[发明专利]基于动态规划的链路防护系统及其方法

说明书

本发明公开了一种基于动态规划的链路防护系统及其方法，涉及信息安全领域。本系统包括链路管控中心（100）、中转链路服务器集群（200）、用户终端（300）和目标服务器（400）；链路管控中心（100）和中转链路服务器集群（200）交互，中转链路服务器集群（200）分别与用户终端（300）和目标服务器（400）交互。本方法包括：①动态规划方法；②数据转发方法。本发明具有下列优点和积极效果：①时效性强；②动态规划路径算法简单高效；③系统安全性高；④系统可扩展；⑤防止IP溯源。

技术领域

本发明涉及信息安全领域，尤其涉及一种基于动态规划的链路防护系统及其方法。

背景技术

伴随着网络技术的发展，网络已成为人们生活和工作的主要方式。据中国互联网络信息中心第38次《中国互联网络发展状况统计报告》显示，截至2016年6月，中国网民规模达到7.1亿，互联网络普及率达到51.7％，超过全球平均水平3.1个百分点，超过亚洲平均水平8.1个百分点。网络技术的蓬勃发展也带来了一系列安全性的问题，其中最主要的就是链路节点上的流量劫持。所谓流量劫持，是指通过一定技术手段，控制用户的上网行为，让你打开不想打开的网页，看到不想看的广告，而这些都会给劫持者带来源源不断的收入。

不久前，乌云网发布的一则《疑似某基于运营商流量的APK劫持推广系统存漏洞(每天高达百万计的劫持数据统计)》的公告再次将“流量劫持”推到了风口浪尖。流量劫持泛指网上的流量被窃取、刺探和控制，在收到用户的流量后，还可以分析窃取用户隐私。我们上网时使用的电脑是客户端，请求访问的目标是服务器，从你发生请求到看到网页，速度很快，中间却要经过网络链路及设备，而链路上的点和设备都可以被人做手脚，对流量进行恶意分析窃取。特别是在网络节点中转过程中，节点服务器被攻击成肉鸡后，很容易进行DNS劫持，被黑客利用进行木马植入和流量分析，最终对于个人而言会泄露隐私，对于涉密企业和政府而言，涉密数据的泄露会影响公司的发展和国家的信息安全。

因此，对于涉密企业和政府机关在构建数据回传交互系统时，需要进行多节点的跳转，构建动态规划数据交互路径，可以有效地防止数据泄密，同时防止溯源，保证交互链路的安全。

发明内容

本发明的目的就在于提供一种基于动态规划的链路防护系统及其方法，主要应用在对数据安全级别要求较高的企事业单位、政府机关、公安和军队等单位，构建应用系统的动态的数据交互链路，防止单一节点被劫持后带来的损失，保障数据传输的安全。

实现本发明目的技术方案是：

本发明通过以下3种方式实现链路防护系统安全性：

①服务器节点威胁性分析

实时采集中转链路服务器节点网络信息，通过对中间节点服务器的网络信息比对，判断目标服务器是否运行正常，是否存在恶意攻击行为，保证中间节点的系统安全；

②定时规划链路路径

链路管控中心会定时根据中转链路服务器上报的网络信息进行综合分析，剔除掉宕机和具有威胁性的中转服务器节点，在保证最优延迟的前提下，动态规划回传的路径，同时下发给各中转服务器和交互终端；

③交互文件单向传输

中转服务器节点不保存任何管控中心的帐号密码，链路管控中心以单向FTP方式和中转服务器进行交互，实现数据单向传输，即使中间节点出现被劫持情况，也不会泄露链路管控中心的帐号信息。

本发明采用基于动态规划路径、服务器威胁检测、单向FTP传输方式构建了链路防护系统，可以有效地保证数据安全性传输，降低数据被劫持的风险，防止IP溯源等方面，提升系统和终端的安全性。

具体地说：

一、基于动态规划的链路防护系统(简称系统)