一种基于网络拓扑混淆的虚拟网关装置及构建方法与流程

1.本发明涉及网络通讯技术领域，尤其是涉及一种基于网络拓扑混淆的虚拟网关装置及构建方法。


背景技术：

2.网络拓扑(network topology)结构是指用传输介质互连各种设备的物理布局。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。如果两个网络的连接结构相同我们就说它们的网络拓扑相同。
3.网络拓扑结构内存在网关，网关又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备，使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器，与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。
4.针对上述相关技术，发明人认为面对恶意网络攻击时，当攻击到网关时，导致一些使用过程中的pc的真实ip受到的攻击风险较大。


技术实现要素：

5.为了减小对使用过程中的pc的真实ip地址的攻击风险，以提高网络安全性的效果，本技术提供一种基于网络拓扑混淆的虚拟网关装置及构建方法。
6.第一方面，本技术提供的一种基于网络拓扑混淆的虚拟网关装置，采用如下的技术方案：一种基于虚拟网络的网络拓扑混淆虚拟网关装置，包括虚拟节点模块、虚拟网络构建模块、虚拟网关生成模块、数据接收模块及数据发送模块；所述虚拟节点模块至少设置一个，用于将自身的真实ip地址修改为虚拟ip地址；所述虚拟网络构建模块用于将修改成虚拟ip地址的多个虚拟节点模块构建成虚拟网络，所述虚拟网络还包括真实节点模块；所述虚拟网关生成模块，用于选择所述虚拟网络中的一个或多个所述虚拟节点模块作为能够替代真实网关的虚拟网关；所述数据接收模块，用于供所述虚拟网关接收dhcp包；所述数据发送模块，用于转发所述虚拟网关接收的dhcp包。
7.通过采用上述技术方案，在需要构建虚拟网关从而诱导攻击时，先根据已经构建好的虚拟网络中选择合适的虚拟节点模块作为虚拟网关，而虚拟节点的构成则是需要将虚拟节点本身的真实ip地址进行修改，使之修改成能被攻击者识别为攻击目标的虚拟ip地址，然后将这些修改过ip地址的虚拟节点模块组件成一个虚拟网络，虚拟网络还包含有原始的真实网关；选择其中一个或多个虚拟节点模块作为虚拟网关，这个虚拟网关能替代真
实的网关，当攻击者攻击网关时，能避开真实网关，直接攻击到虚拟网关，能起到对真实网关的保护效果，从而减小对使用过程中的pc的真实ip地址的攻击风险。
8.可选的，所述虚拟节点模块包括访问应答单元，所述访问应答单元用于实现真实网关的数据访问功能和数据应答功能。
9.通过采用上述技术方案，在虚拟节点模块作为虚拟网关时，虚拟网关与真实网关相比，只用实现数据访问和数据应答，无需实现真实网关的其他功能，能降低虚拟网络的复杂性。
10.可选的，所述虚拟节点模块可以为pc或交换机。
11.通过采用上述技术方案，将虚拟节点模块设置为pc或者交换机，由于pc或者交换机为硬件设备，在攻击虚拟节点模块时，能容易被发现且被识别。
12.可选的，该虚拟网关装置还包括网关选择模块，所述网关选择模块用于选择安全系数较高的所述虚拟节点模块作为网关。
13.通过采用上述技术方案，选择安全系数较高的虚拟节点模块作为网关，这些虚拟节点模块的历史交互数据量较少，将其作为虚拟网关，当受到攻击时的影响也不会太大，从而使具有重要数据的虚拟节点模块不易被攻击到，能提高网络安全性。
14.可选的，该虚拟网关装置还包括数据转移模块和攻击预警模块；所述攻击预警模块用于在虚拟网关遭受攻击之前生成攻击预警信息；所述数据转移模块用于在接受到攻击预警信息后将遭受攻击的虚拟网关的相关数据转移至其他虚拟网关或其他虚拟节点模块。
15.通过采用上述技术方案，由于攻击者可能会攻击数据交互量较多的虚拟网关，因此在攻击网关之前，需要生成攻击预警信息，然后将即将遭受攻击的虚拟网关的相关数据进行转移，防止与网关相连接的ip地址被攻击而导致数据丢失，能减小对使用过程中的pc的真实ip地址的攻击风险，具有提高网络安全性的效果。
16.可选的，该虚拟网关装置还包括网关诱导模块，所述网关诱导模块用于获取历史遭受攻击的真实网关的配置信息，并且将所述配置信息应用于所述虚拟网关。
17.通过采用上述技术方案，利用虚拟网关诱导模块，获取历史遭受攻击的真实网关的配置信息，为了发现受攻击对象的规律，比如说数据方面是否存在吸引攻击的特征，将这些配置信息应用在虚拟网关上，有利于使虚拟网关诱导攻击，从而减小对真实网关攻击的风险，能提高网络的安全性。
18.第二方面，本技术提供的一种基于网络拓扑混淆的虚拟网关构建方法，采用如下的技术方案：一种基于网络拓扑混淆的虚拟网关构建方法，应用于上述的一种基于网络拓扑混淆的虚拟网关装置，包括：获取处于未使用状态的多个虚拟节点模块；将所述虚拟节点模块的真实ip地址修改为虚拟ip地址；将修改成虚拟ip地址的多个所述虚拟节点模块构建成虚拟网络，选择所述虚拟网络中的至少一个所述虚拟节点模块作为虚拟网关，所述虚拟网关替代真实网关；将第一网络设备发送的dhcp包经过所述虚拟网关发送至第二网络设备。
19.通过采用上述技术方案，在需要构建虚拟网关从而诱导攻击时，先根据已经构建
好的虚拟网络中选择合适的虚拟节点模块作为虚拟网关，而虚拟节点的构成则是需要将虚拟节点本身的真实ip地址进行修改，使之修改成能被攻击者识别为攻击目标的虚拟ip地址，然后将这些修改过ip地址的虚拟节点模块组件成一个虚拟网络；选择其中一个或多个虚拟节点模块作为虚拟网关，这个虚拟网关能替代真实的网关，当攻击者攻击网关时，能避开真实网关，直接攻击到虚拟网关，能起到对真实网关的保护效果，从而减小对使用过程中的pc的真实ip地址的攻击风险。
20.可选的，选择所述虚拟网络中的至少一个所述虚拟节点模块作为虚拟网关的步骤包括：获取所述虚拟网络中的所有所述虚拟节点模块的历史传输数据量；基于所述历史传输数据量，获取若干所述虚拟节点模块的安全系数，所述历史传输数据量与所述安全系数呈反比关系；将所述安全系数较高的所述虚拟节点模块作为虚拟网关。
21.通过采用上述技术方案，选择安全系数较高的虚拟节点模块作为网关，这些虚拟节点模块的历史交互数据量较少，将其作为虚拟网关，当受到攻击时的影响也不会太大，从而使具有重要数据的虚拟节点模块不易被攻击到，能提高网络安全性。
22.可选的，所述将第一网络设备发送的dhcp包经过所述虚拟网关发送至第二网络设备的步骤包括：在虚拟网关遭受攻击之前生成攻击预警信息；接受到攻击预警信息后将遭受攻击的虚拟网关的相关数据转移至其他虚拟网关或其他虚拟节点模块。
23.通过采用上述技术方案，由于攻击者可能会攻击数据交互量较多的虚拟网关，因此在攻击网关之前，需要生成攻击预警信息，然后将即将遭受攻击的虚拟网关的相关数据进行转移，防止与网关相连接的ip地址被攻击而导致数据丢失，能减小对使用过程中的pc的真实ip地址的攻击风险，具有提高网络安全性的效果。
24.可选的，所述虚拟网关替代真实网关的步骤包括：获取历史遭受攻击的真实网关的配置信息；基于真实网关的配置信息，将所述配置信息应用于所述虚拟网关。
25.通过采用上述技术方案，利用虚拟网关诱导模块，获取历史遭受攻击的真实网关的配置信息，为了发现受攻击对象的规律，比如说数据方面是否存在吸引攻击的特征，将这些配置信息应用在虚拟网关上，有利于使虚拟网关诱导攻击，从而减小对真实网关攻击的风险，能提高网络的安全性。
26.综上所述，本技术包括以下至少一种有益技术效果：选择其中一个或多个虚拟节点模块作为虚拟网关，这个虚拟网关能替代真实的网关，当攻击者攻击网关时，能避开真实网关，直接攻击到虚拟网关，能起到对真实网关的保护效果，从而减小对使用过程中的pc的真实ip地址的攻击风险；选择安全系数较高的虚拟节点模块作为网关，这些虚拟节点模块的历史交互数据量较少，将其作为虚拟网关，当受到攻击时的影响也不会太大，从而使具有重要数据的虚拟节点模块不易被攻击到，能提高网络安全性；利用虚拟网关诱导模块，获取历史遭受攻击的真实网关的配置信息，为了发现受
攻击对象的规律，比如说数据方面是否存在吸引攻击的特征，将这些配置信息应用在虚拟网关上，有利于使虚拟网关诱导攻击，从而减小对真实网关攻击的风险，能提高网络的安全性。
附图说明
27.图1是本技术实施例的一种基于虚拟网络的网络拓扑混淆虚拟网关装置的硬件架构示意图。
28.图2是本技术实施例的一种基于虚拟网络的网络拓扑混淆虚拟网关装置的流程图。
具体实施方式
29.以下结合附图1-2对本技术作进一步详细说明。
30.本技术实施例公开一种基于虚拟网络的网络拓扑混淆虚拟网关装置。参照图1，包括虚拟节点模块、虚拟网络构建模块、虚拟网关生成模块、网关选择模块、网关诱导模块、数据转移模块、攻击预警模块、数据接收模块及数据发送模块。
31.虚拟节点模块，可以为交换机或者pc，至少设置一个，其目的是为了将自身的真实ip地址修改为虚拟ip地址，修改地址后容易被攻击者识别，多个虚拟节点模块和真实pc组成整个虚拟网络，增大攻击者的攻击复杂性，使攻击者不易攻击真实pc。
32.虚拟节点模块设置在第一网络设备和第二网络设备之间，第一网络设备和第二网络设备均可以包括路由器和交换机；若第一网络设备为路由器，则第二网络设备为交换机，若第一网络设备为交换机，则第二网络设备为路由器，代表数据包在上行通道或者下行通道之间进行传输。交换机通讯连接有多台pc，只有其中若干台pc处于使用过程中，则使用过程中的pc的ip地址容易成为受攻击对象，而没有处于使用过程中的pc由于没有进行数据的传输，自身的ip地址不被攻击者认定为目标攻击对象，因此需要将这些没有处于使用过程中的pc可以作为虚拟节点模块，从而通过这些没有处于使用过程中的pc诱导攻击，保护正在使用过程中的pc。
33.虚拟节点模块包括访问应答单元，访问应答单元只需要用于实现真实网关的数据访问功能和数据应答功能，无需实现其他应用功能，且能达到被攻击者识别的条件即可，简化虚拟节点模块的功能，能减小装置的复杂度。
34.虚拟网络构建模块，用于将修改成虚拟ip地址的多个虚拟节点模块构建成虚拟网络，虚拟网络还包括真实节点模块；虚拟网络包括多个节点，不仅包括构建的多个虚拟节点，还包括已有的真实节点，其目的就是将虚拟节点模拟成和真实节点的形式，使攻击者在进行攻击行为时，所构建的多个虚拟节点能转移攻击者的注意力，从而减小对真实节点的攻击概率。
35.若干虚拟节点模块以及真实节点模块构成虚拟网络，虚拟网络可以为至少一层的结构，每一层包括至少一个虚拟节点模块，构建成虚拟网络后，攻击者攻击pc时，会多出很多攻击对象，因此不易准确攻击到真实节点。
36.虚拟网关生成模块，用于选择虚拟网络中的一个或多个虚拟节点模块作为能够替代真实网关的虚拟网关，由于在虚拟网络中，至少包括一个网关，网关作为一个至关重要的
节点，连接有多台pc，若受到攻击，则对pc的影响很大，因此在用多个虚拟节点模块构建出虚拟网络后，需要生成一个新的虚拟网关，然后将虚拟网关替代原有的真实网关，当攻击者攻击网关时，只能攻击到虚拟网关，从而能对真实网关起到保护效果。
37.网关选择模块，用于选择安全系数较高的虚拟节点模块作为网关。
38.选择安全系数较高的虚拟节点模块作为网关，这些虚拟节点模块的历史交互数据量较少，将其作为虚拟网关，当受到攻击时的影响也不会太大，从而使具有重要数据的虚拟节点模块不易被攻击到，能提高网络安全性；举例来说，当10个虚拟节点模块的历史数据量依次为10单位、9单位、8单位
……
1单位，则具有1单位数据交互量的虚拟节点模块的安全系数最高，当选取这个安全系数最高的虚拟节点模块作为网关时，即使遭受攻击，所损失的数据也是最少的，因此安全系数最高。
39.网关诱导模块，用于获取历史遭受攻击的真实网关的配置信息，并且将配置信息应用于虚拟网关。从数据库或者存储器中获取历史存在的受攻击的真实网关，然后获取真实网关的配置信息，配置信息包括端口信息、设备标识及子网掩码等，然后将这些配置信息赋值于虚拟网关，使虚拟网关遭受攻击的概率更大，从而达到诱导攻击的效果。
40.攻击预警模块，用于在虚拟网关遭受攻击之前生成攻击预警信息；预警信息可以为声光报警、电话形式、短信形式及email等。
41.数据转移模块，可以为一些具有数据传输功能的硬件，比如说光纤，用于在接受到攻击预警信息后将遭受攻击的虚拟网关的相关数据转移至其他虚拟网关或其他虚拟节点模块；若该虚拟网关即将遭受攻击时，则通过数据转移模块将正在传输的相关数据进行转移，转移到其他虚拟网关或者其他虚拟节点模块上，防止在遭受攻击导致的数据丢失。
42.数据接收模块，用于供虚拟网关接收dhcp包。
43.数据发送模块，用于转发虚拟网关接收的dhcp包。
44.本技术实施例一种基于虚拟网络的网络拓扑混淆虚拟网关装置的实施原理为：在需要构建虚拟网关从而诱导攻击时，先根据已经构建好的虚拟网络中选择合适的虚拟节点模块作为虚拟网关，而虚拟节点的构成则是需要将虚拟节点本身的真实ip地址进行修改，使之修改成能被攻击者识别为攻击目标的虚拟ip地址，然后将这些修改过ip地址的虚拟节点模块组件成一个虚拟网络；选择其中一个或多个虚拟节点模块作为虚拟网关，这个虚拟网关能替代真实的网关，当攻击者攻击网关时，能避开真实网关，直接攻击到虚拟网关，能起到对真实网关的保护效果；当虚拟网关即将受到攻击时，能将该虚拟网关的数据进行转移，同时能将历史遭受攻击的网关的配置信息应用到虚拟网关上，使虚拟网关易于诱导攻击，从而减小对使用过程中的pc的真实ip地址的攻击风险。
45.参照图2，基于上述硬件架构，本技术实施例还公开一种基于网络拓扑混淆的虚拟网关构建方法，包括步骤s100～s400：步骤s100：获取处于未使用状态的多个虚拟节点模块。
46.利用没有使用过的pc作为虚拟节点模块，这些pc均与交换机连接，当路由器和交换机之前传输dhcp数据包时，这些pc的真实ip地址不易被攻击者发现，攻击者只会重点攻击正在使用过程中的pc。
47.步骤s200：将所述虚拟节点模块的真实ip地址修改为虚拟ip地址。
48.在路由器和交换机之间传输dhcp包时，将dhcp包拦截下来，然后将虚拟节点模块
的真实ip地址进行修改，修改成能被攻击者识别的虚拟ip地址。
49.步骤s300：将修改成虚拟ip地址的多个所述虚拟节点模块构建成虚拟网络，选择所述虚拟网络中的至少一个所述虚拟节点模块作为虚拟网关，所述虚拟网关替代真实网关。
50.虚拟网络是一种包含至少部分是虚拟网络链接的计算机网络，在本方案中由多个虚拟节点模块构成，多个虚拟节点模块构成对应多个ip地址，同时一个ip地址能对应多个虚拟节点模块，在这个虚拟网络中，同时包括真实节点，即包括处于正在使用过程中的pc，在虚拟网络中添加多个虚拟节点模块，能增大虚拟网络的范围，攻击者攻击时不易准确攻击到真实节点，因此，当虚拟网关替代真实网关时，有利于保护真实节点。
51.步骤s300中选择所述虚拟网络中的至少一个所述虚拟节点模块作为虚拟网关的步骤包括步骤s310～s330：步骤s310：获取所述虚拟网络中的所有所述虚拟节点模块的历史传输数据量。
52.步骤s320：基于所述历史传输数据量，获取若干所述虚拟节点模块的安全系数，所述历史传输数据量与所述安全系数呈反比关系。
53.步骤s330：将所述安全系数较高的所述虚拟节点模块作为虚拟网关。
54.选择安全系数较高的虚拟节点模块作为网关，这些虚拟节点模块的历史交互数据量较少，将其作为虚拟网关，当受到攻击时的影响也不会太大，从而使具有重要数据的虚拟节点模块不易被攻击到，能提高网络安全性；举例来说，当10个虚拟节点模块的历史数据量依次为10单位、9单位、8单位
……
1单位，比如说具有10单位历史数据量的虚拟节点模块的安全系数为0.1，具有1单位历史数据量的虚拟节点模块的安全系数为1，则具有1单位数据交互量的虚拟节点模块的安全系数最高，当选取这个安全系数最高的虚拟节点模块作为网关时，即使遭受攻击，所损失的数据也是最少的，因此安全系数最高。
55.步骤s300中所述虚拟网关替代真实网关的步骤包括步骤s3a0～s3b0：步骤s3a0：获取历史遭受攻击的真实网关的配置信息。
56.步骤s3b0：基于真实网关的配置信息，将所述配置信息应用于所述虚拟网关。
57.从数据库或者存储器中获取历史存在的受攻击的真实网关，然后获取真实网关的配置信息，配置信息包括端口信息、设备标识及子网掩码等，然后将这些配置信息赋值于虚拟网关，使虚拟网关遭受攻击的概率更大，从而达到诱导攻击的效果。
58.步骤s400：将第一网络设备发送的dhcp包经过所述虚拟网关发送至第二网络设备。
59.步骤s400包括步骤s410～s420：步骤s410：虚拟网关遭受攻击之前生成攻击预警信息。
60.步骤s420：接受到攻击预警信息后将遭受攻击的虚拟网关的相关数据转移至其他虚拟网关或其他虚拟节点模块。
61.用于在接受到攻击预警信息后将遭受攻击的虚拟网关的相关数据，通过一些具有数据传输功能的硬件设备(例如光纤)转移至其他虚拟网关或其他虚拟节点模块；若该虚拟网关即将遭受攻击，则将正在传输的相关数据进行转移，转移到其他虚拟网关或者其他虚拟节点模块上，防止遭受攻击导致的数据丢失。
62.以上均为本技术的较佳实施例，并非依此限制本技术的保护范围，故：凡依本技术
的结构、形状、原理所做的等效变化，均应涵盖于本技术的保护范围之内。