基于广义鲁棒控制的网络防御方法、系统及交换机技术方案

本发明专利技术属于网络交换机安全技术领域，特别涉及一种基于广义鲁棒控制的网络防御方法、系统及交换机，对抓取的网络交换机协议报文复制n份并分发至面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体；各异构执行体依据接收的协议报文进行响应；针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并反馈至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理。本发明专利技术利用广义鲁棒控制机制，通过构建覆盖三个层面的异构执行体，实现“感知‑决策‑适配”一体的积极防御，提升以太网交换机面对未知漏洞/后门的处理能力和交换机内部安全稳定性，增强局域网应对外部入侵和内部渗透能力。

【技术实现步骤摘要】
基于广义鲁棒控制的网络防御方法、系统及交换机
本专利技术属于网络交换机安全
，特别涉及一种基于广义鲁棒控制的网络防御方法、系统及交换机，以提高交换机自身稳定性和抗容错能力。
技术介绍
局域网是整个计算机网络的最基本单元，而交换机连接局域网中的各台设备，使其组成网络，从而实现资源共享的目的。从用户连接侧来讲，交换机是网络安全防御的第一道防线，对内部网络资源和用户主机的安全防御起到至关重要的作用。如果交换机被恶意控制，攻击者可方便的获取用户隐私数据、监控用户上网行为、获取账户密码信息、篡改关键用户数据、推送传播虚假信息、扰乱网络数据流向、瘫痪网络信息交互、直接发起网络攻击。总之，如果针对主机的攻击是破坏了一个点，那么针对交换机的攻击则危及整个内网。究其原因是交换机存在泛在化的基于未知漏洞和后门等的不确定威胁，且缺乏彻查漏洞和后门等的科学与技术方法。一是，现有的科技能力尚无法彻底避免交换机软硬件设计缺陷导致的漏洞。二是，全球化生态环境衍生出的交换机软硬件后门问题不可能从根本上杜绝。三是，现有的科技理论和方法尚不能有效或在可承受的条件下彻查交换机中的漏洞与后门。四是，第三方出于某种企图在交换机系统中植入后门。因此，交换机自身随机故障等不确定性失效扰动和漏洞、后门等不确定威胁扰动是交换机安全亟待解决的问题。
技术实现思路
为此，本专利技术提供一种基于广义鲁棒控制的网络防御方法、系统及交换机，在不改变传统路由交换功能的基础上，不依赖先验知识和攻击特征，解决传统以太网交换机无法防范由于自身故障或漏洞等造成的未知威胁及攻击的问题，提高以太网交换机自身的稳定性以及抗容错能力，达到更好的网络安全防御效果。按照本专利技术所提供的设计方案，一种基于广义鲁棒控制的网络防御方法，包含：对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体，其中，n为大于2；各异构执行体依据接收的协议报文进行响应；针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并反馈至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理。作为本专利技术基于广义鲁棒控制的网络防御方法，进一步地，所述异构执行体采用异构CPU和/或异构操作系统和/或异构协议栈。作为本专利技术基于广义鲁棒控制的网络防御方法，进一步地，针对n个异构执行体，选取一个用于网络数据正常交互的主执行体，其余作为仅接收分发协议报文并做出响应的备执行体。作为本专利技术基于广义鲁棒控制的网络防御方法，进一步地，通过设置轮换策略选取主执行体。作为本专利技术基于广义鲁棒控制的网络防御方法，进一步地，所述轮换策略为自定义轮换周期。作为本专利技术基于广义鲁棒控制的网络防御方法，进一步地，针对各异构执行体响应结果，采用大数判决机制选取响应输出数据时，判决对象包含：MAC表、路由表项、ARP表项、ACL表项、QoS表项及用户管理配置数据。作为本专利技术基于广义鲁棒控制的网络防御方法，进一步地，针对异常记录的异构执行体，通过对其下线清洗或降低置信度进行异常处理。进一步地，本专利技术还提供一种基于广义鲁棒控制的网络防御系统，包含：分发模块、响应模块和防御模块，其中，分发模块，用于对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体，其中，n为大于2；响应模块，用于通过各异构执行体依据接收的协议报文进行响应；防御模块，用于针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并转译成转发平面规则以下发至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理。作为本专利技术基于广义鲁棒控制的网络防御系统，进一步地，针对n个异构执行体，通过设定轮换策略选取一个用于网络数据正常交互的主执行体，其余作为仅接收分发协议报文并做出响应的备执行体。进一步地，本专利技术还提供一种基于广义鲁棒控制的交换机，包含：n个用于对协议报文进行数据响应的异构执行体，该n个异构执行体采用异构硬件和/或软件组成的功能等价执行体；用于将抓取的网络协议报文进行复制并分发至n个异构执行体进行响应的协议代理插件；用于对异构执行体响应数据进行多数判决的多模裁决插件，该多模裁决插件依据多数判决结果选取响应输出数据和异常状态的异构执行体，并将响应输出数据反馈至协议代理插件以进行正常网络数据交互；及用于对异常状态的异构执行体进行下线或降低置信度处理的鲁棒控制插件。本专利技术的有益效果：本专利技术利用广义鲁棒控制机制，并利用覆盖“CPU—操作系统—协议栈”三个层面的异构执行体，实现“感知-决策-适配”一体的积极防御，解决传统以太网交换机无法防范未知威胁及攻击的问题，提高以太网交换机自身的稳定性以及抗容错能力。面向二层和三层协议流量进行统一复制和分发，即“1路”变“n路”，并分发给各个异构执行体，既要保证正常业务处理的连续性，又要保证多路分发的可靠性；针对同一输入，将多个异构执行体的输出结果进行对比，按照“择多表决”的方法，将异常执行体筛选出来，实现对未知威胁的自我感知；对发现的异常执行体进行干预，将异常的执行体进行下线清洗或降低其置信度，实现系统针对未知威胁的主动防御；实现对交换机自身随机故障等引起的不确定性失效扰动及漏洞后门等引起的不确定威胁扰动的有效防御，大幅增强局域网应对外部入侵和内部渗透的能力，为路由交换类信息基础设施提供“高可用性、高可靠性、高可信性”保障。附图说明：图1为实施例中网络防御方法流程示意图；图2为实施例中网络防御系统示意图；图3为实施例中交换机工作逻辑框架示意；图4为实施例中面向三层交换机的异构执行体构造示意；图5为实施例中多模裁决处理流程示意；图6为实施例中鲁棒控制处理流程示意；图7为实施例中协议报文复制分发处理流程示意；图8为实施例中指令消息转译处理流程示意。具体实施方式：为使本专利技术的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本专利技术作进一步详细的说明。鲁棒性最初用以表征控制系统对特性或参数扰动的不敏感性。当系统中存在模型摄动或随机干扰等不确定性因素时仍能保持其满意功能或性能品质的控制理论和方法即为鲁棒控制。事实上，鲁棒性问题及其鲁棒控制机制在信息通信网络发展进程中一直倍受关注，主备冗余备份技术、异常处理机制、减灾机制、快速恢复机制等研究在一定程度上解决了网络的不确定失效扰动问题。然而，信息通信网络软硬件系统自身设计或开发缺陷被恶意利用所形成的不确定威胁扰动问题却愈演愈烈。本专利技术实施例，参见图1所示，提供一种基于广义鲁棒控制的网络防御方法，包含：S101、对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体，其中，n为大于2；本文档来自技高网...

【技术保护点】
1.一种基于广义鲁棒控制的网络防御方法，其特征在于，包含：/n对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体，其中，n为大于2；/n各异构执行体依据接收的协议报文进行响应；/n针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并反馈至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理。/n

【技术特征摘要】
1.一种基于广义鲁棒控制的网络防御方法，其特征在于，包含：
对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体，其中，n为大于2；
各异构执行体依据接收的协议报文进行响应；
针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并反馈至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理。


2.根据权利要求1所述的基于广义鲁棒控制的网络防御方法，其特征在于，所述异构执行体采用异构CPU和/或异构操作系统和/或异构协议栈。


3.根据权利要求1所述的基于广义鲁棒控制的网络防御方法，其特征在于，针对n个异构执行体，选取一个用于网络数据正常交互的主执行体，其余作为仅接收分发协议报文并做出响应的备执行体。


4.根据权利要求3所述的基于广义鲁棒控制的网络防御方法，其特征在于，通过设置轮换策略选取主执行体。


5.根据权利要求4所述的基于广义鲁棒控制的网络防御方法，其特征在于，所述轮换策略为自定义轮换周期。


6.根据权利要求1所述的基于广义鲁棒控制的网络防御方法，其特征在于，针对各异构执行体响应结果，采用大数判决机制选取响应输出数据时，判决对象包含：MAC表、路由表项、ARP表项、ACL表项、QoS表项及用户管理配置数据。


7.根据权利要求1所述的基于广义鲁棒控制的网络防御方法，其特征在于，针对异常...

【专利技术属性】
技术研发人员：张震，伊鹏，马海龙，申涓，罗伟，张鹏，刘迪洋，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南;41