一种内生安全交换机的异构冗余防御策略下发方法与流程

1.本发明属于网络攻防技术领域，尤其涉及一种内生安全交换机的异构冗余防御策略下发方法。


背景技术：

2.交换机作为网络信息流通的“闸门”，其安全性是网络安全建设中的重要一环。随着网络信息时代的发展，网络信息产业逐渐占据越来越重要的地位，针对网络交换机的攻击频率越来越高，攻击的种类也日益增多，比如mac表洪泛攻击、arp欺骗攻击、生成树环路攻击等。传统的以太网交换机往往采用添加防火墙、端口绑定等被动防御的方式，无法应对种类繁多的网络攻击，尤其是当攻击者利用交换机的未知漏洞和未知后门进行攻击时，使得传统的防范手段形同虚设，对网络信息安全造成重大隐患。
3.针对被动防御固有的缺陷，邬江兴院士提出了一种主动防御方法，即拟态防御(内生安全)技术，其内核采用的是动态异构冗余的系统机制，不仅可以有效地防范已知的多种网络攻击，也能防御外部利用未知漏洞和未知后门的网络攻击。拟态防御技术作为一种主动防御技术，抗攻击性强，允许交换机平台在一定程度“有毒带菌”的情况下，也能具有良好的网络攻击防御能力。
4.动态异构冗余机制是拟态防御技术的核心，该机制具有三个特性，即动态性、异构性、冗余性。动态性是指每当遇到网络攻击时，策略调度模块会从异构执行体池中选取不同的策略方案，以避免攻击者对交换机内部防御架构进行渗透；异构性是指具有相同功能的执行体之间会有所差异，例如系统不同、采用协议不同或程序语言不同等；冗余性是指针对同一种攻击，多个执行体均能起到防御作用，针对同一威胁情况，有多种备选方案。由此可见，动态异构冗余机制在不确定性机制上受惠于动态性、随机性和多样性的引入，在攻击难度上得益于“去协同化环境”造就的非配合条件下的协同化攻击困境，在实现方法上来源于功能等价条件下的多维动态重构机制的应用。


技术实现要素：

5.针对以上问题，本发明提出一种内生安全交换机的异构冗余防御策略下发方法，基于动态异构冗余机制和实施采集的网络信息和软硬件资源数据对针对或途径网络交换机的多种攻击进行有效防御。
6.为实现本发明的目的，本发明所采用的技术方案是一种内生安全交换机的异构冗余防御策略下发方法。
7.本发明拟将对内生交换机的自身状态信息和链路状态信息进行测量，所需的测度为：交换机的内存使用率、cpu使用率、链路时延、链路带宽、链路丢包率。对以上测度赋以不同的权重，进行归一量化，再引入分级机制，视威胁情况严重程度智能选出防御策略。
8.一种内生安全交换机的异构冗余防御策略下发方法，该方法主要包括以下步骤：
9.(1)对途径内生安全交换机的链路状态信息和交换机的状态信息进行采集和测
量，管理交换机和链路的状态数据以进行网络资源视图构建；
10.(2)根据网络资源视图生成威胁情报并进行响应分级，不同层次的响应将启动不同类型的防御方式，以控制交换机的资源开销和最大程度维护当前网络的正常运行；
11.第一种类型：视当前威胁情报，如果对交换机网络层的资源产生威胁，启动三级响应，内生安全交换机将针对当前攻击采取隔离方案；
12.第二种类型：视当前威胁情报，如果对硬盘、内部数据进行篡改，启动二级响应，内生安全交换机将针对当前攻击采取清洗方案；
13.第三种类型：视当前威胁情报，如果对交换机产生控制权的争夺，启动一级响应，内生安全交换机将针对当前攻击采取资产迁移或系统跳变方案。
14.所述步骤(1)中，采集交换机状态信息和链路信息以构建网络资源试图的方法如下：
15.(1.1)交换机实时测量自身的状态信息，测度包括交换机cpu使用率、内存使用率、交换机的ip地址；
16.(1.2)交换机测量链路状态信息，测度包括链路时延、链路带宽、链路丢包率，测量方法是使用icmp协议报文原始套接字构建固定大小的探测包，发送至链路另一端的目标节点，通过返回的数据获得链路带宽、rtt和丢包率；
17.(1.3)根据采集测量的状态信息和网络资源信息，初步构建网络资源视图，如图2所示。
18.所述步骤(2)中，响应分级机制的设计方案如下：
19.(2.1)内生安全交换机根据当前网络资源视图产生威胁情报，判断是否遭受了网络攻击；
20.(2.2)交换机根据产生的威胁情报，进行归一量化；
21.(2.3)对量化后的威胁情报数据进行分级，视威胁情况严重性分级，威胁程度极高可定为一级。
22.其中，在步骤(2.2)中，对于威胁情报的五元组：交换机的cpu使用率c、内存占用率m、链路带宽b、链路时延l、丢包率p，根据公式：
[0023][0024]
得到归一化后的数据：c
′
，m
′
，b
′
，l
′
，p
′
。对其赋予不同的权重，分别为k1，k2，k3，k4，k5，并且：
[0025]
k1 k2 k3 k4 k5＝1
[0026]
归一量化后的威胁情报数据s可表示为：
[0027]
s＝c
′
k1 m
′
k2 b
′
k3 l
′
k4 p
′
k5[0028]
在步骤(2.3)中，拟对威胁情报数据s设置两级阈值：s1，s2。当s≥s1时，定为一级响应，表示当前攻击对交换机产生控制权的争夺，需要采取强力措施进行防护；当s2≤s《s1时，定为二级响应，表示当前攻击对硬盘、内部数据进行篡改，此时采取的防御策略需要兼顾到资源开销；当s《s2时，说明当前攻击对交换机网络层的资源产生威胁，不宜采取开销较大的防御策略。
[0029]
同时注意到，分级响应机制的目的是为了合理控制防御带来的开销代价，交换机
要视情况动态选择其他级别的防御策略加以补充，得到的多个输出矢量后，根据表决机制裁决输出结果。
[0030]
第一种类型中，隔离机制的具体流程如下：
[0031]
针对vlan中继攻击，可对网络交换机进行安全设置，即网络交换机的所有中继端口都需要使用vlan id，若交换机收到了没有安排端口的dtp协商消息，即认为该条消息非法，隔离机制将对该消息的源ip地址进行封禁，以阻止中继被建立；针对生成树欺骗攻击，攻击者发送比当前根交换机还小的bridgeid声明自己为根网桥，抢占根交换机角色，隔离机制将隔离接收伪造的bpdu的端口，该端口不会转发任何流量，以此方式来强制确立根网桥在网络中的位置；针对mac表洪水攻击，隔离策略限制交换机的端口可以学习的mac数量上限，超过该数量即丢弃；针对arp欺骗攻击，交换机可借由dhcp保留网络上各计算机的mac地址，在伪造的arp数据包发出时即可侦测到，隔离策略即对该ip进行封禁；针对udp洪泛攻击，对重复发送的1500字节以上的ip地址，根据威胁情报提供的信息如该ip的信誉值，隔离策略可对这类ip地址进行封禁，可通过报文中的ttl值的正常范围来过滤ttl明显异常的报文；针对mac欺骗攻击，隔离策略同样是根据威胁情报提供的信息，如交换机可检查ip报文中源ip和源mac是否和交换机中管理员设定的是否一致，若不一致对这类ip地址进行封禁，并发送告警信息。
[0032]
第二种类型中，清洗机制的具体流程如下：
[0033]
发明使用一种基于ip信誉值的识别威胁流量的方法，对互联网上的ip地址赋予一定的信誉值，某些被当作僵尸主机、产生恶意攻击行为的ip地址会赋予较低的信誉值，这些低信誉值的ip可能会成为网络攻击的来源，在流量清洗的过程中优先清洗信誉低的ip地址发送的流量。具体过程是将所有流量通过hpenp转移到云计算中心，利用威胁情报提供的信息，利用更复杂机器学习方法分类出威胁流量，明确查找出威胁流量五元组后，将威胁流量丢弃，剩余流量转发回交换机，完成清洗过程。
[0034]
第三种类型中，提出两种防御策略的具体流程如下：
[0035]
资产迁移是首先针对内生安全交换机进行冗余备份，动态转移攻击面，在遭到威胁攻击时直接迁移系统资源进入另一台交换机，具体操作是主机建立路由备份，当探测到当前交换机受到严重攻击无法正常工作时，利用路由表中的备份交换机ip连接冗余的交换机；系统跳变则是使能跳变协议，开始对数据传输的各种邻接点按照协议随机改变端口，地址，时隙，实现主动网络防护，具体操作是在固定的跳变间隔中，内生安全交换机会根据与通信主机共享的密钥、源id、交换机id和时间，利用伪随机函数生成新的ip地址和通信端口，使得在不同时隙内，通信双方必定会使用不同的ip、端口对，以此抵御网络攻击。
[0036]
与现有技术相比，本发明的技术方案具有以下有益技术效果：
[0037]
(1)本发明能针对网络交换机被动防御的固有缺陷，设计了一种具有主动防御功能的内生安全交换机，克服了以往交换机的防御缺陷，具有重要的现实意义。
[0038]
(2)本发明提出了一种具有内生安全性质的动态异构冗余的防御策略下发方法，内生安全交换机针对每种网络攻击，可动态地采取不同的防御策略集合，对外呈现内部防御机制的不确定性，极大增加了攻击者侦察和实施攻击的开销。
[0039]
(3)同时，本发明提出的内生安全交换机引入了分级响应机制，根据威胁情报提供的信息，按受到攻击的严重程度完成防御策略的分级下发，极大程度地节省了自身的资源
开销和代价。
附图说明
[0040]
图1为异构冗余的防御决策表决示意图；
[0041]
图2为网络资源视图示意图；
[0042]
图3为内生安全交换机架构图；
[0043]
图4为vlan中继攻击示意图；
[0044]
图5为实验拓扑示意图。
具体实施方式
[0045]
为了加深对本发明的认识和理解，下面结合附图和实施方式进一步介绍该技术方案。
[0046]
实施例1：参见图1-图5，一种内生安全交换机的异构冗余防御策略下发方法，该方法主要包括以下步骤：
[0047]
(1)对途径内生安全交换机的链路状态信息和交换机的状态信息进行采集和测量，管理交换机和链路的状态数据以进行网络资源视图构建；
[0048]
(2)根据网络资源视图生成威胁情报并进行响应分级，不同层次的响应将启动不同类型的防御方式，以控制交换机的资源开销和最大程度维护当前网络的正常运行；
[0049]
第一种类型：视当前威胁情报，如果对交换机网络层的资源产生威胁，启动三级响应，内生安全交换机将针对当前攻击采取隔离方案；
[0050]
第二种类型：视当前威胁情报，如果对硬盘、内部数据进行篡改，启动二级响应，内生安全交换机将针对当前攻击采取清洗方案；
[0051]
第三种类型：视当前威胁情报，如果对交换机产生控制权的争夺，启动一级响应，内生安全交换机将针对当前攻击采取资产迁移或系统跳变方案。
[0052]
所述步骤(1)中，采集交换机状态信息和链路信息以构建网络资源试图的方法如下：
[0053]
(1.1)交换机实时测量自身的状态信息，测度包括交换机cpu使用率、内存使用率、交换机的ip地址；
[0054]
(1.2)交换机测量链路状态信息，测度包括链路时延、链路带宽、链路丢包率，测量方法是使用icmp协议报文原始套接字构建固定大小的探测包，发送至链路另一端的目标节点，通过返回的数据获得链路带宽、rtt和丢包率；
[0055]
(1.3)根据采集测量的状态信息和网络资源信息，初步构建网络资源视图，如图2所示。
[0056]
所述步骤(2)中，响应分级机制的设计方案如下：
[0057]
(2.1)内生安全交换机根据当前网络资源视图产生威胁情报，判断是否遭受了网络攻击；
[0058]
(2.2)交换机根据产生的威胁情报，进行归一量化；
[0059]
(2.3)对量化后的威胁情报数据进行分级，视威胁情况严重性分级，威胁程度极高可定为一级。
[0060]
其中，在步骤(2.2)中，对于威胁情报的五元组：交换机的cpu使用率c、内存占用率m、链路带宽b、链路时延l、丢包率p，根据公式：
[0061][0062]
得到归一化后的数据：c
′
，m
′
，b
′
，l
′
，p
′
。对其赋予不同的权重，分别为k1，k2，k3，k4，k5，并且：
[0063]
k1 k2 k3 k4 k5＝1
[0064]
归一量化后的威胁情报数据s可表示为：
[0065]
s＝c
′
k1 m
′
k2 b
′
k3 l
′
k4 p
′
k5[0066]
在步骤(2.3)中，拟对威胁情报数据s设置两级阈值：s1，s2。当s≥s1时，定为一级响应，表示当前攻击对交换机产生控制权的争夺，需要采取强力措施进行防护；当s2≤s《s1时，定为二级响应，表示当前攻击对硬盘、内部数据进行篡改，此时采取的防御策略需要兼顾到资源开销；当s《s2时，说明当前攻击对交换机网络层的资源产生威胁，不宜采取开销较大的防御策略。
[0067]
同时注意到，分级响应机制的目的是为了合理控制防御带来的开销代价，交换机要视情况动态选择其他级别的防御策略加以补充，得到的多个输出矢量后，根据表决机制裁决输出结果。
[0068]
第一种类型中，隔离机制的具体流程如下：
[0069]
针对vlan中继攻击，可对网络交换机进行安全设置，即网络交换机的所有中继端口都需要使用vlan id，若交换机收到了没有安排端口的dtp协商消息，即认为该条消息非法，隔离机制将对该消息的源ip地址进行封禁，以阻止中继被建立；针对生成树欺骗攻击，攻击者发送比当前根交换机还小的bridgeid声明自己为根网桥，抢占根交换机角色，隔离机制将隔离接收伪造的bpdu的端口，该端口不会转发任何流量，以此方式来强制确立根网桥在网络中的位置；针对mac表洪水攻击，隔离策略限制交换机的端口可以学习的mac数量上限，超过该数量即丢弃；针对arp欺骗攻击，交换机可借由dhcp保留网络上各计算机的mac地址，在伪造的arp数据包发出时即可侦测到，隔离策略即对该ip进行封禁；针对udp洪泛攻击，对重复发送的1500字节以上的ip地址，根据威胁情报提供的信息如该ip的信誉值，隔离策略可对这类ip地址进行封禁，可通过报文中的ttl值的正常范围来过滤ttl明显异常的报文；针对mac欺骗攻击，隔离策略同样是根据威胁情报提供的信息，如交换机可检查ip报文中源ip和源mac是否和交换机中管理员设定的是否一致，若不一致对这类ip地址进行封禁，并发送告警信息。
[0070]
第二种类型中，清洗机制的具体流程如下：
[0071]
发明使用一种基于ip信誉值的识别威胁流量的方法，对互联网上的ip地址赋予一定的信誉值，某些被当作僵尸主机、产生恶意攻击行为的ip地址会赋予较低的信誉值，这些低信誉值的ip可能会成为网络攻击的来源，在流量清洗的过程中优先清洗信誉低的ip地址发送的流量。具体过程是将所有流量通过hpenp转移到云计算中心，利用威胁情报提供的信息，利用更复杂机器学习方法分类出威胁流量，明确查找出威胁流量五元组后，将威胁流量丢弃，剩余流量转发回交换机，完成清洗过程。
[0072]
第三种类型中所提出两种防御策略的具体流程如下：
[0073]
资产迁移是首先针对内生安全交换机进行冗余备份，动态转移攻击面，在遭到威胁攻击时直接迁移系统资源进入另一台交换机，具体操作是主机建立路由备份，当探测到当前交换机受到严重攻击无法正常工作时，利用路由表中的备份交换机ip连接冗余的交换机；系统跳变则是使能跳变协议，开始对数据传输的各种邻接点按照协议随机改变端口，地址，时隙，实现主动网络防护，具体操作是在固定的跳变间隔中，内生安全交换机会根据与通信主机共享的密钥、源id、交换机id和时间，利用伪随机函数生成新的ip地址和通信端口，使得在不同时隙内，通信双方必定会使用不同的ip、端口对，以此抵御网络攻击。
[0074]
如图1所示为异构冗余的防御决策表决示意图。多模弹性智能裁决模块主要根据裁决策略，通过比较对异构执行体的输出进行裁决，根据比较结果判断执行体状态，并将状态信息上报调度控制模块，将裁决结果交付代理模块，由代理进行输出。拟态裁决机制构通过要素察觉和态势理解构成的异常情况的感知能力，对异构执行体的输出结果进行一致性判决，可以有效避免拟态界面上的非协同性攻击或随机性失效情况。根据裁决结果，反馈控制器能根据给定策略进行执行体服务集的重构。
[0075]
一般来说，凡是存在标准化或可归一化功能或操作的界面，都存在实施拟态防御的基本条件。由于界内多样化冗余防御执行体的输出矢量间至少存在时间差、值域差(计算精度)或允许的版本差异(语法、选择项、默认值、扩展域填充情况)等因素。不同应用场景、不同性能要求和安全标准对弹性智能防御决策指令下发实现复杂度都有很大的影响。
[0076]
内生安全交换机所选取的功能等价防御策略异构执行体在同一输入激励规范下，多模输出矢量具有多数相同或完全一致的情况是大概率事件，但相互间由于异构执行体预处理方式、实现算法、支撑环境甚至处理平台方面(fpga或者cpu下发)的差异必然会存在输出响应方面的差异。为了不影响输出矢量的多模裁决，裁决之前需要增加矢量归一化处理和输出代理功能，以确保拟态括号不仅可以尽量屏蔽防御场景对外的所有差异，对内还要允许执行体间存在某些不同。针对内生安全交换机，可用的归一化手段就是强相关具体的应用场景。态势察觉阶段，内生安全交换机已经掌握了网络多维资源视图。结合视图与当前交换机资源现状，设计控制器归一化分析网络现状。结合态势理解出的威胁情报定级，智能选举出所需要防御策略，尽量不干扰业务的情况下进行热部署，保证交换机效率。
[0077]
本发明拟将策略细分为清洗，隔离，资产迁移和系统跳变。清洗操作虽然精准但是消耗网络资源，而隔离手段较为粗糙没有对带宽的占用，却容易丢弃正常流量。资产迁移策略和系统跳变策略抗攻击性强，具有主动性，使得平台带菌生存，但是开销过于庞大，甚至无法实现热部署，可能暂时中断交换机服务。四种策略各有优劣，需要根据当前内生安全交换机受攻击的严重程度，智能选择防御策略。本发明拟将对以下6种网络攻击进行防御：
[0078]
(1)vlan中继攻击：vlan中继攻击属于欺骗类型的攻击，攻击流程如图4所示，指的是攻击者冒充另一个交换机向某特定vlan内的交换机发送虚假的dtp协商消息，宣布他想成为中继，受攻击的交换机收到该dtp消息后，若启用了中继功能，通过该vlan的所有信息流就会发送到攻击者的计算机上。
[0079]
(2)生成树攻击：生成树协议(spanning tree protocol，stp)是一种工作在osi网络模型中的数据链路层的通信协议，基本应用是防止交换机冗余链路产生的环路，从而避免产生广播风暴大量占用交换机的资源。生成树攻击属于欺骗类型的攻击，是指攻击者向交换机发送精心设计的网桥协议数据单元(bpdu)，就可以欺骗交换机，使它以为这是根网
桥，这会导致stp重新收敛，由于stp协议收敛速度慢，在一定时间内会产生回路，从而导致网络崩溃。
[0080]
(3)mac表洪水攻击：帧在进入交换机时记录下源mac地址，产生一条这个mac地址与帧进入的那个端口相关联的记录，以后通往该mac地址的信息流将只通过该端口发送出去。这条记录存储在内容可寻址存储器(cam)里面，以便转发数据时快速查询。mac表洪水攻击指攻击者利用cam存储器容量有限，向cam发送大批伪造多源m a c地址的数据包，导致c a m被占满，后续到来的数据包，就会导致交换机以广播方式发送数据，交换机带宽被迅速占满，从而引起交换机拒绝服务。
[0081]
(4)arp攻击地址解析协议(address resolution protocol，arp)是将目标机器的ip地址首先解析成为唯一的mac地址，然后arp会自动搜索ip到mac的解析并通过广播的形式进行请求的发送，这样所有的主机就都可以收到报文信息。arp攻击是指攻击者采用欺骗的方式连接上目标主机并进行通信，从而导致目标主机出现大量的异常报文，导致网络交换机的瘫痪。
[0082]
(5)udp洪泛攻击：udp协议(user datagram protocol)是一种无连接的协议，为应用程序提供了一种无需建立连接就可以发送封装的ip数据包的方法。udp洪泛攻击是ddos类型的攻击，有两种类型：小包攻击和大包攻击。小包攻击是指攻击者向攻击目标发送大量伪造源ip地址的小udp包，一般为64字节，这样在相同的流量情况下，数据包的数量增多，进行检查的开销增大，最后耗尽攻击目标的带宽资源；大包攻击是指攻击者发送大量伪造源ip地址的大udp包，一般大于1500字节，由于大数据包分片重组的压力大，所以会快速耗尽带宽资源。
[0083]
(6)mac欺骗攻击：mac地址欺骗通常用于突破基于mac地址的局域网访问控制，例如在交换机上限定只转发源mac地址修改为某个存在于访问列表中的mac地址即可突破该访问限制，而且这种修改是动态的并且容易恢复。还有的访问控制方法将ip地址和mac进行绑定，目的是使得一个交换机端口只能提供给一位用户的一台主机使用，此时攻击者需要同时修改自己的ip地址和mac地址去突破这种限制。
[0084]
针对以上6种不同类型的网络攻击，内生安全交换机基本上均可采取清洗、隔离、系统跳变或资产迁移策略。本发明将通过分级机制确定在遭受网络攻击时采取何种防御策略，最大程度上减小交换机维护正常运行的资源开销。为此，内生安全交换机将进行网络资源视图的构建。
[0085]
以上是对内生安全交换机理论体系的介绍，以下设计了三个实验方案可验证内生安全交换机防御策略的有效性。
[0086]
实验一：单种攻击单种防御测试
[0087]
实验目的：
[0088]
验证四种防御策略的有效性
[0089]
实验步骤：
[0090]
1.启动服务器，建立docker网络，实验拓扑如图5所示。在docker网络内部署攻击节点及防御节点，攻击节点由六个容器组成，每个容器可发起一种攻击方式；防御节点由两个容器组成，其中一个容器作为冗余备份，另一个容器作为主要被攻击对象，该容器具备隔离、流量转发、系统跳变等功能
[0091]
2.随机选择以上六种攻击的一种，采用以上四种防御策略的一种，进行攻防实验
[0092]
3.不重复地选择攻击类型及防御类型，进行多次实验。
[0093]
实验二：单种攻击多种防御测试
[0094]
实验目的：
[0095]
验证动态异构冗余机制与防御策略结合的效果
[0096]
实验步骤：
[0097]
1.启动创建的docker网络
[0098]
2.随机选择以上六种攻击的一种，防御节点根据分级响应机制及动态选择策略选择出防御策略集合进行防御，将防御节点的资源消耗与防御效果与实验一进行比较
[0099]
3.不重复地选择攻击类型进行多次实验。
[0100]
实验三：多种攻击多种防御测试
[0101]
实验目的：
[0102]
测试内生安全交换机的整体防御性能
[0103]
实验步骤：
[0104]
1.启动创建的docker网络
[0105]
2.随机选择多种攻击类型对防御节点进行攻击，防御节点根据分级响应机制及动态选择策略选择出防御策略集合进行防御
[0106]
3.将防御节点的资源消耗与防御效果与实验一、二进行比较。