一种多实例路由单元的拟态路由决策方法
【技术领域】
[0001]该发明涉及一种网络空间安全拟态防御方法,特别是涉及一种多实例路由单元的拟态路由决策方法。
【背景技术】
[0002]拟态安全防御主要针对网络空间攻击成本和防御成本的严重不对称性,以及当前条件下我国信息领域核心技术与产业基础严重滞后国家安全需求的严峻性提出的,其目标是在系统层面利用结构动态变换和运行环境动态多样化等技术,阻断或扰乱攻击链所依赖的静态性、相似性和确定性以达成系统安全风险可控的要求。
【发明内容】
[0003]本发明克服了现有技术中,网络空间的安全需求十分严峻的问题,提供一种系统抵御风险的能力高的多实例路由单元的拟态路由决策方法。
[0004]本发明的技术解决方案是,提供一种具有以下步骤的多实例路由单元的拟态路由决策方法,所述方法是拟态路由交换系统控制平面的路由决策方法,其实现方式如下:
[0005]步骤(I),路由决策模块为每一个路由实例维护其下发的路由表项;
[0006]步骤(2),对于每个路由表项,与路由决策模块维护的所有其它路由表项进行比对,得到与该路由表项内容完全相同的路由表项的数目,根据路由表项相同的数目及所属路由实例的可信度计算每个路由表项的可信度;
[0007]步骤(3),将具有相同目的地址的可信度最高的路由表项作为决策得到的最终路由表项,将其转换为转发表项下发到转发单元,根据路由表项被选择的情况,动态修改所属路由实例的可信度;
[0008]步骤(4),对于路由实例下发的删除路由表项的操作,路由决策模块首先执行对应的删除操作,动态修改所属路由实例的可信度,再转至步骤(2),重新进行该目的地址路由表项的决策;
[0009]步骤(5),若检测到某路由实例发生问题,则转步骤(4)对应删除该路由实例下发的所有路由表项。
[0010]所述步骤(I)为初始化操作,具体步骤如下:路由决策模块在路由实例启动后,对其进行配置,主要是初始化路由实例的Weight值和Trust值,具体取值取决于路由决策模块对该路由实例的情况掌握程度。
[0011]所述步骤(2)为Strategy计算,具体步骤如下:
[0012]步骤1:路由决策模块遍历每个路由实例下发的路由表项,在其中查找具有相同内容的路由表项;
[0013]步骤2:对应记录每个路由表项的相同表项的情况,计算路由表项的Common值;
[0014]步骤3:每个路由表项根据自己的Common值以及所属路由实例的Weight值和Trust值计算得到自己的Strategy值。
[0015]所述步骤(3)为比较及路由下发操作,具体步骤如下:
[0016]步骤1:路由决策模块遍历每个路由实例下发的路由表项,得到具有相同目的IP的路由表项;
[0017]步骤2:若没有相同目的IP的路由表项,则转步骤4 ;
[0018]步骤3:对这些具有相同目的IP的路由表项的Strategy值进行比较,选择具有最大值的路由表项;
[0019]步骤4:将具有最大Strategy值的路由表项转换为转发表项,下发至转发单元;
[0020]步骤5:将该表项所属路由实例的Trust值增加,同时对与该表项相同的表项所属的路由实例的Trust值增加。
[0021]所述步骤(4)为路由删除操作,具体步骤如下:
[0022]步骤1:路由决策模块记录要删除的路由表项内容,包括目的IP地址和下一跳IP地址;
[0023]步骤2:将该表项从对应的路由实例路由表中删除,对应降低该路由实例的Trust值;
[0024]步骤3:重新对该目的IP地址的路由表项进行Strategy计算、比较及路由下发过程。
[0025]与现有技术相比,本发明多实例路由单元的拟态路由决策方法具有以下优点:拟态路由交换系统是采用拟态安全防御机制的可重构路由交换节点,采用适应于路由交换节点体系结构的多样化构建方法,改变传统的基于数据平面、控制平面与管理平面的静态体系结构,实施关键硬件构件多态重构机制以及协议软件多变体协同运行机制。
[0026]控制平面的威胁主要来自以摧毁路由协议为目的的路由协议攻击和以注入虚假路由为目的的路由欺骗。传统路由器通过修补路由协议漏洞、增加附加的安全机制应对上述攻击,从根本上没有改变控制平面的静态特性,无法完全解决控制平面上路由协议和路由信息的脆弱性问题。为彻底解决路由协议面临的安全隐患,拟态路由交换系统控制平面采用运行环境的拟态化、路由协议的拟态化以及路由生成和使用的拟态化,构成路由交换系统拟态控制平面。
[0027]在拟态路由交换系统中,为实现路由的拟态化,采用运行多个路由实例的路由计算方式。每个路由实例独立进行路由计算,产生多个路由表项,将这多个路由表项送至路由决策模块,路由决策模块对生成的多个路由表项进行决策,选择生成转发表项,下发至转发单元。本发明是对该应用环境下路由决策的方法描述,目的是体现路由决策的拟态化,提升路由安全性,增强系统抵御风险的能力。
【附图说明】
[0028]图1是本发明多实例路由单元的拟态路由决策方法的路由决策流程示意图;
[0029]图2是本发明多实例路由单元的拟态路由决策方法的路由表项结构示意图;
[0030]图3是本发明多实例路由单元的拟态路由决策方法步骤(I)初始化操作的流程示意图;
[0031]图4是本发明多实例路由单元的拟态路由决策方法步骤(2) Strategy计算的流程示意图;
[0032]图5是本发明多实例路由单元的拟态路由决策方法步骤(3)比较及路由下发操作的流程示意图;
[0033]图6是本发明多实例路由单元的拟态路由决策方法步骤⑷为路由删除操作的流程不意图;
【具体实施方式】
[0034]下面结合附图和【具体实施方式】对本发明多实例路由单元的拟态路由决策方法作进一步说明:所述方法是拟态路由交换系统控制平面的路由决策方法,其实现方式如下:
[0035]步骤(I),路由决策模块为每一个路由实例维护其下发的路由表项;路由表项格式如附图2所示。
[0036]步骤(2),对于每个路由表项,与路由决策模块维护的所有其它路由表项进行比对,得到与该路由表项内容完全相同的路由表项的数目,根据路由表项相同的数目及所属路由实例的可信度计算每个路由表项的可信度;
[0037]步骤(3),将具有相同目的地址的可信度最高的路由表项作为决策得到的最终路由表项,将其转换为转发表项下发到转发单元,根据路由表项被选择的情况,动态修改所属路由实例的可信度;
[0038]步骤(4),对于路由实例下发的删除路由表项的操作,路由决策模块首先执行对应的删除操作,动态修改所属路由实例的可信度,再转至步骤(2),重新进行该目的地址路由表项的决策;
[0039]步骤(5),若检测到某路由实例发生问题,其问题可以是监测不到正常的keepalive,或者获取不到路由信息,与路由实例的连接中断等等,则转步骤(4)对应删除该路由实例下发的所有路由表项。
[0040]