网络拓扑混淆虚拟通路创建方法、装置、终端及系统与流程

1.本发明涉及网络通讯技术领域，尤其是涉及一种网络拓扑混淆虚拟通路创建方法、装置、终端及系统。


背景技术：

2.网络拓扑(network topology)结构是指用传输介质互连各种设备的物理布局。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。如果两个网络的连接结构相同我们就说它们的网络拓扑相同。
3.在网络拓扑结构中，会容易出现攻击ip地址的行为，攻击者根据一定的通讯路径识别到目标pc，然后对目标pc进行攻击，而攻击者攻击的路径所涉及的节点较少，路径形式较为单一。
4.针对上述相关技术，发明人认为面对恶意网络攻击时，由于网络结构中的真实通路路径所涉及的节点较少，路径形式较为单一，容易被攻击者探测，并且容易攻击到目标pc。


技术实现要素：

5.为了增强网络结构中的通路路径的复杂度，不易攻击到目标pc，本技术提供一种网络拓扑混淆虚拟通路创建方法、装置、终端及系统。
6.第一方面，本技术提供的一种网络拓扑混淆虚拟通路创建方法，采用如下的技术方案：一种网络拓扑混淆虚拟通路创建方法，获取网络路径探测请求；基于所述网络探测请求和预设的配置文件，创建虚拟通路路径；基于创建的所述虚拟通路路径，生成网络路径探测响应信息，所述网络路径探测响应信息包括所述虚拟通路路径；发送所述网络路径探测响应信息给所述网络路径探测请求的发送方。
7.通过采用上述技术方案，在攻击者进行攻击时，需要发送网络路径探测请求，根据预设的配置文件，创建虚拟通路路径，这里的配置文件指的是根据预设的规则创建的实体或虚拟网络架构，在接受发送方所发送的探测请求后，创建虚拟通路路径，然后以响应信息的方式将创建的虚拟通路路径返回给发送方，发送方根据接受到的虚拟通路路径进行探测，由于虚拟通路是由虚拟节点构成的，和真实节点无关，因此，在攻击者获取到虚拟通路路径时，所攻击的对象也是虚拟节点，不是真实节点，能对真实的目标pc起到保护作用；创建虚拟通路路径，与原有的真实通路路径并存，能增大通路路径的数量，从而增强网络结构中的通路路径的复杂度，不易攻击到目标pc。
8.可选的，所述获取网络路径探测请求的步骤包括：生成路径探测报文，所述路径探测报文携带待探测路径标识；
转发所述路径探测报文，将所述路径探测报文发送给虚拟网络的首要节点；所述虚拟网络的首要节点基于接收的所述路径探测报文，获取网络路径探测请求。
9.通过采用上述技术方案，在获取网络路径探测请求时，需要先获取路径探测报文，根据路径探测报文便于获取网络路由探测请求。
10.可选的，所述创建虚拟通路路径的步骤包括：创建虚拟网络架构，所述虚拟网络架构包括至少一层网络层，每个所述网络层至少包括一个虚拟节点；建立每层网络层的虚拟节点之间的连接，若干所述网络层之间的虚拟节点构成虚拟通路路径。
11.通过采用上述技术方案，由于虚拟通路路径是在虚拟网络架构内，需要根据配置文件构建这个虚拟网络架构，而虚拟网络的构建是由多个虚拟节点构建而成，虚拟网络包括至少一层网络层，每个网络层包括很多虚拟节点，层与层之间的虚拟节点连接构成一条虚拟通路路径，不同节点之间的连接会存在不同的虚拟通路路径，从而增强网络结构中的通路路径的复杂度，不易攻击到目标pc。
12.可选的，所述若干所述网络层之间的虚拟节点构成虚拟通路路径的步骤包括：获取网络路径探测请求的重要等级，所述重要等级包括一级、二级和三级；基于所述重要等级构建虚拟通路路径，所述虚拟通路路径包括高级、中级和低级这三个复杂等级，所述网络路径探测请求的重要等级越高，所述虚拟通路路径的复杂等级越高。
13.通过采用上述技术方案，对于一些重要等级较高的网络路径探测请求，需要设置复杂等级较高的路径，这里所提到的较高的重要等级，指的是比较强烈的网络路径探测请求，为了避免攻击者利用这个比较强烈的网络路径探测请求攻击pc，因此需要针对这个网络路径探测请求创建一个复杂等级较高的虚拟通路路径，从而增强网络结构中的通路路径的复杂度，使攻击者不易攻击到目标pc。
14.可选的，所述若干所述网络层之间的虚拟节点构成虚拟通路路径的步骤之后包括：判断虚拟通路路径的虚拟节点是否存在故障；若虚拟节点存在故障，则重新获取虚拟通路路径，并且将存在故障的虚拟节点进行标记。
15.通过采用上述技术方案，由于虚拟通路路径包括多个虚拟节点，若虚拟通路路径中的其中一个虚拟节点存在故障，则这个虚拟通路路径不会导通，因此需要将这个故障的虚拟节点进行标记，便于后续对这个故障节点进行处理。
16.可选的，所述将存在故障的虚拟节点进行标记的步骤之后包括：获取标记过的存在故障的虚拟节点，将存在故障的虚拟节点从所述虚拟网络架构中删除。
17.通过采用上述技术方案，将出现故障的虚拟节点进行删除，有利于减少冗余，且防止后续继续创建不可导通的虚拟通路路径。
18.第二方面，本技术提供的一种网络拓扑混淆虚拟通路创建装置，采用如下的技术
方案：一种网络拓扑混淆虚拟通路创建装置，包括存储器和处理器；所述存储器存储有用于获取虚拟通路路径的方法；所述处理器在运行所述存储器存储的用于获取虚拟通路路径的程序时执行上述的方法。
19.通过采用上述技术方案，在攻击者进行攻击时，需要发送网络路径探测请求，根据预设的配置文件，创建虚拟通路路径，这里的配置文件指的是根据预设的规则创建的实体或虚拟网络架构，在接受发送方所发送的探测请求后，创建虚拟通路路径，然后以响应信息的方式将创建的虚拟通路路径返回给发送方，发送方根据接受到的虚拟通路路径进行探测，由于虚拟通路是由虚拟节点构成的，和真实节点无关，因此，在攻击者获取到虚拟通路路径时，所攻击的对象也是虚拟节点，不是真实节点，能对真实的目标pc起到保护作用；创建虚拟通路路径，与原有的真实通路路径并存，能增大通路路径的数量，从而增强网络结构中的通路路径的复杂度，不易攻击到目标pc。
20.第三方面，本技术提供的一种网络拓扑混淆虚拟通路创建装置，采用如下的技术方案：一种网络拓扑混淆虚拟通路创建终端，包括上述的网络拓扑混淆虚拟通路装置。
21.通过采用上述技术方案，在攻击者进行攻击时，需要发送网络路径探测请求，根据预设的配置文件，创建虚拟通路路径，这里的配置文件指的是根据预设的规则创建的实体或虚拟网络架构，在接受发送方所发送的探测请求后，创建虚拟通路路径，然后以响应信息的方式将创建的虚拟通路路径返回给发送方，发送方根据接受到的虚拟通路路径进行探测，由于虚拟通路是由虚拟节点构成的，和真实节点无关，因此，在攻击者获取到虚拟通路路径时，所攻击的对象也是虚拟节点，不是真实节点，能对真实的目标pc起到保护作用；创建虚拟通路路径，与原有的真实通路路径并存，能增大通路路径的数量，从而增强网络结构中的通路路径的复杂度，不易攻击到目标pc。
22.第四方面，本技术提供的一种网络拓扑混淆虚拟通路创建系统，采用如下的技术方案：一种网络拓扑混淆虚拟通路创建系统，包括路径探测请求接收模块、虚拟通路路径创建模块、路径探测响应信息生成模块、响应信息发送模块及上述的网络拓扑混淆虚拟终端；所述路径探测请求接收模块，用于获取网络路径探测请求；所述虚拟通路路径创建模块，用于基于所述网络探测请求和预设的配置文件，在虚拟网络中创建虚拟通路路径；所述路径探测响应信息生成模块，用于基于创建的所述虚拟通路路径，生成网络路径探测响应信息；所述响应信息发送模块，用于发送所述网络路径探测响应信息给所述网络路径探测请求的发送方。
23.通过采用上述技术方案，在攻击者进行攻击时，需要发送网络路径探测请求，根据预设的配置文件，创建虚拟通路路径，这里的配置文件指的是根据预设的规则创建的实体或虚拟网络架构，在接受发送方所发送的探测请求后，创建虚拟通路路径，然后以响应信息
的方式将创建的虚拟通路路径返回给发送方，发送方根据接受到的虚拟通路路径进行探测，由于虚拟通路是由虚拟节点构成的，和真实节点无关，因此，在攻击者获取到虚拟通路路径时，所攻击的对象也是虚拟节点，不是真实节点，能对真实的目标pc起到保护作用；创建虚拟通路路径，与原有的真实通路路径并存，能增大通路路径的数量，从而增强网络结构中的通路路径的复杂度，不易攻击到目标pc。
24.可选的，该虚拟通路创建系统还包括路径探测报文生成模块、路径探测报文转发模块、网络路径探测请求等级获取模块、虚拟网络架构创建模块、虚拟节点故障判断模块及虚拟节点故障删除模块；所述路径探测报文生成模块，用于生成路径探测报文，所述路径探测报文携带待探测路径标识；所述路径探测报文转发模块，用于将所述路径探测报文发送给虚拟网络的首要节点；所述网络路径探测请求等级获取模块，用于获取网络路径探测请求的重要等级；所述虚拟网络架构创建模块，用于创建虚拟网络架构；所述虚拟节点故障判断模块，用于判断虚拟通路路径的虚拟节点是否存在故障；所述虚拟节点故障删除模块，用于将存在故障的虚拟节点从所述虚拟网络架构中删除。
25.通过采用上述技术方案，在获取网络路径探测请求时，需要先获取路径探测报文，根据路径探测报文便于获取网络路由探测请求，由于虚拟通路路径是在虚拟网络架构内，需要根据配置文件构建这个虚拟网络架构，而虚拟网络的构建是由多个虚拟节点构建而成，虚拟网络包括至少一层网络层，每个网络层包括很多虚拟节点，层与层之间的虚拟节点连接构成一条虚拟通路路径，不同节点之间的连接会存在不同的虚拟通路路径；对于一些重要等级较高的网络路径探测请求，需要设置复杂等级较高的路径，这里所提到的较高的重要等级，指的是比较强烈的网络路径探测请求，为了避免攻击者利用这个比较强烈的网络路径探测请求攻击pc，因此需要针对这个网络路径探测请求创建一个复杂等级较高的虚拟通路路径，使攻击者攻击起来较为复杂；由于虚拟通路路径包括多个虚拟节点，若虚拟通路路径中的其中一个虚拟节点存在故障，则这个虚拟通路路径不会导通，因此需要将这个故障的虚拟节点进行标记，便于后续对这个故障节点进行删除，以减少冗余。
26.综上所述，本技术包括以下至少一种有益技术效果：创建虚拟通路路径，与原有的真实通路路径并存，能增大通路路径的数量，从而增强网络结构中的通路路径的复杂度，不易攻击到目标pc；针对重要等级较高的网络路径探测请求创建一个复杂等级较高的虚拟通路路径，使攻击者攻击起来较为复杂；将出现故障的虚拟节点进行删除，有利于减少冗余，且防止后续继续创建不可导通的虚拟通路路径。
附图说明
27.图1是本技术实施例的一种网络拓扑混淆虚拟通路创建系统的硬件架构示意图。
28.图2是本技术实施例的一种网络拓扑混淆虚拟通路创建方法的流程图。
具体实施方式
29.以下结合附图1-2对本技术作进一步详细说明。
30.参照图1，本技术实施例公开一种网络拓扑混淆虚拟通路创建系统，包括路径探测请求接收模块、虚拟通路路径创建模块、路径探测响应信息生成模块、响应信息发送模块、路径探测报文生成模块、路径探测报文转发模块、网络路径探测请求等级获取模块、虚拟网络架构创建模块、虚拟节点故障判断模块、虚拟节点故障删除模块、网络拓扑混淆虚拟通路创建装置及网络拓扑混淆虚拟通路创建终端。
31.路径探测报文生成模块，用于生成路径探测报文，路径探测报文携带待探测路径标识。
32.路径探测报文转发模块，用于将路径探测报文发送给虚拟网络的首要节点。
33.路径探测请求接收模块，用于获取网络路径探测请求。
34.虚拟通路路径创建模块，用于基于网络探测请求和预设的配置文件，在虚拟网络中创建虚拟通路路径。
35.路径探测响应信息生成模块，用于基于创建的虚拟通路路径，生成网络路径探测响应信息。
36.响应信息发送模块，用于发送网络路径探测响应信息给网络路径探测请求的发送方。
37.网络路径探测请求等级获取模块，用于获取网络路径探测请求的重要等级。
38.虚拟网络架构创建模块，用于创建虚拟网络架构。
39.虚拟节点故障判断模块，用于判断虚拟通路路径的虚拟节点是否存在故障。
40.虚拟节点故障删除模块，用于将存在故障的虚拟节点从虚拟网络架构中删除。
41.网络拓扑混淆虚拟通路创建装置，包括存储器和处理器；存储器存储有用于获取虚拟通路路径的方法，存储器包括cf闪存卡、sm闪存卡、sd闪存卡、xd闪存卡、mmc闪存卡和微硬盘等具有存储功能的硬件；处理器运行存储器存储的用于获取虚拟通路路径的程序，处理器包括单片机、mcu、中央处理器以及其他芯片等，一般使用32位低功耗单片机。
42.网络拓扑混淆虚拟通路创建终端，包括网络拓扑混淆虚拟通路创建装置，终端的类型可以为手机、pc及pad等智能设备。
43.本技术实施例一种网络拓扑混淆虚拟通路创建系统的实施原理为：在攻击者进行攻击时，需要发送网络路径探测请求，根据预设的配置文件，创建虚拟通路路径，在需要获取虚拟通路路径时，需要先获取路径探测报文，根据路径探测报文便于获取网络路由探测请求，由于虚拟通路路径是在虚拟网络架构内，需要根据配置文件构建这个虚拟网络架构，而虚拟网络的构建是由多个虚拟节点构建而成，虚拟网络包括至少一层网络层，每个网络层包括很多虚拟节点，层与层之间的虚拟节点连接构成一条虚拟通路路径，不同节点之间的连接会存在不同的虚拟通路路径：对于一些重要等级较高的网络路径探测请求，需要设置复杂等级较高的路径，这里所提到的较高的重要等级，指的是比较强烈的网络路径探测请求，为了避免攻击者利用这个比较强烈的网络路径探测请求攻击pc，因此需要针对这个网络路径探测请求创建一个复杂等级较高的虚拟通路路径，使攻击者攻击起来较为复杂，然后以响应信息的方式将创建的虚拟通路路径返回给发送方，发送方根据接受到的虚拟通
路路径进行探测；由于虚拟通路路径包括多个虚拟节点，若虚拟通路路径中的其中一个虚拟节点存在故障，则这个虚拟通路路径不会导通，因此需要将这个故障的虚拟节点进行标记，便于后续对这个故障节点进行删除，以减少冗余。
44.参照图2，基于上述硬件架构，本技术实施例还公开一种网络拓扑混淆虚拟通路创建方法，包括步骤s100～步骤s400：步骤s100：获取网络路径探测请求。
45.步骤s100还包括步骤s110～s130：步骤s110：生成路径探测报文，所述路径探测报文携带待探测路径标识。
46.该路径探测报文包括：目的mac地址(dst_mac)字段、源mac地址(src_mac)字段、报文类型(eth_type)字段、信息头(headerinfo)字段、路径标识(routeid)字段、首节点标识(src_dev_id)字段、尾节点标识(dst_dev_id)字段、序列号(sequencenum)字段和保留(reserve)字段。
47.其中，dst_mac字段的取值可以为全f，即将该路径探测报文定义为普通广播报文；src_mac字段的取值可以是任意一个有效的mac地址；eth_type字段的取值是用于唯一标识路径探测报文类型的类型标识；headerinfo字段包含2字节的协议版本信息、2字节的保留空间；routeid字段包含4个字节，取值为控制器当前探测的路径标识；src_dev_id包含4个字节，取值为待探测路径的首节点标识；dst_dev_id包含4个字节，取值为待探测路径的尾节点标识；sequencenum字段的取值是路径探测报文的序列号，用于控制器查询报文丢失等情况。
48.步骤s120：转发所述路径探测报文，将所述路径探测报文发送给虚拟网络的首要节点。
49.举例来说，处理器在节点1上下发这样的第一探测流表：match：ethtype＝0xffdf，route_id＝0x10，action：output099，其中，0xffdf为路径探测报文的类型标识，099为节点1到4的连接端口标号。
50.处理器在节点4上下发这样的第一探测流表：match：ethtype＝0xffdf，route_id＝0x10，action：output100，其中，0xffdf为路径探测报文的类型标识，100为节点4到5的连接端口标号。
51.处理器在节点5上下发这样的第一探测流表：match：ethtype＝0xffdf，route_id＝0x10，action：outputcontroller(即输出到处理器)。
52.节点1收到处理器发送的携带路径探测报文的packet-out消息以后，解析得到路径探测报文，根据当前自己的所有流表项处理收到的路径探测报文，命中第一探测流表，因此将路径探测报文通过出接口099发送到节点4上。
53.节点4根据当前自己的所有流表项处理收到的路径探测报文，命中第一探测流表以后，按照第一探测流表中的动作，通过出接口100将报文转发到节点5上。
54.节点5同样根据自己的流表处理路径探测报文，命中流表以后将报文上送控制器。
55.步骤s130：所述虚拟网络的首要节点基于接收的所述路径探测报文，获取网络路径探测请求。
56.步骤s200：基于所述网络探测请求和预设的配置文件，创建虚拟通路路径。
57.这里的配置文件不止配置网关，还配置整个网络架构，依靠配置文件管理网络架
构，配置文件主要配置网络和掩码这两个参数。
58.步骤s200包括步骤s210～s250：步骤s210：创建虚拟网络架构，所述虚拟网络架构包括至少一层网络层，每个所述网络层至少包括一个虚拟节点。
59.虚拟节点即未处于使用状态下的虚拟设备，可以为pc或者交换机，将多个未处于使用状态的虚拟设备创建成虚拟网络。
60.步骤s220：建立每层网络层的虚拟节点之间的连接，若干所述网络层之间的虚拟节点构成虚拟通路路径。
61.举例来说，该虚拟网络架构包括50个虚拟节点，虚拟节点由三层网络层构成，第一层为10个虚拟节点，第二层为20个虚拟节点，第三层为20个虚拟节点，则这50个虚拟节点之间的路径可以自由组合，依次从第一层到第三层进行通讯连接，则有很多种虚拟通路路径连接方式。
62.步骤s220中的若干所述网络层之间的虚拟节点构成虚拟通路路径还包括步骤s22a～s22b。
63.步骤s22a：获取网络路径探测请求的重要等级，所述重要等级包括一级、二级和三级。
64.步骤s22b：基于所述重要等级构建虚拟通路路径，所述虚拟通路路径包括高级、中级和低级这三个复杂等级，所述网络路径探测请求的重要等级越高，所述虚拟通路路径的复杂等级越高。
65.举例来说，网络路径探测请求等级获取模块，获取网络路径探测请求的重要等级为一级，则需要引起注意，说明攻击者的这个网络路径探测请求的性质比较严重，需要将虚拟通路路径的复杂等级提高至高级；比如说高级的虚拟通路路径包括15个节点，中级的虚拟通路路径包括10个节点，低级的虚拟通路路径包括5个节点，存在15个节点的虚拟通路路径则需要攻击者花费较长时间去探索，加大攻击难度。
66.步骤s230：判断虚拟通路路径的虚拟节点是否存在故障。
67.步骤s240：若虚拟节点存在故障，则重新获取虚拟通路路径，并且将存在故障的虚拟节点进行标记。
68.步骤s250：获取标记过的存在故障的虚拟节点，将存在故障的虚拟节点从所述虚拟网络架构中删除。
69.由于一些虚拟节点会存在一些故障，比如说人为造成的或者遭受网络攻击而成，当一条虚拟通路路径中存在故障的虚拟节点时，则这条虚拟通路路径是没法导通的，因此需要重新获取虚拟通路路径，并且将这个故障的虚拟节点进行剔除，能节省占用空间，且防止后续构建无法导通的虚拟通路路径。
70.步骤s300：基于创建的所述虚拟通路路径，生成网络路径探测响应信息，所述网络路径探测响应信息包括所述虚拟通路路径。
71.返回给发送方的虚拟通路路径需要以响应信息的方式进行，满足tcp/ip等其他通讯协议。
72.步骤s400：发送所述网络路径探测响应信息给所述网络路径探测请求的发送方。
73.发送方可以为pc、手机及其他终端设备，发送方发送网络路径探测请求时必然也
会收到网络路径探测响应信息；然后发送方根据接收到的虚拟通路路径进行访问。
74.以上均为本技术的较佳实施例，并非依此限制本技术的保护范围，故：凡依本技术的结构、形状、原理所做的等效变化，均应涵盖于本技术的保护范围之内。