CN113141420B - 网络地址变更方法、装置以及设备 - Google Patents

网络地址变更方法、装置以及设备 Download PDF

Info

Publication number
CN113141420B
CN113141420B CN202110533957.2A CN202110533957A CN113141420B CN 113141420 B CN113141420 B CN 113141420B CN 202110533957 A CN202110533957 A CN 202110533957A CN 113141420 B CN113141420 B CN 113141420B
Authority
CN
China
Prior art keywords
address change
hosts
network
estimated
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110533957.2A
Other languages
English (en)
Other versions
CN113141420A (zh
Inventor
蒋仲白
熊申铎
崔甲
李娟�
施蕾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Information Technology Security Evaluation Center
Original Assignee
China Information Technology Security Evaluation Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Information Technology Security Evaluation Center filed Critical China Information Technology Security Evaluation Center
Priority to CN202110533957.2A priority Critical patent/CN113141420B/zh
Publication of CN113141420A publication Critical patent/CN113141420A/zh
Application granted granted Critical
Publication of CN113141420B publication Critical patent/CN113141420B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络地址变更方法、装置以及设备,该方法通过获取当前地址变更时刻的预估受攻击主机总数量和队列长度,其中当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度;根据当前地址变更时刻的预估受攻击主机总数量、队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量,其中网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值,本申请确定出的当前地址变更时刻的网络地址变更主机数量能够在满足当前网络安全性的要求的同时节约了网络地址资源。

Description

网络地址变更方法、装置以及设备
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络地址变更方法、装置以及设备。
背景技术
现有技术中,通过会使用网络地址变换技术来提高网络安全性。具体的,网络管理设备按照固定的时间间隔令网络中的n个主机变更各自的网络地址,以使得攻击者扫描探测得到的主机地址信息无效,实现提高网络的安全性。其中,n为预设好的固定正整数。
现有技术中,每次进行网络地址变换的主机数量n是一个固定值,通常是按照以往的经验预设置好的。然而,n值的设置通常并不是很合理。个别时候网络安全性变得很差,而n值设置得较小,导致主机被攻击者攻击的风险加大。而个别时候网络安全性较好,网络环境稳定,而n值设置的又过大,又会导致地址资源浪费严重。
发明内容
基于上述现有技术的不足,本申请提出了一种网络地址变更方法、装置以及设备,以实现让确定出的网络地址变更主机数量在满足当前网络安全性的要求的同时节约网络地址资源。
本申请第一方面公开了一种网络地址变更方法,包括:
获取当前地址变更时刻的预估受攻击主机总数量和当前地址变更时刻的队列长度;其中,所述当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度;所述网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值;
根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量;其中,所述网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值。
可选地,在上述网络地址变更方法中,所述当前地址变更时刻的预估受攻击主机总数量由上一个地址变更时刻的预估受攻击主机总数量、上一个地址变更时刻的预估受攻击主机新增数量、以及可修复主机数量的数学期望计算得到;其中,所述上一个地址变更时刻的预估受攻击主机新增数量由上一个地址变更时刻的网络地址变更主机数量来确定。
可选地,在上述网络地址变更方法中,所述根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量,包括:
根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,计算出当前地址变更时刻的预估网络地址变更主机数量;
若所述当前地址变更时刻的预估网络地址变更主机数量大于允许网络地址变更的最大主机数量,则确定出当前地址变更时刻的网络地址变更主机数量为所述允许网络地址变更的最大主机数量;
若所述当前地址变更时刻的预估网络地址变更主机数量小于零,则确定出当前地址变更时刻的网络地址变更主机数量为零;
若所述当前地址变更时刻的预估网络地址变更主机数量小于或等于所述允许网络地址变更的最大主机数量、且大于或等于零,则将所述当前地址变更时刻的预估网络地址变更主机数量确定为当前地址变更时刻的网络地址变更主机数量。
可选地,在上述网络地址变更方法中,所述根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,计算出当前地址变更时刻的预估网络地址变更主机数量,包括:
将预设的网络比值与所述当前地址变更时刻的队列长度的差值,除以所述当前地址变更时刻的预估受攻击主机总数量,计算得到比值结果;
对所述比值结果求取对数,计算得到对数结果;
将所述对数结果的负值作为当前地址变更时刻的预估网络地址变更主机数量。
可选地,在上述网络地址变更方法中,所述当前地址变更时刻的预估受攻击主机总数量的计算过程,包括:
从上一个地址变更时刻的预估受攻击主机总数量与可修复主机数量的数学期望之间的差值和零中选取出最大值;
将选取出的最大值加上上一个地址变更时刻的预估受攻击主机新增数量,计算得到当前地址变更时刻的预估受攻击主机总数量。
可选地,在上述网络地址变更方法中,所述上一个地址变更时刻的预估受攻击主机新增数量的计算过程,包括:
将欧拉数的K次幂与受攻击主机数量的数学期望相乘,计算得到上一个地址变更时刻的预估受攻击主机新增数量;其中,K为上一个地址变更时刻的网络地址变更主机数量的负值。
可选地,在上述网络地址变更方法中,所述当前地址变更时刻的队列长度的计算过程,包括:
从上一个地址变更时刻的队列长度与上一个地址变更时刻的网络地址变更主机数量之间的差值和零之间选取出最大值;
将选取出的最大值加上所述网络安全阈值,计算得到当前地址变更时刻的队列长度。
可选地,在上述网络地址变更方法中,所述根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量之后,还包括:
从管理的所有主机中选取出所述当前地址变更时刻的网络地址变更主机数量的主机;
向选取出的每一个主机发送网络地址变更指令,以使得选取出的每一个所述主机变更网络地址。
本申请第二方面公开了一种网络地址变更装置,包括:
第一获取单元,用于获取当前地址变更时刻的预估受攻击主机总数量和当前地址变更时刻的队列长度;其中,所述当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度;所述网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值;
第一确定单元,用于根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量;其中,所述网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值。
可选地,在上述网络地址变更装置中,所述当前地址变更时刻的预估受攻击主机总数量由上一个地址变更时刻的预估受攻击主机总数量、上一个地址变更时刻的预估受攻击主机新增数量、以及可修复主机数量的数学期望计算得到;其中,所述上一个地址变更时刻的预估受攻击主机新增数量由上一个地址变更时刻的网络地址变更主机数量来确定。
可选地,在上述网络地址变更装置中,所述第一确定单元,包括:
第一计算子单元,用于根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,计算出当前地址变更时刻的预估网络地址变更主机数量;
第一确定子单元,用于若所述当前地址变更时刻的预估网络地址变更主机数量大于允许网络地址变更的最大主机数量,则确定出当前地址变更时刻的网络地址变更主机数量为所述允许网络地址变更的最大主机数量;
第二确定子单元,用于若所述当前地址变更时刻的预估网络地址变更主机数量小于零,则确定出当前地址变更时刻的网络地址变更主机数量为零;
第三确定子单元,用于若所述当前地址变更时刻的预估网络地址变更主机数量小于或等于所述允许网络地址变更的最大主机数量、且大于或等于零,则将所述当前地址变更时刻的预估网络地址变更主机数量确定为当前地址变更时刻的网络地址变更主机数量。
可选地,在上述网络地址变更装置中,所述第一计算子单元,包括:
第二计算子单元,用于将预设的网络比值与所述当前地址变更时刻的队列长度的差值,除以所述当前地址变更时刻的预估受攻击主机总数量,计算得到比值结果;
第三计算子单元,用于对所述比值结果求取对数,计算得到对数结果;
第四确定子单元,用于将所述对数结果的负值作为当前地址变更时刻的预估网络地址变更主机数量。
可选地,在上述网络地址变更装置中,还包括:
第一选取单元,用于从上一个地址变更时刻的预估受攻击主机总数量与可修复主机数量的数学期望之间的差值和零中选取出最大值;
第一计算单元,用于将选取出的最大值加上上一个地址变更时刻的预估受攻击主机新增数量,计算得到当前地址变更时刻的预估受攻击主机总数量。
可选地,在上述网络地址变更装置中,还包括:
第二计算单元,用于将欧拉数的K次幂与受攻击主机数量的数学期望相乘,计算得到上一个地址变更时刻的预估受攻击主机新增数量;其中,K为上一个地址变更时刻的网络地址变更主机数量的负值。
可选地,在上述网络地址变更装置中,还包括:
第二选取单元,用于从上一个地址变更时刻的队列长度与上一个地址变更时刻的网络地址变更主机数量之间的差值和零之间选取出最大值;
第三计算单元,用于将选取出的最大值加上所述网络安全阈值,计算得到当前地址变更时刻的队列长度。
可选地,在上述网络地址变更装置中,还包括:
第三选取单元,用于从管理的所有主机中选取出所述当前地址变更时刻的网络地址变更主机数量的主机;
发送单元,用于向选取出的每一个主机发送网络地址变更指令,以使得选取出的每一个所述主机变更网络地址。
本申请第三方面公开了一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如上述第一方面中任一所述的方法。
本申请第四方面公开了一种网络地址变更设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述第一方面中任一所述的方法。
从上述技术方案可以看出,本申请实施例提出的网络地址变更方法,通过获取当前地址变更时刻的预估受攻击主机总数量和当前地址变更时刻的队列长度,然后根据当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量。由于当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度,而网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值,且网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值,因此最终确定出的当前地址变更时刻的网络地址变更主机数量不但能够满足网络安全限制条件、还通过当前地址变更时刻的预估受攻击主机总数量考虑了当前变更时刻的网络安全状况,又衡量了网络地址资源的重要程度与网络安全性的重要程度之间的平衡性,使得确定出的当前地址变更时刻的网络地址变更主机数量能够在满足当前网络安全性的要求的同时节约了网络地址资源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提出的一种网络地址变更方法的流程示意图;
图2为本申请实施例提出的一种确定出当前地址变更时刻的网络地址变更主机数量的方法的流程示意图;
图3为本申请实施例提出到的另一种网络地址变更方法的流程示意图;
图4为本申请实施例提出的一种网络地址变更装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,本申请实施例公开了一种网络地址变更方法,该方法应用于路由器、网关等网络管理设备,具体包括以下步骤:
S101、获取当前地址变更时刻的预估受攻击主机总数量和当前地址变更时刻的队列长度,其中当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度,网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值。
其中,地址变更时刻为进行网络地址变更的时刻,地址变更时刻可人为设定,例如可以以1分钟作为地址变更的时间间隔,来设定地址变更时刻。当前地址变更时刻的预估受攻击主机总数量指的是网络管理设备在当前地址变更时刻预估出的处于受攻击状态的主机的总数。
当前地址变更时刻的队列长度是一个用于确保最终确定出的网络地址变更主机数量可满足网络安全限制条件的一个逻辑数值,通过网络安全限制条件推导得到,队列长度的值随着时间趋于无穷会逐渐趋于稳定。需要说明的是初始地址变更时刻的队列长度的值可人为设定。
网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值。其中,网络安全阈值的大小可由人为设置。为了保障网络的安全性能,网络地址变更主机数量均值需大于或等于网络安全阈值。网络地址变更主机数量均值
Figure BDA0003068923890000071
其中,C为网络地址变更主机数量均值,c(τ)为地址变更时刻τ的网络地址变更主机数量,t为当前地址变更时刻。而网络安全限制条件要求为:c(τ)≥cav,其中,cav为网络安全阈值。
可选地,在本申请一具体实施例中,当前地址变更时刻的预估受攻击主机总数量由上一个地址变更时刻的预估受攻击主机总数量、上一个地址变更时刻的预估受攻击主机新增数量、以及可修复主机数量的数学期望计算得到。
其中,上一个地址变更时刻的预估受攻击主机新增数量由上一个地址变更时刻的网络地址变更主机数量来确定。当前地址变更时刻的预估受攻击主机总数量受上一个地址变更时刻的预估受攻击主机总数量、上一个地址变更时刻的预估受攻击主机新增数量、以及可修复主机数量的数学期望影响。其中,上一个地址变更时刻的预估受攻击主机新增数量指的是上一个地址变更时刻至当前变更时刻之间的时间段会新增加的处于受攻击状态的主机数。上一个地址变更时刻的可修复主机数量的数学期望指的是上一个地址变更时刻至当前变更时刻之间的时间段内可以修复的主机数量的数学期望值。
上一个地址变更时刻的预估受攻击主机总数量与当前地址变更时刻的预估受攻击主机总数量正相关、上一个地址变更时刻的预估受攻击主机新增数量也与当前地址变更时刻的预估受攻击主机总数量正相关、可修复主机数量的数学期望与当前地址变更时刻的预估受攻击主机总数量负相关。
可选地,在本申请一具体实施例中,当前地址变更时刻的预估受攻击主机总数量的计算过程,包括:
从上一个地址变更时刻的预估受攻击主机总数量与可修复主机数量的数学期望之间的差值和零中选取出最大值,将选取出的最大值加上上一个地址变更时刻的预估受攻击主机新增数量,计算得到当前地址变更时刻的预估受攻击主机总数量。
上一个地址变更时刻的预估受攻击主机总数量与可修复主机数量的数学期望之间的差值为正数时,代表了上一个地址变更时刻受攻击的主机数量在经过修复处理后,在当前地址变更时刻中仍处于受攻击状态的主机数量。若上一个地址变更时刻的预估受攻击主机总数量与可修复主机数量的数学期望之间的差值为负数,则证明上一个地址变更时刻中处于受攻击状态的主机均可被修复,因此上一个地址变更时刻受攻击的主机数量在经过修复处理后,在当前地址变更时刻中仍处于受攻击状态的主机数量为0。进而从上一个地址变更时刻的预估受攻击主机总数量与可修复主机数量的数学期望之间的差值和零中选取出的最大值就代表着上一个地址变更时刻受攻击的主机数量在经过修复处理后,在当前地址变更时刻中仍处于受攻击状态的主机数量。
由于选取出的最大值就代表着上一个地址变更时刻受攻击的主机数量在经过修复处理后,在当前地址变更时刻中仍处于受攻击状态的主机数量,因此再加上上一个地址变更时刻的预估受攻击主机新增数量,即可计算出当前地址变更时刻的预估受攻击主机总数量。
具体的,将上一个地址变更时刻的预估受攻击主机总数量、上一个地址变更时刻的预估受攻击主机新增数量、以及可修复主机数量的数学期望代入至第一公式中,计算得到当前地址变更时刻的预估受攻击主机总数量。其中,第一公式为:Q(t)=max[Q(t-1)-D(t-1),0]+A(t-1)。其中Q(t)为当前地址变更时刻t的预估受攻击主机总数量,Q(t-1)为上一个地址变更时刻的预估受攻击主机总数量,D(t-1)为上一个地址变更时刻的可修复主机数量的数学期望。A(t-1)为上一个地址变更时刻的预估受攻击主机新增数量。
需要说明的是,每一个地址变更时刻的可修复主机数量的数学期望可以设置成一个不变的固定值,也可以是按照每一个地址变更时刻的网络修复能力来确定每一个地址变更时刻的可修复主机数量的数学期望。
可选地,在本申请一具体实施例中,上一个地址变更时刻的预估受攻击主机新增数量的计算过程,包括:
将欧拉数的K次幂与受攻击主机数量的数学期望相乘,计算得到上一个地址变更时刻的预估受攻击主机新增数量。其中,K为上一个地址变更时刻的网络地址变更主机数量的负值。上一个地址变更时刻的预估受攻击主机新增数量由上一个地址变更时刻的网络地址变更主机数量来确定,上一个地址变更时刻的网络地址变更数量越多,那么网络安全性就越好,会新增的受攻击的主机数量就会越少,即上一个地址变更时刻的预估受攻击主机新增数量会越少。通过将欧拉数的K次幂与受攻击主机数量的数学期望相乘,所计算得到上一个地址变更时刻的预估受攻击主机新增数量,是与上一个地址变更时刻的网络地址变更主机数量呈负相关关系的。
可选地,在本申请一具体实施例中,将上一个地址变更时刻的网络地址变更主机数量代入至第二公式中,计算得到上一个地址变更时刻的预估受攻击主机新增数量。其中,第二公式为:A(t-1)=a·e-c(t-1),a为受攻击主机数量的数学期望,A(t-1)为上一个地址变更时刻的预估受攻击主机新增数量,e为欧拉数,c(t-1)为上一个地址变更时刻的网络地址变更主机数量。其中,受攻击主机数量的数学期望可以是个预设值好的固定值。
需要说明的是,当前地址变更时刻的预估受攻击主机总数量的确定方式有很多,例如也可以是根据以往经验设置当前地址变更时刻的预估受攻击主机总数量,也可以是根据上一个地址变更时刻的预估受攻击主机总数量、上一个地址变更时刻的预估受攻击主机新增数量、以及可修复主机数量的数学期望计算得到当前地址变更时刻的预估受攻击主机总数量,当前地址变更时刻的预估受攻击主机总数量的确定方式的不同不影响本申请实施例的实现。
可选地,在本申请一具体实施例中,当前地址变更时刻的队列长度的计算过程,包括:
从上一个地址变更时刻的队列长度与上一个地址变更时刻的网络地址变更主机数量之间的差值和零之间选取出最大值,将选取出的最大值加上网络安全阈值,计算得到当前地址变更时刻的队列长度。
具体的,将上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量代入至第三公式中,计算得到当前地址变更时刻的队列长度。其中,第三公式为:R(t)=max[R(t-1)-c(t-1),0]+cav。其中,R(t)为当前地址变更时刻的队列长度,R(t-1)为上一个地址变更时刻的队列长度,c(t-1)为上一个地址变更时刻的网络地址变更主机数量,cav为网络安全阈值。
通过从上一个地址变更时刻的队列长度与上一个地址变更时刻的网络地址变更主机数量之间的差值和零之间选取出最大值,将选取出的最大值加上网络安全阈值,所计算得到的当前地址变更时刻的队列长度,能够满足网络安全限制条件。
S102、根据当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量,其中网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值。
当前地址变更时刻的预估受攻击主机总数量能够反映当前的网络安全性,当前地址变更时刻的预估受攻击主机总数量越大,则说明当前的网络安全性越差,而当前地址变更时刻的预估受攻击主机总数量越小,则说明当前的网络安全性越高。当前地址变更时刻的队列长度是在满足网络安全限制条件下所推导出的,因此能够使得最终确定出的当前地址变更时刻的网络地址变更主机数量满足网络安全限制条件,而网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值,通过调整网络比值的值,可以调整网络地址资源与网络安全性相比的重要程度。
网络地址资源的重要程度越高,那么确定出的当前地址变更时刻的网络地址变更主机数量的值会在满足网络安全限制条件、以及考虑当前的地址变更时刻的预估受攻击主机总数量下减小。而网络安全性的重要程度越大,那么确定出的当前地址变更时刻的网络地址变更主机数量的值会在满足网络安全限制条件、以及考虑当前的地址变更时刻的预估受攻击主机总数量下增大。
现有技术中,每一个地址变更时刻的网络地址变更主机数量都是一个固定值n,主要按照以往经验设置得到。但实际情况中,网络安全环境不是一成不变的。个别时候网络安全性变得很差,而n值设置得较小,会导致主机被攻击者攻击的风险加大。而个别时候网络安全性较好,网络环境稳定,而n值设置的又过大,又会导致地址资源浪费严重。由于现有技术中的网络地址变更主机数量并没有在考虑到当前的网络安全性以及地址资源的浪费情况下动态调整,会导致主机被攻击者攻击的风险较高,且网络地址资源也浪费较严重。
而本申请实施例中,当前地址变更时刻的网络地址变更主机数量是根据当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值确定出的。而当前地址变更时刻的预估受攻击主机总数量反映了当前的网络安全性,当前地址变更时刻的队列长度考虑到了网络安全限制条件,而网络比值衡量了网络地址资源的重要程度与网络安全性的重要程度,进而使得确定出的当前地址变更时刻的网络地址变更主机数量既考虑了当前的网络安全性,又权衡了网络地址资源的浪费情况,在降低网络环境中主机被攻击者攻击的风险的情况下,兼顾节约使用网络地址资源。
可选地,参阅图2,在本申请一具体实施例中,执行步骤S102的一种实施方式,包括:
S201、根据当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值,计算出当前地址变更时刻的预估网络地址变更主机数量。
使用当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值,可以计算出一个考虑到当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值下的预估网络地址变更主机数量,但计算出的预估网络地址变更主机数量并不一定是一个合理的数值,因此,需要通过步骤S202至步骤S204对当前地址变更时刻的预估网络地址变更主机数量进行调整。
可选地,在本申请一具体实施例中,执行步骤S201的一种实施方式,包括:
将预设的网络比值与当前地址变更时刻的队列长度的差值,除以当前地址变更时刻的预估受攻击主机总数量,计算得到比值结果,对比值结果求取对数,计算得到对数结果,将对数结果的负值作为当前地址变更时刻的预估网络地址变更主机数量。
具体的,将当前地址变更时刻的队列长度、以及当前地址变更时刻的预估受攻击主机总数量代入至第四公式中,计算出了当前地址变更时刻的预估网络地址变更主机数量。其中,第四公式为:
Figure BDA0003068923890000121
其中,c(t)为当前地址变更时刻的预估网络地址变更主机数量,V为预设的网络比值,R(t)为当前地址变更时刻的队列长度,Q(t)为当前地址变更时刻的预估受攻击主机总数量。
S202、若当前地址变更时刻的预估网络地址变更主机数量大于允许网络地址变更的最大主机数量,则确定出当前地址变更时刻的网络地址变更主机数量为允许网络地址变更的最大主机数量。
若当前地址变更时刻的预估网络地址变更主机数量大于允许网络地址变更的最大主机数量,则说明计算出的预估网络地址变更主机数量过大,已经超出了实际场景下能够允许进行网络地址变更的最大主机数量(即允许网络地址变更的最大主机数量),因此,最终确定出的当前地址变更时刻的网络地址变更主机数量应该设置为允许网络地址变更的最大主机数量。
S203、若当前地址变更时刻的预估网络地址变更主机数量小于零,则确定出当前地址变更时刻的网络地址变更主机数量为零。
若当前地址变更时刻的预估网络地址变更主机数量小于零,则说明当前其实网络环境较为安全,不需要进行网络地址变更,因此确定出当前地址变更时刻的网络地址变更主机数量为零。
S204、若当前地址变更时刻的预估网络地址变更主机数量小于或等于所述允许网络地址变更的最大主机数量、且大于或等于零,则将当前地址变更时刻的预估网络地址变更主机数量确定为当前地址变更时刻的网络地址变更主机数量。
若当前地址变更时刻的预估网络地址变更主机数量小于或等于所述允许网络地址变更的最大主机数量、且大于或等于零,则可以直接将当前地址变更时刻的预估网络地址变更主机数量确定为当前地址变更时刻的网络地址变更主机数量。
需要说明的是,步骤S102中所确定出的当前地址变更时刻的网络地址变更主机数量即为当前地址变更时刻需要进行网络地址变更的主机数量,网络管理器通过步骤S102中所确定出的当前地址变更时刻的网络地址变更主机数量控制当前地址变更时刻的网络地址变更主机数量的主机进行网络地址变更。
可选地,参阅图3,在本申请一具体实施例中,执行步骤S102之后,还包括:
S301、从管理的所有主机中选取出当前地址变更时刻的网络地址变更主机数量的主机。
具体的,从网络管理设备所管理的所有主机中选取当前地址变更时刻的网络地址变更主机数量的主机,而选取主机的具体方式有很多。例如可以是随机选取出当前地址变更时刻的网络地址变更主机数量的主机,也可以是按照优先选取超过预设时长未进行地址变更的主机的选取规则来选取主机等等。
S302、向选取出的每一个主机发送网络地址变更指令,以使得选取出的每一个主机变更网络地址。
向步骤S301中选取出的每一个主机分别发送网络地址变更命令,以使得选取出的每一个主机进行网络地址变更。具体的,主机在收到网络地址变更命令后,会从网络地址资源池中选取出新的网络地址,然后将自身的网络地址修改为选取出的新的网络地址。
本申请实施例提出的网络地址变更方法,通过获取当前地址变更时刻的预估受攻击主机总数量和当前地址变更时刻的队列长度,然后根据当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量。由于当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度,而网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值,且网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值,因此最终确定出的当前地址变更时刻的网络地址变更主机数量不但能够满足网络安全限制条件、还通过当前地址变更时刻的预估受攻击主机总数量考虑了当前变更时刻的网络安全状况,又衡量了网络地址资源的重要程度与网络安全性的重要程度之间的平衡性,使得确定出的当前地址变更时刻的网络地址变更主机数量能够在满足当前网络安全性的要求的同时节约了网络地址资源。
参阅图4,基于上述本申请实施例提出的网络地址变更方法,本申请实施例对应公开了一种网络地址变更装置,包括:第一获取单元401和第一确定单元402。
第一获取单元401,用于获取当前地址变更时刻的预估受攻击主机总数量和当前地址变更时刻的队列长度,其中当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度,网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值。
可选地,在本申请一具体实施例中,当前地址变更时刻的预估受攻击主机总数量由上一个地址变更时刻的预估受攻击主机总数量、上一个地址变更时刻的预估受攻击主机新增数量、以及可修复主机数量的数学期望计算得到。其中,上一个地址变更时刻的预估受攻击主机新增数量由上一个地址变更时刻的网络地址变更主机数量来确定。
第一确定单元402,用于根据当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量,其中网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值。
可选地,在本申请一具体实施例中,第一确定单元402,包括:第一计算子单元、第一确定子单元、第二确定子单元以及第三确定子单元。
第一计算子单元,用于根据当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值,计算出当前地址变更时刻的预估网络地址变更主机数量。
可选地,在本申请一具体实施例中,第一计算子单元,包括:第二计算子单元、第三计算子单元以及第四确定子单元。
第二计算子单元,用于将预设的网络比值与当前地址变更时刻的队列长度的差值,除以当前地址变更时刻的预估受攻击主机总数量,计算得到比值结果。
第三计算子单元,用于对比值结果求取对数,计算得到对数结果。
第四确定子单元,用于将对数结果的负值作为当前地址变更时刻的预估网络地址变更主机数量。
第一确定子单元,用于若当前地址变更时刻的预估网络地址变更主机数量大于允许网络地址变更的最大主机数量,则确定出当前地址变更时刻的网络地址变更主机数量为允许网络地址变更的最大主机数量。
第二确定子单元,用于若当前地址变更时刻的预估网络地址变更主机数量小于零,则确定出当前地址变更时刻的网络地址变更主机数量为零;
第三确定子单元,用于若所述当前地址变更时刻的预估网络地址变更主机数量小于或等于允许网络地址变更的最大主机数量、且大于或等于零,则将当前地址变更时刻的预估网络地址变更主机数量确定为当前地址变更时刻的网络地址变更主机数量。
可选地,在本申请一具体实施例中,还包括:第一选取单元和第一计算单元。
第一选取单元,用于从上一个地址变更时刻的预估受攻击主机总数量与可修复主机数量的数学期望之间的差值和零中选取出最大值。
第一计算单元,用于将选取出的最大值加上上一个地址变更时刻的预估受攻击主机新增数量,计算得到当前地址变更时刻的预估受攻击主机总数量。
可选地,在本申请一具体实施例中,还包括:
第二计算单元,用于将欧拉数的K次幂与受攻击主机数量的数学期望相乘,计算得到上一个地址变更时刻的预估受攻击主机新增数量。其中,K为上一个地址变更时刻的网络地址变更主机数量的负值。
可选地,在本申请一具体实施例中,还包括:第三选取单元和发送单元。
第三选取单元,用于从管理的所有主机中选取出当前地址变更时刻的网络地址变更主机数量的主机。
发送单元,用于向选取出的每一个主机发送网络地址变更指令,以使得选取出的每一个主机变更网络地址。
上述本申请实施例公开的网络地址变更装置中的各个单元具体的原理和执行过程,与上述本发明实施例公开的网络地址变更方法相同,可参见上述本发明实施例公开的网络地址变更方法中相应的部分,这里不再进行赘述。
本申请实施例提出的网络地址变更装置,通过第一获取单元401获取当前地址变更时刻的预估受攻击主机总数量和当前地址变更时刻的队列长度,然后第一确定单元402根据当前地址变更时刻的预估受攻击主机总数量、当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量。由于当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度,而网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值,且网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值,因此最终确定出的当前地址变更时刻的网络地址变更主机数量不但能够满足网络安全限制条件、还通过当前地址变更时刻的预估受攻击主机总数量考虑了当前变更时刻的网络安全状况,又衡量了网络地址资源的重要程度与网络安全性的重要程度之间的平衡性,使得确定出的当前地址变更时刻的网络地址变更主机数量能够在满足当前网络安全性的要求的同时节约了网络地址资源。
本申请实施例公开了一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如上述各实施例中任一所述的网络地址变更方法。
本申请实施例公开了一种网络地址变更设备,包括:一个或多个处理器,存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现如上述各实施例中任一所述的网络地址变更方法。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种网络地址变更方法,其特征在于,包括:
获取当前地址变更时刻的预估受攻击主机总数量和当前地址变更时刻的队列长度;其中,所述当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度;所述网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值;
根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量;其中,所述网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值。
2.根据权利要求1所述的方法,其特征在于,所述当前地址变更时刻的预估受攻击主机总数量由上一个地址变更时刻的预估受攻击主机总数量、上一个地址变更时刻的预估受攻击主机新增数量、以及可修复主机数量的数学期望计算得到;其中,所述上一个地址变更时刻的预估受攻击主机新增数量由上一个地址变更时刻的网络地址变更主机数量来确定。
3.根据权利要求1所述的方法,其特征在于,所述根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量,包括:
根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,计算出当前地址变更时刻的预估网络地址变更主机数量;
若所述当前地址变更时刻的预估网络地址变更主机数量大于允许网络地址变更的最大主机数量,则确定出当前地址变更时刻的网络地址变更主机数量为所述允许网络地址变更的最大主机数量;
若所述当前地址变更时刻的预估网络地址变更主机数量小于零,则确定出当前地址变更时刻的网络地址变更主机数量为零;
若所述当前地址变更时刻的预估网络地址变更主机数量小于或等于所述允许网络地址变更的最大主机数量、且大于或等于零,则将所述当前地址变更时刻的预估网络地址变更主机数量确定为当前地址变更时刻的网络地址变更主机数量。
4.根据权利要求3所述的方法,其特征在于,所述根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,计算出当前地址变更时刻的预估网络地址变更主机数量,包括:
将预设的网络比值与所述当前地址变更时刻的队列长度的差值,除以所述当前地址变更时刻的预估受攻击主机总数量,计算得到比值结果;
对所述比值结果求取对数,计算得到对数结果;
将所述对数结果的负值作为当前地址变更时刻的预估网络地址变更主机数量。
5.根据权利要求2所述的方法,其特征在于,所述当前地址变更时刻的预估受攻击主机总数量的计算过程,包括:
从上一个地址变更时刻的预估受攻击主机总数量与可修复主机数量的数学期望之间的差值和零中选取出最大值;
将选取出的最大值加上上一个地址变更时刻的预估受攻击主机新增数量,计算得到当前地址变更时刻的预估受攻击主机总数量。
6.根据权利要求2所述的方法,其特征在于,所述上一个地址变更时刻的预估受攻击主机新增数量的计算过程,包括:
将欧拉数的K次幂与受攻击主机数量的数学期望相乘,计算得到上一个地址变更时刻的预估受攻击主机新增数量;其中,K为上一个地址变更时刻的网络地址变更主机数量的负值。
7.根据权利要求2所述的方法,其特征在于,所述当前地址变更时刻的队列长度的计算过程,包括:
从上一个地址变更时刻的队列长度与上一个地址变更时刻的网络地址变更主机数量之间的差值和零之间选取出最大值;
将选取出的最大值加上所述网络安全阈值,计算得到当前地址变更时刻的队列长度。
8.根据权利要求1所述的方法,其特征在于,所述根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量之后,还包括:
从管理的所有主机中选取出所述当前地址变更时刻的网络地址变更主机数量的主机;
向选取出的每一个主机发送网络地址变更指令,以使得选取出的每一个所述主机变更网络地址。
9.一种网络地址变更装置,其特征在于,包括:
第一获取单元,用于获取当前地址变更时刻的预估受攻击主机总数量和当前地址变更时刻的队列长度;其中,所述当前地址变更时刻的队列长度为在满足网络安全限制条件下根据上一个地址变更时刻的队列长度和上一个地址变更时刻的网络地址变更主机数量所计算出的队列长度;所述网络安全限制条件为网络地址变更主机数量均值大于或等于网络安全阈值;
第一确定单元,用于根据所述当前地址变更时刻的预估受攻击主机总数量、所述当前地址变更时刻的队列长度以及预设的网络比值,确定出当前地址变更时刻的网络地址变更主机数量;其中,所述网络比值为网络地址资源的重要程度与网络安全性的重要程度的比值。
10.一种网络地址变更设备,其特征在于,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至8中任一所述的方法。
CN202110533957.2A 2021-05-17 2021-05-17 网络地址变更方法、装置以及设备 Active CN113141420B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110533957.2A CN113141420B (zh) 2021-05-17 2021-05-17 网络地址变更方法、装置以及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110533957.2A CN113141420B (zh) 2021-05-17 2021-05-17 网络地址变更方法、装置以及设备

Publications (2)

Publication Number Publication Date
CN113141420A CN113141420A (zh) 2021-07-20
CN113141420B true CN113141420B (zh) 2022-04-26

Family

ID=76817193

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110533957.2A Active CN113141420B (zh) 2021-05-17 2021-05-17 网络地址变更方法、装置以及设备

Country Status (1)

Country Link
CN (1) CN113141420B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015131612A1 (zh) * 2014-09-17 2015-09-11 中兴通讯股份有限公司 网络地址转换nat资源的分配方法及装置
CN107294922A (zh) * 2016-03-31 2017-10-24 阿里巴巴集团控股有限公司 一种应对网络攻击的网络地址调度方法及装置
CN111163062A (zh) * 2019-12-12 2020-05-15 之江实验室 一种针对交火攻击的多网络地址跳变安全防御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015131612A1 (zh) * 2014-09-17 2015-09-11 中兴通讯股份有限公司 网络地址转换nat资源的分配方法及装置
CN107294922A (zh) * 2016-03-31 2017-10-24 阿里巴巴集团控股有限公司 一种应对网络攻击的网络地址调度方法及装置
CN111163062A (zh) * 2019-12-12 2020-05-15 之江实验室 一种针对交火攻击的多网络地址跳变安全防御方法

Also Published As

Publication number Publication date
CN113141420A (zh) 2021-07-20

Similar Documents

Publication Publication Date Title
CN110049130B (zh) 一种基于边缘计算的服务部署和任务调度方法及装置
US20170195282A1 (en) Address Processing Method, Related Device, and System
CN103365704B (zh) 虚拟机迁移中的内存预拷贝方法及执行该方法的装置和系统
CN111866162A (zh) 一种业务分配方法及装置
CN110689345B (zh) 调整区块权重的无许可区块链共识方法、系统、p2p网络
US8903992B2 (en) Trigger method of computational procedure for virtual machine migration and application program for the same
JP2017215954A (ja) アンチウイルススキャンを実行するために分散システムを構成する仮想マシン間でファイルを配布するシステム及び方法
CN111030945B (zh) 容灾方法、容灾网关、存储介质、装置以及系统
CN111010303A (zh) 一种服务器控制方法及装置
CN109104480B (zh) 一种网络请求的处理方法及装置
CN110620681A (zh) 网络连接超时时间设置方法、装置、设备及介质
CN107798239B (zh) 操作风险处理方法、装置、计算机设备和存储介质
CN105592134A (zh) 一种负载分担的方法和装置
CN113141420B (zh) 网络地址变更方法、装置以及设备
CN113225265B (zh) 流量控制方法、装置、设备和计算机存储介质
WO2018214836A1 (zh) 一种应用标识匹配方法、设备、存储介质及服务器
CN106878282B (zh) 网关防攻击的方法和装置
WO2015003627A1 (zh) 一种恶意网址的检测方法和设备
CN117221326A (zh) 软件负载均衡调度方法、系统、电子设备和存储介质
CN104135525A (zh) 云平台elb组件的资源扩展方法和装置
Gilesh et al. Towards a complete virtual data center embedding algorithm using hybrid strategy
CN108600403B (zh) 一种dns线程管理方法、装置和服务器
CN109639639B (zh) 一种多平台监控系统融合控制方法和装置
CN108833108B (zh) 一种基于内容中心网络的签名验证方法、装置及介质
CN111092959A (zh) 一种集群中服务器的请求处理方法、系统及相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant