CN110247928B - 一种拟态交换机安全流量控制装置及方法 - Google Patents

一种拟态交换机安全流量控制装置及方法 Download PDF

Info

Publication number
CN110247928B
CN110247928B CN201910580675.0A CN201910580675A CN110247928B CN 110247928 B CN110247928 B CN 110247928B CN 201910580675 A CN201910580675 A CN 201910580675A CN 110247928 B CN110247928 B CN 110247928B
Authority
CN
China
Prior art keywords
message
executive body
fingerprint
switch
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910580675.0A
Other languages
English (en)
Other versions
CN110247928A (zh
Inventor
宋帅康
吕青松
郭义伟
徐虹
魏亚祥
邵文超
冯志峰
党凯剑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Original Assignee
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Comleader Information Technology Co Ltd, Henan Xinda Wangyu Technology Co Ltd filed Critical Zhuhai Comleader Information Technology Co Ltd
Priority to CN201910580675.0A priority Critical patent/CN110247928B/zh
Publication of CN110247928A publication Critical patent/CN110247928A/zh
Application granted granted Critical
Publication of CN110247928B publication Critical patent/CN110247928B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/31Flow control; Congestion control by tagging of packets, e.g. using discard eligibility [DE] bits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/253Routing or path finding in a switch fabric using establishment or release of connections between ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提出了一种拟态交换机安全流量控制装置及方法,其中,装置包括安全态势感知模块、引流模块和数据中转模块,使用该装置进行安全流量控制方法,包括以下步骤:步骤1:安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略;步骤2:引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征,根据报文特征制定动态引流策略;步骤3:数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口。本发明提供的拟态交换机安全流量控制方法解决了拟态交换机流量转发中报文分流、指纹变换和分发指配环节开发难度较大以及效率过低的问题,还极大增加了攻击者的攻击难度。

Description

一种拟态交换机安全流量控制装置及方法
技术领域
本发明属于网络安全防护领域,尤其涉及一种拟态交换机安全流量控制装置及方法。
背景技术
随着网络空间安全形势日益严峻,网络空间拟态防御技术应运而生。拟态防御技术是通过构建动态冗余系统架构和运行机理实现的一种不依赖先验知识的主动防御机制。
典型拟态防御模型由输入代理器、功能等价异构执行体、输出裁决器和反馈控制器构成。输入代理器完成外部输入信息的复制分发,异构执行体获得输入代理分发的外部输入信息计算输出结果,输出裁决器根据输出结果进行多模裁决并负责代理输出的功能,反馈控制器根据输出裁决器的输出结果反馈调整输入代理器和异构执行体集的服务特性,以此实现拟态伪装。对拟态交换机的安全流量控制是在安全态势感知的基础上,通过动态调整引流规则和分发指配逻辑以符合拟态防御架构中输入代理器的服务特性,将指定的安全流量报文作为外部输入信息分发给功能等价的异构执行体集。但在基于拟态防御架构的交换机设备的实际应用中,满足拟态防御架构的完整的输入代理模型又往往难以实现,尤其是报文分流、指纹变换和分发指配环节有很大的开发难度,从而无法有效实现拟态交换机安全流量的引流及控制。
如安全外壳协议( Secure Shell,SSH),其是建立在应用层上的安全协议,是一种专为远程登录和其他网络服务提供的安全性协议。SSH作为用户完成交换机配置的主要入口之一,是重要的交换机安全配置流量。
SSH协议的安全性主要来自于会话阶段采用的diffie-hellman密钥交换算法,其保证了会话双方不进行私钥交换的情况下各自计算出双方一致的共享秘钥用于会话加密。由于各异构执行体产生的私钥不都相同,所以各异构执行体会使用自身的私钥计算出不同的共享秘钥。显然,直接复制不能完成对SSH流量的正确分发。
发明内容
鉴于上述内容,有必要提供一种拟态交换机安全流量控制装置及方法,本发明解决了拟态交换机流量转发中报文分流、指纹变换和分发指配环节难度较大以及效率过低的问题。
本发明一方面提出一种拟态交换机安全流量控制装置,包括:
安全态势感知模块,用于维护报文特征数据库,并制定安全策略;
引流模块,制定动态引流策略,维护拟态交换机安全流量在拟态交换机物理端口与数据中转模块间的数据通路,以及维护数据中转模块与异构执行体虚拟端口的数据通路;
数据中转模块,根据所述安全态势感知模块制定的安全策略对来自拟态交换机物理端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至异构执行体虚拟端口;或者
根据所述安全态势感知模块制定的安全策略对来自异构执行体虚拟端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至拟态交换机物理端口。
基于上述,所述报文的解析过程为指纹变换过程。
基于上述,所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。
基于上述,所述主执行体是根据安全态势感知模块指定的选举算法,在异构执行体池中选举的。
基于上述,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体与各异构执行体建立的是SSH连接。
本发明另一方面还提出一种拟态交换机安全流量控制方法,包括以下步骤:
步骤1:安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略;
步骤2:引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征,根据报文特征制定动态引流策略;
步骤3:数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口。
基于上述,所述步骤2的具体步骤为:
步骤21,引流模块获取来自拟态交换机物理端口的指定报文特征,制定动态引流策略,完成拟态交换机物理端口与数据中转模块的引流规则;
步骤22:引流模块获取来自异构执行体虚拟端口的指定报文特征,制定动态引流策略,完成异构执行体虚拟端口与数据中转模块的引流规则。
基于上述,所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。
基于上述,所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。
基于上述,所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后,判断源异构执行体是否为主执行体,若是,则通过引流规则重定向至拟态交换机物理端口发出;否则,丢弃该报文。
本发明相对现有技术具有突出的实质性特点和显著进步,具体的说,本发明提供的拟态交换机安全流量控制方法引入了动态报文特征库和动态安全策略,极大提升了拟态交换机的安全性,由此产生的动态引流规则能够实现对指定安全流量和普通流量的精确分流,在不影响拟态交换机交换性能的同时实现常规流量交换与安全流量控制的分离,且引入动态引流规则和指纹变换逻辑,还实现了从拟态交换机物理端口到异构执行体虚拟端口的数据通路,同时,本发明所使用的动态指纹变换机制使得拟态交换机内部的虚拟交换机对外隔离,以上措施解决了拟态交换机流量转发中报文分流、指纹变换和分发指配环节开发难度较大以及效率过低的问题,还极大增加了攻击者的攻击难度。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明实施例1提供的拟态交换机安全流量控制过程示意图。
图2是本发明实施例1提供的拟态交换机安全流量报文指纹变换示意图。
图3是本发明实施例2方案中的SSH流量分发模型。
图4是本发明实施例2方案中的指纹变换处理示例。
图5是本发明实施例3方案中的安全流量控制方法的流程框图。
图6是本发明实施例4方案中的安全流量控制方法的流程框图。
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
实施例1
如图1和图2所示,一种拟态交换机安全流量控制装置,包括:
安全态势感知模块,用于维护报文特征数据库,并制定安全策略;所述报文特征数据库记录了涉及拟态交换机安全的报文特征元组,所述安全策略是由当前安全态势制定的动态规则,包括报文过滤机制,外部指纹与内部指纹映射关系信息;
引流模块,制定动态引流策略,维护拟态交换机安全流量在拟态交换机物理端口与数据中转模块间的数据通路,以及维护数据中转模块与异构执行体虚拟端口的数据通路;
数据中转模块,根据所述安全态势感知模块制定的安全策略对来自拟态交换机物理端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至异构执行体虚拟端口;或者
根据所述安全态势感知模块制定的安全策略对来自异构执行体虚拟端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至拟态交换机物理端口。
本实施例拟态交换机安全流量控制装置用于拟态交换机安全流量控制的方法,包括以下步骤:
步骤1:安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略;
步骤2:引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征,根据报文特征制定动态引流策略;具体的,引流模块获取来自拟态交换机物理端口的指定报文特征,制定动态引流策略,完成拟态交换机物理端口与数据中转模块的引流规则;引流模块获取来自异构执行体虚拟端口的指定报文特征,制定动态引流策略,完成异构执行体虚拟端口与数据中转模块的引流规则。
步骤3:数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口。所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。
实施例2
如图3和图4所示,本实施例与实施例1的区别在于:所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。其中,所述主执行体是根据安全态势感知模块指定的选举算法,在异构执行体池中选举的。特别的,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体与各异构执行体建立的是SSH连接。
本实施例的报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后,判断源异构执行体是否为主执行体,若是,则通过引流规则重定向至拟态交换机物理端口发出;否则,丢弃该报文。
实施例3
如图5所示,本实施例与实施例2的区别在于提供了一种具体的普通安全报文,如ARP、ICMP等协议报文,的安全流量控制方法:
①假定流量从拟态交换机物理端口17口进入;
②报文被引流模块的引流规则捕获,被重定向到数据中转模块;
③数据中转模块解析报文所带外部指纹,即帧标记,得知该报文从17口进入,需要将其送到主执行体对应的17接口;
④数据中转模块根据内部指纹与外部指纹映射关系,完成指纹变换;
⑤报文从数据中转模块发出,携带内部指纹为主执行体对应的17接口可以识别的VLAN标记;
⑥报文被引流规则捕获,被送往主执行体对应17接口。
实施例4
如图6所示,本实施例与实施例2的区别在于提供了一种具体的特定安全报文,如SSH、telnet等协议报文,的安全流量控制方法:
①假定流量从拟态交换机物理端口17口进入;
②报文被引流规则捕获,被重定向到数据中转模块;
③数据中转模块解析报文所带外部指纹,即帧标记,得知该报文从17口进入,需要将其送到主执行体对应的17接口;
④数据中转模块根据内部指纹与外部指纹映射关系,完成指纹变换;
⑤报文从数据中转模块发出,携带内部指纹为主执行体对应的17接口可以识别的VLAN标记;
⑥报文到达主执行体,分发代理获取配置信息;
⑦分发代理与各异构执行体建立SSH连接,将从主执行体获得的配置信息分发给各异构执行体。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种拟态交换机安全流量控制装置,其特征在于,包括:
安全态势感知模块,用于维护报文特征数据库,并制定安全策略;
引流模块,制定动态引流策略,维护拟态交换机安全流量在拟态交换机物理端口与数据中转模块间的数据通路,以及维护数据中转模块与异构执行体虚拟端口的数据通路;
数据中转模块,根据所述安全态势感知模块制定的安全策略对来自拟态交换机物理端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至异构执行体虚拟端口;或者
根据所述安全态势感知模块制定的安全策略对来自异构执行体虚拟端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至拟态交换机物理端口;
所述报文的解析过程为指纹变换过程,包括以下步骤:
解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。
2.根据权利要求1所述的拟态交换机安全流量控制装置,其特征在于,所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。
3.根据权利要求2所述的拟态交换机安全流量控制装置,其特征在于:所述主执行体是根据安全态势感知模块指定的选举算法,在异构执行体池中选举的。
4.根据权利要求2所述的拟态交换机安全流量控制装置,其特征在于:所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体与各异构执行体建立的是SSH连接。
5.一种拟态交换机安全流量控制方法,其特征在于,包括以下步骤:
步骤1:安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略;
步骤2:引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征,根据报文特征制定动态引流策略;
步骤3:数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口;
所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。
6.根据权利要求5所述的拟态交换机安全流量控制方法,其特征在于,所述步骤2的具体步骤为:
步骤21,引流模块获取来自拟态交换机物理端口的指定报文特征,制定动态引流策略,完成拟态交换机物理端口与数据中转模块的引流规则;
步骤22:引流模块获取来自异构执行体虚拟端口的指定报文特征,制定动态引流策略,完成异构执行体虚拟端口与数据中转模块的引流规则。
7.根据权利要求5所述的拟态交换机安全流量控制方法,其特征在于,所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。
8.根据权利要求7所述的拟态交换机安全流量控制方法,其特征在于:所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后,判断源异构执行体是否为主执行体,若是,则通过引流规则重定向至拟态交换机物理端口发出;否则,丢弃该报文。
CN201910580675.0A 2019-06-29 2019-06-29 一种拟态交换机安全流量控制装置及方法 Active CN110247928B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910580675.0A CN110247928B (zh) 2019-06-29 2019-06-29 一种拟态交换机安全流量控制装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910580675.0A CN110247928B (zh) 2019-06-29 2019-06-29 一种拟态交换机安全流量控制装置及方法

Publications (2)

Publication Number Publication Date
CN110247928A CN110247928A (zh) 2019-09-17
CN110247928B true CN110247928B (zh) 2020-09-15

Family

ID=67890334

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910580675.0A Active CN110247928B (zh) 2019-06-29 2019-06-29 一种拟态交换机安全流量控制装置及方法

Country Status (1)

Country Link
CN (1) CN110247928B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111343139B (zh) * 2020-01-14 2021-03-30 浙江大学 一种工控拟态安全网关的多模判决方法
CN111416865B (zh) * 2020-03-24 2022-12-13 河南信大网御科技有限公司 一种基于拟态防御的协议代理处理方法及系统
CN111405062B (zh) * 2020-04-01 2023-08-11 河南信大网御科技有限公司 基于ssh协议的拟态输入代理装置、通信系统及方法
CN111669367B (zh) * 2020-04-30 2022-08-16 河南信大网御科技有限公司 一种拟态内网及其构建方法
CN111654469B (zh) * 2020-04-30 2022-09-06 河南信大网御科技有限公司 一种拟态流量器和拟态交换系统
CN111669436B (zh) * 2020-05-21 2022-12-13 河南信大网御科技有限公司 拟态系统的ssh远程连接方法、拟态系统和可读存储介质
CN112367288B (zh) * 2020-05-25 2023-06-20 河南信大网御科技有限公司 单拟态括号装置、方法、可读存储介质和拟态防御架构
CN111740964B (zh) * 2020-06-04 2022-03-25 河南信大网御科技有限公司 远程同步通信方法、拟态虚拟终端、异构执行体及介质
CN111800467B (zh) * 2020-06-04 2023-02-14 河南信大网御科技有限公司 远程同步通信方法、数据交互方法、设备及可读存储介质
CN111431944A (zh) * 2020-06-10 2020-07-17 之江实验室 一种拟态裁决系统及其配置和恢复方法
CN111859390B (zh) * 2020-07-06 2022-07-26 河南信大网御科技有限公司 拟态括号装置、防御方法及防御架构
CN111859389B (zh) * 2020-07-06 2022-07-26 河南信大网御科技有限公司 基于伴随验证流控策略的拟态括号装置、方法及架构
CN111865950B (zh) * 2020-07-09 2022-04-26 河南信大网御科技有限公司 一种拟态网络测试仪及测试方法
CN113179252B (zh) * 2021-03-30 2022-04-01 新华三信息安全技术有限公司 一种安全策略管理方法、装置、设备及机器可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2251786A3 (de) * 2009-05-15 2012-07-25 Atos IT Solutions and Services GmbH Verfahren zum Nachbilden eines Dienstes auf einem Host/Server und Computerverarbeitungseinheit zum Durchführen des Verfahrens
CN103685082A (zh) * 2012-09-21 2014-03-26 杭州华三通信技术有限公司 一种在交换机上实现虚拟设备的方法和装置
CN105049419A (zh) * 2015-06-19 2015-11-11 中国人民解放军信息工程大学 基于异构多样性的拟态网络逐级交换路由系统
CN105141519A (zh) * 2015-07-24 2015-12-09 上海红神信息技术有限公司 一种基于负载变换的拟态网络节点防护方法
CN109246108A (zh) * 2018-09-18 2019-01-18 中国人民解放军战略支援部队信息工程大学 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102427429B (zh) * 2012-01-12 2016-12-14 神州数码网络(北京)有限公司 一种实现交换机内部报文安全防护的方法、系统以及交换机
CN105100026B (zh) * 2014-05-22 2018-07-20 新华三技术有限公司 一种报文安全转发方法及装置
US9860160B2 (en) * 2015-12-30 2018-01-02 Stmicroelectronics, Inc. Multipath switching using per-hop virtual local area network classification
CN105791279B (zh) * 2016-02-29 2018-12-18 中国人民解放军信息工程大学 一种拟态化sdn控制器构建方法
CN107145376B (zh) * 2016-03-01 2021-04-06 中兴通讯股份有限公司 一种主动防御方法和装置
CN107872443A (zh) * 2016-09-28 2018-04-03 深圳市深信服电子科技有限公司 虚拟网络安全防护系统、流量牵引方法及装置
CN109150831B (zh) * 2018-07-16 2021-03-23 中国人民解放军战略支援部队信息工程大学 一种内生安全的云任务执行装置及方法
CN109587168B (zh) * 2018-12-29 2020-12-15 河南信大网御科技有限公司 软件定义网络中基于拟态防御的网络功能部署方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2251786A3 (de) * 2009-05-15 2012-07-25 Atos IT Solutions and Services GmbH Verfahren zum Nachbilden eines Dienstes auf einem Host/Server und Computerverarbeitungseinheit zum Durchführen des Verfahrens
CN103685082A (zh) * 2012-09-21 2014-03-26 杭州华三通信技术有限公司 一种在交换机上实现虚拟设备的方法和装置
CN105049419A (zh) * 2015-06-19 2015-11-11 中国人民解放军信息工程大学 基于异构多样性的拟态网络逐级交换路由系统
CN105141519A (zh) * 2015-07-24 2015-12-09 上海红神信息技术有限公司 一种基于负载变换的拟态网络节点防护方法
CN109246108A (zh) * 2018-09-18 2019-01-18 中国人民解放军战略支援部队信息工程大学 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构

Also Published As

Publication number Publication date
CN110247928A (zh) 2019-09-17

Similar Documents

Publication Publication Date Title
CN110247928B (zh) 一种拟态交换机安全流量控制装置及方法
EP3603003B1 (en) Hardware-accelerated secure communication management
EP3206356B1 (en) Controlling transmission security of industrial communications flow in a sdn architecture
US20190394068A1 (en) Flow entry generating method and apparatus
CN105763557B (zh) 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统
CN109642923B (zh) 分流网络数据以执行负载平衡
CN106790420A (zh) 一种多会话通道建立方法和系统
WO2018001242A1 (zh) 一种数据报文处理方法及装置
CN106034046A (zh) 访问控制列表acl的发送方法及装置
CN106506515A (zh) 一种认证方法和装置
US20210264051A1 (en) Blockchain system, blockchain management apparatus, network control apparatus, method and program
CN109150829B (zh) 软件定义云网络可信数据分发方法、可读存储介质和终端
CN112615838B (zh) 一种可扩展的区块链跨链通信方法
CN105827628A (zh) 一种基于软件定义网络的防源地址欺骗的方法
CN109189542A (zh) 一种用于运维审计系统的远程桌面访问方法
JP4190521B2 (ja) マルチプロトコルアドレス登録方法、マルチプロトコルアドレス登録システム、マルチプロトコルアドレス登録サーバおよびマルチプロトコルアドレス通信端末
CN115412512B (zh) 一种基于IPv6的多云跨网互通方法及装置
CN115277696B (zh) 一种跨网络联邦学习系统及方法
CN110235417A (zh) 一种sdn及其报文转发的方法和装置
CN114186213B (zh) 基于联邦学习的数据传输方法及装置、设备和介质
US11664121B2 (en) Medical data processing method, cluster processing system and method thereof
Rahman et al. Man in the Middle Attack Prevention for edg-fog, mutual authentication scheme
WO2014106028A1 (en) Network security as a service using virtual secure channels
CN107968825A (zh) 一种报文转发控制方法及装置
CN110581799A (zh) 一种业务流的转发方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant