CN111654469A - 一种拟态流量器和拟态交换系统 - Google Patents
一种拟态流量器和拟态交换系统 Download PDFInfo
- Publication number
- CN111654469A CN111654469A CN202010365069.XA CN202010365069A CN111654469A CN 111654469 A CN111654469 A CN 111654469A CN 202010365069 A CN202010365069 A CN 202010365069A CN 111654469 A CN111654469 A CN 111654469A
- Authority
- CN
- China
- Prior art keywords
- flow
- switching
- mimic
- subsystem
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/10—Packet switching elements characterised by the switching fabric construction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/10—Packet switching elements characterised by the switching fabric construction
- H04L49/109—Integrated on microchip, e.g. switch-on-chip
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种拟态流量器和拟态交换系统,其中,拟态流量器包括分发模块、调度模块和裁决模块;交换系统架构包括若干个交换子系统和所述的拟态流量器;所述交换子系统,用于实现数据流量的转发、交换协议的运行、交换芯片的控制;所述拟态流量器,设置数目比为1:N的对外端口和对内端口;所述对外端口与外部网络设备互联,以将接收到的外部网络设备ingress方向的流量,复制分发至所述交换子系统;所述对内端口与各个交换子系统互联,以将接收到的各个交换子系统egress方向的流量,裁决后将正确的流量根据MAC地址表发送至所述对外端口,将识别出的异常交换子系统进行清洗。
Description
技术领域
本发明涉及拟态防御技术领域,具体涉及一种拟态流量器和拟态交换系统。
背景技术
交换机作为网络基础设施的重要组成部分,其自身安全性对网络的正常运行起着至关重要的作用,交换机厂商通过引入“防DOS、ARP、ICMP攻击”、“软件防火墙”等技术提高设备的安全性。然而通过传统防御手段来修补漏洞和病毒查杀仅能应对已知的安全威胁,对于漏洞未知、攻击隐藏是未知安全威胁的防御难点。随着拟态防御技术理论的日趋成熟,越来越多的设备通过引入拟态防御思想提高自身系统的安全性。由于交换设备自身的漏洞后门、病毒、木马等外部因素的攻击,将会造成网络系统瘫痪,因此,如何实现在不对现有设备更改或设计的情况下,实现快速完成拟态功能,提高设备自身的安全性抵御是目前急需解决的问题。
发明内容
本发明的目的在于针对现有技术中存在的不足,提供一种拟态流量器和拟态交换系统。
为达到上述目的,本发明第一方面提供了一种拟态流量器,该拟态流量器包括分发模块、调度模块和裁决模块;
所述分发模块,用于复制分发来自ingress方向的流量;
所述裁决模块,用于对来自egress方向的流量进行裁决;
所述调度模块,用于根据裁决结果,实时将识别出的异常流量进行清洗,以及将正确的流量发送至对外端口。
基于上述,所述来自ingress方向的流量包括业务类型的流量、无连接的管理流量以及面向连接的管理流量,针对业务类型的流量以及无连接的管理流量,所述分发模块进行复制分发;对于面向连接的管理流量,所述分发模块单独进行处理。
本发明第二方面提供了一种拟态交换系统,该交换系统架构包括若干个交换子系统和所述的拟态流量器;所述交换子系统,用于实现数据流量的转发、交换协议的运行、交换芯片的控制;所述拟态流量器,设置数目比为1:N的对外端口和对内端口;所述对外端口与外部网络设备互联,以将接收到的外部网络设备ingress方向的流量,复制分发至所述交换子系统;所述对内端口与各个交换子系统互联,以将接收到的各个交换子系统egress方向的流量,裁决后将正确的流量根据MAC地址表发送至所述对外端口,将识别出的异常交换子系统进行清洗。
基于上述,所述MAC地址表由所述拟态流量器实时获取各交换子系统的MAC地址表,并对该MAC地址表进行裁决后放入本地缓存的MAC地址表。
基于上述,对于ingress流量中的管理流量,各个交换子系统根据acl规则将流量中的管理类报文传送至对应交换子系统中的控制器,以触发控制器上的管理控制功能;当管理类报文中包含威胁类攻击报文时,所述拟态流量器的裁决模块通过比对管理类报文的特征,识别出受到攻击的交换子系统,再通过所述调度模块将该交换子系统进行下线清洗操作;
对于ingress流量中的非管理类报文,各个交换子系统自动进行转发;所述拟态流量器上的裁决模块对于各个交互子系统上的egress流量进行比较,若发现威胁信息,则通过所述调度模块完成该交换子系统的下线清洗操作。
基于上述,每个交换子系统具有硬件异构性和功能同构性。
基于上述,所述交换子系统由控制器、交换芯片,编程FPGA或者软件交换实现。
基于上述,所述拟态流量器通过FPGA编程、专有芯片或高性能处理器实现。
基于上述,所述拟态流量器是单独的设备、板卡或者以其它方式集成到网络设备中。
本发明的有益效果如下:
(1)本发明的拟态交换系统通过引入异构交换子系统以及拟态流量器,在不对现有设备更改或设计的情况下,可以快速完成交换机拟态功能的实现。
(2)本发明的拟态交换系统通过拟态流量器对ingress流量及egress流量的分发、裁决,以及各个交换子系统对于ingress流量及egress流量的处理,能够有效解决拟态交换系统数据平面、控制平面、管理平面的威胁检测与修复,在传统拟态防御技术高安全的基础上进一步增加拟态交换系统的可靠性。
附图说明
图1是本发明实施例提供的拟态流量器功能示意图。
图2是本发明实施例提供的拟态交换系统示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。相反,本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
实施例1
本实施例提供了一种拟态流量器,如图1所示,该拟态流量器包括分发模块、调度模块和裁决模块;
所述分发模块,用于复制分发来自ingress方向的流量;
所述裁决模块,用于对来自egress方向的流量进行裁决;
所述调度模块,用于根据裁决结果,实时将识别出的异常流量进行清洗,以及将正确的流量发送至对外端口。
其中,所述来自ingress方向的流量包括业务类型的流量、无连接的管理流量以及面向连接的管理流量,针对业务类型的流量以及无连接的管理流量,所述分发模块进行复制分发;对于面向连接的管理流量,所述分发模块单独进行处理。
实施例2
如图2所示,本实施例提供了一种拟态交换系统,该交换系统架构包括若干个交换子系统和所述的拟态流量器;
所述交换子系统,用于实现数据流量的转发、交换协议的运行、交换芯片的控制;
所述拟态流量器,用于实现外部流量的复制分发,各个交换子系统流量的处理、交换子系统的调度、交换流量输出的控制;
具体的,所述拟态流量器设置数目比为1:N的对外端口和对内端口;所述对外端口与外部网络设备互联,以将接收到的外部网络设备ingress方向的流量,复制分发至所述交换子系统。
本实施例中,所述来自ingress方向的流量包括业务类型的流量、无连接的管理流量以及面向连接的管理流量,针对业务类型的流量以及无连接的管理流量,所述分发模块进行复制分发后交由后端的交换子系统处理;对于面向连接的管理流量,所述分发模块单独进行处理以保证每个交换子系统都能对外建立连接。
所述对内端口与各个交换子系统互联,以将接收到的各个交换子系统egress方向的流量,裁决后将正确的流量根据MAC地址表发送至所述对外端口,将识别出的异常交换子系统进行清洗。
本实施例中,所述MAC地址表由所述拟态流量器实时获取各交换子系统的MAC地址表,并对该MAC地址表进行裁决后放入本地缓存的MAC地址表。
本实施例中,所述交换子系统由控制器、交换芯片,编程FPGA或者软件交换实现。每个交换子系统具有硬件异构性和功能同构性,其中,为了具备硬件异构性,所述交换子系统可以选用不同的交换芯片、不同的控制器、不同操作系统、不同的管理软件和不同的交换方式等;为了具备功能同构性,所述交换子系统可以选用统一的管理平面、交换子系统中的控制器具有统一的MAC地址、统一的协议处理结果等。所述拟态流量器通过FPGA编程、专有芯片或高性能处理器实现,所述拟态流量器是单独的设备、板卡或者以其它方式集成到网络设备中。从而在不对现有设备更改或设计的情况下,可以快速完成拟态功能的实现,提高网络设备自身的安全性。
本实施例中的拟态交换系统从软件架构上划分为数据平面、控制平面、管理平面;数据平面主要完成数据的交换,一般由交换子系统的交换芯片或者软交换实现;控制平面主要实现对交换子系统的交换芯片的控制;管理平面主要用于向外提供交换配置接口,例如cli、web、snmp等方式;控制平面和管理平面一般集成到一起,运行在控制器之上。
拟态流量器遵循拟态防御架构设计,具备输入代理(分发)、裁决、调度等功能;拟态流量器接收外部ingress流量,分发模块将ingress流量复制N份,传送至N个交换子系统;
对于ingress流量中的管理类报文,交换芯片或者软交换会根据acl规则将流量中的管理类报文传送至控制器,从而触发控制器上的管理控制功能(管理平面、数据平面);当管理类报文中包含威胁类攻击报文时,此攻击类报文只对交换子系统中的某个控制器生效;此时控制器返回至拟态流量器的管理类报文会与其它交换子系统返回的管理类报文有所区别,此时裁决模块通过比对管理类报文的特征,识别出受到攻击的交换子系统(在管理平面、数据平面);通过调度模块将该交换子系统进行下线清洗操作,从而完成交换子系统管理平面、控制平面的防护;
对于ingress流量中的非管理类报文,交换子系统中的交换芯片会自动进行转发而不进行任何处理;当其中一个交换子系统中的交换芯片具有隐藏后门,如果对某种特征的报文A敏感,且ingress流量中的报文包含A特征时,就会触发此交换芯片上的后门;其它交换芯片则不具有类似的后门,对于报文A不敏感,会对报文A进行正常转发处理。此时拟态流量器上的裁决模块对于各个交换子系统上的egress流量进行比较,就会发现威胁信息;从而通过调度模块完成该交换子系统的下线清洗操作,完成对交换子系统数据平面的防护。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员在不脱离本发明技术方案的精神下,对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (9)
1.一种拟态流量器,其特征在于:该拟态流量器包括分发模块、调度模块和裁决模块;
所述分发模块,用于复制分发来自ingress方向的流量;
所述裁决模块,用于对来自egress方向的流量进行裁决;
所述调度模块,用于根据裁决结果,实时将识别出的异常流量进行清洗,以及将正确的流量发送至对外端口。
2.根据权利要求1所述的拟态流量器,其特征在于:所述来自ingress方向的流量包括业务类型的流量、无连接的管理流量以及面向连接的管理流量,针对业务类型的流量以及无连接的管理流量,所述分发模块进行复制分发;对于面向连接的管理流量,所述分发模块单独进行处理。
3.一种拟态交换系统,其特征在于:该交换系统架构包括若干个交换子系统和权利要求1或2所述的拟态流量器;
所述交换子系统,用于实现数据流量的转发、交换协议的运行、交换芯片的控制;
所述拟态流量器,设置数目比为1:N的对外端口和对内端口;所述对外端口与外部网络设备互联,以将接收到的外部网络设备ingress方向的流量,复制分发至所述交换子系统;所述对内端口与各个交换子系统互联,以将接收到的各个交换子系统egress方向的流量,裁决后将正确的流量根据MAC地址表发送至所述对外端口,将识别出的异常交换子系统进行清洗。
4.根据权利要求3所述的拟态交换系统,其特征在于:所述MAC地址表由所述拟态流量器实时获取各交换子系统的MAC地址表,并对该MAC地址表进行裁决后放入本地缓存的MAC地址表。
5.根据权利要求3所述的拟态交换系统,其特征在于:对于ingress流量中的管理流量,各个交换子系统根据acl规则将流量中的管理类报文传送至对应交换子系统中的控制器,以触发控制器上的管理控制功能;当管理类报文中包含威胁类攻击报文时,所述拟态流量器的裁决模块通过比对管理类报文的特征,识别出受到攻击的交换子系统,再通过所述调度模块将该交换子系统进行下线清洗操作;
对于ingress流量中的非管理类报文,各个交换子系统自动进行转发;所述拟态流量器上的裁决模块对于各个交互子系统上的egress流量进行比较,若发现威胁信息,则通过所述调度模块完成该交换子系统的下线清洗操作。
6.根据权利要求3所述的拟态交换系统,其特征在于:每个交换子系统具有硬件异构性和功能同构性。
7.根据权利要求3所述的拟态交换系统,其特征在于:所述交换子系统由控制器、交换芯片,编程FPGA或者软件交换实现。
8.根据权利要求3所述的拟态交换系统,其特征在于:所述拟态流量器通过FPGA编程、专有芯片或高性能处理器实现。
9.根据权利要求3所述的拟态交换系统,其特征在于:所述拟态流量器是单独的设备、板卡或者以其它方式集成到网络设备中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010365069.XA CN111654469B (zh) | 2020-04-30 | 2020-04-30 | 一种拟态流量器和拟态交换系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010365069.XA CN111654469B (zh) | 2020-04-30 | 2020-04-30 | 一种拟态流量器和拟态交换系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111654469A true CN111654469A (zh) | 2020-09-11 |
| CN111654469B CN111654469B (zh) | 2022-09-06 |
Family
ID=72352000
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010365069.XA Active CN111654469B (zh) | 2020-04-30 | 2020-04-30 | 一种拟态流量器和拟态交换系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111654469B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929373A (zh) * | 2021-02-07 | 2021-06-08 | 河南信大网御科技有限公司 | 一种内网设备防护方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
| US20130031281A1 (en) * | 2011-07-25 | 2013-01-31 | Oracle International Corporation | Using a dma engine to automatically validate dma data paths |
| WO2015117377A1 (zh) * | 2014-07-18 | 2015-08-13 | 中兴通讯股份有限公司 | 一种网络连通性验证方法、装置和计算机可读存储介质 |
| CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
| WO2019170396A1 (en) * | 2018-03-06 | 2019-09-12 | International Business Machines Corporation | Flow management in networks |
| CN110247928A (zh) * | 2019-06-29 | 2019-09-17 | 河南信大网御科技有限公司 | 一种拟态交换机安全流量控制装置及方法 |
-
2020
- 2020-04-30 CN CN202010365069.XA patent/CN111654469B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
| US20130031281A1 (en) * | 2011-07-25 | 2013-01-31 | Oracle International Corporation | Using a dma engine to automatically validate dma data paths |
| WO2015117377A1 (zh) * | 2014-07-18 | 2015-08-13 | 中兴通讯股份有限公司 | 一种网络连通性验证方法、装置和计算机可读存储介质 |
| WO2019170396A1 (en) * | 2018-03-06 | 2019-09-12 | International Business Machines Corporation | Flow management in networks |
| CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
| CN110247928A (zh) * | 2019-06-29 | 2019-09-17 | 河南信大网御科技有限公司 | 一种拟态交换机安全流量控制装置及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 马海龙等: "路由器拟态防御能力测试与分析", 《信息安全学报》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929373A (zh) * | 2021-02-07 | 2021-06-08 | 河南信大网御科技有限公司 | 一种内网设备防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111654469B (zh) | 2022-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11461466B2 (en) | System and method for providing network security to mobile devices | |
| US11757835B2 (en) | System and method for implementing content and network security inside a chip | |
| US11140198B2 (en) | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-oF-based computer storage array | |
| US10341378B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US10887340B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| EP2132643B1 (en) | System and method for providing data and device security between external and host devices | |
| EP1628455A1 (en) | Method, apparatuses and computer software for enabling communication within a virtual network while the network's communications are restricted due to security threats | |
| AU2005322364A1 (en) | Network intrusion prevention | |
| WO2016191232A1 (en) | Mitigation of computer network attacks | |
| CN105516189B (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN102014010B (zh) | 一种网络行为管理系统及方法 | |
| CN111654469B (zh) | 一种拟态流量器和拟态交换系统 | |
| JP3652661B2 (ja) | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム | |
| EP2815350B1 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| Yu et al. | Research on key technology of industrial network boundary protection based on endogenous security | |
| CN108848093B (zh) | 路由计算单元和网络节点设备 | |
| US20240163294A1 (en) | System and method for capturing malicious flows and associated context for threat analysis | |
| CN116846641A (zh) | 一种漏洞防御方法、设备、系统及存储介质 | |
| Gao et al. | Penetrating into Openflow Networks: Novel Ddos Attacks in Sdn and Countermeasures | |
| IL192044A (en) | System and method for providing network security for mobile devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |