CN105072036A - 一种多实例路由单元的拟态路由决策方法 - Google Patents
一种多实例路由单元的拟态路由决策方法 Download PDFInfo
- Publication number
- CN105072036A CN105072036A CN201510408835.5A CN201510408835A CN105072036A CN 105072036 A CN105072036 A CN 105072036A CN 201510408835 A CN201510408835 A CN 201510408835A CN 105072036 A CN105072036 A CN 105072036A
- Authority
- CN
- China
- Prior art keywords
- routing
- table items
- route
- route table
- instances
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种多实例路由单元的拟态路由决策方法,克服了现有技术中,网络空间的安全需求十分严峻的问题。其含有步骤(1)路由决策模块为每一个路由实例维护其下发的路由表项;步骤(2)对于每个路由表项,根据路由表项相同的数目及所属路由实例的可信度计算每个路由表项的可信度;步骤(3)将具有相同目的地址的可信度最高的路由表项作为决策得到的最终路由表项,将其转换为转发表项下发到转发单元;步骤(4)对于路由实例下发的删除路由表项的操作,路由决策模块首先执行对应的删除操作;步骤(5)若检测到某路由实例发生问题,则转步骤(4)对应删除该路由实例下发的所有路由表项。该技术抵御网络风险的能力高。
Description
技术领域
该发明涉及一种网络空间安全拟态防御方法,特别是涉及一种多实例路由单元的拟态路由决策方法。
背景技术
拟态安全防御主要针对网络空间攻击成本和防御成本的严重不对称性,以及当前条件下我国信息领域核心技术与产业基础严重滞后国家安全需求的严峻性提出的,其目标是在系统层面利用结构动态变换和运行环境动态多样化等技术,阻断或扰乱攻击链所依赖的静态性、相似性和确定性以达成系统安全风险可控的要求。
发明内容
本发明克服了现有技术中,网络空间的安全需求十分严峻的问题,提供一种系统抵御风险的能力高的多实例路由单元的拟态路由决策方法。
本发明的技术解决方案是,提供一种具有以下步骤的多实例路由单元的拟态路由决策方法,所述方法是拟态路由交换系统控制平面的路由决策方法,其实现方式如下:
步骤(1),路由决策模块为每一个路由实例维护其下发的路由表项;
步骤(2),对于每个路由表项,与路由决策模块维护的所有其它路由表项进行比对,得到与该路由表项内容完全相同的路由表项的数目,根据路由表项相同的数目及所属路由实例的可信度计算每个路由表项的可信度;
步骤(3),将具有相同目的地址的可信度最高的路由表项作为决策得到的最终路由表项,将其转换为转发表项下发到转发单元,根据路由表项被选择的情况,动态修改所属路由实例的可信度;
步骤(4),对于路由实例下发的删除路由表项的操作,路由决策模块首先执行对应的删除操作,动态修改所属路由实例的可信度,再转至步骤(2),重新进行该目的地址路由表项的决策;
步骤(5),若检测到某路由实例发生问题,则转步骤(4)对应删除该路由实例下发的所有路由表项。
所述步骤(1)为初始化操作,具体步骤如下:路由决策模块在路由实例启动后,对其进行配置,主要是初始化路由实例的Weight值和Trust值,具体取值取决于路由决策模块对该路由实例的情况掌握程度。
所述步骤(2)为Strategy计算,具体步骤如下:
步骤1:路由决策模块遍历每个路由实例下发的路由表项,在其中查找具有相同内容的路由表项;
步骤2:对应记录每个路由表项的相同表项的情况,计算路由表项的Common值;
步骤3:每个路由表项根据自己的Common值以及所属路由实例的Weight值和Trust值计算得到自己的Strategy值。
所述步骤(3)为比较及路由下发操作,具体步骤如下:
步骤1:路由决策模块遍历每个路由实例下发的路由表项,得到具有相同目的IP的路由表项;
步骤2:若没有相同目的IP的路由表项,则转步骤4;
步骤3:对这些具有相同目的IP的路由表项的Strategy值进行比较,选择具有最大值的路由表项;
步骤4:将具有最大Strategy值的路由表项转换为转发表项,下发至转发单元;
步骤5:将该表项所属路由实例的Trust值增加,同时对与该表项相同的表项所属的路由实例的Trust值增加。
所述步骤(4)为路由删除操作,具体步骤如下:
步骤1:路由决策模块记录要删除的路由表项内容,包括目的IP地址和下一跳IP地址;
步骤2:将该表项从对应的路由实例路由表中删除,对应降低该路由实例的Trust值;
步骤3:重新对该目的IP地址的路由表项进行Strategy计算、比较及路由下发过程。
与现有技术相比,本发明多实例路由单元的拟态路由决策方法具有以下优点:拟态路由交换系统是采用拟态安全防御机制的可重构路由交换节点,采用适应于路由交换节点体系结构的多样化构建方法,改变传统的基于数据平面、控制平面与管理平面的静态体系结构,实施关键硬件构件多态重构机制以及协议软件多变体协同运行机制。
控制平面的威胁主要来自以摧毁路由协议为目的的路由协议攻击和以注入虚假路由为目的的路由欺骗。传统路由器通过修补路由协议漏洞、增加附加的安全机制应对上述攻击,从根本上没有改变控制平面的静态特性,无法完全解决控制平面上路由协议和路由信息的脆弱性问题。为彻底解决路由协议面临的安全隐患,拟态路由交换系统控制平面采用运行环境的拟态化、路由协议的拟态化以及路由生成和使用的拟态化,构成路由交换系统拟态控制平面。
在拟态路由交换系统中,为实现路由的拟态化,采用运行多个路由实例的路由计算方式。每个路由实例独立进行路由计算,产生多个路由表项,将这多个路由表项送至路由决策模块,路由决策模块对生成的多个路由表项进行决策,选择生成转发表项,下发至转发单元。本发明是对该应用环境下路由决策的方法描述,目的是体现路由决策的拟态化,提升路由安全性,增强系统抵御风险的能力。
附图说明
图1是本发明多实例路由单元的拟态路由决策方法的路由决策流程示意图;
图2是本发明多实例路由单元的拟态路由决策方法的路由表项结构示意图;
图3是本发明多实例路由单元的拟态路由决策方法步骤(1)初始化操作的流程示意图;
图4是本发明多实例路由单元的拟态路由决策方法步骤(2)Strategy计算的流程示意图;
图5是本发明多实例路由单元的拟态路由决策方法步骤(3)比较及路由下发操作的流程示意图;
图6是本发明多实例路由单元的拟态路由决策方法步骤(4)为路由删除操作的流程示意图;
具体实施方式
下面结合附图和具体实施方式对本发明多实例路由单元的拟态路由决策方法作进一步说明:所述方法是拟态路由交换系统控制平面的路由决策方法,其实现方式如下:
步骤(1),路由决策模块为每一个路由实例维护其下发的路由表项;路由表项格式如附图2所示。
步骤(2),对于每个路由表项,与路由决策模块维护的所有其它路由表项进行比对,得到与该路由表项内容完全相同的路由表项的数目,根据路由表项相同的数目及所属路由实例的可信度计算每个路由表项的可信度;
步骤(3),将具有相同目的地址的可信度最高的路由表项作为决策得到的最终路由表项,将其转换为转发表项下发到转发单元,根据路由表项被选择的情况,动态修改所属路由实例的可信度;
步骤(4),对于路由实例下发的删除路由表项的操作,路由决策模块首先执行对应的删除操作,动态修改所属路由实例的可信度,再转至步骤(2),重新进行该目的地址路由表项的决策;
步骤(5),若检测到某路由实例发生问题,其问题可以是监测不到正常的keepalive,或者获取不到路由信息,与路由实例的连接中断等等,则转步骤(4)对应删除该路由实例下发的所有路由表项。
多实例路由单元的拟态路由决策方法依据以下步骤实现:每个路由实例RIi本身具备一个权值(记做Weight),代表本实例在路由单元中的认可度。
每个路由实例RIi具有一个动态变化的信任值(记做Trust),代表本实例在路由单元的可信度,该值随路由实例计算的路由表项被路由决策模块采纳的数量进行变化,多则信任值增加,少则降低。
路由计算得到的每个路由表项REi具有一个共同值(记做Common),代表该表项与其它路由实例计算单元计算得到的路由表项相同的情况度量。(路由表项相同是指两个路由表项的DstIP及NextHop完全相同)。
路由计算得到的每个路由表项REi的决策值(记做Strategy)是路由决策模块进行路由选择的依据。它的取值取决于所属路由实例的权值、信任值及表项自身的共同值。
REi.Strategy=Function(RIi.Weight,RIi.Trust,REi.Common)
所述步骤(1)为初始化操作,具体步骤如下:路由决策模块在路由实例启动后,对其进行配置,主要是初始化路由实例的Weight值和Trust值,具体取值取决于路由决策模块对该路由实例的情况掌握程度,其流程图如附图3所示。
所述步骤(2)为Strategy计算,具体步骤如下:
步骤1:路由决策模块遍历每个路由实例下发的路由表项,在其中查找具有相同内容的路由表项;
步骤2:对应记录每个路由表项的相同表项的情况,计算路由表项的Common值;
步骤3:每个路由表项根据自己的Common值以及所属路由实例的Weight值和Trust值计算得到自己的Strategy值。
以上流程如附图4所示。
所述步骤(3)为比较及路由下发操作,具体步骤如下:
步骤1:路由决策模块遍历每个路由实例下发的路由表项,得到具有相同目的IP的路由表项;
步骤2:若没有相同目的IP的路由表项,则转步骤4;
步骤3:对这些具有相同目的IP的路由表项的Strategy值进行比较,选择具有最大值的路由表项;
步骤4:将具有最大Strategy值的路由表项转换为转发表项,下发至转发单元;
步骤5:将该表项所属路由实例的Trust值增加,同时对与该表项相同的表项所属的路由实例的Trust值增加。
以上流程如附图5所示。
所述步骤(4)为路由删除操作,具体步骤如下:
步骤1:路由决策模块记录要删除的路由表项内容,包括目的IP地址和下一跳IP地址;
步骤2:将该表项从对应的路由实例路由表中删除,对应降低该路由实例的Trust值;
步骤3:重新对该目的IP地址的路由表项进行Strategy计算、比较及路由下发过程。
以上流程如附图6所示。
Claims (5)
1.一种多实例路由单元的拟态路由决策方法,其特征在于:所述方法是拟态路由交换系统控制平面的路由决策方法,其实现方式如下:
步骤(1),路由决策模块为每一个路由实例维护其下发的路由表项;
步骤(2),对于每个路由表项,与路由决策模块维护的所有其它路由表项进行比对,得到与该路由表项内容完全相同的路由表项的数目,根据路由表项相同的数目及所属路由实例的可信度计算每个路由表项的可信度;
步骤(3),将具有相同目的地址的可信度最高的路由表项作为决策得到的最终路由表项,将其转换为转发表项下发到转发单元,根据路由表项被选择的情况,动态修改所属路由实例的可信度;
步骤(4),对于路由实例下发的删除路由表项的操作,路由决策模块首先执行对应的删除操作,动态修改所属路由实例的可信度,再转至步骤(2),重新进行该目的地址路由表项的决策;
步骤(5),若检测到某路由实例发生问题,则转步骤(4)对应删除该路由实例下发的所有路由表项。
2.根据权利要求1所述的多实例路由单元的拟态路由决策方法,其特征在于:所述步骤(1)为初始化操作,具体步骤如下:路由决策模块在路由实例启动后,对其进行配置,主要是初始化路由实例的Weight值和Trust值,具体取值取决于路由决策模块对该路由实例的情况掌握程度。
3.根据权利要求1所述的多实例路由单元的拟态路由决策方法,其特征在于:所述步骤(2)为Strategy计算,具体步骤如下:
步骤1:路由决策模块遍历每个路由实例下发的路由表项,在其中查找具有相同内容的路由表项;
步骤2:对应记录每个路由表项的相同表项的情况,计算路由表项的Common值;
步骤3:每个路由表项根据自己的Common值以及所属路由实例的Weight值和Trust值计算得到自己的Strategy值。
4.根据权利要求1所述的多实例路由单元的拟态路由决策方法,其特征在于:所述步骤(3)为比较及路由下发操作,具体步骤如下:
步骤1:路由决策模块遍历每个路由实例下发的路由表项,得到具有相同目的IP的路由表项;
步骤2:若没有相同目的IP的路由表项,则转步骤4;
步骤3:对这些具有相同目的IP的路由表项的Strategy值进行比较,选择具有最大值的路由表项;
步骤4:将具有最大Strategy值的路由表项转换为转发表项,下发至转发单元;
步骤5:将该表项所属路由实例的Trust值增加,同时对与该表项相同的表项所属的路由实例的Trust值增加。
5.根据权利要求1所述的多实例路由单元的拟态路由决策方法,其特征在于:所述步骤(4)为路由删除操作,具体步骤如下:
步骤1:路由决策模块记录要删除的路由表项内容,包括目的IP地址和下一跳IP地址;
步骤2:将该表项从对应的路由实例路由表中删除,对应降低该路由实例的Trust值;
步骤3:重新对该目的IP地址的路由表项进行Strategy计算、比较及路由下发过程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510408835.5A CN105072036B (zh) | 2015-07-13 | 2015-07-13 | 一种多实例路由单元的拟态路由决策方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510408835.5A CN105072036B (zh) | 2015-07-13 | 2015-07-13 | 一种多实例路由单元的拟态路由决策方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105072036A true CN105072036A (zh) | 2015-11-18 |
CN105072036B CN105072036B (zh) | 2018-02-06 |
Family
ID=54501322
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510408835.5A Active CN105072036B (zh) | 2015-07-13 | 2015-07-13 | 一种多实例路由单元的拟态路由决策方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105072036B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106713262A (zh) * | 2016-11-17 | 2017-05-24 | 上海红阵信息科技有限公司 | 基于可信度的异构执行体动态调度装置及其调度方法 |
CN110149309A (zh) * | 2019-04-04 | 2019-08-20 | 中国人民解放军战略支援部队信息工程大学 | 一种路由器威胁感知方法及系统 |
CN110380961A (zh) * | 2019-07-05 | 2019-10-25 | 中国人民解放军战略支援部队信息工程大学 | 一种传统路由器拟态化改造的装置及方法 |
CN110401601A (zh) * | 2019-08-20 | 2019-11-01 | 之江实验室 | 一种拟态路由协议系统和方法 |
CN115296839A (zh) * | 2022-06-24 | 2022-11-04 | 网络通信与安全紫金山实验室 | 一种基于bgp-ls裁决的拟态路由方法、装置及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130322327A1 (en) * | 2012-05-29 | 2013-12-05 | Alcatel-Lucent Canada, Inc. | Routing decision context objects |
CN104035889A (zh) * | 2014-06-18 | 2014-09-10 | 中国人民解放军信息工程大学 | 一种多态路由派生方法及系统 |
CN104408372A (zh) * | 2014-11-26 | 2015-03-11 | 大连梯耐德网络技术有限公司 | 一种基于系统重载的拟态安全实现系统及方法 |
-
2015
- 2015-07-13 CN CN201510408835.5A patent/CN105072036B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130322327A1 (en) * | 2012-05-29 | 2013-12-05 | Alcatel-Lucent Canada, Inc. | Routing decision context objects |
CN104035889A (zh) * | 2014-06-18 | 2014-09-10 | 中国人民解放军信息工程大学 | 一种多态路由派生方法及系统 |
CN104408372A (zh) * | 2014-11-26 | 2015-03-11 | 大连梯耐德网络技术有限公司 | 一种基于系统重载的拟态安全实现系统及方法 |
Non-Patent Citations (2)
Title |
---|
张留敏 等: "基于Sybil 攻击的无线传感器网络可信路由策略", 《计算机工程与应用》 * |
邬江兴: "网络空间拟态安全防御", 《保密科学技术》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106713262A (zh) * | 2016-11-17 | 2017-05-24 | 上海红阵信息科技有限公司 | 基于可信度的异构执行体动态调度装置及其调度方法 |
CN106713262B (zh) * | 2016-11-17 | 2020-05-15 | 上海红阵信息科技有限公司 | 基于可信度的异构执行体动态调度装置及其调度方法 |
CN110149309A (zh) * | 2019-04-04 | 2019-08-20 | 中国人民解放军战略支援部队信息工程大学 | 一种路由器威胁感知方法及系统 |
CN110380961A (zh) * | 2019-07-05 | 2019-10-25 | 中国人民解放军战略支援部队信息工程大学 | 一种传统路由器拟态化改造的装置及方法 |
CN110380961B (zh) * | 2019-07-05 | 2021-05-07 | 中国人民解放军战略支援部队信息工程大学 | 一种传统路由器拟态化改造的装置及方法 |
CN110401601A (zh) * | 2019-08-20 | 2019-11-01 | 之江实验室 | 一种拟态路由协议系统和方法 |
CN115296839A (zh) * | 2022-06-24 | 2022-11-04 | 网络通信与安全紫金山实验室 | 一种基于bgp-ls裁决的拟态路由方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN105072036B (zh) | 2018-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105072036A (zh) | 一种多实例路由单元的拟态路由决策方法 | |
Alharbi et al. | The (in) security of topology discovery in software defined networks | |
CN109525397B (zh) | 一种面向sdn网络流规则安全保障的区块链及方法 | |
US20200374127A1 (en) | Blockchain-powered cloud management system | |
CN107872467A (zh) | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统 | |
CN103916389A (zh) | 防御HttpFlood攻击的方法及防火墙 | |
EP2811691B1 (en) | Method and device for synchronizing network data flow detection status | |
CN101202746B (zh) | 节点标识符生成方法及负载均衡方法及装置 | |
CN104853001A (zh) | 一种arp报文的处理方法和设备 | |
CN111130822B (zh) | 通信方法、装置、系统及计算机可读存储介质 | |
CN104780139A (zh) | 一种基于mac地址攻击的防御方法和系统 | |
CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
Dorri et al. | A new approach for detecting and eliminating cooperative black hole nodes in MANET | |
EP3429139B1 (en) | Ingress gateway selection for a shortest path bridging network to support inter domain multicast routing | |
CN105100016A (zh) | 基于虚拟哈希安全访问路径VHSAP的云计算路由平台防御DDoS攻击方法 | |
Li et al. | The new threat to internet: DNP attack with the attacking flows strategizing technology | |
US9654504B1 (en) | Detecting a hijacked network address | |
CN104836734A (zh) | 一种全新的即时通信路由方法和路由器 | |
CN101605094B (zh) | 基于点对点网络的环模型及其路由算法 | |
KR20090102001A (ko) | 이동 애드훅 네트워크에서의 공격 근원 노드 역추적 방법 | |
Byrenheid et al. | Secure embedding of rooted spanning trees for scalable routing in topology-restricted networks | |
CN112437059A (zh) | 面向组网群体智能系统的协同防御策略收发方法 | |
CN105187424A (zh) | 一种网络安全检测方法及装置 | |
Yimu et al. | Threats from botnets | |
CN102739545B (zh) | 发布arp主机路由的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20170808 Address after: 201112 3A building, No. 1588 union airways, Shanghai, Minhang District Applicant after: Shanghai RedNeurons Information Technology Co., Ltd. Applicant after: National Digital Switch System Engineering Technology Research Center Address before: 201112 3A building, No. 1588 union airways, Shanghai, Minhang District Applicant before: Shanghai RedNeurons Information Technology Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |