网络移动目标防御方法、电子设备、存储介质及系统与流程

本发明涉及互联网技术领域，尤其涉及网络移动目标防御方法、电子设备、存储介质及系统。

背景技术

随着信息技术的飞速发展，网络安全愈加受到重视。现有网络安全态势具有“易攻难守”的特点。攻防双方具有成本不对称的特性，网络信息系统静态、确定、同构的体系结构和基于先验知识的安全防护体系在网络攻击趋向自动化、智能化的态势下，难以有效应对愈加复杂和智能的渗透式网络入侵，更加剧了网络攻防“易攻难守”的不对称困境。

针对网络攻防的不对称差距，现有的网络移动目标防御以提供运行环境的随机、动态、异构为目标，通过多要素的主动变迁以破坏攻击链，对运行环境确定、静态、同构的依存要求，以阻断网络攻击的发生。但现有路径跳变技术存在路径选取具有盲目性，跳变实施缺乏约束性，难以在保证网络性能的同时最大化防御收益等问题，因此亟需一种能防止路径跳变引起的瞬态问题及实现防御收益最大化的网络移动目标防御方法及系统。

技术实现要素：

为了克服现有技术的不足，本发明的目的之一在于提供网络移动目标防御方法，解决了现有路径跳变技术存在路径选取具有盲目性，跳变实施缺乏约束性，难以在保证网络性能的同时最大化防御收益的问题。

本发明提供网络移动目标防御方法，包括以下步骤：

发送端口状态请求消息，跳变控制器通过链路层发现协议获取全局网络拓扑，发送端口状态请求消息定时获取网络中跳变路由的状态信息；

反馈端口状态回复消息，所述跳变路由接收所述端口状态请求消息，反馈端口状态回复消息，将状态信息上报给所述跳变控制器；

构建跳变路由集合，所述跳变控制器根据所述全局网络拓扑和所述状态信息构建符合约束条件的跳变路由集合；

选取最优跳变路径，所述跳变控制器采用最优跳变路径生成算法选取所述跳变路由集合中最优的跳变路径和跳变周期组合；

配置跳变路由，所述跳变控制器根据所述最优的跳变路径和跳变周期组合通过流表的修改状态消息配置跳变路由，并根据所述跳变周期设定空闲时间值。

进一步地，还包括步骤定义流表项优先级，接收管理员的控制指令定义静态流表项的优先级，根据所述优先级进行跳变路由的选择和跳变路径的迁移。

进一步地，所述约束条件具体为smt形式化规约跳变路径约束条件。

进一步地，所述选取所述跳变路由集合中最优的跳变路径和跳变周期组合包括以下步骤：

初始化组合队列，初始化最优跳变路径和跳变周期组合队列；

构建广度优先搜索树，将源节点所属的跳变路由节点设为根节点，按照所述组合队列中每个跳变路由节点到所述根节点的距离进行降序排列，并将到所述根节点距离相等的放在同一级，构建无向图的广度优先搜索树；

选择跳变集合，对每个跳变路由节点、跳变转发链路进行观测和排序，采用可满足性模理论求解器选择符合所述约束条件的跳变路由节点和跳变转发链路集合；

生成最优跳变组合，计算最小割树，将所述无向图转换为加权有向图，获得源节点和目的节点间的最大资源容量；构建安全容量矩阵，选取满足转发路径时延约束的转发路径，将符合所述约束条件的转发路径和跳变周期组合加入队列，对所述转发路径和跳变周期组合进行降序排序，将排名最高的作为下一周期的迁移路径，返回最优迁移路径和跳变周期。

一种电子设备，包括：处理器；

存储器；以及程序，其中所述程序被存储在所述存储器中，并且被配置成由处理器执行，所述程序包括用于执行上述网络移动目标防御方法。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行上述网络移动目标防御方法。

网络移动目标防御系统，包括跳变路由和跳变控制器，所述跳变控制器包括跳变路由管理模块、路径跳变决策模块、跳变路径实施模块；

所述跳变路由管理模块通过链路层发现协议获取全局网络拓扑，发送端口状态请求消息定时获取网络中跳变路由的状态信息；

所述路径跳变决策模块根据所述全局网络拓扑和所述状态信息构建符合约束条件的跳变路由集合，采用最优跳变路径生成算法选取所述跳变路由集合中最优的跳变路径和跳变周期组合；

所述跳变路径实施模块根据所述最优的跳变路径和跳变周期组合通过流表的修改状态消息配置跳变路由，并根据所述跳变周期设定空闲时间值；

所述跳变路由接收所述端口状态请求消息，反馈端口状态回复消息，将状态信息上报给所述跳变控制器。

进一步地，还包括定义流表项优先级模块：用于接收管理员的控制指令定义静态流表项的优先级，根据所述优先级进行跳变路由的选择和跳变路径的迁移。

进一步地，所述约束条件具体为smt形式化规约跳变路径约束条件。

进一步地，所述路径跳变决策模块包括：

初始化组合队列模块：用于初始化最优跳变路径和跳变周期组合队列；

构建广度优先搜索树模块：用于将源节点所属的跳变路由节点设为根节点，按照所述组合队列中每个跳变路由节点到所述根节点的距离进行降序排列，并将到所述根节点距离相等的放在同一级，构建无向图的广度优先搜索树；

选择跳变集合模块：用于对每个跳变路由节点、跳变转发链路进行观测和排序，采用可满足性模理论求解器选择符合所述约束条件的跳变路由节点和跳变转发链路集合；

生成最优跳变组合模块：用于计算最小割树，将所述无向图转换为加权有向图，获得源节点和目的节点间的最大资源容量；构建安全容量矩阵，选取满足转发路径时延约束的转发路径，将符合所述约束条件的转发路径和跳变周期组合加入队列，对所述转发路径和跳变周期组合进行降序排序，将排名最高的作为下一周期的迁移路径，返回最优迁移路径和跳变周期。

相比现有技术，本发明的有益效果在于：

本发明提供网络移动目标防御方法，包括以下步骤：发送端口状态请求消息，跳变控制器通过链路层发现协议获取全局网络拓扑，发送端口状态请求消息定时获取网络中跳变路由的状态信息；反馈端口状态回复消息，跳变路由接收端口状态请求消息，反馈端口状态回复消息，将状态信息上报给跳变控制器；构建跳变路由集合，跳变控制器根据全局网络拓扑和状态信息构建符合约束条件的跳变路由集合；选取最优跳变路径，跳变控制器采用最优跳变路径生成算法选取跳变路由集合中最优的跳变路径和跳变周期组合；配置跳变路由，跳变控制器根据最优的跳变路径和跳变周期组合通过流表的修改状态消息配置跳变路由，并根据跳变周期设定空闲时间值。本发明还涉及一种电子设备、存储介质、网络移动目标防御系统。本发明通过可满足性模理论形式化规约路径跳变所需满足的约束，有效防止路径跳变引起的瞬态问题；通过安全容量矩阵的最优路径跳变生成方法选取最优跳变路径和跳变周期组合，实现防御收益的最大化。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。本发明的具体实施方式由以下实施例及其附图详细给出。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明的网络移动目标防御方法流程图；

图2为本发明的网络移动目标防御系统结构示意图。

具体实施方式

下面，结合附图以及具体实施方式，对本发明做进一步描述，需要说明的是，在不相冲突的前提下，以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。

网络移动目标防御方法，如图1所示，包括以下步骤：

发送端口状态请求消息，跳变控制器通过链路层发现协议获取全局网络拓扑，发送端口状态请求消息定时获取网络中跳变路由的状态信息；

反馈端口状态回复消息，跳变路由接收端口状态请求消息，反馈端口状态回复消息，将状态信息上报给跳变控制器；

构建跳变路由集合，跳变控制器根据全局网络拓扑和状态信息构建符合约束条件的跳变路由集合；优选的，约束条件具体为smt形式化规约跳变路径约束条件。

选取最优跳变路径，跳变控制器采用最优跳变路径生成算法选取跳变路由集合中最优的跳变路径和跳变周期组合；优选的，选取跳变路由集合中最优的跳变路径和跳变周期组合包括以下步骤：

初始化组合队列，初始化最优跳变路径和跳变周期组合队列；

构建广度优先搜索树，将源节点所属的跳变路由节点设为根节点，按照组合队列中每个跳变路由节点到根节点的距离进行降序排列，并将到根节点距离相等的放在同一级，构建无向图的广度优先搜索树；

选择跳变集合，对每个跳变路由节点、跳变转发链路进行观测和排序，采用可满足性模理论求解器选择符合约束条件的跳变路由节点和跳变转发链路集合；

生成最优跳变组合，计算最小割树，将无向图转换为加权有向图，获得源节点和目的节点间的最大资源容量；构建安全容量矩阵，选取满足转发路径时延约束的转发路径，将符合约束条件的转发路径和跳变周期组合加入队列，对转发路径和跳变周期组合进行降序排序，将排名最高的作为下一周期的迁移路径，返回最优迁移路径和跳变周期。

配置跳变路由，跳变控制器根据最优的跳变路径和跳变周期组合通过流表的修改状态消息配置跳变路由，并根据跳变周期设定空闲时间值。

在一实施例中，优选的，还包括步骤定义流表项优先级，接收管理员的控制指令定义静态流表项的优先级，根据优先级进行跳变路由的选择和跳变路径的迁移。由于路径跳变更新需要将新的流表信息下发并配置到多个跳变路由上，流表更新过程易产生流表配置不一致问题。因此，路径跳变更新过程采用逆序添加、顺序删除的更新方式。

一种电子设备，包括：处理器；

存储器；以及程序，其中程序被存储在存储器中，并且被配置成由处理器执行，程序包括用于执行上述网络移动目标防御方法。

一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行上述网络移动目标防御方法。

网络移动目标防御系统，如图2所示，包括跳变路由和跳变控制器，跳变控制器包括跳变路由管理模块、路径跳变决策模块、跳变路径实施模块；

跳变路由管理模块通过链路层发现协议获取全局网络拓扑，发送端口状态请求消息定时获取网络中跳变路由的状态信息；

路径跳变决策模块根据全局网络拓扑和状态信息构建符合约束条件的跳变路由集合，采用最优跳变路径生成算法选取跳变路由集合中最优的跳变路径和跳变周期组合；优选的，约束条件具体为smt形式化规约跳变路径约束条件。优选的，路径跳变决策模块包括：

初始化组合队列模块：用于初始化最优跳变路径和跳变周期组合队列；

构建广度优先搜索树模块：用于将源节点所属的跳变路由节点设为根节点，按照组合队列中每个跳变路由节点到根节点的距离进行降序排列，并将到根节点距离相等的放在同一级，构建无向图的广度优先搜索树；

选择跳变集合模块：用于对每个跳变路由节点、跳变转发链路进行观测和排序，采用可满足性模理论求解器选择符合约束条件的跳变路由节点和跳变转发链路集合；

生成最优跳变组合模块：用于计算最小割树，将无向图转换为加权有向图，获得源节点和目的节点间的最大资源容量；构建安全容量矩阵，选取满足转发路径时延约束的转发路径，将符合约束条件的转发路径和跳变周期组合加入队列，对转发路径和跳变周期组合进行降序排序，将排名最高的作为下一周期的迁移路径，返回最优迁移路径和跳变周期。

跳变路径实施模块根据最优的跳变路径和跳变周期组合通过流表的修改状态消息配置跳变路由，并根据跳变周期设定空闲时间值；

跳变路由接收端口状态请求消息，反馈端口状态回复消息，将状态信息上报给跳变控制器。

在一实施例中，优选的，还包括定义流表项优先级模块：用于接收管理员的控制指令定义静态流表项的优先级，根据优先级进行跳变路由的选择和跳变路径的迁移。

本发明提供网络移动目标防御方法，包括以下步骤：发送端口状态请求消息，跳变控制器通过链路层发现协议获取全局网络拓扑，发送端口状态请求消息定时获取网络中跳变路由的状态信息；反馈端口状态回复消息，跳变路由接收端口状态请求消息，反馈端口状态回复消息，将状态信息上报给跳变控制器；构建跳变路由集合，跳变控制器根据全局网络拓扑和状态信息构建符合约束条件的跳变路由集合；选取最优跳变路径，跳变控制器采用最优跳变路径生成算法选取跳变路由集合中最优的跳变路径和跳变周期组合；配置跳变路由，跳变控制器根据最优的跳变路径和跳变周期组合通过流表的修改状态消息配置跳变路由，并根据跳变周期设定空闲时间值。本发明还涉及一种电子设备、存储介质、网络移动目标防御系统。本发明通过可满足性模理论形式化规约路径跳变所需满足的约束，有效防止路径跳变引起的瞬态问题；通过安全容量矩阵的最优路径跳变生成方法选取最优跳变路径和跳变周期组合，实现防御收益的最大化。

以上，仅为本发明的较佳实施例而已，并非对本发明作任何形式上的限制；凡本行业的普通技术人员均可按说明书附图所示和以上而顺畅地实施本发明；但是，凡熟悉本专业的技术人员在不脱离本发明技术方案范围内，利用以上所揭示的技术内容而做出的些许更动、修饰与演变的等同变化，均为本发明的等效实施例；同时，凡依据本发明的实质技术对以上实施例所作的任何等同变化的更动、修饰与演变等，均仍属于本发明的技术方案的保护范围之内。