CN114448888A - 金融网络拟态路由方法及装置 - Google Patents
金融网络拟态路由方法及装置 Download PDFInfo
- Publication number
- CN114448888A CN114448888A CN202210117803.XA CN202210117803A CN114448888A CN 114448888 A CN114448888 A CN 114448888A CN 202210117803 A CN202210117803 A CN 202210117803A CN 114448888 A CN114448888 A CN 114448888A
- Authority
- CN
- China
- Prior art keywords
- routing
- mimicry
- financial network
- router
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000002159 abnormal effect Effects 0.000 claims abstract description 56
- 238000012545 processing Methods 0.000 claims abstract description 17
- 230000003278 mimic effect Effects 0.000 claims description 38
- 238000004590 computer program Methods 0.000 claims description 24
- 238000012423 maintenance Methods 0.000 claims description 20
- 230000006870 function Effects 0.000 description 23
- 238000004891 communication Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 9
- 230000036039 immunity Effects 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 230000007123 defense Effects 0.000 description 5
- 239000000872 buffer Substances 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种金融网络拟态路由方法及装置,可用于金融领域,方法包括:接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体;根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体;根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作;本申请能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力。
Description
技术领域
本申请涉及信息处理领域,也可用于金融领域,具体涉及一种金融网络拟态路由方法及装置。
背景技术
路由器作为金融网络的基础核心设备,常部署于网络接入区的边缘位置,负责支撑与第三方合作单位的互访,因此成为重大网络攻击的主要目标之一,其安全性直接影响乃至制约整个金融网络的安全。当前金融企业针对路由器的安全防护通常主要依靠部署专业安全设备和设备自身冗余等手段来进行安全加固,具体实现方法如下:
1、在互联网区部署专业防火墙、DDOS攻击防护和IPS入侵防御等安全设备来实现攻击的发现和阻断,为路由器构建一个相对安全的网络环境。
2、部署漏洞扫描设备对路由器进行安全检查,发现系统的高风险漏洞后及时通过版本或补丁进行修复,确保路由器自身的安全可靠。
3、部署多台相同功能的接入路由器,并将访问流量均匀负载到各台路由器上,当其中一台或多台路由器因遭受攻击无法对外提供服务时,剩余路由器将接管全部的访问流量。
发明人发现,现有技术方案属于“被动防御”的模式,仅能够针对已知的网络攻击和漏洞进行阻断和防护,而对于未知风险则没有很好的防御能力,尤其是一些隐藏的未知后门和漏洞,随时都可能被恶意利用和攻击,由此导致当前金融业普遍面临互联网接入路由器自身安全防护能力不足的问题。
发明内容
针对现有技术中的问题,本申请提供一种金融网络拟态路由方法及装置,能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力。
为了解决上述问题中的至少一个,本申请提供以下技术方案:
第一方面,本申请提供一种金融网络拟态路由方法,包括:
接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体;
根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体;
根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作。
进一步地,所述根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体,包括:
对所述拟态路由器中各异构冗余路由执行体输出的路由表项进行对比,确定与所述路由表项具有相同内容的其他路由表项的数目;
根据与所述路由表项具有相同内容的其他路由表项的数目和所述路由表项所属路由执行体的可信度,确定所述路由表项的可信度;
将具有相同目的地址的路由表项中所述可信度最高的路由表项确定为最终路由表项,并将与所述可信度最高的路由表项具有不同目的地址的路由表项所对应的异构冗余路由执行体确定为异常路由执行体。
进一步地,所述根据所述异常路由执行体的异常路由信息执行相应异常处理操作,包括:
将所述异常路由执行体的异常路由信息发送至与所述拟态路由器相连的安全运维管理平台,以使所述安全运维管理平台根据所述异常路由信息判定所述拟态路由器处于异常状态时,向所述拟态路由器发送金融网络断开控制指令,并向与所述拟态路由器互联的默认接入路由器或核心交换机发送金融网络连接控制指令。
进一步地,所述根据所述异常路由执行体的异常路由信息执行相应异常处理操作,还包括:
对所述异常路由执行体执行下线处理。
进一步地,在所述接收金融网络访问请求之后,包括:
若所述金融网络访问请求不符合拟态路由条件,则将所述金融网络访问请求转发至与所述拟态路由器互联的默认接入路由器或核心交换机。
进一步地,在所述接收金融网络访问请求之后,还包括:
若所述金融网络访问请求中的数据源地址未被包含在所述拟态路由器本地预存储的访问控制列表中,则返回访问失败信号。
第二方面,本申请提供一种金融网络拟态路由装置,包括:
协议代理模块,用于接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体;
拟态裁决模块,用于根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体;
路由转发模块,用于根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作。
第三方面,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的金融网络拟态路由方法的步骤。
第四方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的金融网络拟态路由方法的步骤。
第五方面,本申请提供一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现所述的金融网络拟态路由方法的步骤。
由上述技术方案可知,本申请提供一种金融网络拟态路由方法及装置,通过将功能相同但实现技术不同的多个拟态路由器以异构、冗余、动态的方式协同工作,并对不同拟态路由器中的执行体针对同一金融网络访问请求的响应进行比对和裁决,有效识别和终止攻击者针对特定执行体发起的攻击,从而防止各类软硬件产品中的漏洞和后门被恶意利用,提高信息系统对已知攻击和未知攻击的免疫能力,由此能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中的金融网络拟态路由方法的流程示意图之一;
图2为本申请实施例中的金融网络拟态路由方法的流程示意图之二;
图3为本申请实施例中的金融网络拟态路由装置的结构图;
图4为本申请一具体实施例中的金融网络拟态路由系统结构图;
图5为本申请一具体实施例中的金融网络拟态路由系统示意图;
图6为本申请实施例中的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
考虑到现有技术方案属于“被动防御”的模式,仅能够针对已知的网络攻击和漏洞进行阻断和防护,而对于未知风险则没有很好的防御能力,尤其是一些隐藏的未知后门和漏洞,随时都可能被恶意利用和攻击,由此导致当前金融业普遍面临互联网接入路由器自身安全防护能力不足的问题,本申请提供一种金融网络拟态路由方法及装置,通过将功能相同但实现技术不同的多个拟态路由器以异构、冗余、动态的方式协同工作,并对不同拟态路由器中的执行体针对同一金融网络访问请求的响应进行比对和裁决,有效识别和终止攻击者针对特定执行体发起的攻击,从而防止各类软硬件产品中的漏洞和后门被恶意利用,提高信息系统对已知攻击和未知攻击的免疫能力,由此能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力。
为了能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力,本申请提供一种金融网络拟态路由方法的实施例,参见图1,所述金融网络拟态路由方法具体包含有如下内容:
步骤S101:接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体。
可以理解的是,拟态路由器包括多个异构冗余路由执行体,通过对各个执行体的策略调度,可以实现拟态路由器对外呈现特征的不确定变化,在满足一定差异化设计的前提下,不同的执行体存在完全相同漏洞或后门的概率极低,攻击者即使控制了部分执行体,其恶意行为也很容易被拟态裁决机制所阻断,从而极大地提高路由器应对网络攻击的能力。
可选的,考虑到金融网络的互联网接入路由器属于多台冗余部署的模式,因此可以在现有环境中新增接入一台拟态路由器,用于承载互联网访问流量的接入和转发。
可选的,若所述金融网络访问请求符合拟态路由条件,则可以将部分业务的访问流量迁移至拟态路由器,并由拟态路由器负责所在线路上所有互联网访问流量的转发、监听和防护。
可选的,判断所述金融网络访问请求是否符合拟态路由条件时,可以通过判断所述金融网络访问请求的请求频率是否超过频率阈值、请求数据源是否来自特定数据源、请求目的地是否属于特定目的地等进行拟态路由条件判断,也可以具体到金融领域,例如,根据金融网络访问请求中的业务信息进行判断,例如业务金额是否超过金融阈值等。
步骤S102:根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体。
可选的,拟态路由器中各异构冗余路由执行体在处理同一金融网络访问请求时可能输出不同的路由表项,即其中的某一或某些执行体受到网络攻击,从而输出了错误的路由表项,因此,本申请可以根据各异构冗余路由执行体输出的路由表项进行路由共识裁决,从而确定对应的最终路由表项和异常路由执行体。
可选的,所述路由共识裁决可以通过一执行体输出的路由表项与其他执行体输出的路由表项的内容比较实现,也可以通过计算一执行体输出的路由表项的可信度实现。
步骤S103:根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作。
可选的,本申请的拟态路由器可以与一安全运维管理平台连接,并将所述异常路由执行体的异常路由信息发送至该安全运维管理平台,以使该安全运维管理平台检测拟态路由器发生异常时,通过自动化手段及时断开拟态路由器连接互联网线路的接口,从而快速将访问数据流切换至其他线路,保证应用服务的连续性。
在本申请的其他一些实施例中,本申请的拟态路由器还可以与一SOC平台,即安全运营平台连接,所实现功能与安全运维管理平台类似。
