于解析得到的OpenFlow协议类型字段识别待裁决的OpenFlow协议报文。

[0074] 存储模块12，具体包括：

[0075] 源识别子模块，用于识别发送待裁决的OpenFlow协议报文的在线异构执行体；

[0076] 报文裁剪子模块，用于从待裁决的OpenFlow协议报文裁减掉以太头、IP头以及TCP头；

[0077] 报文存储子模块，用于将裁剪后的OpenFlow协议报文存储至对应在线异构执行体的存储对象中。

[0078] 进一步的，所述装置还包括：

[0079] 延迟处理模块，用于当满足预设裁决触发条件，则判断预设延迟时间是否为0；所述预设延迟时间为当有新的执行体上线，设置的延迟时间；若所述预设延迟时间为0，则触发依次将各个所述在线异构执行体对应的存储对象作为目标存储对象，从所述目标存储对象中逐个提取待裁决的OpenFlow协议报文作为目标报文，与非目标存储对象中待裁决的OpenFlow协议报文进行比对裁决的步骤；若所述预设延迟时间不为0，则对所述预设延迟时间进行减操作。

[0080] 进一步的，参见图5所示，本申请实施例公开了另一种裁决装置，包括：包括：报文接收模块，负责接收各个执行体发出去的报文，并解析报文，分析报文相关属性，对不需要裁决的报文进行丢弃处理。报文存储模块，负责分析报文的来源，并对相关报文进行存储、更新、删除等。裁决模块，负责对存储的各个执行体报文进行对比裁决判断，对存在异常情况进行上报，同时更新存储的各个执行体报文。定时器模块，创建定时器，定时对存储的各个执行体报文进行裁决处理。这样，通过对异构执行体发出来的OpenFlow协议报文进行对比裁决，从而判断是否有异构执行体被攻击。解决了在流表正确的情况下，OpenFlow协议栈被攻击，导致发出来的报文是错误却无法检测到执行体被攻击的情况。

[0081] 其中，解析报文，具体为对收到的报文进行剥离操作，剥离二层以太头、三层IP头以及TCP头。分析报文属性，具体为根据报文的TCP端口号、以及OpenFlow的type分析报文是否为OpenFlow协议报文、以及是否为需要裁决的OpenFlow协议报文，对不需要裁决处理的报文进行丢弃处理。分析报文的来源，具体为通过报文的源IP、目的IP、源MAC、目的MAC判断报文是哪一个异构执行体发送过来的。对于报文的存储，针对不同的执行体采用不同的字典存储，例如执行体1收到的报文存储为opf_pkt_1{key:value},执行体2收到的报文存储为opf_pkt_2{key:value},其中key为报文内容，value为报文接收到的时间。对存储的各个执行体报文进行对比裁决判断，可以包括实时裁决和定时裁决。实时裁决即只要收到报文就对目前收到的报文进行一次对比裁决。定时裁决即等待定时器到时触发对目前存储的报文进行一次对比裁决。另外，本申请实施例对完成裁决后的报文在存储字典中删除，防止下一次再对已经裁决过的报文进行再次裁决处理。

[0082] 并且，报文接收模块，具体用于通过使用sniff抓取对应端口的报文。根据报文的源IP、目的IP、源MAC、目的MAC判断出报文是从哪个异构执行体发过来的。剥离二层以太头、三层IP头以及TCP头，判断报文是否为需要裁决的OpenFlow协议报文，如果不是所要裁决的协议报文，则将报文丢弃。

[0083] 报文存储模块，具体用于针对每个执行体创建一个字典，每个字典对应的存储一个执行体的报文。存储报文前，获取当前时间，此时间用来表示收到报文的时间。报文的存储采用字典的方式，键值保存的是具体的要参与裁决的报文，value保存的是收到报文的时间。

[0084] 裁决模块，具体执行以下步骤：假设各个执行体存储报文的字典名称依次为：pkt_flow_mod_1、pkt_flow_mod_2、pkt_flow_mod_3。步骤1，从字典pkt_flow_mod_1中提取第1个报文依次与pkt_flow_mod_2、pkt_flow_mod_3中所有报文进行对比裁决。步骤2，对比裁决成功，则将第1个报文在pkt_flow_mod_1、pkt_flow_mod_2、pkt_flow_mod_3中分别删除；对比裁决失败，判断报文存储时间是否超过3分钟，如果没有超过3分钟，则返回等待下次裁决，如果已经超过3分钟，则上报异常，同时将报文在pkt_flow_mod_1、pkt_flow_mod_2、pkt_flow_mod_3中分别删除。步骤3，依次从pkt_flow_mod_1中提取第2个、第3个、第N个报文与pkt_flow_mod_2、pkt_flow_mod_3中所有报文进行对比裁决，裁决结果处理参考步骤
2。步骤4，pkt_flow_mod_1中所有报文都提取出来对比裁决后，从pkt_flow_mod_2中依次提取第1个、第2个、第3个、第N个报文与pkt_flow_mod_1、pkt_flow_mod_3中所有报文进行对比裁决，裁决结果处理参考步骤2。步骤5，pkt_flow_mod_2中所有报文都提取出来对比裁决后，从pkt_flow_mod_3中依次提取第1个、第2个、第3个、第N个报文与pkt_flow_mod_1、pkt_flow_mod_2中所有报文进行对比裁决，裁决结果处理参考步骤2。

[0085] 定时器模块，具体用于：创建定时器，设置定时器的时间为3分钟。定时器到时后，调用裁决流程，进行裁决处理。具体的，定时器到时，调用裁决流程。判断在线执行体个数是否为3，不为3则删除所有存储报文并返回。判断g_delay_time是否为0，不为0则将g_delay_time减1并返回。g_delay_time用来判断是否有新执行体刚上线，如果有新执行体刚上线则需要延迟裁决处理。对存储报文进行遍历对比裁决处理，如果裁决成功，删除对应的报文；如果裁决失败，判断报文收到的时间是否超过3分钟，没有超过3分钟，则返回等待下一次裁决，如果超过3分钟，则上报异常，同时删除对应报文。

[0086] 参见图6所示，本申请实施例公开了一种电子设备20，包括处理器21和存储器22；其中，所述存储器22，用于保存计算机程序；所述处理器21，用于执行所述计算机程序，前述实施例公开的裁决方法。

[0087] 关于上述裁决方法的具体过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。

[0088] 并且，所述存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，存储方式可以是短暂存储或者永久存储。

[0089] 另外，所述电子设备20还包括电源23、通信接口24、输入输出接口25和通信总线26；其中，所述电源23用于为所述电子设备20上的各硬件设备提供工作电压；所述通信接口
24能够为所述电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议，在此不对其进行具体限定；所述输入输出接口
25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。

[0090] 进一步的，本申请实施例还公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述实施例公开的裁决方法。

[0091] 关于上述裁决方法的具体过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。

[0092] 本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

[0093] 结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD‑ROM、或技术领域内所公知的任意其它形式的存储介质中。

[0094] 以上对本申请所提供的一种裁决方法、装置、设备及介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。