CN114205152A - 一种反溯源异构资源部署和最优路径规划方法 - Google Patents
一种反溯源异构资源部署和最优路径规划方法 Download PDFInfo
- Publication number
- CN114205152A CN114205152A CN202111513187.1A CN202111513187A CN114205152A CN 114205152 A CN114205152 A CN 114205152A CN 202111513187 A CN202111513187 A CN 202111513187A CN 114205152 A CN114205152 A CN 114205152A
- Authority
- CN
- China
- Prior art keywords
- node
- nodes
- backtracking
- network
- heterogeneous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种反溯源异构资源部署和最优路径规划方法,其具体包括反溯源异构资源部署和反溯源最优路径规划两个步骤;所述的反溯源异构资源部署,是根据攻击者和被攻击者所在的国家或地区和相关国家和地区的位置信息和合作关系,选取一系列基础网络资源,并对这些网络资源的属性进行配置,将该网络资源的属性的配置问题抽象为一个组合优化决策问题,通过决策方法求解该组合优化决策问题。本发明充分考虑多种影响反溯源异构网络节点选取条件,将反溯源异构网络构建问题抽象为组合优化决策问题,为反溯源异构网络构建提供模式化的解决方案,从网络构建层面上保障了反溯源异构网络的高安全性、高连通性和低代价。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种反溯源异构资源部署和最优路径规划方法。
背景技术
目前,随着各种溯源技术的发展和广泛应用,普通民众在互联网中的信息安全收到了严峻的考验,因此反溯源网络的部署在当前网络环境下显得尤为重要。
匿名通信系统技术是一种隐藏通信发送者及接受者IP地址、物理位置等实体信息和双方通信关系的通信系统,使窃听者无法直接获知或推知通信双方的通信关系或通信的某一方信息,从而更好地保护网络用户的通信隐私。跳板机技术是指入侵者在对目标入侵时先远程登录跳板机,通过远程操作跳板机对目标进行入侵或攻击,同时实现自身的隐藏。VPN代理技术是在 VPN的基础上衍生出来的提高网络访问速度和安全性的技术,现在已经成为一种反溯源的重要手段。利用VPN的特殊加密通信协议,在因特网位于不同地方的两个节点间临时建立一条穿过混乱公用网络的安全稳定的专用隧道。
当前,关于匿名通信系统技术的研究主要在于提高匿名性能,许多匿名通信技术原型系统借助于多个代理的重路由技术、填充包技术和加密技术来达到匿名发送或匿名接收的目的。而当匿名通信系统技术真正要被应用于现实网络中时,系统管理方式和管理代价会直接影响到该技术的可扩展性。目前的许多匿名通信技术的原型系统采用集中式管理机制,导致其不能承受大量用户的存在,无法应用于大规模的网络环境中。
在跳板机技术中,跳板网络中的节点均为被控主机,在路径选择和配置上比VPN和协议代理更加灵活,但由于被控节点性能参差不齐,个别节点的稳定性较差,一旦路径中某个转发节点失效,整条路径将无法继续正常工作,从而导致目标数据传输的失败。此外,现在很多防火墙或IDS都有追溯的功能,理论上,对于在三跳以内的跳板网络,可以通过代理跳板主机找到源主机。
比起真实的建立一条物理链路,VPN在经济性上表现得非常好,但是所有的安全与稳定都取决于VPN代理服务商,所以VPN的安全与稳定系数并不高。目前也有将VPN代理技术和跳板机网络相组合来构建反溯源网络的方式,但由于两种技术均有各自的缺陷,效果并不理想。
发明内容
针对匿名通信系统由于集中式管理机制无法承受大量用户、跳板网络中由于被控节点性能参差不齐导致路径无法正常工作、VPN的安全和稳定严重依赖代理服务上等现有反溯源技术的缺陷,本发明公开了一种反溯源异构资源部署和最优路径规划方法,利用不同国家及地区的节点,构建从源端到目标端的通联网络,同时设定全局约束条件,规划满足条件的最优路径,从而在实现高质量反溯源网络链路的基础上,承担大规模用户并发使用压力,同时保证对链路节点的选择控制。
本发明公开了一种反溯源异构资源部署和最优路径规划方法,其具体包括反溯源异构资源部署和反溯源最优路径规划两个步骤;
