(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111670961.X (22)申请日 2021.12.31 (71)申请人 河南信大网御科技有限公司 地址 450000 河南省郑州市金 水区宝瑞路 115号河南省信息安全产业示范基地8 号楼01、 02号1- 5层 申请人 珠海高凌信息科技股份有限公司 (72)发明人 吕青松　冯志峰　李松泽　张建军　 郭义伟　 (74)专利代理 机构 郑州德勤知识产权代理有限 公司 41128 代理人 张微微 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种拟态开关以及拟态系统内部单向通信 方法 (57)摘要 本发明提供一种拟态开关以及拟态系统内 部单向通信方法， 通过在拟态组件、 执行体通信 链路上串联拟态开关， 用来保证拟态链路通信的 单向性， 一方面解决了传统ip tables、 交换机ACL 规则配置灵活性较差的问题， 另一发面避免了 iptables存在漏洞， 造成规则失效的问题， 提高 了拟态系统通信链路的安全性和灵活性， 同时拟 态开关中流量记录功能可以协助用户快速地寻 找攻击源。 权利要求书2页 说明书8页 附图2页 CN 114363051 A 2022.04.15 CN 114363051 A 1.一种拟态开关， 其特征在于， 包括用于转发上行数据流的输入网络接口和用于转发 下行数据流的输出网络 接口， 还包括： 输入规则检测器， 与所述输入网络接口连接， 用于检测所述输入网络接口转发的上行 数据流是否符合输入检测规则， 并在符合所述输入检测规则时， 将所述上行数据流通过所 述输出网络接口发送出去， 以及在不符合所述输入检测规则时， 将所述上行数据流记录在 输入流量存储器中， 并将所述上 行数据流丢弃； 输出规则检测器， 与所述输出网络接口连接， 用于检测所述输出网络接口转发的下行 数据流是否符合输出检测规则， 并在符合所述输出检测规则时， 将所述下行数据流通过所 述输入网络接口发送出去， 以及在不符合所述输出检测规则时， 将所述下行数据流记录在 输出流量存储器中， 并将所述下 行数据流量丢弃。 2.根据权利要求1所述的拟态开关， 其特征在于： 还包括规则配置器， 所述规则配置器 用于数据流的上下行方向确定输入网络接口和输出网络接口， 以及用于存储所述输入检测 规则和所述输出检测规则。 3.一种拟态系统内部单向通信方法， 其特 征在于， 包括以下步骤： 配置输入代理/输出裁决模块与各执行体之间通过内部交换网络的第 一IP子网段进行 流量传输； 配置各执行体与裁决器之 间以及调 度器与裁决器之 间通过内部交换网络的第二 子网段进 行流量传输； 配置调 度器与各执行体和输入代理之间通过内部交换网络的第三子 网段进行流 量传输； 分别在输入代理/输出裁决模块与各执行体之间的通信链路、 各执行体与裁决器之间 以及调度器与裁决器之 间的通信链路、 调 度器与各执行体和输入代理之间的通信链路上设 置权利要求1 ‑2所述的拟态开关； 通过各拟态开关检测其输入网络接口转发的上行数据流是否符合输入检测规则或检 测其所述输出网络接口转发的下行数据流是否符合输出检测规则， 实现输入代理/输出裁 决模块与各执行体之间的通信链路、 各执行体与裁决器之 间以及调 度器与裁决器之 间的通 信链路、 调度器与各 执行体和输入代理之间的通信链路的单向性。 4.根据权利要求3所述的拟态系统内部单向通信方法， 其特征在于： 分别在输入代理/ 输出裁决模块与各执行体之 间的通信链路、 各执行体与裁决器之 间以及调 度器与裁决器之 间的通信链路、 调度器与各执行体和输入代理之间的通信链路上设置拟态开关， 具体包括 以下步骤： 设置交换机， 将输入代理/输出裁决模块、 各执行体、 裁决器以及调度器均与交换机通 信连接； 定义输入代理/输出裁决模块向交换机发送的数据流为上行数据流， 交换机向输入代 理/输出裁决模块发送的数据流为下行数据流； 定义交换机 向各执行体发送的数据流为上 行数据流， 各执行体向交换机发送的数据流为下行数据流； 定义交换机 向裁决器发送的数 据流为上行数据流， 裁决器向交换机发送的数据流为下行数据流； 定义交换机 向调度器发 送的数据为上 行数据流， 调度器向交换机发送的数据为下 行数据流； 在输入代 理/输出裁决模块与交换机之间、 各执行体与交换机之间、 调度器与交换机间 之间以及裁决器与交换机之间均设置拟态开关； 根据输入代理/输出裁决模块与交换机之间、 各执行体与交换机之间、 调度器与交换机权　利　要　求　书 1/2 页 2 CN 114363051 A 2间之间以及裁决器与交换机之 间通信链路上的输入代理/输出裁决模块与各执行体之 间的 数据流的上 下行方向， 为对应拟态开关配置 输入检测规则和输出检测规则。 5.根据权利要求3所述的拟态系统内部单向通信方法， 其特征在于： 输入代理/输出裁 决模块与各执行体之间采用HTTP协议通信； 调度器与裁决器、 调度器与各执行体以及裁决 器与各执行体之间采用UD P协议通信。权　利　要　求　书 2/2 页 3 CN 114363051 A 3