一种拟态网络拓扑变换的方法
【技术领域】
[0001] 该发明涉及计算机通讯技术领域的变换方法,特别是涉及一种拟态网络拓扑变换 的方法。
【背景技术】
[0002] 拟态安全防御的基本思想是在功能等价条件下,以提供目标环境的动态性、非确 定性、异构性、非持续性为目的,动态的构建网络等多样化的拟态环境,以防御者可控的方 式在多样化环境间实施主动跳变或快速迀移,对攻击者则表现为难以观察和预测的目标环 境变化,从而增大包括未知的可利用漏洞和后门在内的攻击难度和代价。即以不确定性对 抗未知威胁。
[0003] 拟态网络的安全是通过网络的不确定性体现出来的,其中结构的不确定性是其重 要内容。可变结构网络可以通过网络拓扑结构的动态变化使得网络具有动态性、异构性及 不确定性,使网络系统从体系结构角度对攻击者而言具有不可预测性,从而极大增加攻击 者的攻击难度。如何在不影响网络功能、性能的前提条件下让网络结构根据约束条件和管 理者意图进行动态变化是一个需要解决问题。为了解决上述问题,本发明提供一种拟态网 络拓扑变换方法。
【发明内容】
[0004] 本发明克服了现有技术中,网络结构动态变化有待解决的问题,提供一种效果明 显的拟态网络拓扑变换的方法。
[0005] 本发明的技术解决方案是,提供一种具有以下结构的拟态网络拓扑变换的方法: 一次局部子网的等效变换步骤包括:A1.确定要进行拓扑等效变换的局部子网;A2.用网络 描述方法对A1确定的局部子网进行抽象描述;A3.基于约束条件构建A2所描述局部子网 的等效子网;A4.用新构建的子网替代原有子网。
[0006] 步骤A1中要进行拓扑变换的子网规模根据管理决策者意图任意定义,子网是整 个网络或网络中的一部分,如一个节点、一条链路或一个联通子网。
[0007] 步骤A2将步骤A1中确定下来要进行局部拓扑变换的子网根据邻接点和邻接 属性进行抽象描述,具体数学描述为:如果G' = (V',E')是加权图G= (V,E)中的一 个子图,则「沿':^…^^仏託"^"称为子网^的邻点集洳果八^厂⑴上用 MA=('->)表示子网G1在与邻接点a连接的链路上的连接属性,由二元组表示, 其中第一个元素仏4」表示子网G1与节点A连接的链路上实现的功能集,第二个元素\^ 表示子网G1与节点A连接的链路带宽;用二元组0-(G),L(G))表示一个子网G,其中 Γ(G)表示该子网的邻点集,L(G)表示该子网相对应于各邻接点的邻接属性集;两个网络 不论拓扑结构如何,如果能够描述为同一个二元组0-(G),L(G)),则这两个网络是等 效的,互相称为对方的等效子网,且这两个网络互相替换所产生的拓扑变换是拟态网络拓 扑变换。
[0008] 步骤A3基于可用冗余资源或拓扑差异性要求作为约束条件进行描述构建拓扑变 化后的等效子网。可用冗余资源包括网络交换节点及用于连接网络节点的链路;可用冗余 资源的状态包括网络交换节点状态和链路状态,网络交换节点状态包括可用网络交换节点 的分布、网络交换节点的功能,链路状态主要是指可用链路带宽。
[0009] 所述网络交换节点的分布是指网络中的交换节点与其他交换节点的关系;所述 网络交换节点的功能是指交换节点能够交换的数据类型,具体包括IPv4、IPv6、MPLS和 0penFlow〇
[0010] 所述可用冗余资源通过判定条件可以判定得到的结果包括:B1.冗余资源足够构 建等效子网;B2.能以完整资源构建出等效子网;B3.是否能以碎片资源构建出等效子网;
[0011] 如果判定结果不满足B1但满足B2,约束条件包括:C1.拓扑变换之后的子网必须 满足功能、性能完全等效;C2.拓扑变换之后的子网必须满足功能等价,但性能可降级,降 级阈值限定在指定范围内;C3.拓扑变换之后的子网必须满足性能等价,但功能可降级,降 级阈值限定在指定范围内;C4.拓扑变换之后的子网其功能、性能可降级,但降级阈值限定 在指定范围内;
[0012] 如果判定结果为B1,约束条件包括:D1.资源最优化构建等效子网;D2.构建速度 优先构建等效子网;
[0013] D3.拓扑差异最大化构建等效子网等。
[0014] 如果判定结果不满足B2但满足B3,约束条件包括:E1.以节点功能复用度最大的 节点作为参与节点进行子网分解;E2.以满足带宽要求的节点为参照节点进行子网分解。
[0015] 所述子网分解的过程是根据抽象描述方法描述的子网按照功能或者链路带宽等 约束条件划分为多个子网,分解后的子网叠加以后与原子网仍然等效,则该分解是等效分 解,分解后生成的多个子网是分解子网。
[0016] 与现有技术相比,本发明拟态网络拓扑变换的方法具有以下优点:
[0017] 1.该方法通过多次对网络局部子网的拓扑等效变换达到整体网络拓扑变换的效 果,由于拓扑变换的目标是网络中的子网,而非整个网络,因此大大减小了拓扑变换的网络 规模,降低了网络拓扑变换的难度;
[0018] 2.基于本发明提供的子网描述方法,可以对网络中的任意部分进行抽象描述,从 一条链路、一个节点到一个联通子网,甚至是整个网络,从而大大增加了网络拓扑变换的灵 活性;
[0019] 3.基于网络可用资源构建等效子网的方法提供了灵活应用可用资源的方法,基于 该方法可使等效子网构建过程不受资源约束的影响,在各种资源状态条件下都可以构建等 效子网或近似等效的子网。
【附图说明】
[0020] 图1是本发明拟态网络拓扑变换的方法的流程图;
[0021] 图2是本发明拟态网络拓扑变换的方法中局部子网的定义示意图;
[0022] 图3是本发明拟态网络拓扑变换的方法中局部子网抽象描述方法的示意图。
[0023] 图4是本发明拟态网络拓扑变换的方法中等效子网的两种示意图(1)和(2);
[0024] 图5是本发明拟态网络拓扑变换的方法图2中子网按功能分解生成的分解子网的 不意图(1)、⑵和(3);
[0025] 图6是本发明拟态网络拓扑变换的方法图2中子网按链路带宽分解生成的分解子 网不意图(1)和(2);
[0026] 图7是本发明拟态网络拓扑变换的方法中完整资源和碎片资源概念示意图(1)、 ⑵和(3);
[0027] 图8是本发明拟态网络拓扑变换的方法中基于节点功能复用度的分解构建方案 不意图⑴和(2);
[0028] 图9是本发明拟态网络拓扑变换的方法中基于单一功能带宽约束的分解构建方 案示意图。
【具体实施方式】
[0029] 下面对于【附图说明】中出现的标志给以解释:?、?、?、?、翁表示节点, 0、0、0、θ、Η表示节点功能,塑、迆、並、迆、迎、迎、迎表示链路带宽。
[0030] 下面结合附图和【具体实施方式】对本发明拟态网络拓扑变换的方法作进一步说明: 基于该方法可以让网络在等效条件下,动态的构建网络拓扑,从而提供网络拓扑的动态性、 非确定性、异构性,以网络构建者可控的方式在多样化拓扑环境间实施主动跳变或快速迀 移,使其对攻击者表现为难以观察和预测的拓扑变化。其中所述的网络等效是指拓扑变换 后网络的功能、性能等各项指标与变换如的网络一致,即拓扑变换如后的网络能够以抽象 描述方法描述为同一个网络。
[0031 ]网络抽象描述方法不是通过构成网络的节点集合,及节点间的链接关系描述的, 而是通过该网络对外连接点及连接属性对网络进行描述。
[0032] 本发明提供的拟态网络拓扑变换方法是通过对网络中局部联通子网的等效变换 改变网络的局部拓扑结构,从而达到整体拟态网络拓扑变换的效果。一次局部子网的等效 变换步骤包括:
[0033] Α1.确定要进行拓扑等效变换的局部子网;
[0034] Α2.用上述网络描述方法对Α1确定的子网进行抽象描述;
[0035] A3.基于约束条件构建Α2所描述子网的等效子网;
[0036] Α4.用新构建的子网替代原有子网;
[0037] 其中,步骤Α1是指要进行拓扑变换的子网规模可以根据管理决策者意图任意定 义,只要能用网络抽象描述方法描述即可。即要进行拓扑变换的子网可以是整个网络,也可 以是网络中的一部分,如一个节点、一条链路或一个联通子网。过于灵活的描述方式使得在 具体工程实现过程中很难确定如何对网络的哪一个局部开始进行拓扑变换,因此还需要特 定的约束条件或推选策略用以确定需要进行拓扑等效变换的局部子网,这不属于本发明的
【发明内容】
。
[0038] 步骤Α2就是用上述网络描述方法将确定下来要进行局部拓扑变换的网络根据邻 接点和邻接属性进行抽象描述,以便于后续步骤的进行。
[0039] 如附图3所示,是对其中一个子网的抽象描述方法。该描述方法不是通过构成网 络的节点集合,及节点间的链接关系描述的,而是通过该网络对外连接点及连接属性对网 络进行描述。
[0040] 具体数学描述为:如果G' = (V',E')是加权图G= (V,E)中的一个子图, 则Γ((7> |eegΠ称为子网G'的邻点集;如果AeΓ(GJ,用 k(J) = 〇PCi4表示子网G1在与邻接点A连接的链路上的连接属性,由二元组表示, 其中第一个元素%^表示子网G1与节点A连接的链路上实现的功能集,第二个元素美,^ 表示子网G1与节点A连接的链路带宽;用二元组0-(G),L(G))表示一个子网G, 其中F(G)表示该子网的邻点集,L(G)表示该子网相对应于各邻接点的邻接属性集。用 图例表示即可将其表示为如附图3所示的黑箱子网,使用该方法描述的子网不需要关心 其内部拓扑结构如何。两个网络不论拓扑结构如何,如果能够描述为同一个二元组B(;= 0-(G),L(G)),则这两个网络是等效的,互相称为对方的等效子网,且这两