一种拟态交换机安全流量控制装置及方法与流程
本发明属于网络安全防护领域,尤其涉及一种拟态交换机安全流量控制装置及方法。
背景技术:
随着网络空间安全形势日益严峻,网络空间拟态防御技术应运而生。拟态防御技术是通过构建动态冗余系统架构和运行机理实现的一种不依赖先验知识的主动防御机制。
典型拟态防御模型由输入代理器、功能等价异构执行体、输出裁决器和反馈控制器构成。输入代理器完成外部输入信息的复制分发,异构执行体获得输入代理分发的外部输入信息计算输出结果,输出裁决器根据输出结果进行多模裁决并负责代理输出的功能,反馈控制器根据输出裁决器的输出结果反馈调整输入代理器和异构执行体集的服务特性,以此实现拟态伪装。对拟态交换机的安全流量控制是在安全态势感知的基础上,通过动态调整引流规则和分发指配逻辑以符合拟态防御架构中输入代理器的服务特性,将指定的安全流量报文作为外部输入信息分发给功能等价的异构执行体集。但在基于拟态防御架构的交换机设备的实际应用中,满足拟态防御架构的完整的输入代理模型又往往难以实现,尤其是报文分流、指纹变换和分发指配环节有很大的开发难度,从而无法有效实现拟态交换机安全流量的引流及控制。
如安全外壳协议(secureshell,ssh),其是建立在应用层上的安全协议,是一种专为远程登录和其他网络服务提供的安全性协议。ssh作为用户完成交换机配置的主要入口之一,是重要的交换机安全配置流量。
ssh协议的安全性主要来自于会话阶段采用的diffie-hellman密钥交换算法,其保证了会话双方不进行私钥交换的情况下各自计算出双方一致的共享秘钥用于会话加密。由于各异构执行体产生的私钥不都相同,所以各异构执行体会使用自身的私钥计算出不同的共享秘钥。显然,直接复制不能完成对ssh流量的正确分发。
技术实现要素:
鉴于上述内容,有必要提供一种拟态交换机安全流量控制装置及方法,本发明解决了拟态交换机流量转发中报文分流、指纹变换和分发指配环节难度较大以及效率过低的问题。
本发明一方面提出一种拟态交换机安全流量控制装置,包括:
安全态势感知模块,用于维护报文特征数据库,并制定安全策略;
引流模块,制定动态引流策略,维护拟态交换机安全流量在拟态交换机物理端口与数据中转模块间的数据通路,以及维护数据中转模块与异构执行体虚拟端口的数据通路;
数据中转模块,根据所述安全态势感知模块制定的安全策略对来自拟态交换机物理端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至异构执行体虚拟端口;或者
根据所述安全态势感知模块制定的安全策略对来自异构执行体虚拟端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至拟态交换机物理端口。
基于上述,所述报文的解析过程为指纹变换过程。
基于上述,所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。
基于上述,所述主执行体是根据安全态势感知模块指定的选举算法,在异构执行体池中选举的。
基于上述,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体与各异构执行体建立的是ssh连接。
本发明另一方面还提出一种拟态交换机安全流量控制方法,包括以下步骤:
步骤1:安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略;
步骤2:引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征,根据报文特征制定动态引流策略;
步骤3:数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口。
基于上述,所述步骤2的具体步骤为:
步骤21,引流模块获取来自拟态交换机物理端口的指定报文特征,制定动态引流策略,完成拟态交换机物理端口与数据中转模块的引流规则;
步骤22:引流模块获取来自异构执行体虚拟端口的指定报文特征,制定动态引流策略,完成异构执行体虚拟端口与数据中转模块的引流规则。
基于上述,所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制n份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。
基于上述,所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。
基于上述,所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制n份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后,判断源异构执行体是否为主执行体,若是,则通过引流规则重定向至拟态交换机物理端口发出;否则,丢弃该报文。
本发明相对现有技术具有突出的实质性特点和显著进步,具体的说,本发明提供的拟态交换机安全流量控制方法引入了动态报文特征库和动态安全策略,极大提升了拟态交换机的安全性,由此产生的动态引流规则能够实现对指定安全流量和普通流量的精确分流,在不影响拟态交换机交换性能的同时实现常规流量交换与安全流量控制的分离,且引入动态引流规则和指纹变换逻辑,还实现了从拟态交换机物理端口到异构执行体虚拟端口的数据通路,同时,本发明所使用的动态指纹变换机制使得拟态交换机内部的虚拟交换机对外隔离,以上措施解决了拟态交换机流量转发中报文分流、指纹变换和分发指配环节开发难度较大以及效率过低的问题,还极大增加了攻击者的攻击难度。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明实施例1提供的拟态交换机安全流量控制过程示意图。
图2是本发明实施例1提供的拟态交换机安全流量报文指纹变换示意图。
图3是本发明实施例2方案中的ssh流量分发模型。
图4是本发明实施例2方案中的指纹变换处理示例。
图5是本发明实施例3方案中的安全流量控制方法的流程框图。
图6是本发明实施例4方案中的安全流量控制方法的流程框图。
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
实施例1
如图1和图2所示,一种拟态交换机安全流量控制装置,包括:
安全态势感知模块,用于维护报文特征数据库,并制定安全策略;所述报文特征数据库记录了涉及拟态交换机安全的报文特征元组,所述安全策略是由当前安全态势制定的动态规则,包括报文过滤机制,外部指纹与内部指纹映射关系信息;
引流模块,制定动态引流策略,维护拟态交换机安全流量在拟态交换机物理端口与数据中转模块间的数据通路,以及维护数据中转模块与异构执行体虚拟端口的数据通路;
数据中转模块,根据所述安全态势感知模块制定的安全策略对来自拟态交换机物理端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至异构执行体虚拟端口;或者
根据所述安全态势感知模块制定的安全策略对来自异构执行体虚拟端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至拟态交换机物理端口。
本实施例拟态交换机安全流量控制装置用于拟态交换机安全流量控制的方法,包括以下步骤:
步骤1:安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略;
步骤2:引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征,根据报文特征制定动态引流策略;具体的,引流模块获取来自拟态交换机物理端口的指定报文特征,制定动态引流策略,完成拟态交换机物理端口与数据中转模块的引流规则;引流模块获取来自异构执行体虚拟端口的指定报文特征,制定动态引流策略,完成异构执行体虚拟端口与数据中转模块的引流规则。
步骤3:数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口。所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制n份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。
实施例2
如图3和图4所示,本实施例与实施例1的区别在于:所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。其中,所述主执行体是根据安全态势感知模块指定的选举算法,在异构执行体池中选举的。特别的,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体与各异构执行体建立的是ssh连接。
本实施例的报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制n份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后,判断源异构执行体是否为主执行体,若是,则通过引流规则重定向至拟态交换机物理端口发出;否则,丢弃该报文。
实施例3
如图5所示,本实施例与实施例2的区别在于提供了一种具体的普通安全报文,如arp、icmp等协议报文,的安全流量控制方法:
①假定流量从拟态交换机物理端口17口进入;
②报文被引流模块的引流规则捕获,被重定向到数据中转模块;
③数据中转模块解析报文所带外部指纹,即帧标记,得知该报文从17口进入,需要将其送到主执行体对应的17接口;
④数据中转模块根据内部指纹与外部指纹映射关系,完成指纹变换;
⑤报文从数据中转模块发出,携带内部指纹为主执行体对应的17接口可以识别的vlan标记;
⑥报文被引流规则捕获,被送往主执行体对应17接口。
实施例4
如图6所示,本实施例与实施例2的区别在于提供了一种具体的特定安全报文,如ssh、telnet等协议报文,的安全流量控制方法:
①假定流量从拟态交换机物理端口17口进入;
②报文被引流规则捕获,被重定向到数据中转模块;
③数据中转模块解析报文所带外部指纹,即帧标记,得知该报文从17口进入,需要将其送到主执行体对应的17接口;
④数据中转模块根据内部指纹与外部指纹映射关系,完成指纹变换;
⑤报文从数据中转模块发出,携带内部指纹为主执行体对应的17接口可以识别的vlan标记;
⑥报文到达主执行体,分发代理获取配置信息;
⑦分发代理与各异构执行体建立ssh连接,将从主执行体获得的配置信息分发给各异构执行体。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!