从上述描述可知,本申请实施例提供的金融网络拟态路由方法,能够通过将功能相同但实现技术不同的多个拟态路由器以异构、冗余、动态的方式协同工作,并对不同拟态路由器中的执行体针对同一金融网络访问请求的响应进行比对和裁决,有效识别和终止攻击者针对特定执行体发起的攻击,从而防止各类软硬件产品中的漏洞和后门被恶意利用,提高信息系统对已知攻击和未知攻击的免疫能力,由此能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力。
为了能够准确进行路由共识裁决,在本申请的金融网络拟态路由方法的一实施例中,参见图2,上述步骤S102还可以具体包含如下内容:
步骤S201:对所述拟态路由器中各异构冗余路由执行体输出的路由表项进行对比,确定与所述路由表项具有相同内容的其他路由表项的数目。
步骤S202:根据与所述路由表项具有相同内容的其他路由表项的数目和所述路由表项所属路由执行体的可信度,确定所述路由表项的可信度。
步骤S203:将具有相同目的地址的路由表项中所述可信度最高的路由表项确定为最终路由表项,并将与所述可信度最高的路由表项具有不同目的地址的路由表项所对应的异构冗余路由执行体确定为异常路由执行体。
可选的,每个路由表项由其所属的异构冗余路由执行体进行维护,而本申请的拟态路由器可以维护异构冗余路由执行体的路由表项,因此,本申请可以将所有路由表项进行内容比对,得到与当前一路由表项内容完全相同的其他路由表项的数目,根据路由表项相同的数目及所属路由执行体的可信度计算每个路由表项的可信度。
可选的,所属路由执行体的可信度可以具有一初始值,在每一次路由共识裁决之后,若该路由执行体未被判定为异常路由执行体,则将其可信度(初始值)加1(初始值+1),因此随着该路由执行体通过每一次路由共识裁决,该路由执行体的可信度数值也随之增长。
可选的,通过与路由表项相同的数目对应的一预设第一权重(例如0.6),结合所属路由执行体的可信度对应的一预设第二权重(例如0.4),可以计算每个路由表项的可信度。
可选的,将具有相同目的地址的路由表项中所述可信度最高的路由表项确定为最终路由表项,同时,将与所述可信度最高的路由表项具有不同目的地址的路由表项所对应的异构冗余路由执行体确定为异常路由执行体。
为了能够对异常路由执行体进行相应异常处理操作,在本申请的金融网络拟态路由方法的一实施例中,上述步骤S103还可以具体包含如下内容:
将所述异常路由执行体的异常路由信息发送至与所述拟态路由器相连的安全运维管理平台,以使所述安全运维管理平台根据所述异常路由信息判定所述拟态路由器处于异常状态时,向所述拟态路由器发送金融网络断开控制指令,并向与所述拟态路由器互联的默认接入路由器或核心交换机发送金融网络连接控制指令。
可选的,本申请的拟态路由器可以与一安全运维管理平台连接,并将所述异常路由执行体的异常路由信息发送至该安全运维管理平台,以使该安全运维管理平台检测拟态路由器发生异常时,通过自动化手段及时断开拟态路由器连接互联网线路的接口,从而快速将访问数据流切换至其他线路,保证应用服务的连续性。
为了能够对异常路由执行体进行相应异常处理操作,在本申请的金融网络拟态路由方法的一实施例中,上述步骤S103还可以具体包含如下内容:
对所述异常路由执行体执行下线处理。
可选的,对于异常路由执行体本申请的拟态路由器可以对其执行下线处理操作,以提高拟态路由器所包含的异构冗余路由执行体的整体防御能力。
为了能够灵活接入金融网络访问请求,在本申请的金融网络拟态路由方法的一实施例中,上述步骤S101还可以具体包含如下内容:
若所述金融网络访问请求不符合拟态路由条件,则将所述金融网络访问请求转发至与所述拟态路由器互联的默认接入路由器或核心交换机。
可选的,对于来自互联网的金融网络访问请求,本申请系统除拟态路由器外,还可以配置常规的接入路由器或核心交换机与之互联,仅将符合拟态路由条件的金融网络访问请求由拟态路由器处理。
为了能够灵活接入金融网络访问请求,在本申请的金融网络拟态路由方法的一实施例中,上述步骤S101还可以具体包含如下内容:
若所述金融网络访问请求中的数据源地址未被包含在所述拟态路由器本地预存储的访问控制列表中,则返回访问失败信号。
可选的,本申请可以在拟态路由器的出口方向配置明细ACl访问控制列表,以此用于限制外部非法IP的登录和访问。
为了能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力,本申请提供一种用于实现所述金融网络拟态路由方法的全部或部分内容的金融网络拟态路由装置的实施例,参见图3,所述金融网络拟态路由装置具体包含有如下内容:
协议代理模块10,用于接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体。
拟态裁决模块20,用于根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体。
路由转发模块30,用于根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作。
从上述描述可知,本申请实施例提供的金融网络拟态路由装置,能够通过将功能相同但实现技术不同的多个拟态路由器以异构、冗余、动态的方式协同工作,并对不同拟态路由器中的执行体针对同一金融网络访问请求的响应进行比对和裁决,有效识别和终止攻击者针对特定执行体发起的攻击,从而防止各类软硬件产品中的漏洞和后门被恶意利用,提高信息系统对已知攻击和未知攻击的免疫能力,由此能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力。
为了更进一步说明本方案,本申请还提供一种应用上述金融网络拟态路由装置实现金融网络拟态路由方法的系统的具体应用实例,参见图4,具体包含有:协议代理单元、裁决模块、异构执行体池、负反馈调度模块。
具体的,所述协议代理单元负责将路由协议报文分发给各个执行体,并按照一定策略对执行体向外发送的协议报文进行转发或过滤。
所述裁决模块用于对各执行体输出的路由进行大数判决,实现对系统内部功能执行体异常的感知。
所述异构执行体池可以包含多个(例如5个)异构执行体,用于增大攻击者分析漏洞和利用后门的难度,提升路由系统的入侵容忍能力。
所述负反馈调度模块负责管理和调度异构执行体池内的执行体,干扰未知漏洞后门、病毒木马等的可见性和攻击可达性。
参见图5,考虑到金融网络的互联网接入路由器属于多台冗余部署的模式,因此可以在现有环境中新增接入一台拟态路由器,用于承载互联网访问流量的接入和转发,将部分业务的访问流量迁移至拟态路由器,并由拟态路由器负责所在线路上所有互联网访问流量的转发、监听和防护。具体操作步骤如下:
1)将拟态路由器的一个千兆网卡和互联网区防火墙对接,并在拟态路由器上配置一条指向防火墙的静态路由。
2)将新增的互联网专线接入拟态路由器,并在拟态路由器和运营商侧各配置一条指向对方的静态路由。
3)在拟态路由器的出口方向配置明细ACl访问控制列表,用于限制外部非法IP的登录和访问。
4)在防火墙上开通相应的访问策略,并做好安全控制,确保由内向外和由外向内的访问具备连通性。
同时,将拟态路由器纳入运维监控平台,当检测拟态路由器发生异常时,监控平台将通过自动化手段及时断开拟态路由器连接互联网线路的接口,从而快速将访问数据流切换至其他线路,保证应用服务的连续性。
由此,本申请拟态路由器的拟态构造机制通过虚拟化技术实现,设备采购成本较传统路由器低,拟态构造特性决定了它不依赖于特征进行威胁检测与阻断,在设备生命期内既可以减少部署其他安全防护设备的成本,同时也可以降低不停打补丁堵漏洞的维护成本。
从硬件层面来说,为了能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力,本申请提供一种用于实现所述金融网络拟态路由方法中的全部或部分内容的电子设备的实施例,所述电子设备具体包含有如下内容:
处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线;其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述通信接口用于实现金融网络拟态路由装置与核心业务系统、用户终端以及相关数据库等相关设备之间的信息传输;该逻辑控制器可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该逻辑控制器可以参照实施例中的金融网络拟态路由方法的实施例,以及金融网络拟态路由装置的实施例进行实施,其内容被合并于此,重复之处不再赘述。
可以理解的是,所述用户终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、台式电脑、个人数字助理(PDA)、车载设备、智能穿戴设备等。其中,所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
在实际应用中,金融网络拟态路由方法的部分可以在如上述内容所述的电子设备侧执行,也可以所有的操作都在所述客户端设备中完成。具体可以根据所述客户端设备的处理能力,以及用户使用场景的限制等进行选择。本申请对此不作限定。若所有的操作都在所述客户端设备中完成,所述客户端设备还可以包括处理器。
上述的客户端设备可以具有通信模块(即通信单元),可以与远程的服务器进行通信连接,实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器,其他的实施场景中也可以包括中间平台的服务器,例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备,也可以包括多个服务器组成的服务器集群,或者分布式装置的服务器结构。
图6为本申请实施例的电子设备9600的系统构成的示意框图。如图6所示,该电子设备9600可以包括中央处理器9100和存储器9140;存储器9140耦合到中央处理器9100。值得注意的是,该图6是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
一实施例中,金融网络拟态路由方法功能可以被集成到中央处理器9100中。
其中,中央处理器9100可以被配置为进行如下控制:
步骤S101:接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体。
步骤S102:根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体。
步骤S103:根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作。
从上述描述可知,本申请实施例提供的电子设备,通过将功能相同但实现技术不同的多个拟态路由器以异构、冗余、动态的方式协同工作,并对不同拟态路由器中的执行体针对同一金融网络访问请求的响应进行比对和裁决,有效识别和终止攻击者针对特定执行体发起的攻击,从而防止各类软硬件产品中的漏洞和后门被恶意利用,提高信息系统对已知攻击和未知攻击的免疫能力,由此能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力。
在另一个实施方式中,金融网络拟态路由装置可以与中央处理器9100分开配置,例如可以将金融网络拟态路由装置配置为与中央处理器9100连接的芯片,通过中央处理器的控制来实现金融网络拟态路由方法功能。
如图6所示,该电子设备9600还可以包括:通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是,电子设备9600也并不是必须要包括图6中所示的所有部件;此外,电子设备9600还可以包括图6中没有示出的部件,可以参考现有技术。
如图6所示,中央处理器9100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。
其中,存储器9140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序,以实现信息存储或处理等。
输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器9140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142,该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。
存储器9140还可以包括数据存储部9143,该数据存储部9143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块9110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132,以经由扬声器9131提供音频输出,并接收来自麦克风9132的音频输入,从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器9130还耦合到中央处理器9100,从而使得可以通过麦克风9132能够在本机上录音,且使得可以通过扬声器9131来播放本机上存储的声音。
本申请的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的金融网络拟态路由方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的金融网络拟态路由方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤S101:接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体。
步骤S102:根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体。
步骤S103:根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作。
从上述描述可知,本申请实施例提供的计算机可读存储介质,通过将功能相同但实现技术不同的多个拟态路由器以异构、冗余、动态的方式协同工作,并对不同拟态路由器中的执行体针对同一金融网络访问请求的响应进行比对和裁决,有效识别和终止攻击者针对特定执行体发起的攻击,从而防止各类软硬件产品中的漏洞和后门被恶意利用,提高信息系统对已知攻击和未知攻击的免疫能力,由此能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力。
本申请的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的金融网络拟态路由方法中全部步骤的一种计算机程序产品,该计算机程序/指令被处理器执行时实现所述的金融网络拟态路由方法的步骤,例如,所述计算机程序/指令实现下述步骤:
步骤S101:接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体。
步骤S102:根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体。
步骤S103:根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作。
从上述描述可知,本申请实施例提供的计算机程序产品,通过将功能相同但实现技术不同的多个拟态路由器以异构、冗余、动态的方式协同工作,并对不同拟态路由器中的执行体针对同一金融网络访问请求的响应进行比对和裁决,有效识别和终止攻击者针对特定执行体发起的攻击,从而防止各类软硬件产品中的漏洞和后门被恶意利用,提高信息系统对已知攻击和未知攻击的免疫能力,由此能够在满足金融网络高可用性需求的基础上有效提高路由器的抗攻击能力。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种金融网络拟态路由方法,其特征在于,所述方法包括:
接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体;
根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体;
根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作。
2.根据权利要求1所述的金融网络拟态路由方法,其特征在于,所述根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体,包括:
对所述拟态路由器中各异构冗余路由执行体输出的路由表项进行对比,确定与所述路由表项具有相同内容的其他路由表项的数目;
根据与所述路由表项具有相同内容的其他路由表项的数目和所述路由表项所属路由执行体的可信度,确定所述路由表项的可信度;
将具有相同目的地址的路由表项中所述可信度最高的路由表项确定为最终路由表项,并将与所述可信度最高的路由表项具有不同目的地址的路由表项所对应的异构冗余路由执行体确定为异常路由执行体。
3.根据权利要求1所述的金融网络拟态路由方法,其特征在于,所述根据所述异常路由执行体的异常路由信息执行相应异常处理操作,包括:
将所述异常路由执行体的异常路由信息发送至与所述拟态路由器相连的安全运维管理平台,以使所述安全运维管理平台根据所述异常路由信息判定所述拟态路由器处于异常状态时,向所述拟态路由器发送金融网络断开控制指令,并向与所述拟态路由器互联的默认接入路由器或核心交换机发送金融网络连接控制指令。
4.根据权利要求3所述的金融网络拟态路由方法,其特征在于,所述根据所述异常路由执行体的异常路由信息执行相应异常处理操作,还包括:
对所述异常路由执行体执行下线处理。
5.根据权利要求1所述的金融网络拟态路由方法,其特征在于,在所述接收金融网络访问请求之后,包括:
若所述金融网络访问请求不符合拟态路由条件,则将所述金融网络访问请求转发至与所述拟态路由器互联的默认接入路由器或核心交换机。
6.根据权利要求1所述的金融网络拟态路由方法,其特征在于,在所述接收金融网络访问请求之后,还包括:
若所述金融网络访问请求中的数据源地址未被包含在所述拟态路由器本地预存储的访问控制列表中,则返回访问失败信号。
7.一种金融网络拟态路由装置,其特征在于,包括:
协议代理模块,用于接收金融网络访问请求,若所述金融网络访问请求符合拟态路由条件,则将所述金融网络访问请求转发至拟态路由器,其中,所述拟态路由器包括多个异构冗余路由执行体;
拟态裁决模块,用于根据所述拟态路由器中各异构冗余路由执行体输出的路由表项进行路由共识裁决,确定对应的最终路由表项和异常路由执行体;
路由转发模块,用于根据所述最终路由表项对所述金融网络访问请求进行流量转发,并根据所述异常路由执行体的异常路由信息执行相应异常处理操作。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6任一项所述的金融网络拟态路由方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6任一项所述的金融网络拟态路由方法的步骤。
10.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1至6任一项所述的金融网络拟态路由方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210117803.XA CN114448888B (zh) | 2022-02-08 | 2022-02-08 | 金融网络拟态路由方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210117803.XA CN114448888B (zh) | 2022-02-08 | 2022-02-08 | 金融网络拟态路由方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114448888A true CN114448888A (zh) | 2022-05-06 |
| CN114448888B CN114448888B (zh) | 2024-01-02 |
Family
ID=81370782
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210117803.XA Active CN114448888B (zh) | 2022-02-08 | 2022-02-08 | 金融网络拟态路由方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114448888B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296839A (zh) * | 2022-06-24 | 2022-11-04 | 网络通信与安全紫金山实验室 | 一种基于bgp-ls裁决的拟态路由方法、装置及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN111884996A (zh) * | 2020-06-12 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度量的拟态交换机裁决系统及方法 |
-
2022
- 2022-02-08 CN CN202210117803.XA patent/CN114448888B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN111884996A (zh) * | 2020-06-12 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度量的拟态交换机裁决系统及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296839A (zh) * | 2022-06-24 | 2022-11-04 | 网络通信与安全紫金山实验室 | 一种基于bgp-ls裁决的拟态路由方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114448888B (zh) | 2024-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11621968B2 (en) | Intrusion detection using a heartbeat | |
| US11722516B2 (en) | Using reputation to avoid false malware detections | |
| US10205744B2 (en) | Remote malware remediation | |
| EP3603005B1 (en) | Systems and methods for enforcing dynamic network security policies | |
| US9654489B2 (en) | Advanced persistent threat detection | |
| US9104864B2 (en) | Threat detection through the accumulated detection of threat characteristics | |
| WO2019156786A1 (en) | Processing network traffic based on assessed security weaknesses | |
| EP3168770B1 (en) | Executing process monitoring | |
| US8732791B2 (en) | Multi-part internal-external process system for providing virtualization security protection | |
| US10944720B2 (en) | Methods and systems for network security | |
| US10193868B2 (en) | Safe security proxy | |
| US8234711B2 (en) | Apparatus and method for checking PC security | |
| US20070150951A1 (en) | Methods, communication networks, and computer program products for managing application(s) on a vulnerable network element due to an untrustworthy network element by sending a command to an application to reduce the vulnerability of the network element | |
| CN114448888B (zh) | 金融网络拟态路由方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |