CN114500118B - 卫星网络拓扑的隐藏方法及装置 - Google Patents
卫星网络拓扑的隐藏方法及装置 Download PDFInfo
- Publication number
- CN114500118B CN114500118B CN202210392887.8A CN202210392887A CN114500118B CN 114500118 B CN114500118 B CN 114500118B CN 202210392887 A CN202210392887 A CN 202210392887A CN 114500118 B CN114500118 B CN 114500118B
- Authority
- CN
- China
- Prior art keywords
- target
- satellite network
- routing path
- user access
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
- H04B7/18578—Satellite systems for providing broadband data service to individual earth stations
- H04B7/18584—Arrangements for data networking, i.e. for data packet routing, for congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
- H04B7/18578—Satellite systems for providing broadband data service to individual earth stations
- H04B7/18593—Arrangements for preventing unauthorised access or for providing user protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Astronomy & Astrophysics (AREA)
- Aviation & Aerospace Engineering (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种卫星网络拓扑的隐藏方法及装置,所述卫星网络拓扑的隐藏方法包括:基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;基于用户访问目标,生成目标路由路径,目标路由路径包括多个节点且目标路由路径覆盖用户访问目标;在用户访问目标存在异常访问的情况下,基于目标路由路径和卫星网络通信的类型,返回目标虚假响应。本发明的卫星网络拓扑的隐藏方法,能够显著减少实际卫星网络拓扑暴露的风险,从而起到隐藏实际的卫星网络拓扑的效果,有效提高卫星网络的安全性和隐私性,且具有较高的灵活性和普适性。
Description
技术领域
本发明涉及卫星通信技术领域,尤其涉及一种卫星网络拓扑的隐藏方法及装置。
背景技术
在卫星领域,用户通过扫描、发送探测报文或者监听卫星信号即可获得目标存活信息、甚至是卫星网络拓扑信息,通过信息收集勾勒卫星网络拓扑的情况,从而了解和掌握整个卫星网络的布局情况,给卫星网络空间造成了极大的安全隐患。相关技术中,主要存在以下几种安全防护技术:其一,基于欺骗的设备隐藏,该方法仅仅针对单台设备访问异常来提供虚假回应来隐藏主机;其二,基于蜜罐的服务隐藏,该方法主要基于蜜罐技术提供差异化的服务响应以混淆非法访问核心业务,但以上两种方法均只是针对传统网络的安全防护技术,只能针对非法访问隐藏主机和服务,无法对整个网络起到隐藏保护作用,防护作用有限。
发明内容
本发明提供一种卫星网络拓扑的隐藏方法及装置,用以解决现有技术中无法对整个卫星网络进行隐藏保护的缺陷,实现对整个卫星网络进行隐藏保护。
本发明提供一种卫星网络拓扑的隐藏方法,包括:
基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;
基于所述用户访问目标,生成目标路由路径,所述目标路由路径包括多个节点且所述目标路由路径覆盖所述用户访问目标;
在所述用户访问目标存在异常访问的情况下,基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应。
根据本发明提供的一种卫星网络拓扑的隐藏方法,所述基于所述用户访问目标,生成目标路由路径,包括:
基于所述用户访问目标,获取所述用户访问目标对应的用户IP地址和所述用户访问目标对应的用户访问目标IP地址;
基于所述用户IP地址和所述用户访问目标IP地址,生成覆盖所述用户IP地址和所述用户访问目标IP地址的所述目标路由路径。
根据本发明提供的一种卫星网络拓扑的隐藏方法,所述在所述用户访问目标存在异常访问的情况下,基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应,包括:
在所述多个节点中的第一目标节点确定所述用户访问目标存在异常访问的情况下,基于所述目标路由路径,返回所述第一目标节点对应的目标虚假响应;
所述多个节点中的第二目标节点基于所述目标路由路径对应的响应顺序,返回所述第二目标节点对应的目标虚假响应;
其中,所述第二目标节点为位于所述第一目标节点之后的节点。
根据本发明提供的一种卫星网络拓扑的隐藏方法,所述基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应,包括:
获取用于响应的目标服务协议;
基于所述目标服务协议和所述目标路由路径,生成所述目标虚假响应;
基于所述卫星网络通信的类型,返回目标虚假响应。
根据本发明提供的一种卫星网络拓扑的隐藏方法,所述基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应,包括:
在单向卫星网络通信的情况下,基于所述目标路由路径修改下行响应源地址,放行下行响应报文;
在双向卫星网络通信的情况下,基于所述目标路由路径响应上行请求报文。
根据本发明提供的一种卫星网络拓扑的隐藏方法,所述基于卫星网络通信的类型,判断用户访问目标是否存在异常访问,包括:
在单向卫星网络通信的情况下,基于所述用户访问目标检测卫星下行响应是否异常;
在双向卫星网络通信的情况下,基于所述用户访问目标检测卫星上行请求是否异常。
本发明还提供一种卫星网络拓扑的隐藏装置,包括:
第一处理模块,用于基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;
第二处理模块,用于基于所述用户访问目标,生成目标路由路径,所述目标路由路径包括多个节点且所述目标路由路径覆盖所述用户访问目标;
第三处理模块,用于在所述用户访问目标存在异常访问的情况下,基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述卫星网络拓扑的隐藏方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述卫星网络拓扑的隐藏方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述卫星网络拓扑的隐藏方法。
本发明提供的卫星网络拓扑的隐藏方法及装置,通过建立目标用户与用户访问目标对象之间的目标路由路径,并在确定异常访问的情况下,基于目标路由路径和卫星网络通信的类型,向目标用户返回目标虚假响应,能够显著减少实际卫星网络拓扑暴露的风险,从而起到隐藏实际的卫星网络拓扑的效果,有效提高卫星网络的安全性和隐私性,且具有较高的灵活性和普适性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的卫星网络拓扑的隐藏方法的流程示意图之一;
图2是本发明提供的卫星网络拓扑的隐藏方法的流程示意图之二;
图3是本发明提供的卫星网络拓扑的隐藏方法的流程示意图之三;
图4是本发明提供的卫星网络拓扑的隐藏方法的流程示意图之三;
图5是本发明提供的卫星网络拓扑的隐藏方法的流程示意图之五;
图6是本发明提供的卫星网络拓扑的隐藏装置的结构示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1至图5描述本发明的卫星网络拓扑的隐藏方法。
该卫星网络拓扑的隐藏方法的执行主体可以为卫星网络拓扑的隐藏装置或卫星网络拓扑的隐藏系统,其中,卫星网络拓扑的隐藏系统包括访问异常检测单元和虚拟网络拓扑单元。
下面以卫星网络拓扑的隐藏系统为执行主体,对本发明提供的卫星网络拓扑的隐藏方法进行说明。
需要说明的是,网络拓扑(Network Topology)为用传输介质互连各种设备的物理布局,用于表征构成网络的成员间特定的物理的或逻辑的排列方式。
网络拓扑中包括多个节点,每个节点对应有IP地址,多个节点共同组成多跳网络,以实现信息交互。
可以理解的是,在卫星通信的情景下,目标用户与用户访问目标对象之间通过卫星网络拓扑进行信息交互。
在每一次请求过程中,卫星网络拓扑中的节点均会返回给目标用户响应,在异常访问的情况下,目标用户可以基于各节点返回的响应勾勒出卫星网络拓扑的结构,了解并掌握整个卫星网络的布局情况,从而影响卫星网络安全,甚至将造成网络瘫痪。
如图1所示,该卫星网络拓扑的隐藏方法包括:步骤110、步骤120和步骤130。
步骤110、基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;
在该步骤中,用户包括非法用户、竞争对手或黑客等。
用户访问目标可以为任意目标,如图2所示,用户访问目标可以为天基设备、海基设备、空基设备或者陆基设备中的任意设备终端。
在卫星通信的情景下,用户可以通过卫星网络与任意终端进行通信。
其中,用户在访问目标时,可以表现为发送用于指示用户访问目标的目标请求,目标请求包括但不限于:业务访问请求、业务回应数据以及卫星网络拓扑探测数据等。
其中,卫星网络拓扑探测数据为用于进行卫星网络拓扑探测的数据,例如可以为探测报文等。
可以理解的是,当卫星网络接收到目标请求后,将基于目标请求返回一个响应。
卫星网络通信的类型包括:单向卫星网络通信和双向卫星网络通信,其中,单向卫星网络通信中包括下行数据,双向卫星网络通信中包括上行数据和下行数据。
需要说明的是,可以基于卫星网络通信的类型,选择相对应的异常检测方法。具体实现过程将在后续实施例中说明,在此暂不作赘述。
在实际执行过程中,可以通过设置如图5所示的卫星网络拓扑隐藏系统来执行本发明提供的方法。
如图5所示,卫星网络拓扑隐藏系统包括访问异常检测模块和虚假网络拓扑单元。
其中,访问异常检测模块用于执行步骤110,以检测用户访问目标是否存在异常访问。
虚假网络拓扑单元用于在确定用户访问目标存在异常访问的情况下,执行后续步骤。
如图2所示,在实际应用过程中,可以将卫星网络拓扑隐藏系统部署于地面控制中心的地面网络中,对来自于信关站的数据进行异常访问检测和提供虚假响应。
当然,在其他实施例中,卫星网络拓扑隐藏系统的部署位置也可以不限于地面控制中心的地面网络,而是部署于任务网络均可,如部署于信关站等网络设施位置。
步骤120、基于用户访问目标,生成目标路由路径,目标路由路径包括多个节点且目标路由路径覆盖用户访问目标;
在该步骤中,目标路由路径为用户与用户所要访问的目标之间的通信路径。
目标路由路径包括至少两个节点,例如可以包括10个节点、32个节点或255个节点等,本发明不对节点的具体数量进行限定。
在实际执行过程中,该目标路由路径中的每一个节点,可以顺次接收指示于用户访问目标的目标请求;且在接收到目标请求后,均会基于目标请求向用户返回一个响应。
需要说明的是,在该步骤中,目标路由路径可以为真实的路径,也可以为虚假的路径;目标路由路径中的每个节点所对应的IP地址,可以为真实的IP地址,也可以为虚假的IP地址。
下面以目标路由路径为真实的路径为例,对该步骤的实现方式进行说明。
在一些实施例中,步骤120可以包括:
基于用户访问目标,获取用户访问目标对应的用户IP地址和用户访问目标对应的用户访问目标IP地址;
基于用户IP地址和用户访问目标IP地址,生成覆盖用户IP地址和用户访问目标IP地址的目标路由路径。
在该实施例中,用户IP地址为用户的实际IP地址。
用户访问目标IP地址为用户所需访问的目标的实际IP地址。
在实际执行过程中,可以通过设置如图3所示的虚假网络拓扑单元来执行该步骤。
继续参考图3,虚假网络拓扑单元用于基于用户访问目标生成目标路由路径。
虚假网络拓扑单元包括:虚假网络拓扑IP资源池和虚假网络拓扑响应模块。
虚假网络拓扑IP资源池和虚假网络拓扑响应模块之间通信连接。
其中,可以通过虚假网络拓扑IP资源池来提供用户IP地址和用户访问目标对应的用户访问目标IP地址。
虚假网络拓扑IP资源池可以包括IP网络地址库和IP网络地理库。
其中,IP网络地址库用于存储来自于用户配置所提供的IP网络地址信息,以及不同国家地理区域和位置的IP地址。
IP网络地理库用于支撑IP地址选择提供地理位置信息。
可以通过虚假网络拓扑响应模块,来生成目标路由路径。
例如,在接收到指示于用户访问目标的目标请求后,虚假网络拓扑响应模块根据用户IP地址和用户访问目标IP地址所对应的地理位置,从虚假网络拓扑IP资源池中获取地理位置上覆盖跨区域或同区域的用户IP地址对应的地理位置至用户访问目标IP地址所对应的地理位置的路由路径,并将所获取的路由路径确定为目标路由路径。
其中,目标路由路径的路径长度可以为任意长度,例如可以为2至32个节点之间;或者为2至255个节点之间,或者为其他任意长度,本发明不作限定。
除此之外,还可以基于请求次数依次选择目标路由路径中的各节点所对应的IP地址。
步骤130、在用户访问目标存在异常访问的情况下,基于目标路由路径和卫星网络通信的类型,返回目标虚假响应。
在该步骤中,用户访问目标存在异常访问,表现为指示于用户访问目标的目标请求存在卫星网络拓扑探测行为。
目标虚假响应为虚假的响应,其与真实响应不同,用于迷惑用户。
目标虚假响应可以为对应于修改下行响应源地址后所对应的下行响应报文,或者也可以为用于响应上行请求报文的虚假响应。
目标虚假响应的数量基于目标路由路径中的节点的数量确定,应不超过目标路由路径中的全部节点数量。
需要说明的是,对于不同的通信网络(例如对于单向卫星网络通信和双向卫星网络通信),向用户返回目标虚假响应,其对应的实现方式也有所不同。将在后续实施例中进行说明。
在实际应用过程中,可以通过设置预置模板来执行以上步骤,具体有:根据不同地理位置的用户IP地址预先设置目标路由路径,并在确定用户访问目标存在异常检测时,直接基于预先设置的目标路由路径提供目标虚假响应,以提高响应速度。
下面通过具体实施例,对目标虚假响应的生成方式进行说明。
在一些实施例中,步骤130可以包括:
获取用于响应的目标服务协议;
基于目标服务协议和目标路由路径,生成目标虚假响应;
基于卫星网络通信的类型,返回目标虚假响应。
在该实施例中,目标服务协议生成目标虚假响应所需的服务或协议。
目标服务协议可以包括一种或多种服务协议。
目标服务协议包括但不限于:路由服务、网关服务、控制报文协议(InternetControl Message Protocol,ICMP)、地址解析协议(Address Resolution Protocol,ARP)、动态主机配置协议(DHCP)、域名系统(Domain Name System,DNS)解析协议以及其他卫星网络层服务协议。
其中,路由服务用于选择上网路径;
网关服务用于处理对多个服务使用者和提供者的请求;
ICMP协议为TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息;
ARP协议为根据IP地址获取物理地址的一个TCP/IP协议;
DHCP协议为一个局域网的网络协议,由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。
DNS为可以将域名和IP地址相互映射的以层次结构分布的数据库系,DNS解析协议即为用于解析DNS的协议。
在生成目标路由路径后,对于目标路由路径中的任一节点,可以基于目标服务协议生成该节点对应的目标虚假响应,并将该目标虚假响应返回至用户。
继续参考图3,在实际执行过程中,可以通过虚假网络拓扑单元执行该步骤。
其中,虚假网络拓扑单元还包括虚假网络拓扑响应资源池。
虚假网络拓扑响应资源池分别与虚假网络拓扑响应模块和虚假网络拓扑IP资源池通信连接,用于分别向虚假网络拓扑响应模块和虚假网络拓扑IP资源池提供服务协议。
虚假网络拓扑响应资源池中可以包括:路由服务模块、网关服务模块、ICMP程序模块、ARP模块、DHCP服务模块、DNS解析模块以及其他卫星网络层协议服务模块中的至少一种模块。
不同的模块提供不同的服务协议。
例如,在接收到指示于用户访问目标的目标请求后,虚假网络拓扑响应资源池向虚假网络拓扑IP资源池提供用于支撑IP地址响应的资源,以供虚假网络拓扑响应模块能够从虚假网络拓扑IP资源池中选择出地理位置上覆盖跨区域或同区域的用户IP地址对应的地理位置至用户访问目标IP地址所对应的地理位置的目标路由路径。
然后,虚假网络拓扑响应资源池向虚假网络拓扑响应模块提供目标服务协议,以供虚假网络拓扑响应模块能够选择所需的协议组件资源,并基于选择的目标服务协议生成目标虚假响应。
下面通过具体实施例,对响应过程进行具体说明。
在一些实施例中,步骤130还可以包括:
在多个节点中的第一目标节点确定用户访问目标存在异常访问的情况下,基于目标路由路径,返回第一目标节点对应的目标虚假响应;
多个节点中的第二目标节点基于目标路由路径对应的响应顺序,返回第二目标节点对应的目标虚假响应;
其中,第二目标节点为位于第一目标节点之后的节点。
在该实施例中,第一目标节点可以为目标路由路径的全部节点中的任意一个节点。
第一目标节点为检测出异常访问的节点。
第二目标节点为目标路由路径的全部节点中位于第一目标节点之后的节点。
可以理解的是,在通信过程中,每个节点均对应有响应顺序,各节点基于响应顺序依次进行通信。
每一个节点均会接收指示于用户访问目标的目标请求,并对用户访问目标是否存在异常进行检测。
例如,在目标路由路径中的第一跳节点即检测到异常探测行为的情况下,则第一跳节点即为第一目标节点,第一跳节点之后的全部节点均为第二目标节点。
又如,在第一跳节点未检测到异常探测行为,而在第二跳节点检测到异常探测行为的情况下,则实第二跳节点为第一目标节点,第二跳节点之后的全部节点均为第二目标节点。
在第一目标节点为第一跳节点的情况下,则自第一跳节点开始,基于目标路由路径所对应的响应顺序,依次向用户返回目标虚假响应,直至目标路由路径中的全部节点均返回完成目标虚假响应,则结束本次信息通信。
可以理解的是,在确定异常访问的情况下,对于每一个目标节点,均返回目标虚假响应,以隐藏卫星网络拓扑中每个节点的真实IP地址,从而避免用户基于返回的响应勾勒出卫星网络的真实拓扑布局。
发明人在研发过程中发现,相关技术中,针对网络安全保护,主要存在以下几种技术:
1)基于欺骗的设备隐藏,该技术仅仅针对单台设备访问异常来提供虚假回应来隐藏主机,而无法对整个网络起到隐藏保护作用,且该技术主要针对传统网络,而无法适用于卫星网络的应用场景;
2)基于蜜罐的服务隐藏,该技术主要基于蜜罐技术提供差异化的服务响应以混淆非法访问核心业务,以隐藏保护主机和业务为主,只能针对非法访问隐藏主机和服务,同样无法对整个网络起到隐藏保护作用,且同样无法适用于卫星网络的应用场景。
而在本申请中,通过建立用户与用户访问目标之间的目标路由路径,并在确定存在异常访问的情况下,基于目标路由路径向用户返回目标虚假响应,以隐藏真实的响应,防止用户基于真实的响应勾勒出卫星的网络拓扑,从而减少实际卫星网络拓扑暴露的风险,起到隐藏实际的整个卫星网络的作用,能够针对卫星网络整体防御起到前导作用。
根据本发明实施例提供的卫星网络拓扑的隐藏方法,通过建立用户与用户访问目标之间的目标路由路径,并在确定存在异常访问的情况下,基于目标路由路径和卫星网络通信的类型,向用户返回目标虚假响应,能够显著减少实际卫星网络拓扑暴露的风险,从而起到隐藏实际的卫星网络拓扑的效果,有效提高卫星网络的安全性和隐私性,且具有较高的灵活性和普适性。
下面结合图4,分别从单向卫星网络通信和双向卫星网络通信两个实现角度,对本发明实施例的实现方式进行说明。
一、单向卫星网络通信
如图4所示,在一些实施例中,步骤110可以包括:在单向卫星网络通信的情况下,基于用户访问目标检测卫星下行响应是否异常。
在该实施例中,单向卫星网络通信不存在上行请求,则检测卫星下行响应是否异常。
例如可以通过ICMP连通性协议,统计响应至用户访问目标IP地址的应答频率,在检测到存在频繁应答到固定的用户访问目标IP地址的ICMP响应的情况下,则确定访问存在异常。
当然,在其他实施例中还可以通过卫星路由协议来检测用户访问目标是否存在异常访问。
继续参考图4,在一些实施例中,步骤130还可以包括:在单向卫星网络通信的情况下,基于目标路由路径修改下行响应源地址,放行下行响应报文。
在该实施例中,在确定存在异常访问的情况下,则基于目标路由路径中对应的第一目标节点的IP地址修改下行响应源地址,放行下行响应报文,该下行响应报文对应于修改后的响应源地址,如虚假拓扑响应地址。
二、双向卫星网络通信
继续参考图4,在一些实施例中,步骤110可以包括:在双向卫星网络通信的情况下,基于用户访问目标检测卫星上行请求是否异常。
在该实施例中,双向卫星网络通信包括上行信号和下行信号,则可以基于上行信号或下行信号进行异常检测。
在基于上行信号进行异常检测的情况下,可以直接基于上行请求检测是否异常。
例如通过ICMP连通性协议,统计源地址(用户IP地址)针对用户访问目标IP地址做连通性请求的次数,在源地址频繁针对用户访问目标IP地址做连通性请求,生存时间值(Time To Live,TTL)不断递增的情况下,则确定访问异常。
当然,在其他实施例中,同样可以通过卫星路由协议来检测用户访问目标是否为卫星网络拓扑探测数据,在确定指示于用户访问目标的目标请求为卫星网络拓扑探测数据的情况下,则确定访问异常。
在基于下行信号进行异常检测的情况下,具体实现方式与单向卫星网络通信的检测方式类似,在此不作赘述。
继续参考图4,在一些实施例中,步骤130还可以包括:在双向卫星网络通信的情况下,基于目标路由路径响应上行请求报文。
在该实施例中,在确定存在异常访问的情况下,则基于目标路由路径中对应的第一目标节点生成用于响应上行请求报文的目标虚假响应,该目标虚假响应与实际响应不相同。
根据本发明实施例提供的卫星网络拓扑的隐藏方法,通过基于不同的卫星网络通信,提供不同的目标虚假响应,有助于基于实际卫星网络通信选择最适合的卫星网络拓扑的隐藏方式,具有较高的灵活性且适用范围更广。
下面对本发明提供的卫星网络拓扑的隐藏装置进行描述,下文描述的卫星网络拓扑的隐藏装置与上文描述的卫星网络拓扑的隐藏方法可相互对应参照。
如图6所示,该卫星网络拓扑的隐藏装置包括:第一处理模块60、第二处理模块620和第三处理模块630。
第一处理模块610,用于基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;
第二处理模块620,用于基于用户访问目标,生成目标路由路径,目标路由路径包括多个节点且目标路由路径覆盖用户访问目标;
第三处理模块630,用于在用户访问目标存在异常访问的情况下,基于目标路由路径和卫星网络通信的类型,返回目标虚假响应。
根据本发明实施例提供的卫星网络拓扑的隐藏装置,通过建立用户与用户访问目标之间的目标路由路径,并在确定存在异常访问的情况下,基于目标路由路径和卫星网络通信的类型,向用户返回目标虚假响应,能够显著减少实际卫星网络拓扑暴露的风险,从而起到隐藏实际的卫星网络拓扑的效果,有效提高卫星网络的安全性和隐私性,且具有较高的灵活性和普适性。
在一些实施例中,第二处理模块620,还可以用于:
基于用户访问目标,获取用户访问目标对应的用户IP地址和用户访问目标对应的用户访问目标IP地址;
基于用户IP地址和用户访问目标IP地址,生成覆盖用户IP地址和用户访问目标IP地址的目标路由路径。
在一些实施例中,第三处理模块630,还可以用于:
在多个节点中的第一目标节点确定用户访问目标存在异常访问的情况下,基于目标路由路径,返回第一目标节点对应的目标虚假响应;
多个节点中的第二目标节点基于目标路由路径对应的响应顺序,返回第二目标节点对应的目标虚假响应;
其中,第二目标节点为位于第一目标节点之后的节点。
在一些实施例中,第三处理模块630,还可以用于:
获取用于响应的目标服务协议;
基于目标服务协议和目标路由路径,生成目标虚假响应;
基于卫星网络通信的类型,返回目标虚假响应。
在一些实施例中,第三处理模块630,还可以用于:
在单向卫星网络通信的情况下,基于目标路由路径修改下行响应源地址,放行下行响应报文;
在双向卫星网络通信的情况下,基于目标路由路径响应上行请求报文。
在一些实施例中,第一处理模块610,还可以用于:
在单向卫星网络通信的情况下,基于用户访问目标检测卫星下行响应是否异常;
在双向卫星网络通信的情况下,基于用户访问目标检测卫星上行请求是否异常。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线770,其中,处理器710,通信接口720,存储器730通过通信总线770完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行卫星网络拓扑的隐藏方法,该方法包括:基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;基于用户访问目标,生成目标路由路径,目标路由路径包括多个节点且目标路由路径覆盖用户访问目标;在用户访问目标存在异常访问的情况下,基于目标路由路径和卫星网络通信的类型,返回目标虚假响应。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的卫星网络拓扑的隐藏方法,该方法包括:基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;基于用户访问目标,生成目标路由路径,目标路由路径包括多个节点且目标路由路径覆盖用户访问目标;在用户访问目标存在异常访问的情况下,基于目标路由路径和卫星网络通信的类型,返回目标虚假响应。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的卫星网络拓扑的隐藏方法,该方法包括:基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;基于用户访问目标,生成目标路由路径,目标路由路径包括多个节点且目标路由路径覆盖用户访问目标;在用户访问目标存在异常访问的情况下,基于目标路由路径和卫星网络通信的类型,返回目标虚假响应。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种卫星网络拓扑的隐藏方法,其特征在于,包括:
基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;
基于所述用户访问目标,生成目标路由路径,所述目标路由路径包括多个节点且所述目标路由路径覆盖所述用户访问目标;
在所述用户访问目标存在异常访问的情况下,基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应;
所述基于所述用户访问目标,生成目标路由路径,包括:
基于所述用户访问目标,获取所述用户访问目标对应的用户IP地址和所述用户访问目标对应的用户访问目标IP地址;
基于所述用户IP地址和所述用户访问目标IP地址,生成覆盖所述用户IP地址和所述用户访问目标IP地址的所述目标路由路径;
所述在所述用户访问目标存在异常访问的情况下,基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应,包括:
在所述多个节点中的第一目标节点确定所述用户访问目标存在异常访问的情况下,基于所述目标路由路径,返回所述第一目标节点对应的目标虚假响应;
所述多个节点中的第二目标节点基于所述目标路由路径对应的响应顺序,返回所述第二目标节点对应的目标虚假响应;
其中,所述第二目标节点为位于所述第一目标节点之后的节点;
所述目标路由路径为真实的路径;
所述第一目标节点为检测出异常访问的节点。
2.根据权利要求1所述的卫星网络拓扑的隐藏方法,其特征在于,所述基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应,包括:
获取用于响应的目标服务协议;
基于所述目标服务协议和所述目标路由路径,生成所述目标虚假响应;
基于所述卫星网络通信的类型,返回目标虚假响应。
3.根据权利要求1所述的卫星网络拓扑的隐藏方法,其特征在于,所述基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应,包括:
在单向卫星网络通信的情况下,基于所述目标路由路径修改下行响应源地址,放行下行响应报文;
在双向卫星网络通信的情况下,基于所述目标路由路径响应上行请求报文。
4.根据权利要求1所述的卫星网络拓扑的隐藏方法,其特征在于,所述基于卫星网络通信的类型,判断用户访问目标是否存在异常访问,包括:
在单向卫星网络通信的情况下,基于所述用户访问目标检测卫星下行响应是否异常;
在双向卫星网络通信的情况下,基于所述用户访问目标检测卫星上行请求是否异常。
5.一种卫星网络拓扑的隐藏装置,其特征在于,包括:
第一处理模块,用于基于卫星网络通信的类型,判断用户访问目标是否存在异常访问;
第二处理模块,用于基于所述用户访问目标,生成目标路由路径,所述目标路由路径包括多个节点且所述目标路由路径覆盖所述用户访问目标;
第三处理模块,用于在所述用户访问目标存在异常访问的情况下,基于所述目标路由路径和所述卫星网络通信的类型,返回目标虚假响应;
所述第二处理模块,用于:
基于所述用户访问目标,获取所述用户访问目标对应的用户IP地址和所述用户访问目标对应的用户访问目标IP地址;
基于所述用户IP地址和所述用户访问目标IP地址,生成覆盖所述用户IP地址和所述用户访问目标IP地址的所述目标路由路径;
所述第三处理模块,用于:
在所述多个节点中的第一目标节点确定所述用户访问目标存在异常访问的情况下,基于所述目标路由路径,返回所述第一目标节点对应的目标虚假响应;
所述多个节点中的第二目标节点基于所述目标路由路径对应的响应顺序,返回所述第二目标节点对应的目标虚假响应;
其中,所述第二目标节点为位于所述第一目标节点之后的节点;
所述目标路由路径为真实的路径;
所述第一目标节点为检测出异常访问的节点。
6.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述卫星网络拓扑的隐藏方法。
7.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述卫星网络拓扑的隐藏方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210392887.8A CN114500118B (zh) | 2022-04-15 | 2022-04-15 | 卫星网络拓扑的隐藏方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210392887.8A CN114500118B (zh) | 2022-04-15 | 2022-04-15 | 卫星网络拓扑的隐藏方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114500118A CN114500118A (zh) | 2022-05-13 |
CN114500118B true CN114500118B (zh) | 2022-07-01 |
Family
ID=81488832
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210392887.8A Active CN114500118B (zh) | 2022-04-15 | 2022-04-15 | 卫星网络拓扑的隐藏方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114500118B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117200862B (zh) * | 2023-09-07 | 2024-04-02 | 中国电子信息产业集团有限公司第六研究所 | 一种星间组网安全通信系统及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
CN110290098A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
CN112087413A (zh) * | 2019-06-14 | 2020-12-15 | 张长河 | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721442B (zh) * | 2016-01-22 | 2019-03-22 | 北京卫达信息技术有限公司 | 基于动态变换虚假响应系统、方法及网络安全系统与方法 |
US10733292B2 (en) * | 2018-07-10 | 2020-08-04 | International Business Machines Corporation | Defending against model inversion attacks on neural networks |
-
2022
- 2022-04-15 CN CN202210392887.8A patent/CN114500118B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
CN110290098A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
CN112087413A (zh) * | 2019-06-14 | 2020-12-15 | 张长河 | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114500118A (zh) | 2022-05-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7607021B2 (en) | Isolation approach for network users associated with elevated risk | |
US7234163B1 (en) | Method and apparatus for preventing spoofing of network addresses | |
US9237027B2 (en) | Destination address control to limit unauthorized communications | |
CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
CN111130931B (zh) | 一种违规外联设备的检测方法及装置 | |
CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
US20180270189A1 (en) | Equipment for offering domain-name resolution services | |
CN101827138B (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
CN115037551B (zh) | 连接权限控制方法、装置、电子设备及存储介质 | |
CN114500118B (zh) | 卫星网络拓扑的隐藏方法及装置 | |
CN112910863A (zh) | 一种网络溯源方法及系统 | |
US7987255B2 (en) | Distributed denial of service congestion recovery using split horizon DNS | |
CN114268491A (zh) | 一种基于蜜罐技术的网络安防系统 | |
Najjar et al. | Reliable behavioral dataset for IPv6 neighbor discovery protocol investigation | |
CN101945053B (zh) | 一种报文的发送方法和装置 | |
CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
Naaz et al. | Investigating DHCP and DNS Protocols Using Wireshark | |
CN113691650B (zh) | IPv4/IPv6无状态分段安全映射方法及控制系统 | |
US20220337546A1 (en) | Method and system for realizing network dynamics, terminal device and storage medium | |
Ali et al. | Software defined network (SDN) security against address resolution protocol poisoning attack | |
Ikarashi et al. | Design and implementation of SDN-based proactive firewall system in collaboration with domain name resolution | |
JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム | |
Popereshnyak et al. | Intrusion detection method based on the sensory traps system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |