[发明专利]网络中的边信道攻击阻止

权利要求书

1.一种设备，包括：

至少一个处理单元；

至少一个非暂时性计算机可读介质，所述至少一个非暂时性计算机可读 介质被编码有指令，所述指令包括用于使所述至少一个处理单元执行以下操 作的指令：

接收被配置为通过网络进行路由的多个传入的包；

将所述传入的包中的至少一些包聚合为组；以及

将所述组包装为规范化大小的封包以供分发到所述网络内的目的地。

2.根据权利要求1所述的设备，其中所述规范化大小根据预定统计 而被确定。

3.根据权利要求2所述的设备，其中所述预定统计基于所述网络的 繁忙度而被调整。

4.根据权利要求2所述的设备，其中所述统计随着时间而变化。

5.根据权利要求4所述的设备，其中所述统计被配置为改变所述组 的规范化大小的分布。

6.根据权利要求5所述的设备，其中所述规范化大小的分布具有高 斯分布。

7.根据权利要求3所述的设备，其中所述预定统计从托管所述网络 的数据中心内部被调整。

8.根据权利要求2所述的设备，其中所述预定统计被选择以提高进 入所述网络的包流中的熵。

9.根据权利要求1所述的设备，其中一个或多个包进一步包括多个 包、划分的包、单个的包、冗余数据或虚假数据中的一个或多个。

10.根据权利要求1所述的设备，其中所述网络上的可观测流量包括 被包装的具有所述规范化大小的包的规范化分布。

11.根据权利要求1所述的设备，其中所述网络包括软件定义网络。

12.一种方法，包括：

接收被送往网络的多个传入的包；

在网关处，将所述多个传入的包分组为组，其中所述组的大小基于预定 统计；以及

将所述组包装为规范化大小的封包。

13.根据权利要求12所述的方法，其中所述规范化大小被选择以隐藏 包大小信息。

14.根据权利要求12所述的方法，其中所述规范化大小随着时间而变 化。

15.根据权利要求12所述的方法，其中所述组包括多个包、划分的 包、单个的包、虚假数据或它们的组合。

16.根据权利要求12所述的方法，其中所述规范化大小根据高斯分布 而被选择。

17.根据权利要求12所述的方法，其中所述组中的每个组中的各包被 送往同一目的地。

18.根据权利要求12所述的方法，其中所述网络包括软件定义网络。

19.一种设备，包括：

至少一个处理单元；

至少一个非暂时性计算机可读介质，至少一个非暂时性计算机可读介质 被编码有可执行指令，所述可执行指令包括用于使所述至少一个处理单元执 行以下操作的指令：

对在网络中的虚拟机处接收的一个或多个包装的封包进行拆包，

其中所述包装的封包被按规范化分布进行分发，并且包括一个或多个包 的聚合。

20.根据权利要求19所述的设备，其中所述设备包括与超管理器相关 联的虚拟路由器。

21.根据权利要求20所述的设备，其中所述虚拟路由器是认证服务器 和交易服务器之一。

22.根据权利要求20所述的设备，其中所述包装的封包进一步包括多 个包、划分的包、单个的包或虚假数据中的一个或多个。