一种网络匿名通道构建方法技术

本发明专利技术提供了一种网络匿名通道构建方法。其中，该方法包括：通过对特定网络流量数据包的高速捕获、精确识别、地址重定向，实现在亿级IP范围内进行无感复用；利用制定的变换策略，实现链路动态变化的控制。实现链路动态变化的控制。实现链路动态变化的控制。

【技术实现步骤摘要】
一种网络匿名通道构建方法


[0001]本专利技术及网络安全领域，具体而言，涉及一种网络匿名通道构建方法。

技术介绍

[0002]近年来世界强国高度重视网络空间安全，其中特殊网络行动作为我方网络安全保障的手 段之一，然而由于其特有的业务属性，除面临其它信息系统相同的安全风险外，更易引起敌 方的攻击和溯源追踪。
[0003]目前，阵地的安全防护主要采取防火墙、杀毒软件、入侵检测、设置境外跳板、使用匿 名代理网络等简单的反追踪溯源技术。无法有效抵抗高级持续威胁，为了保障特殊网络行动 能够稳定持续安全地发展，针对特殊网络行动的反追踪、抗攻击等高安全需求，提出网络匿 名通道构建方法。

技术实现思路

[0004]有鉴于此，本专利技术实施例的目的在于提供一种网络匿名通道构建方法，对特殊网络行动 阵地的网络进行匿名化，达到防溯源的目的。
附图说明
[0005]图1为一种网络匿名通道构建方法整体架构示意图。
[0006]图1A为插件子系统根据数据的类型进行流向处理示意图。图1B为代理子系统根据数据的类型进行流向处理示意图。
具体实施方式
[0007]下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述， 显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图 中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在 附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅 表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的 前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0008]实施例1
[0009]参见图1，本专利技术实施提供了一种网络匿名通道构建方法。在本专利技术实施例中，以高速 捕获、精确识别、地址重定向为技术基础，设计插件子系统，代理子系统等构成。本专利技术该 方法具体包括以下步骤：
[0010]步骤401：YB用户访问境外目标，首先数据包达到X设备，匹配境外IP。
[0011]步骤202：将此数据包转给插件子系统，插件子系统将数据包修改后发送至代理子系统， 代理子系统接收数据包，判断数据包是用户发来的还是境外目标的响应包，若为用户数据包， 则跳过查流表，若不，则对数据包进行处理，利用基于随机分布的多比特Trie树
五元组进行 数据源匹配方法变换IP。
[0012]步骤201：代理子系统将处理后数据包发回X设备，X设备再发送到境外IP。
[0013]插件子系统部署在给定的前端机上，以插件形式存在，按照规范的样式进行开发，主要 负责对匹配的数据包进行开发。
[0014]代理子系统由数据平台和VPN服务器组成。可由一台服务器上两台虚拟机部署完成。数 据平台采用定制Linux内核完成功能，VPN服务器可由Linux上构建开源VPN。
[0015]自定义头部说明：共包含5个字节，包括1byte的type，4字节的IP地址(可选)。其 中：
[0016]type 1：VPN服务器发送给YB用户的响应包。
[0017]type 2：代理子系统访问目标IP的数据包。
[0018]type 3：境外目标响应数据包。
[0019]type 4：代理子系统查流表无匹配项，需将数据包发给插件子系统的数据包。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络匿名通道构建方法，其特征在于，所述方法包括：通过基于随机分布的多比特Trie树五元组进行数据源匹配，从而达到IP随机变换复用的目的；通过YB平台，X设备，插件子系统和代理子系统构建通信过程。2.根据权利要求1所述的方法，其特征在于，通过基于目的/源端口和协议域构造无冲突散列，利用该三域的组合数目非常少的优势，避免了空间爆炸。3.根据权利要求2所述的方法，其特征在于，将目的/源IP连成比特串后分为4块，每块16bit，并将其中一块映射到一随机空间，将随机数和其余3块进行异或，获得五元组索引值。4.根据权利要求3所述的方法，其特征在于，在Trie树终点存放最终五元组规则的索引值，每一个索引值的源/目的IP地址均匹配一次。5.根据权利要求4所述的方法，其特征在于，通过基于随机分布的多比特Trie树五元组进行数据...

【专利技术属性】
技术研发人员：司成祥，王梦禹，王亿芳，毛蔚轩，侯美佳，樊峰峰，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：