一种基于负载变换的拟态网络节点防护方法
【技术领域】
[0001]该发明涉及一种网络通信方法,特别是涉及一种基于负载变换的拟态网络节点防护方法。
【背景技术】
[0002]随着互联网的不断发展,核心路由器处理能力日益飞跃,路由器系统变得异常复杂,路由软件由成千上万行代码组成。其中必然隐含着大量漏洞和后门,这种路由器称为“病态”路由器。一旦恶意攻击者掌握了这些后门或漏洞,一个指令报文即可启动它们,甚至控制该路由器。因此,传统的网络节点防护手段已经无法检测这种隐含在路由器内部的安全威胁,急需一种能够根据实现对存在未知安全缺陷的路由器的防护方法。
【发明内容】
[0003]本发明克服了现有技术中,网络通信中病态路由器的防护存在安全威胁的问题,提供一种安全性能高的基于负载变换的拟态网络节点防护方法。
[0004]本发明的技术解决方案是,提供一种具有以下步骤的基于负载变换的拟态网络节点防护方法,包括以下步骤,
步骤101:按照负载变换控制器设定的变换方法对进入节点的报文载荷进行变换; 步骤102:对载荷变换后的报文进行重新封装;
步骤103:在节点内部根据报文头部处理该报文;
步骤104:在节点出口处对报文进行逆变换,恢复载荷信息;
步骤105:对恢复载荷信息的报文重新封装。
[0005]所述负载变换控制器的变换配置为手动配置载荷变换方法或按概率随机选择载荷变换方法。
[0006]所述变换方法包括对载荷进行加密干扰和其它数据可逆变换。
[0007]所述步骤102中的封装是对载荷变换后发生了变化的报文进行的,需要重新计算报文头信息,其包括报文长度,校验和等的重新计算。
[0008]所述报文处理包括网络节点提取报文头部,对报文进行路由、转发等操作。
[0009]所述步骤105中的封装是对恢复后的载荷信息进行封装,即报文在输出设备前,进行逆变换,恢复出步骤101中进行变换的报文。
[0010]所述负载变换控制器的工作过程包括:步骤301:按照管理员策略配置负载变换控制器的变换策略;具体地,管理员可以配置静态的负载变换方法,按照预设周期动态配置不同负载变换,按照特定概率随机选择负载变换方法等策略;步骤302:控制器根据配置的策略,生成负载变换方案;步骤303:通过控制通道,将变换方案下发到防护实施系统中。
[0011]与现有技术相比,本发明基于负载变换的拟态网络节点防护方法具有以下优点:能够对负载进行可逆变换,消除隐藏在报文载荷中的安全后门启动指令,实现了对具有安全缺陷的网络节点的防护,而且能够根据管理策略动态地选择负载变换方法,使得外来攻击难以预测本系统使用的报文负载变换方法,提高了系统的安全特性。
【附图说明】
[0012]图1是本发明基于负载变换的拟态网络节点防护方法中的流程图;
图2是本发明基于负载变换的拟态网络节点防护方法中的防护结构示意图;
图3是本发明基于负载变换的拟态网络节点防护方法中负载变换控制器的配置方法流程图。
【具体实施方式】
[0013]下面结合附图和【具体实施方式】对本发明基于负载变换的拟态网络节点防护方法作进一步说明:如图所示,本实施例中包括以下步骤,
步骤101:按照负载变换控制器设定的变换方法对进入节点的报文载荷进行变换; 步骤102:对载荷变换后的报文进行重新封装;
步骤103:在节点内部根据报文头部处理该报文;
步骤104:在节点出口处对报文进行逆变换,恢复载荷信息;
步骤105:对恢复载荷信息的报文重新封装。
[0014]所述负载变换控制器的变换配置为手动配置载荷变换方法或按概率随机选择载荷变换方法,负载变换控制器可以控制防护实施系统的防护手段,控制出入网络节点的报文的变换方法。
[0015]所述变换方法包括对载荷进行加密干扰和其它数据可逆变换。
[0016]所述步骤102中的封装是对载荷变换后发生了变化的报文进行的,需要重新计算报文头信息,其包括报文长度,校验和等的重新计算。
[0017]所述报文处理包括网络节点提取报文头部,对报文进行路由、转发等操作。
[0018]所述步骤105中的封装是对恢复后的载荷信息进行封装,即报文在输出设备前,进行逆变换,恢复出步骤101中进行变换的报文。
[0019]所述负载变换控制器的工作过程包括:步骤301:按照管理员策略配置负载变换控制器的变换策略;具体地,管理员可以配置静态的负载变换方法,按照预设周期动态配置不同负载变换,按照特定概率随机选择负载变换方法等策略;步骤302:控制器根据配置的策略,生成负载变换方案;步骤303:通过控制通道,将变换方案下发到防护实施系统中。
【主权项】
1.一种基于负载变换的拟态网络节点防护方法,其特征在于:包括: 步骤101:按照负载变换控制器设定的变换方法对进入节点的报文载荷进行变换; 步骤102:对载荷变换后的报文进行重新封装; 步骤103:在节点内部根据报文头部处理该报文; 步骤104:在节点出口处对报文进行逆变换,恢复载荷信息; 步骤105:对恢复载荷信息的报文重新封装。2.根据权利要求1所述的基于负载变换的拟态网络节点防护方法,其特征在于:所述负载变换控制器的变换配置为手动配置载荷变换方法或按概率随机选择载荷变换方法。3.根据权利要求1所述的基于负载变换的拟态网络节点防护方法,其特征在于:所述变换方法包括对载荷进行加密干扰和其它数据可逆变换。4.根据权利要求1所述的基于负载变换的拟态网络节点防护方法,其特征在于:所述步骤102中的封装是对载荷变换后发生了变化的报文进行的,需要重新计算报文头信息,其包括报文长度,校验和等的重新计算。5.根据权利要求1所述的基于负载变换的拟态网络节点防护方法,其特征在于:所述报文处理包括网络节点提取报文头部,对报文进行路由、转发等操作。6.根据权利要求1所述的基于负载变换的拟态网络节点防护方法,其特征在于:所述步骤105中的封装是对恢复后的载荷信息进行封装,即报文在输出设备前,进行逆变换,恢复出步骤101中进行变换的报文。7.根据权利要求1所述的基于负载变换的拟态网络节点防护方法,其特征在于:所述负载变换控制器的工作过程包括: 步骤301:按照管理员策略配置负载变换控制器的变换策略;具体地,管理员可以配置静态的负载变换方法,按照预设周期动态配置不同负载变换,按照特定概率随机选择负载变换方法等策略; 步骤302:控制器根据配置的策略,生成负载变换方案; 步骤303:通过控制通道,将变换方案下发到防护实施系统中。
【专利摘要】本发明公开了一种基于负载变换的拟态网络节点防护方法,克服了现有技术中,网络通信中病态路由器的防护存在安全威胁的问题。该发明包括步骤101:按照负载变换控制器设定的变换方法对进入节点的报文载荷进行变换;步骤102:对载荷变换后的报文进行重新封装;步骤103:在节点内部根据报文头部处理该报文;步骤104:在节点出口处对报文进行逆变换,恢复载荷信息;步骤105:对恢复载荷信息的报文重新封装。本发明能够对负载进行可逆变换,消除隐藏在报文载荷中的安全后门启动指令,实现了对具有安全缺陷的网络节点的防护,而且能够根据管理策略动态地选择负载变换方法,使得外来攻击难以预测本系统使用的报文负载变换方法。
【IPC分类】H04L12/703, H04L12/715
【公开号】CN105141519
【申请号】CN201510440400
【发明人】扈红超, 邬江兴, 陈鸿昶, 程国振, 郭云飞, 王雨, 韩伟涛, 陈博
【申请人】上海红神信息技术有限公司
【公开日】2015年12月9日
【申请日】2015年7月24日