所述的反溯源异构资源部署,是根据攻击者和被攻击者所在的国家或地区和相关国家和地区的位置信息和合作关系,选取一系列基础网络资源,并对这些网络资源的属性进行配置,将该网络资源的属性的配置问题抽象为一个组合优化决策问题,通过决策方法求解该组合优化决策问题,即在一些不同位置和不同属性的网络资源中选取一定数量并满足一定要求的网络资源,从而完成对这些网络资源的属性的配置。
将每个网络资源看做一个节点,将节点按照其所在国家或地区分组,每个组内包含一定数量的节点,网络资源对应的节点类型包括代理服务、跳板、公众服务和第三方匿名网络,每个节点对应一个属性向量,它表示此节点的个体属性,节点的属性包括节点所在组、节点类型、节点名称、通信能力、处理能力、存储能力、操作系统、网络应用、安全性、物理位置、稳定性、可控性和节点状态,节点状态包括未选中和选中两种;节点之间存在连接关系,组与组之间存在合作关系,利用节点和节点之间的连接关系构成一个无向图,该图中点表示节点,边表示节点的连接关系,边有一定权重值,边的权重值由节点间的路径带宽决定。通过构建图,将反溯源异构资源部署问题抽象为组合优化决策问题,从而使用决策方法来解决。
反溯源异构资源部署需满足安全性、连通性和经济代价等约束条件,因此根据上述约束条件定义相关的函数,包括安全性、连通性和经济代价等的函数;
安全性函数是若干个独立的安全因子的累加值,安全因子用于衡量目标节点与本地节点的相对安全性,每个安全因子通过综合考虑节点的使用方式、国家间的合作关系、本地节点与目标节点间的距离等因素得到。本地节点为实施网络攻击的节点,目标节点为被攻击的节点。
连通性函数由组内节点的连通性和组间的连通性决定。组内的一个节点连接其他节点的数量称为该节点的度,组内节点的连通性以度来度量,组间节点连通性以它们之间相连接的两节点之间的最小带宽来表示。
经济代价函数为被选择用于反溯源异构资源部署的所有节点的所需花费的总经济代价之和。
使用决策方法对该组合优化决策问题进行求解时,设定初始状态为各组节点均未被选中,目标状态为选取一系列符合要求的节点。将反溯源异构资源部署决策时需要考虑的国家/地区、代理服务、跳板、公众服务、匿名网络、运营商、带宽占用、资源处理能力、资源存储能力、操作系统、稳定性、使用方式、使用状态、可控性和安全性等因素定义为个体,将国家/地区间位置关系、国家/地区间合作关系、节点选中状态和方式、节点属性关系和节点间连通关系等定义为关系,将节点间进行连接和选择节点等定义为行为,基于所定义的个体、关系、行为和函数,从初始状态出发,通过不断迭代选取一系列节点,最后完成异构资源的部署。
所述的使用决策方法对该组合优化决策问题进行求解,其具体步骤包括:
S11,在目标节点的网络所在国家/地区选取一定数量的公众服务,以便于行为的传播和信息的收集;
S12,然后在目标节点的网络所在国家/地区选取一定数量的代理服务,该代理服务的处理能力和传输能力需要满足反溯源的需求,并确保代理服务具备把目标数据或文件从目标节点所在的网络转移出去的能力;
S13,在与目标节点的网络所在的国家/地区的周边的国家/地区中,选取一定数量的与目标网络所在的国家/地区的网络延迟低于某个阈值的国家 /地区,并在选中的每个国家/地区选取一个跳板机;
S14,在步骤S12中选取的代理服务所在的国家/地区中选取一定数量的跳板机,且这些跳板机的操作系统与步骤S13选取的跳板机不同;
S15,在步骤S12中选取的代理服务所在的国家/地区中选取一定数量的匿名网络。
S16,计算步骤S11至S15所选取的异构资源的安全性函数、连通性函数和经济代价函数,当该三个函数之和大于阈值时,返回步骤S11;当该三个函数之和小于阈值时,进入步骤S17;
S17,记录所选择的异构资源配置,完成异构资源的部署,将所选择的异构资源作为反溯源路径规划的输入。
所述的反溯源最优路径规划,将反溯源异构资源部署所选择的每个网络资源看做一个节点,将节点按照其所在国家或地区分组,每个组内包含一定数量的节点,网络资源对应的节点类型包括代理服务、跳板、公众服务和第三方匿名网络等,每个节点对应一个属性向量,它表示此节点的个体属性,节点的属性包括节点所在组,节点类型,节点名称,通信能力,处理能力,存储能力,操作系统,网络应用,安全性,物理位置,稳定性,可控性,节点状态,节点状态包括未选中和选中两种;节点之间存在连接关系,组与组之间存在合作关系,利用节点和节点之间的连接关系构成一个无向图,该图中点表示节点,边表示节点的连接关系,边有一定权重值,边的权重值由节点间的路径带宽决定。通过构建图,将反溯源最优路径规划抽象为组合优化决策问题,从而使用决策方法来解决。反溯源最优路径规划需满足安全性、连通性和经济代价的约束条件,因此根据上述约束条件定义相关的函数,包括安全性、连通性、经济代价的函数。
对反溯源最优路径规划决策时,路径规划决策的初始状态为在网络中选取的一系列的异构资源,目标状态为选择一条最优的攻击路径。路径规划过程从源攻击节点出发,遍历网络中节点,找到从源攻击节点到被攻击节点的所有符合条件的路径,最后从中选择安全性、连通性和经济代价联合最优的一条路径作为攻击路径。
所述的对反溯源最优路径规划决策,其具体包括:
S21,从源攻击节点出发,探测与其直接相连的节点中的未被探测的节点;
S22,判断此节点是否是满足个体定义和关系定义的节点,如果满足,转到步骤S23,否则转到S21;
S23,以该满足个体定义和关系定义的节点作为新的起点,探测与其直接相连的节点中的未被探测的节点,如果该节点为目标节点,则判断其对应的攻击路径是否满足攻击方自定义的约束条件,如果满足,记录此路径,返回步骤S21查找下一条路径;
S24,找到所有满足攻击方自定义的约束条件的路径,从中选择一条安全性函数、连通性函数和经济代价函数之和最小的路径,作为最优路径,将该最优路径作为反溯源最优路径,如果没有符合攻击方自定义的条件的路径,则返回空。
本发明的有益效果为:
本发明公开了一种反溯源异构资源部署和最优路径规划方法,利用不同国家及地区的节点,构建从源端到目标端的通联网络,同时设定全局约束条件,规划满足条件的最优路径,在实现高质量反溯源网络链路的基础上,具有承担大规模用户并发使用压力的能力,同时保证对链路节点的选择控制。
本发明充分考虑多种影响反溯源异构网络节点选取条件,将反溯源异构网络构建问题抽象为组合优化决策问题,为反溯源异构网络构建提供模式化的解决方案,从网络构建层面上保障了反溯源异构网络的高安全性、高连通性和低代价。
附图说明
图1为本发明的异构资源构建得到的无向图。
具体实施方式
为了更好的了解本发明内容,这里给出一个实施例。
图1为本发明的异构资源构建得到的无向图。
本发明公开了一种反溯源异构资源部署和最优路径规划方法,其具体包括反溯源异构资源部署和反溯源最优路径规划两个步骤;
所述的反溯源异构资源部署,是根据攻击者和被攻击者所在的国家或地区和相关国家和地区的位置信息和合作关系,选取一系列基础网络资源,并对这些网络资源的属性进行配置,将该网络资源的属性的配置问题抽象为一个组合优化决策问题,通过决策方法求解该组合优化决策问题,即在一些不同位置和不同属性的网络资源中选取一定数量并满足一定要求的网络资源,从而完成对这些网络资源的属性的配置。
将每个网络资源看做一个节点,将节点按照其所在国家或地区分组,每个组内包含一定数量的节点,网络资源对应的节点类型包括代理服务、跳板、公众服务和第三方匿名网络等,每个节点对应一个属性向量,它表示此节点的个体属性,节点的属性包括节点所在组,节点类型,节点名称,通信能力,处理能力,存储能力,操作系统,网络应用,安全性,物理位置,稳定性,可控性,节点状态,节点状态包括未选中和选中两种。节点之间存在连接关系,组与组之间存在合作关系,利用节点和节点之间的连接关系构成一个无向图,该图中点表示节点,边表示节点的连接关系,边有一定权重值,边的权重值由节点间的路径带宽决定。
图的具体形式如图1所示。通过构建图,将反溯源异构资源部署问题抽象为组合优化决策问题,从而使用决策方法来解决。
反溯源基础资源部署决策中个体的定义由类型和常量完成,如表1:
表1反溯源基础资源部署中个体定义
| 序号 | 类型 | 常量 |
| 1 | 国家/地区 | 国家1、国家2 |
| 2 | 代理服务 | 代理服务、代理主机 |
| 3 | 跳板 | 跳板1、跳板2 |
| 4 | 公众服务 | 公众服务1、公众服务2 |
| 5 | 匿名网络 | 洋葱网络、大蒜网络 |
| 6 | 运营商 | 运营商1、运营商2 |
| 7 | 带宽占用 | 独占式、共享式 |
| 8 | 处理能力 | 处理型、存储型 |
| 9 | 存储能力 | 永久型、暂存型 |
| 10 | 操作系统 | windows系列、Unix、Linux |
| 11 | 稳定性 | 性能稳定性、传输稳定性 |
| 12 | 使用方式 | 购买、租赁、免费 |
| 13 | 使用状态 | 选取、未选取 |
| 14 | 可控性 | 高、中、差 |
| 15 | 安全性 | 防火墙、杀毒软件、病毒库 |
反溯源基础资源部署决策中关系如表2:
表2反溯源基础资源部署中关系定义
反溯源基础资源部署决策部分行为定义如下:
表3反溯源基础资源部署中行为定义
反溯源异构资源部署需满足安全性、连通性和经济代价等约束条件,因此根据上述约束条件定义相关的函数,包括安全性、连通性、经济代价等的函数;
安全性函数是若干个独立的安全因子的累加值,安全因子用于衡量目标节点与本地节点的相对安全性,每个安全因子通过综合考虑节点的使用方式、国家间的合作关系、本地节点与目标节点间的距离等因素得到。基础资源越多,整个网络的安全性就越高,每个节点的安全性越高,整个网络的安全性就越高。对于安全因子,目标节点连接外网时节点使用方式取值为0,否则取1;国家间合作关系较差时取值0,否则取值1;本地节点与目标节点距离较远(时延在500ms内)取值0,否则取值1。本地节点为实施网络攻击的节点,目标节点为被攻击的节点。
连通性函数由组内节点的连通性和组间的连通性决定。组内的一个节点连接其他节点的数量称为该节点的度,组内节点的连通性以度来度量,组间节点连通性以它们之间相连接的两节点之间的最小带宽来表示。
经济代价函数为被选择用于反溯源异构资源部署的所有节点的所需花费的总经济代价之和。
使用决策方法对该组合优化决策问题进行求解时,设定初始状态为各组节点均未被选中,目标状态为选取一系列符合要求的节点。将反溯源异构资源部署决策时需要考虑的国家/地区、代理服务、跳板、公众服务、匿名网络、运营商、带宽占用、资源处理能力、资源存储能力、操作系统、稳定性、使用方式、使用状态、可控性和安全性等因素定义为个体,将国家/地区间位置关系、国家/地区间合作关系、节点选中状态和方式、节点属性关系、节点间连通关系等定义为关系,将节点间进行连接、选择节点等定义为行为,基于所定义的个体、关系、行为和函数,从初始状态出发,通过不断迭代选取一系列节点,最后完成异构资源的部署。
所述的使用决策方法对该组合优化决策问题进行求解,其具体步骤包括:
S11,在目标节点的网络所在国家/地区选取一定数量的公众服务,以便于行为的传播和信息的收集;
S12,然后在目标节点的网络所在国家/地区选取一定数量的代理服务,该代理服务的处理能力和传输能力需要满足反溯源的需求,并确保代理服务具备把目标数据或文件从目标节点所在的网络转移出去的能力;
S13,在与目标节点的网络所在的国家/地区的周边的国家/地区中,选取一定数量的与目标网络所在的国家/地区的网络延迟低于某个阈值的国家 /地区,并在选中的每个国家/地区选取一个跳板机;
S14,在步骤S12中选取的代理服务所在的国家/地区中选取一定数量的跳板机,且这些跳板机的操作系统与步骤S13选取的跳板机不同;
S15,在步骤S12中选取的代理服务所在的国家/地区中选取一定数量的匿名网络。
S16,计算步骤S11至S15所选取的异构资源的安全性函数、连通性函数和经济代价函数,当该三个函数之和大于阈值时,返回步骤S11;当该三个函数之和小于阈值时,进入步骤S17;
S17,记录所选择的异构资源配置,完成异构资源的部署,将所选择的异构资源作为反溯源路径规划的输入。
所述的反溯源最优路径规划,将反溯源异构资源部署所选择的每个网络资源看做一个节点,将节点按照其所在国家或地区分组,每个组内包含一定数量的节点,网络资源对应的节点类型包括代理服务、跳板、公众服务、第三方匿名网络等,每个节点对应一个属性向量,它表示此节点的个体属性,节点的属性包括节点所在组,节点类型,节点名称,通信能力,处理能力,存储能力,操作系统,网络应用,安全性,物理位置,稳定性,可控性,节点状态,节点状态包括未选中和选中两种;节点之间存在连接关系,组与组之间存在合作关系,利用节点和节点之间的连接关系构成一个无向图,该图中点表示节点,边表示节点的连接关系,边有一定权重值,边的权重值由节点间的路径带宽决定。图的具体形式如图1所示。通过构建图,将反溯源最优路径规划抽象为组合优化决策问题,从而使用决策方法来解决。
对反溯源最优路径规划决策时,路径规划决策的初始状态为在网络中选取的一系列的异构资源,目标状态为选择一条最优的攻击路径。路径规划过程从源攻击节点出发,遍历网络中节点,找到从源攻击节点到被攻击节点的所有符合条件的路径,最后从中选择最优的一条路径作为攻击路径。
所述的对反溯源最优路径规划决策,其具体包括:
S21,从源攻击节点出发,探测与其直接相连的节点中的未被探测的节点;
S22,判断此节点是否是满足个体定义和关系定义的节点,如果满足,转到步骤S23,否则转到S21;
S23,以该满足个体定义和关系定义的节点作为新的起点,探测与其直接相连的节点中的未被探测的节点,如果该节点为目标节点,则判断其对应的攻击路径是否满足攻击方自定义的约束条件,如果满足,记录此路径,返回步骤S21查找下一条路径;
S24,找到所有满足攻击方自定义的约束条件的路径,从中选择一条安全性函数、连通性函数和经济代价函数之和最小的路径,作为最优路径,将该最优路径作为反溯源最优路径,如果没有符合攻击方自定义的条件的路径,则返回空。反溯源路径规划中个体的定义如下表:
表4反溯源路径规划个体定义
| 序号 | 类型 | 常量 |
| 1 | 国家/地区 | 国家1、国家2 |
| 2 | 代理服务 | 代理服务、代理主机 |
| 3 | 跳板 | 跳板1、跳板2 |
| 4 | 公众服务 | 公众服务1、公众服务2 |
| 5 | 匿名网络 | 洋葱网络、大蒜网络 |
| 6 | 运营商 | 运营商1、运营商2 |
| 7 | 带宽占用 | 独占式、共享式 |
| 8 | 处理能力 | 处理型、存储型 |
| 9 | 存储能力 | 永久型、暂存型 |
| 10 | 操作系统 | windows系列、Unix、Linux |
| 11 | 稳定性 | 性能稳定性、传输稳定性 |
| 12 | 使用方式 | 购买、租赁、免费 |
| 13 | 可控性 | 高、中、差 |
| 14 | 安全性 | 防火墙、杀毒软件、病毒库 |
反溯源路径规划中关系的定义如下表:
表5反溯源路径规划中关系定义
反溯源路径规划中行为的定义如下表:
表6反溯源路径规划中行为定义
跳板机:跳板机(jump server),也称堡垒机,是一类可作为跳板批量操作远程设备的网络设备,是系统管理员或运维人员常用的操作平台之一。通常至少配备两块网卡设备,分别具备不同的网络连接,一个连接外网,用以对目标服务器的远程登录及维护,另一个连接内网,用于内部网络的管理、控制盒保护,通过网关服务提供从私网到公网,或从公网到私网的特殊协议路由服务。
VPN:虚拟专用网络(virtual private network)是用于在公用网络上建立专用网络进行加密通讯。VPN通过对数据包的加密和数据包目标地址的转换实现远程访问,可通过服务器、硬件、软件等多种方式实现。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (6)
1.一种反溯源异构资源部署和最优路径规划方法,其特征在于,其具体包括反溯源异构资源部署和反溯源最优路径规划;
所述的反溯源异构资源部署,是根据攻击者和被攻击者所在的国家或地区和相关国家和地区的位置信息和合作关系,选取一系列基础网络资源,并对这些网络资源的属性进行配置,将该网络资源的属性的配置问题抽象为一个组合优化决策问题,通过决策方法求解该组合优化决策问题,即在一些不同位置和不同属性的网络资源中选取一定数量并满足一定要求的网络资源,从而完成对这些网络资源的属性的配置;
所述的反溯源最优路径规划,将反溯源异构资源部署所选择的每个网络资源看做一个节点,将节点按照其所在国家或地区分组,每个组内包含一定数量的节点,网络资源对应的节点类型包括代理服务、跳板、公众服务和第三方匿名网络,每个节点对应一个属性向量,它表示此节点的个体属性,节点的属性包括节点所在组、节点类型、节点名称、通信能力、处理能力、存储能力、操作系统、网络应用、安全性、物理位置、稳定性、可控性和节点状态,节点状态包括未选中和选中两种;节点之间存在连接关系,组与组之间存在合作关系,利用节点和节点之间的连接关系构成一个无向图,该图中点表示节点,边表示节点的连接关系,边有一定权重值,边的权重值由节点间的路径带宽决定;通过构建图,将反溯源最优路径规划抽象为组合优化决策问题,从而使用决策方法来解决。反溯源最优路径规划需满足安全性、连通性和经济代价的约束条件,因此根据上述约束条件定义相关的函数,包括安全性、连通性、经济代价的函数。
2.如权利要求1所述的反溯源异构资源部署和最优路径规划方法,其特征在于,
所述的反溯源异构资源部署,将每个网络资源看做一个节点,将节点按照其所在国家或地区分组,每个组内包含一定数量的节点,网络资源对应的节点类型包括代理服务、跳板、公众服务和第三方匿名网络,每个节点对应一个属性向量,它表示此节点的个体属性,节点的属性包括节点所在组,节点类型,节点名称,通信能力,处理能力,存储能力,操作系统,网络应用,安全性,物理位置,稳定性,可控性,节点状态,节点状态包括未选中和选中两种;节点之间存在连接关系,组与组之间存在合作关系,利用节点和节点之间的连接关系构成一个无向图,该图中点表示节点,边表示节点的连接关系,边有一定权重值,边的权重值由节点间的路径带宽决定;通过构建图,将反溯源异构资源部署问题抽象为组合优化决策问题,从而使用决策方法来解决。
3.如权利要求2所述的反溯源异构资源部署和最优路径规划方法,其特征在于,
反溯源异构资源部署需满足安全性、连通性和经济代价的约束条件,因此根据上述约束条件定义相关的函数,包括安全性、连通性、经济代价的函数;
安全性函数是若干个独立的安全因子的累加值,安全因子用于衡量目标节点与本地节点的相对安全性,每个安全因子通过综合考虑节点的使用方式、国家间的合作关系、本地节点与目标节点间的距离的因素得到;本地节点为实施网络攻击的节点,目标节点为被攻击的节点;
连通性函数由组内节点的连通性和组间的连通性决定;组内的一个节点连接其他节点的数量称为该节点的度,组内节点的连通性以度来度量,组间节点连通性以它们之间相连接的两节点之间的最小带宽来表示;
经济代价函数为被选择用于反溯源异构资源部署的所有节点的所需花费的总经济代价之和;
使用决策方法对该组合优化决策问题进行求解时,设定初始状态为各组节点均未被选中,目标状态为选取一系列符合要求的节点;将反溯源异构资源部署决策时需要考虑的国家/地区、代理服务、跳板、公众服务、匿名网络、运营商、带宽占用、资源处理能力、资源存储能力、操作系统、稳定性、使用方式、使用状态、可控性和安全性的因素定义为个体,将国家/地区间位置关系、国家/地区间合作关系、节点选中状态和方式、节点属性关系、节点间连通关系定义为关系,将节点间进行连接和选择节点定义为行为,基于所定义的个体、关系、行为和函数,从初始状态出发,通过不断迭代选取一系列节点,最后完成异构资源的部署。
4.如权利要求3所述的反溯源异构资源部署和最优路径规划方法,其特征在于,
所述的使用决策方法对该组合优化决策问题进行求解,其具体步骤包括:
S11,在目标节点的网络所在国家/地区选取一定数量的公众服务,以便于行为的传播和信息的收集;
S12,然后在目标节点的网络所在国家/地区选取一定数量的代理服务,该代理服务的处理能力和传输能力需要满足反溯源的需求,并确保代理服务具备把目标数据或文件从目标节点所在的网络转移出去的能力;
S13,在与目标节点的网络所在的国家/地区的周边的国家/地区中,选取一定数量的与目标网络所在的国家/地区的网络延迟低于某个阈值的国家/地区,并在选中的每个国家/地区选取一个跳板机;
S14,在步骤S12中选取的代理服务所在的国家/地区中选取一定数量的跳板机,且这些跳板机的操作系统与步骤S13选取的跳板机不同;
S15,在步骤S12中选取的代理服务所在的国家/地区中选取一定数量的匿名网络;
S16,计算步骤S11至S15所选取的异构资源的安全性函数、连通性函数和经济代价函数,当该三个函数之和大于阈值时,返回步骤S11;当该三个函数之和小于阈值时,进入步骤S17;
S17,记录所选择的异构资源配置,完成异构资源的部署,将所选择的异构资源作为反溯源路径规划的输入。
5.如权利要求1所述的反溯源异构资源部署和最优路径规划方法,其特征在于,
对反溯源最优路径规划决策时,路径规划决策的初始状态为在网络中选取的一系列的异构资源,目标状态为选择一条最优的攻击路径;路径规划过程从源攻击节点出发,遍历网络中节点,找到从源攻击节点到被攻击节点的所有符合条件的路径,最后从中选择安全性、连通性、经济代价联合最优的一条路径作为攻击路径。
6.如权利要求5所述的反溯源异构资源部署和最优路径规划方法,其特征在于,
所述的对反溯源最优路径规划决策,其具体包括:
S21,从源攻击节点出发,探测与其直接相连的节点中的未被探测的节点;
S22,判断此节点是否是满足个体定义和关系定义的节点,如果满足,转到步骤S23,否则转到S21;
S23,以该满足个体定义和关系定义的节点作为新的起点,探测与其直接相连的节点中的未被探测的节点,如果该节点为目标节点,则判断其对应的攻击路径是否满足攻击方自定义的约束条件,如果满足,记录此路径,返回步骤S21查找下一条路径;
S24,找到所有满足攻击方自定义的约束条件的路径,从中选择一条安全性函数、连通性函数和经济代价函数之和最小的路径,作为最优路径,将该最优路径作为反溯源最优路径,如果没有符合攻击方自定义的条件的路径,则返回空。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111513187.1A CN114205152B (zh) | 2021-12-12 | 2021-12-12 | 一种反溯源异构资源部署和最优路径规划方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111513187.1A CN114205152B (zh) | 2021-12-12 | 2021-12-12 | 一种反溯源异构资源部署和最优路径规划方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114205152A true CN114205152A (zh) | 2022-03-18 |
| CN114205152B CN114205152B (zh) | 2023-01-24 |
Family
ID=80652627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111513187.1A Active CN114205152B (zh) | 2021-12-12 | 2021-12-12 | 一种反溯源异构资源部署和最优路径规划方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114205152B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116545714A (zh) * | 2023-05-17 | 2023-08-04 | 广州银汉科技有限公司 | 一种基于规则引擎的防Web攻击反应系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源系统与方法 |
| CN107135096A (zh) * | 2017-04-11 | 2017-09-05 | 北京奇艺世纪科技有限公司 | 堡垒机出口链路优化系统及方法 |
| US20200236038A1 (en) * | 2019-01-18 | 2020-07-23 | Rise Research Institutes of Sweden AB | Dynamic Deployment of Network Applications Having Performance and Reliability Guarantees in Large Computing Networks |
| CN111988347A (zh) * | 2019-05-22 | 2020-11-24 | 网宿科技股份有限公司 | 跳板机系统的数据处理方法和跳板机系统 |
-
2021
- 2021-12-12 CN CN202111513187.1A patent/CN114205152B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源系统与方法 |
| CN107135096A (zh) * | 2017-04-11 | 2017-09-05 | 北京奇艺世纪科技有限公司 | 堡垒机出口链路优化系统及方法 |
| US20200236038A1 (en) * | 2019-01-18 | 2020-07-23 | Rise Research Institutes of Sweden AB | Dynamic Deployment of Network Applications Having Performance and Reliability Guarantees in Large Computing Networks |
| CN111988347A (zh) * | 2019-05-22 | 2020-11-24 | 网宿科技股份有限公司 | 跳板机系统的数据处理方法和跳板机系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116545714A (zh) * | 2023-05-17 | 2023-08-04 | 广州银汉科技有限公司 | 一种基于规则引擎的防Web攻击反应系统 |
| CN116545714B (zh) * | 2023-05-17 | 2024-02-20 | 广州银汉科技有限公司 | 一种基于规则引擎的防Web攻击反应系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114205152B (zh) | 2023-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Smith et al. | Routing around congestion: Defeating DDoS attacks and adverse network conditions via reactive BGP routing | |
| US20140036730A1 (en) | Adaptive infrastructure for distributed virtual switch | |
| ur Rasool et al. | A survey of link flooding attacks in software defined network ecosystems | |
| Kwon et al. | An incrementally deployable anti-spoofing mechanism for software-defined networks | |
| Modarresi et al. | A framework for improving network resilience using SDN and fog nodes | |
| CN114205152B (zh) | 一种反溯源异构资源部署和最优路径规划方法 | |
| Xie et al. | Mitigating LFA through segment rerouting in IoT environment with traceroute flow abnormality detection | |
| Kumar et al. | Analysis and implementation of AODV routing protocol against black hole attack in MANET | |
| Liu et al. | Netobfu: A lightweight and efficient network topology obfuscation defense scheme | |
| Rahman et al. | BlockSD‐5GNet: Enhancing security of 5G network through blockchain‐SDN with ML‐based bandwidth prediction | |
| Amin et al. | Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN | |
| Krishnan et al. | A multi plane network monitoring and defense framework for sdn operational security | |
| Wang et al. | A dynamic cybersecurity protection method based on software-defined networking for industrial control systems | |
| Rout et al. | Sftp: a secure and fault-tolerant paradigm against blackhole attack in manet | |
| Khalifa et al. | Network security challenges in SDN environments | |
| Nicol et al. | Sdn resiliency to controller failure in mobile contexts | |
| KR102628251B1 (ko) | 네트워크 토폴로지 난독화 방법 및 그 장치 | |
| Zhou et al. | A Persistent Route Diversification Mechanism for Defending against Stealthy Crossfire Attack | |
| Grey et al. | Automatic creation of VPN backup paths for improved resilience against BGP-attackers | |
| CN112866031B (zh) | 路由配置方法、装置、设备及计算机可读存储介质 | |
| Hu et al. | Moving target defense based on adaptive forwarding path migration for securing the SCADA network | |
| Virendra et al. | SWAN: a secure wireless LAN architecture | |
| Helfert et al. | Evaluation of algorithms for multipath route selection over the Internet | |
| Sukheja | Control Channel Vulnerability in Software Defined Network | |
| Wübbeling et al. | Reclaim your prefix: mitigation of prefix hijacking using IPsec tunnels |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |