适用于接入网网关安全的输出服务响应装置及方法与流程
本发明涉及网络空间安全防护技术领域,尤其涉及一种适用于接入网网关安全的输出服务响应装置及方法。
背景技术:
网关(Gateway)又称网间连接器、协议转换器,是一种充当转换重任的计算机系统或设备。网关在网络层以上实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。在使用不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。
为了解决互联网接入用户边界安全问题,在网关协议转换功能的基础上,有一些网关还提供信息过滤、防病毒、木马等安全功能,称之为安全网关。安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。设置的目的是防止Internet或外网不安全因素蔓延到自己企业或组织的内部网。安全网关在应用层和网络层上面有防火墙的身影,在第三层上面还能看到VPN作用。安全网关已经成为集防火墙、防病毒、防垃圾邮件、IPS入侵防御系统/IDS入侵检测系统、内容过滤、VPN、DoS/DDoS攻击检测、P2P应用软件控制、IM应用软件控制等九大功能和安全报表统计分析服务为一体的网络信息安全产品。
正是由于网关功能的不断丰富,在用户接入网中所处的地位不断凸显,网关已成为网络黑客和不法分子攻击的一个重要目标。通过嗅探或扫描到具有可利用价值的未知缺陷,或者找到激活陷门(后门)的联系通道,进而对网关进行攻击或入侵,威胁接入网用户安全。
技术实现要素:
本发明要解决的技术问题是:提供一种适用于接入网网关安全的输出服务响应装置及方法,该装置及方法可以降低入侵者对网关攻击的成功率,使得该装置在应对未知风险方面获得主动防御的能力。
为了达到上述目的,本发明采用以下的技术方案:
一种适用于接入网网关安全的输出服务响应装置,包括网关功能执行单元,所述网关功能执行单元包括多个用于为外部网关服务请求提供服务响应的网关功能执行体,还包括参数配置单元、网关任务调度单元和网关输出决策单元;所述参数配置单元的输出端依次顺序与网关任务调度单元、网关功能执行单元、网关输出决策单元相连接。
所述参数配置单元用于接收用户配置的接入网网关工作相关参数,生成网关任务调度单元以及每个网关功能执行体的参数。
所述网关任务调度单元根据外部给出的或者内部预先设定的控制参数生成任务调度策略,依所述任务调度策略将输入响应发送给相应网关功能执行体;所述任务调度策略包括任务单选调度策略和任务多选调度策略,所述任务单选调度策略是指将输入响应按照策略送至一个网关功能执行体进行处理,所述任务多选调度策略是指将输入响应按照策略送至两个或两个以上网关功能执行体进行处理;所述控制参数用于确定需要执行的单选调度策略或多选调度策略的种类和数量。
所述网关输出决策单元用于接收网关功能执行体的输出,接收网关任务调度单元发出的任务调度策略,并根据所述任务调度策略和网关功能执行体的输出,选择网关功能执行体的服务响应,并将此服务响应作为本次网关服务请求的响应输出。
一种利用上述的适用于接入网网关安全的输出服务响应装置的输出服务响应方法,含有如下步骤:
步骤1:网关输出决策单元接收网关功能执行体的输出,并为每一个网关功能执行体维护其下发的网关协议表项;
步骤2:对于每个网关协议表项,与网关功能执行体维护的所有其它网关协议表项进行比对,得到与该网关协议表项内容完全相同的网关协议表项的数目;根据网关协议表项相同的数目及所属网关功能执行体的可信度计算每个网关协议表项的荣誉度;
步骤3:将具有相同目的地址的荣誉度最高的网关协议表项作为决策得到的最终网关协议表项,将其选择为本次网关服务响应;根据网关协议表项被选择的情况,动态修改所属网关功能执行体的可信度;
步骤4:对于网关功能执行体下发的删除网关协议表项的操作,网关功能执行体首先执行对应的删除操作,动态修改所属网关功能执行体的可信度,再转至步骤2,重新进行该目的地址对应的网关协议表项的决策;
步骤5:若检测到某网关功能执行体发生问题,则转至步骤4对应删除该网关功能执行体下发的所有网关协议表项。
所述步骤2中计算网关协议表项的荣誉度的具体过程如下:
针对每个网关功能执行体GWi分配一个权值,记做Weight值,代表本网关功能执行体在网关功能执行单元中的认可度以及其输出响应被网关功能执行单元采纳的可能性;
每个网关功能执行体GWi具有一个动态变化的信任值,记做Trust值,代表本网关功能执行体在网关功能执行单元中的可信度,该值随网关功能执行体计算的网关协议表项被网关输出决策单元采纳的数量进行变化,多则信任值增加,少则降低;
网关功能执行体得到的每个网关协议表项GPEi具有一个一致度值,记做Consistency值,代表该网关协议表项与其它网关功能执行体计算得到的网关协议表项一致度的情况度量;
网关功能执行体计算得到的每个网关协议表项GPEi的荣誉度值,记做Honorary值,是网关输出决策单元进行网关服务响应的依据;荣誉度值的取值取决于所属网关功能执行体的权值、信任值及网关协议表项自身的一致度值。
所述网关输出决策单元的运行过程分为如下四个部分:
部分一、初始化:
参数配置单元在网关功能执行体启动后,对其进行配置,主要是初始化网关功能执行体的Weight值和Trust值,具体取值取决于网关输出决策单元对该网关功能执行体的情况掌握程度;
部分二、网关协议表项Honorary值计算
步骤A:网关输出决策单元遍历每个网关功能执行体输出的网关协议表项,在其中查找具有相同内容的网关协议表项;
步骤B:对应记录每条网关输出响应的相似度情况,计算网关输出响应的Consistency值;
步骤C:每个网关输出结果根据自己的Consistency值以及所属网关功能执行体的Weight值和Trust值计算得到自己的Honorary值;
部分三、网关服务响应输出
步骤A:网关输出决策单元遍历每个网关功能执行体的输出响应记录,得到具有相同目的IP的网关协议表项;
步骤B:若没有相同目的IP的网关协议表项,则直接输出;
步骤C:对步骤A中具有相同目的IP的网关协议表项的Honorary值进行比较,选择具有最大值的网关协议表项;
步骤D:将具有最大Honorary值的网关协议表项转换为最终结果,作为网关服务响应输出;
步骤E:将该网关协议表项所属的网关功能执行体Trust值增加,同时对与该网关协议表项相同的网关协议表项所属的网关功能执行体的Trust值增加;
部分四、网关协议表项删除
步骤A:网关记录要删除的网关协议表项内容,包括目的IP地址和下一入口网关IP地址;
步骤B:将该网关协议表项从对应的网关功能执行体中删除,对应降低该网关功能执行体的Trust值;
步骤C:重新对该目的IP地址的网关协议表项进行Honorary值计算、比较及网关协议表项决策过程。
由于采用了上述技术方案,本发明的积极有益效果是:
本发明提供一种适用于接入网网关安全的输出服务响应装置及方法,由于在网关服务响应装置中任务分配器按照任务调度策略将输入响应分配至不同的网关功能执行体,输出决策器依据输出调度策略选择相应网关功能执行体的结果作为输出,所以每次服务响应依据不同的参数配置选择不同的网关功能执行体参与服务,且选择不同的网关功能执行体作为输出,从而使得网关的服务响应输出与该装置的网关功能执行体之间具有不确定的对应关系,使得网关内部或外部的未知缺陷或陷门(后门)不容易被探嗅,进而降低入侵者对网关攻击的成功率,使得装置在应对未知风险方面获得主动防御的能力。
附图说明
图1为本发明适用于接入网网关安全的输出服务响应装置的结构示意图;
图2为本发明适用于接入网网关安全的输出服务响应方法的流程图;
图3为本发明中网关输出决策单元初始化过程的流程图;
图4为本发明中网关输出决策单元网关协议表项Honorary值计算过程的流程图;
图5为本发明中网关输出决策单元服务响应输出过程的流程图;
图6为本发明中网关输出决策单元网关协议表项删除过程的流程图。
具体实施方式
下面结合附图和具体实施例对本发明作出进一步详细描述:
实施例一:如图1所示,一种适用于接入网网关安全的输出服务响应装置,包括网关功能执行单元,所述网关功能执行单元包括多个用于为外部网关服务请求提供服务响应的网关功能执行体,还包括参数配置单元、网关任务调度单元和网关输出决策单元;所述参数配置单元的输出端依次顺序与网关任务调度单元、网关功能执行单元、网关输出决策单元相连接。
所述参数配置单元用于接收用户配置的接入网网关工作相关参数,生成网关任务调度单元以及每个网关功能执行体的参数。
所述网关任务调度单元根据外部给出的或者内部预先设定的控制参数生成任务调度策略,依所述任务调度策略将输入响应发送给相应网关功能执行体;所述任务调度策略包括任务单选调度策略和任务多选调度策略,所述策略指的是按照参数配置单元采取的输入响应分配至网关功能执行体的方法,所述任务单选调度策略是指将输入响应按照策略送至一个网关功能执行体进行处理,所述任务多选调度策略是指将输入响应按照策略送至两个或两个以上网关功能执行体进行处理;所述控制参数用于确定需要执行的单选调度策略或多选调度策略的种类和数量。
所述网关输出决策单元用于接收网关功能执行体的输出结果和输出状态,接收网关任务调度单元发出的任务调度策略,并根据所述任务调度策略和网关功能执行体的输出,选择网关功能执行体的服务响应,并将此服务响应作为本次网关服务请求的响应输出。
网关输出决策单元首先按照所述任务多选调度策略执行,其次根据在任务多选调度策略中选出的多个网关功能执行体的输出结果中,按照所述任务单选调度策略执行,输出服务响应。
实施例二:如图2所示,一种利用上述的适用于接入网网关安全的输出服务响应装置的输出服务响应方法,含有如下步骤:
步骤1:网关输出决策单元接收网关功能执行体的输出,并为每一个网关功能执行体维护其下发的网关协议表项;
步骤2:对于每个网关协议表项,与网关功能执行体维护的所有其它网关协议表项进行比对,得到与该网关协议表项内容完全相同的网关协议表项的数目;根据网关协议表项相同的数目及所属网关功能执行体的可信度计算每个网关协议表项的荣誉度;
步骤3:将具有相同目的地址的荣誉度最高的网关协议表项作为决策得到的最终网关协议表项,将其选择为本次网关服务响应;根据网关协议表项被选择的情况,动态修改所属网关功能执行体的可信度;
步骤4:对于网关功能执行体下发的删除网关协议表项的操作,网关功能执行体首先执行对应的删除操作,动态修改所属网关功能执行体的可信度,再转至步骤2,重新进行该目的地址对应的网关协议表项的决策;
步骤5:若检测到某网关功能执行体发生问题,则转至步骤4对应删除该网关功能执行体下发的所有网关协议表项。
所述步骤2中计算网关协议表项的荣誉度的具体过程如下:
针对每个网关功能执行体GWi分配一个权值,记做Weight值,代表本网关功能执行体在网关功能执行单元中的认可度以及其输出响应被网关功能执行单元采纳的可行性;
每个网关功能执行体GWi具有一个动态变化的信任值,记做Trust值,代表本网关功能执行体在网关功能执行单元中的可信度,该值随网关功能执行体计算的网关协议表项被网关输出决策单元采纳的数量进行变化,多则信任值增加,少则降低;
网关功能执行体得到的每个网关协议表项GPEi具有一个一致度值,记做Consistency值,代表该网关协议表项与其它网关功能执行体计算得到的网关协议表项一致度的情况度量,网关协议表项相同是指两个路由表项的目的IP及下一出口IP地址完全相同;
网关功能执行体计算得到的每个网关协议表项GPEi的荣誉度值,记做Honorary值,是网关输出决策单元进行网关服务响应的依据;荣誉度值的取值取决于所属网关功能执行体的权值、信任值及网关协议表项自身的一致度值。
所述网关输出决策单元的运行过程分为如下四个部分:
如图3所示,部分一、初始化:
参数配置单元在网关功能执行体启动后,对其进行配置,主要是初始化网关功能执行体的Weight值和Trust值,具体取值取决于网关输出决策单元对该网关功能执行体的情况掌握程度;
如图4所示,部分二、网关协议表项Honorary值计算
步骤A:网关输出决策单元遍历每个网关功能执行体输出的网关协议表项,在其中查找具有相同内容的网关协议表项;
步骤B:对应记录每条网关输出响应的相似度情况,计算网关输出响应的Consistency值;
步骤C:每个网关输出结果根据自己的Consistency值以及所属网关功能执行体的Weight值和Trust值计算得到自己的Honorary值;
如图5所示,部分三、网关服务响应输出
步骤A:网关输出决策单元遍历每个网关功能执行体的输出响应记录,得到具有相同目的IP的网关协议表项;
步骤B:若没有相同目的IP的网关协议表项,则直接输出;
步骤C:对步骤A中具有相同目的IP的网关协议表项的Honorary值进行比较,选择具有最大值的网关协议表项;
步骤D:将具有最大Honorary值的网关协议表项转换为最终结果,作为网关服务响应输出;
步骤E:将该网关协议表项所属的网关功能执行体Trust值增加,同时对与该网关协议表项相同的网关协议表项所属的网关功能执行体的Trust值增加;
如图6所示,部分四、网关协议表项删除
步骤A:网关记录要删除的网关协议表项内容,包括目的IP地址和下一入口网关IP地址;
步骤B:将该网关协议表项从对应的网关功能执行体中删除,对应降低该网关功能执行体的Trust值;
步骤C:重新对该目的IP地址的网关协议表项进行Honorary值计算、比较及网关协议表项决策过程。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
- 还没有人留言评论。精彩留言会获得点赞!