CN110535765B - 基于分段路由的拟态防御网络***及其防御方法 - Google Patents

基于分段路由的拟态防御网络***及其防御方法 Download PDF

Info

Publication number
CN110535765B
CN110535765B CN201910790482.8A CN201910790482A CN110535765B CN 110535765 B CN110535765 B CN 110535765B CN 201910790482 A CN201910790482 A CN 201910790482A CN 110535765 B CN110535765 B CN 110535765B
Authority
CN
China
Prior art keywords
service request
controllers
network
controller
arbitrator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910790482.8A
Other languages
English (en)
Other versions
CN110535765A (zh
Inventor
孙祥安
朱泓艺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Broadband Technology and Application Engineering Research Center
Original Assignee
Shanghai Broadband Technology and Application Engineering Research Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Broadband Technology and Application Engineering Research Center filed Critical Shanghai Broadband Technology and Application Engineering Research Center
Priority to CN201910790482.8A priority Critical patent/CN110535765B/zh
Publication of CN110535765A publication Critical patent/CN110535765A/zh
Application granted granted Critical
Publication of CN110535765B publication Critical patent/CN110535765B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于分段路由的拟态防御网络***及其防御方法,其中方法包括不少于两个的控制器,控制器用于对接收到的主动业务请求或被动业务请求进行处理得到传输策略,并将传输策略发送给裁决器;其中,同一主动业务请求或被动业务请求会被所有控制器接收到;裁决器,用于对接收到的所有传输策略进行裁决,并选出正确传输策略发送给待处理网络设备,其中,被动业务请求由待处理网络设备发送。本发明提高了整个网络***的安全性,同时裁决器的反馈机制也有效地实现了遭受攻击的控制器的清洗工作。

Description

基于分段路由的拟态防御网络***及其防御方法
技术领域
本发明涉及计算机网络技术领域,尤其涉及基于分段路由的拟态防御网络***及其防御方法。
背景技术
为了应对越发多变的应用层业务,传统的IP/MPLS技术一直在自我完善,随着功能的增加、完善,同时也增加了操作和使用的复杂性。不论是运营商还是互联网公司都需要灵活、可扩展且操作简单的网络架构,如果继续采用现有RSVP-TE等技术框架的方式应对未来5G、物联网等需求,可能面临着巨大挑战。
SDN网络是一种新的网络架构,通过将控制与转发分离的方式构造出一个开放的可编程网络;而SR(Segment routing)是一种源路由机制,是对现有的IGP协议进行扩展来携带段路由信息,实现TE、FRR以及MPLS VPN等功能。现有研究人员设计了基于SR的网络架构通常是网络设备可向控制器发送业务请求,控制器对业务请求进行处理,将符合请求的传输策略直接返回给网路设备。该种网络架构可以很好并更简单的满足新型业务以及差异化服务,更快地部署新的业务,也可以更优雅的结束某过时种业务。但上述网络结构的控制器也较容易受到攻击,在控制器被攻破之后流规则很容易被窜改。进而影响网络架构的正常工作。
发明内容
本发明所要解决的技术问题是现有基于分段路由的网络架构的控制器极易被攻击,且控制器被攻破之后流规则很容易被窜改,进而影响网络架构的正常工作,即现有基于分段路由的网络架构存在控制器单点脆弱性的问题。
为了解决上述技术问题,本发明提供了一种基于分段路由的拟态防御网络***,其特征在于,包括:
不少于两个的控制器,所述控制器用于对接收到的主动业务请求或被动业务请求进行处理得到传输策略,并将所述传输策略发送给裁决器;其中,同一所述主动业务请求或被动业务请求会被所有所述控制器接收到;
裁决器,用于对接收到的所有所述传输策略进行裁决,并选出正确传输策略发送给待处理网络设备,其中,所述被动业务请求由所述待处理网络设备发送。
优选地,基于分段路由的拟态防御网络***还包括:
控制器管理层,用于配置主动业务请求,并将所述主动业务请求下发到所有所述控制器中,同时还用于对所有控制器的工作状态进行控制;
基础网络层,包括多个由核心网络连接的多个网络设备,所述网络设备用于作为所述待处理网络设备向所有所述控制器发送被动业务请求,并用于接收所述正确传输策略,以使得所述待处理网络设备可根据接所述正确传输策略实现对应业务的数据传输。
优选地,所述裁决器对接收到的所有所述传输策略进行裁决并选出正确传输策略包括:
所述裁决器对接收到的所有所述传输策略进行区别分组得到对比结果,并在所述对比结果中选出数量占比最多的一组作为正确传输策略。
优选地,所述裁决器还用于将对比结果作为反馈信息发送给所述控制器管理层。
优选地,所述控制器管理层还用于对所述对比结果进行接收,并根据所述对比结果从所有所述控制器中判断出遭受攻击的控制器,并对遭受攻击的所述控制器进行清洗。
优选地,所述网络设备在进行初始化时配置了所有所述控制器的控制器信息,以便于所述网络设备可向所有所述控制器发送所述被动业务请求。
优选地,所有所述控制器均为异构控制器。
为了解决上述技术问题,本发明还提供了一种基于分段路由的拟态防御网络***的防御方法,包括:
各个控制器分别收集网络状态,以确定基础网络层的运行状态;
各个所述控制器接收主动业务请求或被动业务请求,并基于所述基层网络层的运行状态对所述主动业务请求或被动业务请求进行处理得到传输策略并将所述传输策略发送给裁决器;
所述裁决器对接收到的所有所述传输策略进行裁决,并选出正确传输策略发送给待处理网络设备,其中,所述被动业务请求由所述待处理网络设备发送。
优选地,各个控制器分别收集网络状态,以确定基础网络层的运行状态步骤和各个所述控制器接收主动业务请求或被动业务请求步骤之间还包括:
所述控制器管理层对所述主动业务请求进行配置,并将所述主动业务请求发送给所有所述控制器;或
所述待处理网络设备将所述被动业务请求发送给所有所述控制器。
优选地,基于分段路由的拟态防御网络***的防御方法还包括:
所述待处理网络设备接收所述正确传输策略,以使得所述待处理网络设备可根据接所述正确传输策略实现对应业务的数据传输。
优选地,所述裁决器对接收到的所有所述传输策略进行裁决,并选出正确传输策略包括:
所述裁决器对接收到的所有所述传输策略进行区别分组得到对比结果,并在所述对比结果中选出数量占比最多的一组作为正确传输策略。
优选地,基于分段路由的拟态防御网络***的防御方法还包括:
所述裁决器将对比结果作为反馈信息发送给所述控制器管理模块;
所述控制器管理模块对所述对比结果进行接收,并根据所述对比结果判断出遭受攻击的控制器,并对遭受攻击的控制器进行清洗。
与现有技术相比,上述方案中的一个或多个实施例可以具有如下优点或有益效果:
应用本发明实施例提供的基于分段路由的拟态防御网络***,通过设置多个控制器,并在控制器与网络设备之间设置一个逻辑简单的裁决器,使得控制器层面使用多个异构的控制器叠加,增加控制器攻击难度;同时由于每个控制器均会对业务请求进行处理并得到传输策略,且将所有的传输策略均会传输给裁决器,再由裁决器裁决出正确的传输策略传输给对应的网络设备,提高了整个网络***的安全性,同时裁决器的反馈机制也可有效地实现遭受攻击的控制器的清洗工作,进一步提高网络***的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中:
图1示出了本发明实施例一基于分段路由的拟态防御网络***的结构示意图;
图2示出了本发明实施例二基于分段路由的拟态防御网络***的防御方法的流程示意图;
图3示出了本发明实施例二基于分段路由的拟态防御网络***的防御方法的工作流程示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
现有研究人员设计了基于SR的网络架构通常是网络设备可向控制器发送业务请求,控制器对业务请求进行处理,将符合请求的传输策略直接返回给网路设备。该种网络架构可以很好并更简单的满足新型业务以及差异化服务,更快地部署新的业务,也可以更优雅的结束某过时种业务。但上述网络结构的控制器也交容易受到攻击,在控制器被攻破之后流规则很容易被窜改。进而影响网络架构的正常工作。拟态防御是一种新的主动防御技术,已经被证实在SDN网络结构中具有非常明显的防御效果。现有市场上还未出现从控制器出发的基于分段路由的拟态防御网络。
实施例一
为解决现有技术中存在的技术问题,本发明实施例提供了一种基于分段路由的拟态防御网络***。
图1示出了本发明实施例一基于分段路由的拟态防御网络***的结构示意图;参考图1所示,本发明实施例基于分段路由的拟态防御网络***包括控制器管理层、不少于两个的控制器、裁决器和基础网络层。
控制器管理层用于配置主动业务请求,并将主动业务请求下发到所有控制器中,同时还用于对所有控制器的工作状态进行控制。
具体地,在正常网络业务实现过程中,除了网路设备主动请求开通业务之外,有时也需要业务的预先开通,这样相应的业务真正开始时候就可以直接使用,进而避免一些突发状况的发生。此时就需要用户通过控制器管理层实现主动业务请求的直接配置(即控制器管理层对外提供了用户配置管理的接口),并将配置完成的主动业务下发给所有控制器,以使控制器对主动业务请求进行处理得到对应的传输策略。具体控制器管理层将所有异构控制器注册进来用于向各个控制器分发主动业务请求。进一步控制器管理层还包括对所有控制器的工作状态进行控制的功能,控制器管理层可直接对控制器开启、关闭、是否启用等功能进行管理;同时控制器管理层还可接收裁决器反馈的反馈信息并对各个控制器当前的工作状态进行判断和管理。
控制器用于对接收到的主动业务请求或被动业务请求进行处理得到传输策略,并将传输策略发送给裁决器;其中,同一主动业务请求或被动业务请求会被所有控制器接收到。
具体地,为了解决现有网络架构中单一控制器的单点脆弱性问题,本实施例中设置了不少于两个的控制器,且设置的控制器均为异构控制器。本发明中的异构控制器均与基础网络层中的各个网络设备相互建立连接,以确保每个异构控制器均可以收到每个网络设备发送的被动业务请求;同时异构控制器和各个网络设备之间建立的连接还可确保每个异构控制器均可通过网络设备收集基础网络层的运行状态,以为传输策略的配置提供网络状态基础。控制器还可接收控制器管理层发送的主动业务请求,进一步控制器对接收到的主动业务请求或被动业务请求进行处理获取对应业务传输路径的传输策略,并将传输策略发送给裁决器。需要说明的是,当存在主动业务请求或被动业务请求时,每个控制器均会接收并对其处理得到多个传输策略,每个控制器又将处理得到的传输策略全部传输给裁决器,以待裁决器从多个传输策略中裁决出正确的传输策略以待网络设备实现业务传输。优选地,各个控制器通过BGP、PCEP、NETCONF或REST等方式向裁决器下发传输策略。
需要说明的是,异构控制器实现与控制器之间建立连接的具体方式为:在每个异构控制器上分别配置所有网络设备信息;更进一步地,为了确保控制器能够正确的收集网络状态,一般从基础网络层中的多个网络设备接收BGP-LS信息。
裁决器用于对接收到的所有传输策略进行裁决,并选出正确传输策略发送给待处理网络设备。
具体地,由上可知无论异构控制器处理的业务请求为主动业务请求还是为被动业务请求,所有异构控制器均会将处理得到的传输策略传输给裁决器,由于多个控制器为异构控制器,因此处理业务请求所用的处理时间长度可能存在差异,因此各个异构控制器发送传输策略到裁决器的时间也存在差异。由于裁决器模块是一个无状态模块,运行之后就一直等待着控制器下发策略,因此为了避免某个控制器遭受攻击后无法对业务请求处理得到传输策略或对业务请求处理延时,延长裁决器接收可接收传输策略所用时间进而影响裁决器对传输策略的裁决,本实施例设置裁决器在一次业务请求处理中从接收到第一个传输策略开始计时,经预设时间后停止对传输策略进行接收,以确保裁决器的裁决时间在合理时间内。即裁决器将在预设时间内接收到的传输策略作为全部传输策略,之后对接收到的所有传输策略进行区分,将传输策略是否完全相同作为判断基础将所有传输策略分成多个组,使得每个组之间的传输策略存在差异,每个组内的传输策略完全相同,并将区别分结果组作为对比结果。裁决器再在对比结果中以少数服从多数的原则选出数量占比最多的一组作为业务请求的正确传输策略,并将正确传输策略传输给待处理网络设备。
需要说明的是,若控制器处理的业务请求为主动业务请求时,裁决器将正确传输策略传输给主动业务请求针对的网络设备,例如若主动业务请求是针对所有网路设备进行的,则基础网络层中的所有网络设备均为待处理网路设备;若控制器处理的业务请求为被动业务请求时,裁决器将正确传输策略传输给发送被动业务请求的网络设备,即此时发送被动业务请求的即为待处理网路设备。
同时裁决器还会将对比结果作为反馈信息反馈给控制器管理层,以使得控制器管理层对对比结果进行处理,以根据对比结果从所有所述控制器中判断出遭受攻击的控制器,并对遭受攻击的控制器进行清洗,具体执行一遍控制器初始化流程,并重新同步网络状态信息。
基础网络层包括多个由核心网络连接的多个网络设备,网络设备用于作为待处理网络设备向所有控制器发送被动业务请求,并用于接收正确传输策略,以使得待处理网络设备可根据接正确传输策略实现对应业务的数据传输。
具体地,基础网络层包括多个由核心网络连接的多个网络设备,网络设备用于作为待处理网络设备向所有控制器发送被动业务请求。进一步网络设备在进行初始化时配置了所有控制器的控制器信息,以便于网络设备可向所有控制器发送被动业务请求。更进一步地,控制器的控制器信息包括PCEP邻居、BGP邻居、BGP-LS上报等信息;被动业务请求表现形式根据具体业务要求进行选择。例如正常情况下每个控制器获取的网络状态信息是相同的,因此若某个网络设备A想通过核心网络向网络设备B传送一个文件,文件传输业务转化策略将被动业务请求表现为一种对带宽要求相对较高,对延迟和优先级要求不是特别严格(默认值即可)的请求,因此需将该请求放入PCEP REQ报文中发送到各个异构控制器。同时基础网络层还用于接收正确传输策略,以使得待处理网络设备可根据接正确传输策略实现对应业务的数据传输。进一步地,网络设备间的各种业务数据传输需要通过核心网络才能到达对方,因此不同的业务需要不同的传输策略,网络设备接收到正确传输策略后可根据正确传输策略实现对应业务的数据传输。
应用本发明实施例提供的基于分段路由的拟态防御网络***,通过设置多个控制器,并在控制器与网络设备之间设置一个逻辑简单的裁决器,使得控制器层面使用多个异构的控制器叠加,增加控制器攻击难度;同时由于每个控制器均会对业务请求进行处理并得到传输策略,且将所有的传输策略均会传输给裁决器,再由裁决器裁决出正确的传输策略传输给对应的网络设备,提高了整个网络***的安全性,同时裁决器的反馈机制也可有效地实现遭受攻击的控制器的清洗工作,进一步提高网络***的安全性。
实施例二
为解决现有技术中存在的技术问题,本发明实施例还提供了一种基于分段路由的拟态防御网络***的防御方法。
图2示出了本发明实施例二基于分段路由的拟态防御网络***的防御方法的流程示意图;图3示出了本发明实施例二基于分段路由的拟态防御网络***的防御方法的工作流程示意图,其中图3中细线表示被动业务流程实现过程,粗线表示主动业务流程实现过程。
。需要说明的是本实施例防御方法是基于实施例一所述的基于分段路由的拟态防御网络***进行的,基于分段路由的拟态防御网络***的结构如实施例一所述,在此不再对其结构进行详细说明。参考图2和图3,本发明实施例基于分段路由的拟态防御网络***的防御方法包括如下步骤。
步骤S101,各个控制器分别收集网络状态,以确定基础网络层的运行状态。
具体地,基于分段路由的拟态防御网络***中的各个控制器分别对基础网络层中的多个网络设备发送状态收集指令,接收到状态收集指令的网络设备向对应的控制器反馈当前网络状态,即此各个控制器实现对所对应的基础网络层当前网络状态的收集。
步骤S102,向各个控制器发送主动业务请求或被动业务请求。
具体地,由于在正常网络业务实现过程中业务请求包括网路设备发送的被动业务请求和控制器管理层发送的主动业务请求,因此为了更好的对业务请求发送情况进行说明,通过以下两个子步骤具体对其进行说明。
子步骤S1021,控制器管理层对主动业务请求进行配置,并将主动业务请求发送给所有控制器。
具体地,例如若要实现两个网络设备约定在某时某地来一场视频会议,网管部门一般会事先将线路规划好并调通,视频会议对优先级和延迟的要求较高,对带宽的要求是够用就行,普通会议和高清会议分别对应不同的带宽;既然是视频会议那一定是双向预留,因此就需要两端都下发对应的传输策略;确定上述要求后网管人员即可通过控制器管理层对主动业务请求进行配置并下发到各个控制器中,这样就不会出现一些不可控异常。主动业务请求所实现的公布不限于上述举例,上述例子仅用于对本实施例控制器管理层配置主动业务请求并下发情况的理解。
子步骤S1022,待处理网络设备将被动业务请求发送给所有控制器。
具体地,网络设备间的各种业务数据传输需要通过核心网络才能到达对方,因此不同的业务需要不同的传输策略,而不用的传输策略需要对应的网络设备通过向各个控制器发送被动业务请求获取,继而使得网络设备接收到正确传输策略后可根据正确传输策略实现对应业务的数据传输。
步骤S103,各个控制器接收主动业务请求或被动业务请求,并基于基层网络层的运行状态对主动业务请求或被动业务请求进行处理得到传输策略并将传输策略发送给裁决器。
具体各个控制器接收主动业务请求或被动业务请求,并对主动业务请求和被动业务请求的处理以及对传输策略的发送过程实施例一中均进行了详细的描述,在此不再对其进行赘述。
步骤S104,裁决器对接收到的所有传输策略进行裁决,并选出正确传输策略发送给待处理网络设备,其中,被动业务请求由待处理网络设备发送。
具体裁决器对所有传输策略的接收、裁决以及正确传输策略的发送过程实施例一中也均进行了详细的描述,在此也不再对其进行赘述。
步骤S105,待处理网络设备接收正确传输策略,以使得待处理网络设备可根据接正确传输策略实现对应业务的数据传输。
具体其中待处理网络设备的定义方式和实施例一种相同,在此也不再对其进行赘述。
步骤S106,裁决器将对比结果作为反馈信息发送给控制器管理模块;控制器管理模块对对比结果进行接收,并根据对比结果判断出遭受攻击的控制器,并对遭受攻击的控制器进行清洗。
具体控制器管理模块接收对比结果并根据对比结果对控制器进行判断清洗的过程与实施例一中也相同,在此也不再对其进行赘述。
应用本发明实施例提供的基于分段路由的拟态防御网络***防御方法,通过设置多个控制器,并在控制器与网络设备之间设置一个逻辑简单的裁决器,使得控制器层面使用多个异构的控制器叠加,增加控制器攻击难度;同时由于每个控制器均会对业务请求进行处理并得到传输策略,且将所有的传输策略均会传输给裁决器,再由裁决器裁决出正确的传输策略传输给对应的网络设备,提高了整个网络***的安全性,同时裁决器的反馈机制也可有效地实现遭受攻击的控制器的清洗工作,进一步提高网络***的安全性。
本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然本发明所公开的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所公开的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的保护范围,仍须以所附的权利要求书所界定的范围为准。

Claims (9)

1.一种基于分段路由的拟态防御网络***,其特征在于,包括:
不少于两个的控制器,所述控制器用于对接收到的主动业务请求或被动业务请求进行处理得到传输策略,并将所述传输策略发送给裁决器;其中,同一所述主动业务请求或被动业务请求会被所有所述控制器接收到,所有所述控制器均为异构控制器;
裁决器,用于对接收到的所有所述传输策略进行裁决,并选出正确传输策略发送给待处理网络设备,其中,所述被动业务请求由所述待处理网络设备发送;
控制器管理层,用于使用户实现直接配置主动业务请求,并将所述主动业务请求下发到所有所述控制器中,同时还用于对所有控制器的工作状态进行控制,还用于对对比结果进行接收,并根据所述对比结果从所有所述控制器中判断出遭受攻击的控制器,并对遭受攻击的所述控制器进行清洗。
2.根据权利要求1所述的网络***,其特征在于,还包括:
基础网络层,包括多个由核心网络连接的多个网络设备,所述网络设备用于作为所述待处理网络设备向所有所述控制器发送被动业务请求,并用于接收所述正确传输策略,以使得所述待处理网络设备可根据所述正确传输策略实现对应业务的数据传输。
3.根据权利要求1所述的网络***,其特征在于,所述裁决器对接收到的所有所述传输策略进行裁决并选出正确传输策略包括:
所述裁决器对接收到的所有所述传输策略进行区别分组得到对比结果,并在所述对比结果中选出数量占比最多的一组作为正确传输策略。
4.根据权利要求1所述的网络***,其特征在于,所述裁决器还用于将对比结果作为反馈信息发送给所述控制器管理层。
5.根据权利要求1所述的网络***,其特征在于,所述网络设备在进行初始化时配置了所有所述控制器的控制器信息,以便于所述网络设备可向所有所述控制器发送所述被动业务请求。
6.一种基于权利要求1-5中任一项所述基于分段路由的拟态防御网络***的防御方法,包括:
各个控制器分别收集网络状态,以确定基础网络层的运行状态;
用户通过所述控制器管理层对所述主动业务请求进行直接配置,并将所述主动业务请求发送给所有所述控制器;或所述待处理网络设备将所述被动业务请求发送给所有所述控制器;
各个所述控制器接收主动业务请求或被动业务请求,并基于所述基础网络层的运行状态对所述主动业务请求或被动业务请求进行处理得到传输策略并将所述传输策略发送给裁决器;
所述裁决器对接收到的所有所述传输策略进行裁决,并选出正确传输策略发送给待处理网络设备,其中,所述被动业务请求由所述待处理网络设备发送。
7.根据权利要求6所述的方法,其特征在于,还包括:
所述待处理网络设备接收所述正确传输策略,以使得所述待处理网络设备可根据接所述正确传输策略实现对应业务的数据传输。
8.根据权利要求6所述的方法,其特征在于,所述裁决器对接收到的所有所述传输策略进行裁决,并选出正确传输策略包括:
所述裁决器对接收到的所有所述传输策略进行区别分组得到对比结果,并在所述对比结果中选出数量占比最多的一组作为正确传输策略。
9.根据权利要求8所述的方法,其特征在于,还包括:
所述裁决器将对比结果作为反馈信息发送给所述控制器管理层;
所述控制器管理层对所述对比结果进行接收,并根据所述对比结果判断出遭受攻击的控制器,并对遭受攻击的控制器进行清洗。
CN201910790482.8A 2019-08-26 2019-08-26 基于分段路由的拟态防御网络***及其防御方法 Active CN110535765B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910790482.8A CN110535765B (zh) 2019-08-26 2019-08-26 基于分段路由的拟态防御网络***及其防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910790482.8A CN110535765B (zh) 2019-08-26 2019-08-26 基于分段路由的拟态防御网络***及其防御方法

Publications (2)

Publication Number Publication Date
CN110535765A CN110535765A (zh) 2019-12-03
CN110535765B true CN110535765B (zh) 2022-03-04

Family

ID=68664232

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910790482.8A Active CN110535765B (zh) 2019-08-26 2019-08-26 基于分段路由的拟态防御网络***及其防御方法

Country Status (1)

Country Link
CN (1) CN110535765B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116389345A (zh) * 2020-03-23 2023-07-04 华为技术有限公司 分段路由策略的传输方法及装置、网络传输***
CN111510465B (zh) * 2020-06-30 2020-10-13 之江实验室 一种基于混合数据类型工业协议的拟态裁决方法及裁决器
CN111845853A (zh) * 2020-06-30 2020-10-30 中车工业研究院有限公司 一种基于主动防御的列控车载***
CN113079096B (zh) * 2021-03-19 2022-06-03 烽火通信科技股份有限公司 一种转发流表的内生安全实现装置与方法
CN117056914B (zh) * 2023-10-11 2024-01-23 井芯微电子技术(天津)有限公司 基于异构操作***的内生安全处理方法及***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413024A (zh) * 2018-08-27 2019-03-01 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 异构功能等价体多模判决结果的逆向数据校验方法及***
CN109587168A (zh) * 2018-12-29 2019-04-05 河南信大网御科技有限公司 软件定义网络中基于拟态防御的网络功能部署方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120124229A1 (en) * 2010-11-12 2012-05-17 Qualcomm Incorporated Methods and apparatus of integrating device policy and network policy for arbitration of packet data applications
CN107395414B (zh) * 2017-07-19 2020-07-28 上海红阵信息科技有限公司 一种基于输出裁决的负反馈控制方法及***

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413024A (zh) * 2018-08-27 2019-03-01 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 异构功能等价体多模判决结果的逆向数据校验方法及***
CN109587168A (zh) * 2018-12-29 2019-04-05 河南信大网御科技有限公司 软件定义网络中基于拟态防御的网络功能部署方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《基于拟态防御的数据保护安全架构研究》;樊永文;《中国优秀硕士学位论文全文数据库信息科技辑》;20190715;I138-99 *

Also Published As

Publication number Publication date
CN110535765A (zh) 2019-12-03

Similar Documents

Publication Publication Date Title
CN110535765B (zh) 基于分段路由的拟态防御网络***及其防御方法
US9819540B1 (en) Software defined network controller
EP3198801B1 (en) Adaptive network function chaining
EP3123677B1 (en) A method to provide elasticity in transport network virtualisation
EP2569963B1 (en) Method and system for cross-stratum optimization in application-transport networks
US6771661B1 (en) Apparatus and methods for providing event-based data communications device configuration
US10491716B2 (en) Providing functional requirements for a network connection from a local library
US20220286360A1 (en) Global network state management
US11528190B2 (en) Configuration data migration for distributed micro service-based network applications
US20050076336A1 (en) Method and apparatus for scheduling resources on a switched underlay network
CN103516602A (zh) 服务工程路径的反馈回路
EP2330790A1 (en) Method, apparatus and system for admission controlling in metropolitan area network
CN108476175B (zh) 使用对偶变量的传送sdn流量工程方法与***
EP3186919B1 (en) Network service aware routers, and applications thereof
CN109495593A (zh) 地址分配方法及***
Gomes et al. Software-defined management of edge as a service networks
Mendiola et al. Enhancing network resources utilization and resiliency in multi-domain bandwidth on demand service provisioning using SDN
WO2015196898A1 (zh) 一种业务路径确定方法及装置
CN111092824B (zh) 流量管理***、方法、电子终端、及存储介质
Katramatos et al. TeraPaths: End-to-end network resource scheduling in high-impact network domains
EP2979395B1 (en) Methods and nodes for distribution of content to consumers
Barz et al. Co-Allocation of Compute and Network Resources in the VIOLA Testbed
CN108512757B (zh) 一种按需带宽调整的方法及装置
Cui Software-defined measurement to support programmable networking for SoyKB

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant