CN111669342A - 基于广义鲁棒控制的网络防御方法、系统及交换机 - Google Patents

基于广义鲁棒控制的网络防御方法、系统及交换机 Download PDF

Info

Publication number
CN111669342A
CN111669342A CN202010335971.7A CN202010335971A CN111669342A CN 111669342 A CN111669342 A CN 111669342A CN 202010335971 A CN202010335971 A CN 202010335971A CN 111669342 A CN111669342 A CN 111669342A
Authority
CN
China
Prior art keywords
heterogeneous
network
executors
switch
robust control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010335971.7A
Other languages
English (en)
Other versions
CN111669342B (zh
Inventor
张震
伊鹏
马海龙
申涓
罗伟
张鹏
刘迪洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202010335971.7A priority Critical patent/CN111669342B/zh
Publication of CN111669342A publication Critical patent/CN111669342A/zh
Application granted granted Critical
Publication of CN111669342B publication Critical patent/CN111669342B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/10Packet switching elements characterised by the switching fabric construction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络交换机安全技术领域,特别涉及一种基于广义鲁棒控制的网络防御方法、系统及交换机,对抓取的网络交换机协议报文复制n份并分发至面向三层交换机的异构执行体,所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体;各异构执行体依据接收的协议报文进行响应;针对各异构执行体响应结果,采用大数判决机制选取响应输出数据并反馈至网络交换机,针对未被选中响应结果的异构执行体进行异常记录和处理。本发明利用广义鲁棒控制机制,通过构建覆盖三个层面的异构执行体,实现“感知‑决策‑适配”一体的积极防御,提升以太网交换机面对未知漏洞/后门的处理能力和交换机内部安全稳定性,增强局域网应对外部入侵和内部渗透能力。

Description

基于广义鲁棒控制的网络防御方法、系统及交换机
技术领域
本发明属于网络交换机安全技术领域,特别涉及一种基于广义鲁棒控制的网络防御方法、系统及交换机,以提高交换机自身稳定性和抗容错能力。
背景技术
局域网是整个计算机网络的最基本单元,而交换机连接局域网中的各台设备,使其组成网络,从而实现资源共享的目的。从用户连接侧来讲,交换机是网络安全防御的第一道防线,对内部网络资源和用户主机的安全防御起到至关重要的作用。如果交换机被恶意控制,攻击者可方便的获取用户隐私数据、监控用户上网行为、获取账户密码信息、篡改关键用户数据、推送传播虚假信息、扰乱网络数据流向、瘫痪网络信息交互、直接发起网络攻击。总之,如果针对主机的攻击是破坏了一个点,那么针对交换机的攻击则危及整个内网。究其原因是交换机存在泛在化的基于未知漏洞和后门等的不确定威胁,且缺乏彻查漏洞和后门等的科学与技术方法。一是,现有的科技能力尚无法彻底避免交换机软硬件设计缺陷导致的漏洞。二是,全球化生态环境衍生出的交换机软硬件后门问题不可能从根本上杜绝。三是,现有的科技理论和方法尚不能有效或在可承受的条件下彻查交换机中的漏洞与后门。四是,第三方出于某种企图在交换机系统中植入后门。因此,交换机自身随机故障等不确定性失效扰动和漏洞、后门等不确定威胁扰动是交换机安全亟待解决的问题。
发明内容
为此,本发明提供一种基于广义鲁棒控制的网络防御方法、系统及交换机,在不改变传统路由交换功能的基础上,不依赖先验知识和攻击特征,解决传统以太网交换机无法防范由于自身故障或漏洞等造成的未知威胁及攻击的问题,提高以太网交换机自身的稳定性以及抗容错能力,达到更好的网络安全防御效果。
按照本发明所提供的设计方案,一种基于广义鲁棒控制的网络防御方法,包含:
对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体,所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体,其中,n为大于2;
各异构执行体依据接收的协议报文进行响应;
针对各异构执行体响应结果,采用大数判决机制选取响应输出数据并反馈至网络交换机,针对未被选中响应结果的异构执行体进行异常记录和处理。
作为本发明基于广义鲁棒控制的网络防御方法,进一步地,所述异构执行体采用异构CPU和/或异构操作系统和/或异构协议栈。
作为本发明基于广义鲁棒控制的网络防御方法,进一步地,针对n个异构执行体,选取一个用于网络数据正常交互的主执行体,其余作为仅接收分发协议报文并做出响应的备执行体。
作为本发明基于广义鲁棒控制的网络防御方法,进一步地,通过设置轮换策略选取主执行体。
作为本发明基于广义鲁棒控制的网络防御方法,进一步地,所述轮换策略为自定义轮换周期。
作为本发明基于广义鲁棒控制的网络防御方法,进一步地,针对各异构执行体响应结果,采用大数判决机制选取响应输出数据时,判决对象包含:MAC表、路由表项、ARP表项、ACL表项、QoS表项及用户管理配置数据。
作为本发明基于广义鲁棒控制的网络防御方法,进一步地,针对异常记录的异构执行体,通过对其下线清洗或降低置信度进行异常处理。
进一步地,本发明还提供一种基于广义鲁棒控制的网络防御系统,包含:分发模块、响应模块和防御模块,其中,
分发模块,用于对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体,所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体,其中,n为大于2;
响应模块,用于通过各异构执行体依据接收的协议报文进行响应;
防御模块,用于针对各异构执行体响应结果,采用大数判决机制选取响应输出数据并转译成转发平面规则以下发至网络交换机,针对未被选中响应结果的异构执行体进行异常记录和处理。
作为本发明基于广义鲁棒控制的网络防御系统,进一步地,针对n个异构执行体,通过设定轮换策略选取一个用于网络数据正常交互的主执行体,其余作为仅接收分发协议报文并做出响应的备执行体。
进一步地,本发明还提供一种基于广义鲁棒控制的交换机,包含:
n个用于对协议报文进行数据响应的异构执行体,该n个异构执行体采用异构硬件和/或软件组成的功能等价执行体;
用于将抓取的网络协议报文进行复制并分发至n个异构执行体进行响应的协议代理插件;
用于对异构执行体响应数据进行多数判决的多模裁决插件,该多模裁决插件依据多数判决结果选取响应输出数据和异常状态的异构执行体,并将响应输出数据反馈至协议代理插件以进行正常网络数据交互;
及用于对异常状态的异构执行体进行下线或降低置信度处理的鲁棒控制插件。
本发明的有益效果:
本发明利用广义鲁棒控制机制,并利用覆盖“CPU—操作系统—协议栈”三个层面的异构执行体,实现“感知-决策-适配”一体的积极防御,解决传统以太网交换机无法防范未知威胁及攻击的问题,提高以太网交换机自身的稳定性以及抗容错能力。面向二层和三层协议流量进行统一复制和分发,即“1路”变“n路”,并分发给各个异构执行体,既要保证正常业务处理的连续性,又要保证多路分发的可靠性;针对同一输入,将多个异构执行体的输出结果进行对比,按照“择多表决”的方法,将异常执行体筛选出来,实现对未知威胁的自我感知;对发现的异常执行体进行干预,将异常的执行体进行下线清洗或降低其置信度,实现系统针对未知威胁的主动防御;实现对交换机自身随机故障等引起的不确定性失效扰动及漏洞后门等引起的不确定威胁扰动的有效防御,大幅增强局域网应对外部入侵和内部渗透的能力,为路由交换类信息基础设施提供“高可用性、高可靠性、高可信性”保障。
附图说明:
图1为实施例中网络防御方法流程示意图;
图2为实施例中网络防御系统示意图;
图3为实施例中交换机工作逻辑框架示意;
图4为实施例中面向三层交换机的异构执行体构造示意;
图5为实施例中多模裁决处理流程示意;
图6为实施例中鲁棒控制处理流程示意;
图7为实施例中协议报文复制分发处理流程示意;
图8为实施例中指令消息转译处理流程示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
鲁棒性最初用以表征控制系统对特性或参数扰动的不敏感性。当系统中存在模型摄动或随机干扰等不确定性因素时仍能保持其满意功能或性能品质的控制理论和方法即为鲁棒控制。事实上,鲁棒性问题及其鲁棒控制机制在信息通信网络发展进程中一直倍受关注,主备冗余备份技术、异常处理机制、减灾机制、快速恢复机制等研究在一定程度上解决了网络的不确定失效扰动问题。然而,信息通信网络软硬件系统自身设计或开发缺陷被恶意利用所形成的不确定威胁扰动问题却愈演愈烈。本发明实施例,参见图1所示,提供一种基于广义鲁棒控制的网络防御方法,包含:
S101、对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体,所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体,其中,n为大于2;
S102、各异构执行体依据接收的协议报文进行响应;
S103、针对各异构执行体响应结果,采用大数判决机制选取响应输出数据并反馈至网络交换机,针对未被选中响应结果的异构执行体进行异常记录和处理。
利用广义鲁棒控制机制,并利用覆盖三个层面的异构执行体,实现“感知-决策-适配”一体的积极防御,解决传统以太网交换机无法防范未知威胁及攻击的问题,提高以太网交换自身的稳定性以及抗容错能力。
作为本发明实施例中的基于广义鲁棒控制的网络防御方法,进一步地,所述异构执行体采用异构CPU和/或异构操作系统和/或异构协议栈。每个异构执行体所在的CPU、操作系统和协议栈均不相同或部分相同,但是每个异构执行体的功能是等价的,即每个异构执行体均完成三层交换机协议栈功能,确保网络交互性能的安全稳定性。
作为本发明实施例中的基于广义鲁棒控制的网络防御方法,进一步地,针对n个异构执行体,选取一个用于网络数据正常交互的主执行体,其余作为仅接收分发协议报文并做出响应的备执行体。进一步地,通过设置轮换策略选取主执行体。进一步地,所述轮换策略为自定义轮换周期。主执行体在网络中进行正常数据交互,如果受到攻击,可通过轮换策略进行切换,且由备执行体进行协议报文响应,以避免因受攻击造成的网络异常瘫痪等情形,确保网络数据的正常交互。
作为本发明实施例中的基于广义鲁棒控制的网络防御方法,进一步地,针对各异构执行体响应结果,采用大数判决机制选取响应输出数据时,判决对象包含:MAC表、路由表项、ARP表项、ACL表项、QoS表项及用户管理配置数据。
作为本发明实施例中的基于广义鲁棒控制的网络防御方法,进一步地,针对异常记录的异构执行体,通过对其下线清洗或降低置信度进行异常处理。可通过设定异构执行体池,通过置信度在异构执行体池中选取该n个异构执行体,以确保协议报文响应数据的稳定。
进一步地,基于上述的方法,本发明实施例还提供一种基于广义鲁棒控制的网络防御系统,参见图2所示,包含:分发模块、响应模块和防御模块,其中,
分发模块,用于对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体,所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体,其中,n为大于2;
响应模块,用于通过各异构执行体依据接收的协议报文进行响应;
防御模块,用于针对各异构执行体响应结果,采用大数判决机制选取响应输出数据并转译成转发平面规则以下发至网络交换机,针对未被选中响应结果的异构执行体进行异常记录和处理。
在不改变传统路由交换功能的基础上,不依赖先验知识和攻击特征,解决传统以太网交换机无法防范由于自身故障或漏洞等造成的未知威胁及攻击的问题,利用广义鲁棒控制机制,并利用覆盖三个层面的异构执行体,通过大数判决机制选取协议报文响应数据,可设置中间适配模块以将裁决结果转译呈转发平面规则进行下发,实现“感知-决策-适配”一体的积极防御,提高以太网交换自身的稳定性以及抗容错能力,达到更好的网络安全防御效果。
作为本发明实施例中的基于广义鲁棒控制的网络防御系统,进一步地,针对n个异构执行体,通过设定轮换策略选取一个用于网络数据正常交互的主执行体,其余作为仅接收分发协议报文并做出响应的备执行体。主执行体在网络中进行正常数据交互,如果受到攻击,可通过轮换策略进行切换,且由备执行体进行协议报文响应,以避免因受攻击造成的网络异常瘫痪等情形,确保网络数据的正常交互。
进一步地,基于上述的方法和系统,本发明实施例还提供一种基于广义鲁棒控制的交换机,参见图3所示,包含:
n个用于对协议报文进行数据响应的异构执行体,该n个异构执行体采用异构硬件和/或软件组成的功能等价执行体;
用于将抓取的网络协议报文进行复制并分发至n个异构执行体进行响应的协议代理插件;
用于对异构执行体响应数据进行多数判决的多模裁决插件,该多模裁决插件依据多数判决结果选取响应输出数据和异常状态的异构执行体,并将响应输出数据反馈至协议代理插件以进行正常网络数据交互;
及用于对异常状态的异构执行体进行下线或降低置信度处理的鲁棒控制插件。
面向二层和三层协议流量进行统一复制和分发,即“1路”变“n路”,并分发给各个异构执行体,既要保证正常业务处理的连续性,又要保证多路分发的可靠性;针对同一输入,将多个异构执行体的输出结果进行对比,按照“择多表决”的方法,将异常执行体筛选出来,实现对未知威胁的自我感知;对发现的异常执行体进行干预,将异常的执行体进行下线清洗或降低其置信度,实现系统针对未知威胁的主动防御;实现对交换机自身随机故障等引起的不确定性失效扰动及漏洞后门等引起的不确定威胁扰动的有效防御,大幅增强局域网应对外部入侵和内部渗透的能力,为路由交换类信息基础设施提供“高可用性、高可靠性、高可信性”保障。
参见图4所示,给出了一种示例:执行体1运行的环境集合为{Intel CPU、centos6.0、三层交换协议栈A};执行体2运行的环境集合为{Intel CPU、centos 7.0、三层交换协议栈B};执行体3运行的环境集合为{Intel CPU、debian、三层交换协议栈C};执行体4运行的环境集合为{ARM CPU、ubuntu、三层交换协议栈D}。
广义鲁棒控制交换机通过大数表决的方式,对多个异构执行体的输出消息进行裁决,实现异常执行体的感知和定位。如图5所示,协议报文(包括ARP、ICMP、LLDP、STP、MSTP、TRUNK、LACP、OSPF、RIP、BGP、VRRP、SNMP、Telnet、SSH、Syslog、NTP、FTP、DHCP)通过高速转发引擎抓取;协议报文通过协议代理插件复制分发至各个异构执行体;各异构执行体E1、E2、E3、E4根据收到的协议报文进行计算,并将各自的输出结果发送给多模裁决插件;多模裁决插件采用典型的大数表决机制(即少数服从多数的原则),选择一个合理结果进行输出,对异常的执行体进行记录。多模裁决的对象主要包括:MAC表、路由表项、ARP表项、ACL表项、QoS表项以及用户所有的管理配置消息。
鲁棒控制插件根据用户策略对各个异构执行体进行反馈干预,旨在变化目标对象防御场景,显著降低攻击链的稳定性和可靠性。如图6所示,基于鲁棒控制的反馈调度,检测各异构执行体的主备关系,选举出主执行体(只有一个)和备执行体;将主执行体按照用户策略进行自定义轮换,例如每隔一定周期T切换一次;根据多模裁决的输出结果,检测各执行体是否有异常,若有异常,则将异常的执行体进行下线清洗或降低其置信度;若无异常,直接转到异构执行体主备关系检测步骤重新开始执行。
协议报文的复制分发,如图7所示,负责将二/三层协议报文进行复制分发,即实现1条消息复制为n条(如ARP、ICMP、LLDP、STP、OSPF、RIP等协议消息);图8所示,将各个异构执行体裁决后的结果转译适配至高速转发引擎,并调用交换芯片的SDK中API函数,对交换芯片进行配置。
基于以上内容,本发明实施例中,在不改变传统路由交换功能的基础上,不依赖先验知识和攻击特征,利用广义鲁棒控制机制,通过构建覆盖“CPU—操作系统—协议栈”三个层面的异构执行体,实现“感知-决策-适配”一体的积极防御,解决传统以太网交换机无法防范未知威胁及攻击的问题,提高以太网交换机自身的稳定性以及抗容错能力,提升以太网交换机面对未知漏洞/后门的处理能力,同时因引入多异构执行体,将交换机内部的安全性及稳定性得到显著提高,可实现对交换机漏洞后门等的有效防御,大幅增强局域网应对外部入侵和内部渗透的能力,为路由交换类信息基础设施提供“高可用性、高可靠性、高可信性”保障。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的系统,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的系统。
基于上述的系统,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的系统。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述系统实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述系统实施例中相应内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述系统实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和系统,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种基于广义鲁棒控制的网络防御方法,其特征在于,包含:
对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体,所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体,其中,n为大于2;
各异构执行体依据接收的协议报文进行响应;
针对各异构执行体响应结果,采用大数判决机制选取响应输出数据并反馈至网络交换机,针对未被选中响应结果的异构执行体进行异常记录和处理。
2.根据权利要求1所述的基于广义鲁棒控制的网络防御方法,其特征在于,所述异构执行体采用异构CPU和/或异构操作系统和/或异构协议栈。
3.根据权利要求1所述的基于广义鲁棒控制的网络防御方法,其特征在于,针对n个异构执行体,选取一个用于网络数据正常交互的主执行体,其余作为仅接收分发协议报文并做出响应的备执行体。
4.根据权利要求3所述的基于广义鲁棒控制的网络防御方法,其特征在于,通过设置轮换策略选取主执行体。
5.根据权利要求4所述的基于广义鲁棒控制的网络防御方法,其特征在于,所述轮换策略为自定义轮换周期。
6.根据权利要求1所述的基于广义鲁棒控制的网络防御方法,其特征在于,针对各异构执行体响应结果,采用大数判决机制选取响应输出数据时,判决对象包含:MAC表、路由表项、ARP表项、ACL表项、QoS表项及用户管理配置数据。
7.根据权利要求1所述的基于广义鲁棒控制的网络防御方法,其特征在于,针对异常记录的异构执行体,通过对其下线清洗或降低置信度进行异常处理。
8.一种基于广义鲁棒控制的网络防御系统,其特征在于,包含:分发模块、响应模块和防御模块,其中,
分发模块,用于对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体,所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体,其中,n为大于2;
响应模块,用于通过各异构执行体依据接收的协议报文进行响应;
防御模块,用于针对各异构执行体响应结果,采用大数判决机制选取响应输出数据并转译成转发平面规则以下发至网络交换机,针对未被选中响应结果的异构执行体进行异常记录和处理。
9.根据权利要求8所述的基于广义鲁棒控制的网络防御系统,其特征在于,针对n个异构执行体,通过设定轮换策略选取一个用于网络数据正常交互的主执行体,其余作为仅接收分发协议报文并做出响应的备执行体。
10.一种基于广义鲁棒控制的交换机,其特征在于,包含:
n个用于对协议报文进行数据响应的异构执行体,该n个异构执行体采用异构硬件和/或软件组成的功能等价执行体;
用于将抓取的网络协议报文进行复制并分发至n个异构执行体进行响应的协议代理插件;
用于对异构执行体响应数据进行多数判决的多模裁决插件,该多模裁决插件依据多数判决结果选取响应输出数据和异常状态的异构执行体,并将响应输出数据反馈至协议代理插件以进行正常网络数据交互;
及用于对异常状态的异构执行体进行下线或降低置信度处理的鲁棒控制插件。
CN202010335971.7A 2020-04-25 2020-04-25 基于广义鲁棒控制的网络防御方法、系统及交换机 Active CN111669342B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010335971.7A CN111669342B (zh) 2020-04-25 2020-04-25 基于广义鲁棒控制的网络防御方法、系统及交换机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010335971.7A CN111669342B (zh) 2020-04-25 2020-04-25 基于广义鲁棒控制的网络防御方法、系统及交换机

Publications (2)

Publication Number Publication Date
CN111669342A true CN111669342A (zh) 2020-09-15
CN111669342B CN111669342B (zh) 2023-01-24

Family

ID=72382960

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010335971.7A Active CN111669342B (zh) 2020-04-25 2020-04-25 基于广义鲁棒控制的网络防御方法、系统及交换机

Country Status (1)

Country Link
CN (1) CN111669342B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112130798A (zh) * 2020-09-23 2020-12-25 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 武器装备控制内生安全计算机设计系统及方法
CN112637238A (zh) * 2020-12-31 2021-04-09 河南信大网御科技有限公司 脱离协议栈的telnet代理方法、架构及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106874755A (zh) * 2017-01-22 2017-06-20 中国人民解放军信息工程大学 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法
CN109408452A (zh) * 2018-01-29 2019-03-01 天津芯海创科技有限公司 拟态工控处理器及数据处理方法
CN109587168A (zh) * 2018-12-29 2019-04-05 河南信大网御科技有限公司 软件定义网络中基于拟态防御的网络功能部署方法
CN110177084A (zh) * 2019-04-04 2019-08-27 上海红阵信息科技有限公司 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构
CN110177080A (zh) * 2019-04-18 2019-08-27 中国人民解放军战略支援部队信息工程大学 拟态交换机、网络设备及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106874755A (zh) * 2017-01-22 2017-06-20 中国人民解放军信息工程大学 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法
CN109408452A (zh) * 2018-01-29 2019-03-01 天津芯海创科技有限公司 拟态工控处理器及数据处理方法
CN109587168A (zh) * 2018-12-29 2019-04-05 河南信大网御科技有限公司 软件定义网络中基于拟态防御的网络功能部署方法
CN110177084A (zh) * 2019-04-04 2019-08-27 上海红阵信息科技有限公司 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构
CN110177080A (zh) * 2019-04-18 2019-08-27 中国人民解放军战略支援部队信息工程大学 拟态交换机、网络设备及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
梁浩 等: "天地一体化信息网络发展与拟态技术应用构想", 《中国科学: 信息科学》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112130798A (zh) * 2020-09-23 2020-12-25 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 武器装备控制内生安全计算机设计系统及方法
CN112130798B (zh) * 2020-09-23 2024-04-02 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 武器装备控制内生安全计算机设计系统及方法
CN112637238A (zh) * 2020-12-31 2021-04-09 河南信大网御科技有限公司 脱离协议栈的telnet代理方法、架构及介质

Also Published As

Publication number Publication date
CN111669342B (zh) 2023-01-24

Similar Documents

Publication Publication Date Title
US11902122B2 (en) Application monitoring prioritization
US8595817B2 (en) Dynamic authenticated perimeter defense
US9769250B2 (en) Fight-through nodes with disposable virtual machines and rollback of persistent state
US20120005724A1 (en) Method and system for protecting private enterprise resources in a cloud computing environment
US10764119B2 (en) Link handover method for service in storage system, and storage device
Zhang et al. Heterogeneous networking: a new survivability paradigm
US11374964B1 (en) Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
Deri et al. Combining System Visibility and Security Using eBPF.
Bailey et al. Data reduction for the scalable automated analysis of distributed darknet traffic
TWI625641B (zh) 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US20110149743A1 (en) Network distribution prevention when virtual chassis system undergoes splits and merges
US20170155667A1 (en) Systems and methods for detecting malware infections via domain name service traffic analysis
CN111669342B (zh) 基于广义鲁棒控制的网络防御方法、系统及交换机
US20040111638A1 (en) Rule-based network survivability framework
JPWO2017073089A1 (ja) 通信装置及びシステム及び方法
Atighetchi et al. Adaptive cyberdefense for survival and intrusion tolerance
Reghu et al. Development of robust infrastructure in networking to survive a disaster
US20180115501A1 (en) Uplink port oversubscription determination
EP3934185A1 (en) Selection of member ports in a link aggregation group
US7562389B1 (en) Method and system for network security
KR101717697B1 (ko) 가상화 환경에서의 침입 감내 시스템 및 그 방법
Lee et al. Duo: software defined intrusion tolerant system using dual cluster
JP6851211B2 (ja) ネットワーク監視システム
JP3715628B2 (ja) パケット転送システム、パケット転送装置、プログラム及びパケット転送方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant