CN113630264A - 一种拟态网络设备现网部署的组网方法及系统 - Google Patents
一种拟态网络设备现网部署的组网方法及系统 Download PDFInfo
- Publication number
- CN113630264A CN113630264A CN202010382329.4A CN202010382329A CN113630264A CN 113630264 A CN113630264 A CN 113630264A CN 202010382329 A CN202010382329 A CN 202010382329A CN 113630264 A CN113630264 A CN 113630264A
- Authority
- CN
- China
- Prior art keywords
- mimicry
- router
- network
- access router
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006855 networking Effects 0.000 title claims abstract description 44
- 230000003278 mimic effect Effects 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000007246 mechanism Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 10
- 230000007123 defense Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种拟态网络设备现网部署的组网方法及系统,能确保拟态设备现网部署时不需要大的网络调整,拟态网络设备的接入不会对已有网络业务产生影响。
Description
技术领域
本发明实施例涉及计算机通信安全技术领域,具体涉及一种拟态网络设备现网部署的组网方法及系统。
背景技术
网络空间安全是信息产业全球化背景下世界各国面临的共性问题和挑战。由于漏洞存在的普遍性、后门的易安插性、网络空间构架基因的单一性以及攻防双方的不对称性,当前网络空间的基本态势是“攻易守难”。拟态防御是一种变“查漏补缺”的外挂式防御为“自我免疫”的内生式防御的思路,有望有效应对网络安全面临的挑战。
网络空间拟态防御以成熟的异构冗余可靠性技术架构为基础,通过导入基于拟态伪装策略的多维动态重构机制,建立动态异构冗余的系统构造,实现了网络信息系统从相似性、静态性向异构性、动态性的转变,形成了有效抵御漏洞后门等未知威胁的内生安全效应。其以动态异构冗余形态的广义鲁棒控制架构为基础,以相对正确公理的逻辑表达为多模输出矢量测量感知手段,在避免攻击者实施时空维度上协同一致的同态攻击的条件下,对动态异构冗余构造的多模裁决、策略调度、负反馈控制、多维动态重构以及相关的输入与输出代理等环节施以拟态伪装策略,主动改变网络信息系统的功能结构和运行环境,将目标对象内基于漏洞后门等未知威胁转化为广义的不确定扰动影响,并通过归一化的理论和方法解决传统或非传统安全问题,使网络信息系统具备广义鲁棒控制的内生安全能力。从而在不依赖攻击先验知识或行为特征的前提下,使网络信息系统获得服务鲁棒性与品质鲁棒性。
在对拟态防御技术进行现网应用时,需要最小化对现网的影响,确保拟态网络设备的部署不干扰现有网络业务。为满足该需要,本发明提供了一种拟态网络设备的组网方法。
发明内容
为此,本发明实施例提供一种拟态网络设备现网部署的组网方法及系统,通过该组网方法,能确保拟态设备现网部署时不需要大的网络调整,拟态网络设备的接入不会对已有网络业务产生影响。
为了实现上述目的,本发明实施例提供如下技术方案:
根据本发明实施例的第一方面,提出了一种拟态网络设备现网部署的组网方法,现有网络设备包括用户终端设备、交换机、服务器以及第一接入路由器,所述用户终端设备通过交换机连接第一接入路由器,所述服务器连接第一接入路由器,所述第一接入路由器连接信息网络,拟态网络设备包括拟态路由器和拟态服务区设备;
所述组网方法包括:
将所述拟态路由器与所述第一接入路由器和交换机互联,承载部分转发数据,所述拟态路由器与所述第一接入路由器互为备份关系;
将所述拟态服务区设备所述拟态服务区设备连接所述拟态路由器和第一接入路由器,所述拟态服务区设备仅提供服务不转发数据。
进一步地,所述拟态网络设备还包括拟态网关,所述组网方法还包括:
将所述拟态网关与所述第一接入路由器和拟态路由器互联,所述用户终端设备连接拟态网关,当所述拟态网关故障时,关闭其安全功能并切换为传统交换机模式提供服务。
进一步地,所述第一接入路由器与信息网络之间设置有防火墙,所述防火墙与信息网络之间连接有第二接入路由器。
进一步地,所述拟态网络设备还包括拟态防火墙,所述组网方法还包括:
将所述拟态防火墙部署于所述拟态路由器与第二接入路由器之间,当拟态防火墙失效时,借助所述拟态路由器的动态路由机制,选择备用路由转发流量数据,自动绕开故障链路,确保业务的连续性。
进一步地,所述拟态服务区设备包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
根据本发明实施例的第二方面,提出了一种拟态网络设备现网部署的组网系统,所述系统包括现有网络设备和拟态网络设备;
所述现有网络设备包括用户终端设备、交换机、服务器以及第一接入路由器,所述用户终端设备通过交换机连接第一接入路由器,所述服务器连接第一接入路由器,所述第一接入路由器连接信息网络;
所述拟态网络设备包括拟态路由器和拟态服务区设备,所述拟态路由器与所述第一接入路由器和交换机互联,所述拟态服务区设备所述拟态服务区设备连接所述拟态路由器和第一接入路由器。
进一步地,所述拟态网络设备还包括拟态网关;
所述拟态网关与所述第一接入路由器和拟态路由器互联,所述用户终端设备连接拟态网关。
进一步地,所述第一接入路由器与信息网络之间设置有防火墙,所述防火墙与信息网络之间连接有第二接入路由器。
进一步地,所述拟态网络设备还包括拟态防火墙,所述拟态防火墙部署于所述拟态路由器与第二接入路由器之间。
进一步地,所述拟态服务区设备包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
本发明实施例具有如下优点:
本发明实施例提出的一种拟态网络设备现网部署的组网方法及系统,能确保拟态设备现网部署时不需要大的网络调整,拟态网络设备的接入不会对已有网络业务产生影响。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为现有网络拓扑结构示意图;
图2为本发明实施例1提供的一种拟态网络设备现网部署的组网方法中组网拓扑结构示意图;
图3为本发明实施例1提供的一种拟态网络设备现网部署的组网方法中拟态路由器失效时的网络通信路径;
图4为本发明实施例1提供的一种拟态网络设备现网部署的组网方法中拟态网关失效时的网络通信路径;
图5为本发明实施例1提供的一种拟态网络设备现网部署的组网方法中拟态防火墙失效时的网络通信路径。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本发明实施例1提出了一种拟态网络设备现网部署的组网方法,现有网络设备包括用户终端设备110、交换机120、第一接入路由器130以及服务器140,其拓扑结构如图1所示,用户终端设备110通过交换机120连接第一接入路由器130,服务器140连接第一接入路由器130,第一接入路由器130连接信息网络。拟态网络设备组网拓扑结构如图2所示,拟态网络设备包括拟态路由器210和拟态服务区设备220。
具体的,该组网方法包括:
S310、将拟态路由器210与第一接入路由器130和交换机120互联,承载部分转发数据,拟态路由器210与第一接入路由器130互为备份关系,确保拟态路由器210的失效不会对现有网络业务产生影响,当拟态路由器210失效时,网络通信路径如图3所示(图中加粗虚线标示了通信路径);
S320、将拟态服务区设备220拟态服务区设备220连接拟态路由器210和第一接入路由器130以接入已有网络,拟态服务区设备220仅提供服务不转发数据,不会对既有网络产生影响。具体的,拟态服务区设备220包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
进一步地,拟态网络设备还包括拟态网关230,该组网方法还包括:
S330、将拟态网关230与第一接入路由器130和拟态路由器210互联,用户终端设备110连接拟态网关230,当拟态网关230故障时,关闭其安全功能并切换为传统交换机120模式提供服务,此情况下的通信路径如图4所示(图中加粗虚线标示了通信路径)。
进一步地,第一接入路由器130与信息网络之间设置有防火墙150,防火墙150与信息网络之间连接有第二接入路由器160。
进一步地,拟态网络设备还包括拟态防火墙240,该组网方法还包括:
S340、将拟态防火墙240部署于拟态路由器210与第二接入路由器160之间,当拟态防火墙240失效时,借助拟态路由器210的动态路由机制,选择备用路由转发流量数据,自动绕开故障链路,确保业务的连续性,此情况下的通信路径如图5所示(图中加粗虚线标示了通信路径)。
本发明实施例提出的一种拟态网络设备现网部署的组网方法,能确保拟态设备现网部署时不需要大的网络调整,拟态网络设备的接入不会对已有网络业务产生影响。
实施例2
本发明实施例2提出了一种拟态网络设备现网部署的组网系统,该系统包括现有网络设备和拟态网络设备;
现有网络设备包括用户终端设备110、交换机120、服务器140以及第一接入路由器130,用户终端设备110通过交换机120连接第一接入路由器130,服务器140连接第一接入路由器130,第一接入路由器130连接信息网络;
拟态网络设备包括拟态路由器210和拟态服务区设备220,拟态路由器210与第一接入路由器130和交换机120互联,拟态服务区设备220拟态服务区设备220连接拟态路由器210和第一接入路由器130。
进一步地,拟态网络设备还包括拟态网关230;
拟态网关230与第一接入路由器130和拟态路由器210互联,用户终端设备110连接拟态网关230。
进一步地,第一接入路由器130与信息网络之间设置有防火墙150,防火墙150与信息网络之间连接有第二接入路由器160。
进一步地,拟态网络设备还包括拟态防火墙240,拟态防火墙240部署于拟态路由器210与第二接入路由器160之间。
进一步地,拟态服务区设备220包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
本发明实施例提供的一种拟态网络设备现网部署的组网系统中各部件所执行的功能均已在上述实施例1中做了详细介绍,因此这里不做过多赘述。
本发明实施例提出的一种拟态网络设备现网部署的组网系统,能确保拟态设备现网部署时不需要大的网络调整,拟态网络设备的接入不会对已有网络业务产生影响。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种拟态网络设备现网部署的组网方法,其特征在于,现有网络设备包括用户终端设备、交换机、服务器以及第一接入路由器,所述用户终端设备通过交换机连接第一接入路由器,所述服务器连接第一接入路由器,所述第一接入路由器连接信息网络,拟态网络设备包括拟态路由器和拟态服务区设备;
所述组网方法包括:
将所述拟态路由器与所述第一接入路由器和交换机互联,承载部分转发数据,所述拟态路由器与所述第一接入路由器互为备份关系;
将所述拟态服务区设备连接所述拟态路由器和第一接入路由器,所述拟态服务区设备仅提供服务不转发数据。
2.根据权利要求1所述的一种拟态网络设备现网部署的组网方法,其特征在于,所述拟态网络设备还包括拟态网关,所述组网方法还包括:
将所述拟态网关与所述第一接入路由器和拟态路由器互联,所述用户终端设备连接拟态网关,当所述拟态网关故障时,关闭其安全功能并切换为传统交换机模式提供服务。
3.根据权利要求1所述的一种拟态网络设备现网部署的组网方法,其特征在于,所述第一接入路由器与信息网络之间设置有防火墙,所述防火墙与信息网络之间连接有第二接入路由器。
4.根据权利要求3所述的一种拟态网络设备现网部署的组网方法,其特征在于,所述拟态网络设备还包括拟态防火墙,所述组网方法还包括:
将所述拟态防火墙部署于所述拟态路由器与第二接入路由器之间,当拟态防火墙失效时,借助所述拟态路由器的动态路由机制,选择备用路由转发流量数据,自动绕开故障链路,确保业务的连续性。
5.根据权利要求1所述的一种拟态网络设备现网部署的组网方法,其特征在于,所述拟态服务区设备包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
6.一种拟态网络设备现网部署的组网系统,其特征在于,所述系统包括现有网络设备和拟态网络设备;
所述现有网络设备包括用户终端设备、交换机、服务器以及第一接入路由器,所述用户终端设备通过交换机连接第一接入路由器,所述服务器连接第一接入路由器,所述第一接入路由器连接信息网络;
所述拟态网络设备包括拟态路由器和拟态服务区设备,所述拟态路由器与所述第一接入路由器和交换机互联,所述拟态服务区设备连接所述拟态路由器和第一接入路由器。
7.根据权利要求6所述的一种拟态网络设备现网部署的组网系统,其特征在于,所述拟态网络设备还包括拟态网关;
所述拟态网关与所述第一接入路由器和拟态路由器互联,所述用户终端设备连接拟态网关。
8.根据权利要求6所述的一种拟态网络设备现网部署的组网系统,其特征在于,所述第一接入路由器与信息网络之间设置有防火墙,所述防火墙与信息网络之间连接有第二接入路由器。
9.根据权利要求8所述的一种拟态网络设备现网部署的组网系统,其特征在于,所述拟态网络设备还包括拟态防火墙,所述拟态防火墙部署于所述拟态路由器与第二接入路由器之间。
10.根据权利要求6所述的一种拟态网络设备现网部署的组网系统,其特征在于,所述拟态服务区设备包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010382329.4A CN113630264B (zh) | 2020-05-08 | 2020-05-08 | 一种拟态网络设备现网部署的组网方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010382329.4A CN113630264B (zh) | 2020-05-08 | 2020-05-08 | 一种拟态网络设备现网部署的组网方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113630264A true CN113630264A (zh) | 2021-11-09 |
CN113630264B CN113630264B (zh) | 2024-02-27 |
Family
ID=78377181
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010382329.4A Active CN113630264B (zh) | 2020-05-08 | 2020-05-08 | 一种拟态网络设备现网部署的组网方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113630264B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
US10348767B1 (en) * | 2013-02-26 | 2019-07-09 | Zentera Systems, Inc. | Cloud over IP session layer network |
CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
US10440048B1 (en) * | 2018-11-05 | 2019-10-08 | Peking University Shenzhen Graduate School | Anti-attacking modelling for CMD systems based on GSPN and Martingale theory |
CN110380961A (zh) * | 2019-07-05 | 2019-10-25 | 中国人民解放军战略支援部队信息工程大学 | 一种传统路由器拟态化改造的装置及方法 |
CN110401601A (zh) * | 2019-08-20 | 2019-11-01 | 之江实验室 | 一种拟态路由协议系统和方法 |
CN111049677A (zh) * | 2019-11-27 | 2020-04-21 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
-
2020
- 2020-05-08 CN CN202010382329.4A patent/CN113630264B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10348767B1 (en) * | 2013-02-26 | 2019-07-09 | Zentera Systems, Inc. | Cloud over IP session layer network |
CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
US10440048B1 (en) * | 2018-11-05 | 2019-10-08 | Peking University Shenzhen Graduate School | Anti-attacking modelling for CMD systems based on GSPN and Martingale theory |
CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
CN110380961A (zh) * | 2019-07-05 | 2019-10-25 | 中国人民解放军战略支援部队信息工程大学 | 一种传统路由器拟态化改造的装置及方法 |
CN110401601A (zh) * | 2019-08-20 | 2019-11-01 | 之江实验室 | 一种拟态路由协议系统和方法 |
CN111049677A (zh) * | 2019-11-27 | 2020-04-21 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
Non-Patent Citations (2)
Title |
---|
吕亚荣;: "基于信息综合判断的网络通信数据拟态防御机制", 信息通信, no. 03 * |
邬江兴;: "网络空间拟态防御原理简介(下)", 网信军民融合, no. 02 * |
Also Published As
Publication number | Publication date |
---|---|
CN113630264B (zh) | 2024-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Jin et al. | Toward a cyber resilient and secure microgrid using software-defined networking | |
Dobson et al. | Self-organization and resilience for networked systems: Design principles and open research issues | |
Dorsch et al. | Enhanced fast failover for software-defined smart grid communication networks | |
Harter et al. | Network virtualization for disaster resilience of cloud services | |
US9843495B2 (en) | Seamless migration from rapid spanning tree protocol to ethernet ring protection switching protocol | |
Brugman et al. | Cloud based intrusion detection and prevention system for industrial control systems using software defined networking | |
Schmid et al. | Polynomial-time what-if analysis for prefix-manipulating MPLS networks | |
US8165012B2 (en) | Protection mechanisms for a communications network | |
Rak et al. | Fundamentals of communication networks resilience to disasters and massive disruptions | |
Venkataramanan et al. | Enhancing microgrid resiliency against cyber vulnerabilities | |
Mohammadi et al. | EFSUTE: A novel efficient and survivable traffic engineering for software defined networks | |
Hosny Tawfeek Essa et al. | GOOSE performance assessment on an IEC 61850 redundant network | |
CN113630264B (zh) | 一种拟态网络设备现网部署的组网方法及系统 | |
Ren et al. | SDN-ESRC: a secure and resilient control plane for software-defined networks | |
Kim et al. | A cognitive model‐based approach for autonomic fault management in OpenFlow networks | |
Elyasi-Komari et al. | Analysis of Computer Network Reliability and Criticality: Technique and Features. | |
CN111371535A (zh) | 一种异地主备数据中心灾备系统及切换方法 | |
US11356756B1 (en) | Passive optical network for utility infrastructure resiliency | |
Chlela | Cyber security enhancement against cyber-attacks on microgrid controllers | |
Duan et al. | Dataplane-Based Fast Failover in SDN-Enabled Wide Area Measurement System of Smart Grid | |
Helvik | Perspectives on the dependability of networks and services | |
Hannon et al. | Ultimate forwarding resilience in openflow networks | |
Li et al. | Relationship‐Oriented Software Defined AS‐Level Fast Rerouting for Multiple Link Failures | |
Hunter et al. | Protection of long-reach PON traffic through router database synchronization | |
Sohn et al. | A spare bandwidth sharing scheme based on network reliability |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |