一种面向折射网络的诱饵路由部署系统及方法技术方案

本发明专利技术提供一种面向折射网络的诱饵路由部署系统及方法。该方法包括：步骤1：构建网络资源池，包括审查区域AS集合和自由区域AS集合所述审查区域AS集合为服务目标用户所在国家/地区实际控制下的AS集合；所述自由区域AS集合为友好AS集合，用于部署诱饵路由，为目标用户提供所需的网络审查规避服务；步骤2：基于网络空间测绘技术实时监控和更新网络资源池中所有AS的状态；步骤3：基于网络资源池中所有AS的状态构建AS域间拓扑图；步骤4：根据所述AS域间拓扑图，采用设定的迭代求解算法生成诱饵路由部署策略；步骤5：将所述诱饵路由部署策略下发至网络资源池中对应的AS以控制其按照所述诱饵路由部署策略部署诱饵路由。制其按照所述诱饵路由部署策略部署诱饵路由。制其按照所述诱饵路由部署策略部署诱饵路由。

【技术实现步骤摘要】
一种面向折射网络的诱饵路由部署系统及方法


[0001]本专利技术涉及网络空间安全
，尤其涉及一种面向折射网络的诱饵路由部署系统及方法。

技术介绍

[0002]近年来网络与通信技术的飞速发展，使得人们的生活方式发生了根本性变化。互联网逐渐成为了人们日常工作、学习、娱乐和生活中不可或缺的重要场景，特别是在分享日常生活、获取学习和娱乐资源、社会信息传播等方面发挥着不可忽视的巨大作用。因此，世界上部分国家和地区对其实际网络管控区域内的用户接入互联网和利用互联网获取资源、发布信息等行为进行了监控和限制，称作网络审查。从形式上看，网络审查包括内容审查和接入审查两类。
[0003]为抵御网络接入审查行为，研发人员开发了多种端到端架构的网络审查规避系统，包括当前得到广泛使用的Tor、Lantern、Psiphon等。其核心思想在于利用由项目开发者或志愿者部署的位于审查区域范围外的终端作为代理，来为审查区域内的用户提供网络接入服务。尽管到目前为止，由于其用户友好、技术成熟、性能优越等方面的优势，端到端架构的网络审查规避系统仍是世界上使用人数最多，应用范围最广的审查规避工具，但近年来相关的研究工作和网络安全事件从理论和实践的层面均证明了该类网络审查规避系统存在着巨大的安全隐患，即审查者可以通过资源枚举的方式大量获取代理信息并实施屏蔽攻击，使得审查区域内的正常用户无代理可用。
[0004]究其本质，端到端架构的网络审查规避系统利用位于网络边缘位置的终端节点作为代理，不仅处于审查区域内的用户能够获取代理信息，具有丰富网络和人力资源的审查者也能轻易地获取到代理信息，并以微乎其微的代价实施屏蔽攻击。因此，为了抵御审查者的资源枚举和屏蔽攻击，避免网络审查规避系统陷入到“猫和老鼠”的游戏中，来自密歇根大学、伊利诺伊大学厄巴纳
‑
香槟分校和BBN科技公司的不同研发团队在2011年分别独立提出了Telex、Cirripede和Decoy Routing 三种新型端到中架构网络审查规避系统，并在之后的技术迭代过程中逐步形成了“折射网络”这一概念。通过与友好自治域(Autonomous System，AS)的合作，折射网络将原本位于网络边缘位置的代理引入到网络核心部分，部署在骨干网络的路由器上，称为诱饵路由。用户在使用折射网络时，选择位于审查区域外的大量IP作为掩体地址发起连接，而诱饵路由拦截用户与掩体地址的连接，劫持用户的会话，从而将用户的数据代理转发给实际上的目的IP地址。折射网络能够极大地增加审查者的审查代价，提高用户的可用掩体地址数量，增强用户使用网络审查规避服务的隐蔽性。
[0005]然而，正如VanderSloot教授在其最新成果“Running refraction networking forreal，Proceedings on Privacy Enhancing Technologies,2020(4)：321
‑
355”中所指出的那样，尽管诱饵路由的协议设计和原型系统开发工作已经得到充分研究，但是其在大规模网络中的实际应用仍然面临着不小的困难和挑战。具体而言，审查者仍可以通过实施绕诱饵路由(Routing Around Decoys，RAD)攻击来使得已部署在折射网络中的诱饵路由失
效。而考虑RAD攻击和审查者与部署者的攻防博弈背景下，如何策略性地部署诱饵路由来增强折射网络中的用户服务质量和安全性，还鲜少见诸于报。

技术实现思路

[0006]针对绕诱饵路由攻击下折射网络的诱饵路由部署问题，本专利技术提供一种面向折射网络的诱饵路由部署系统及方法。
[0007]一方面，本专利技术提供一种面向折射网络的诱饵路由部署方法，包括：
[0008]步骤1：构建网络资源池，包括审查区域AS集合和自由区域AS集合所述审查区域AS集合为服务目标用户所在国家/地区实际控制下的AS集合；所述自由区域AS集合为友好AS集合，用于部署诱饵路由，为目标用户提供所需的网络审查规避服务；
[0009]步骤2：基于网络空间测绘技术实时监控和更新网络资源池中所有AS的状态；
[0010]步骤3：基于网络资源池中所有AS的状态构建AS域间拓扑图；
[0011]步骤4：根据所述AS域间拓扑图，采用设定的迭代求解算法生成诱饵路由部署策略；
[0012]步骤5：将所述诱饵路由部署策略下发至网络资源池中对应的AS以控制其按照所述诱饵路由部署策略部署诱饵路由。
[0013]进一步地，所述网络空间测绘技术包括：IP定位技术、拓扑测绘技术、基于Traceroute的路由器定位技术、基于路由表信息的AS间商业关系推断技术和大数据处理技术中至少一种。
[0014]进一步地，所述AS域间拓扑图采用加权有向的AS域间拓扑图、无权有向的AS域间拓扑图、加权无向的AS域间拓扑图和无权无向的AS域间拓扑图中的任意一种。
[0015]进一步地，步骤4具体包括：
[0016]步骤4.1：初始化审查策略；
[0017]步骤4.2：根据所述AS域间拓扑图和当前的审查策略，采用所述迭代求解算法中的部署策略求解子算法生成诱饵路由部署策略；
[0018]步骤4.3：根据所述AS域间拓扑图和当前的诱饵路由部署策略，采用所述迭代求解算法中的审查策略求解子算法生成新的审查策略；
[0019]步骤4.4：判断整个所述迭代求解算法是否达到收敛条件，若否，则返回执行步骤4.2；若是，则将当前的诱饵路由部署策略作为最终的诱饵路由部署策略。
[0020]进一步地，所述部署策略求解子算法采用贪婪算法；对应地，所述部署策略的求解过程具体包括：
[0021]步骤A1：对于中的任一AS
n
，计算在AS
n
上部署诱饵路由的效用值u
n
、开销值c
n
以及性价比ρ
n
＝u
n
/c
n
；
[0022]步骤A2：按照ρ
n
的大小对中的所有AS降序排列，获得新的集合，记作
[0023]步骤A3：在满足部署开销不超过部署预算的条件下，从中选取排序最靠前的AS，将其存储到部署策略s中，然后更新部署开销，并将当前AS从中移除；其中，部署开销是指部署策略s中所有AS的开销值总和；
[0024]步骤A4：重复步骤A3，直至部署开销超过部署预算，此时的部署策略s即为最终的诱饵路由部署策略。
[0025]进一步地，所述审查策略求解子算法采用贪婪算法；对应地，所述审查策略的求解过程具体包括：
[0026]步骤B1：对于中的任一AS
m
到中的任一AS
n
的任一潜在网络路径 P
m,n
，计算对其实施审查的效用值ν
m,n
和开销值c
m,n
；
[0027]步骤B2：所有满足条件ν
m,n
＞c
m,n
...

【技术保护点】

【技术特征摘要】
1.一种面向折射网络的诱饵路由部署方法，其特征在于，包括：步骤1：构建网络资源池，包括审查区域AS集合和自由区域AS集合所述审查区域AS集合为服务目标用户所在国家/地区实际控制下的AS集合；所述自由区域AS集合为友好AS集合，用于部署诱饵路由，为目标用户提供所需的网络审查规避服务；步骤2：基于网络空间测绘技术实时监控和更新网络资源池中所有AS的状态；步骤3：基于网络资源池中所有AS的状态构建AS域间拓扑图；步骤4：根据所述AS域间拓扑图，采用设定的迭代求解算法生成诱饵路由部署策略；步骤5：将所述诱饵路由部署策略下发至网络资源池中对应的AS以控制其按照所述诱饵路由部署策略部署诱饵路由。2.根据权利要求1所述的一种面向折射网络的诱饵路由部署方法，其特征在于，所述网络空间测绘技术包括：IP定位技术、拓扑测绘技术、基于Traceroute的路由器定位技术、基于路由表信息的AS间商业关系推断技术和大数据处理技术中至少一种。3.根据权利要求1所述的一种面向折射网络的诱饵路由部署方法，其特征在于，所述AS域间拓扑图采用加权有向的AS域间拓扑图、无权有向的AS域间拓扑图、加权无向的AS域间拓扑图和无权无向的AS域间拓扑图中的任意一种。4.根据权利要求1所述的一种面向折射网络的诱饵路由部署方法，其特征在于，步骤4具体包括：步骤4.1：初始化审查策略；步骤4.2：根据所述AS域间拓扑图和当前的审查策略，采用所述迭代求解算法中的部署策略求解子算法生成诱饵路由部署策略；步骤4.3：根据所述AS域间拓扑图和当前的诱饵路由部署策略，采用所述迭代求解算法中的审查策略求解子算法生成新的审查策略；步骤4.4：判断整个所述迭代求解算法是否达到收敛条件，若否，则返回执行步骤4.2；若是，则将当前的诱饵路由部署策略作为最终的诱饵路由部署策略。5.根据权利要求4所述的一种面向折射网络的诱饵路由部署方法，其特征在于，所述部署策略求解子算法采用贪婪算法；对应地，所述部署策略的求解过程具体包括：步骤A1：对于中的任一AS
n
，计算在AS
n
上部署诱饵路由的效用值u
n
、开销值c
n
以及性价比ρ
n
＝u
n
/c
n
；步骤A2：按照ρ
n
的大小对中的所有AS降序排列，获得新的集合，记作步骤A3：在满足部署开销不超过部署预算的条件下，从中选取排序最靠前的AS，将其存储到部署策略s中，然后更新部署开销，并将当前AS从中移除；其中，部署开销是指部署策略s中所有AS的开销值总和；步骤A4：重复步骤A3，直至部署...

【专利技术属性】
技术研发人员：郭云飞，史鑫，王亚文，扈红超，何威振，高振，仝玉，商珂，范学云，王庆丰，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：