[发明专利]一种拟态交换机安全流量控制装置及方法

说明书

本发明提出了一种拟态交换机安全流量控制装置及方法，其中，装置包括安全态势感知模块、引流模块和数据中转模块，使用该装置进行安全流量控制方法，包括以下步骤：步骤1：安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略；步骤2：引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征，根据报文特征制定动态引流策略；步骤3：数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口。本发明提供的拟态交换机安全流量控制方法解决了拟态交换机流量转发中报文分流、指纹变换和分发指配环节开发难度较大以及效率过低的问题，还极大增加了攻击者的攻击难度。

技术领域

本发明属于网络安全防护领域，尤其涉及一种拟态交换机安全流量控制装置及方法。

背景技术

随着网络空间安全形势日益严峻，网络空间拟态防御技术应运而生。拟态防御技术是通过构建动态冗余系统架构和运行机理实现的一种不依赖先验知识的主动防御机制。

典型拟态防御模型由输入代理器、功能等价异构执行体、输出裁决器和反馈控制器构成。输入代理器完成外部输入信息的复制分发，异构执行体获得输入代理分发的外部输入信息计算输出结果，输出裁决器根据输出结果进行多模裁决并负责代理输出的功能，反馈控制器根据输出裁决器的输出结果反馈调整输入代理器和异构执行体集的服务特性，以此实现拟态伪装。对拟态交换机的安全流量控制是在安全态势感知的基础上，通过动态调整引流规则和分发指配逻辑以符合拟态防御架构中输入代理器的服务特性，将指定的安全流量报文作为外部输入信息分发给功能等价的异构执行体集。但在基于拟态防御架构的交换机设备的实际应用中，满足拟态防御架构的完整的输入代理模型又往往难以实现，尤其是报文分流、指纹变换和分发指配环节有很大的开发难度，从而无法有效实现拟态交换机安全流量的引流及控制。

如安全外壳协议（ Secure Shell，SSH），其是建立在应用层上的安全协议，是一种专为远程登录和其他网络服务提供的安全性协议。SSH作为用户完成交换机配置的主要入口之一，是重要的交换机安全配置流量。

SSH协议的安全性主要来自于会话阶段采用的diffie-hellman密钥交换算法，其保证了会话双方不进行私钥交换的情况下各自计算出双方一致的共享秘钥用于会话加密。由于各异构执行体产生的私钥不都相同，所以各异构执行体会使用自身的私钥计算出不同的共享秘钥。显然，直接复制不能完成对SSH流量的正确分发。

发明内容

鉴于上述内容，有必要提供一种拟态交换机安全流量控制装置及方法，本发明解决了拟态交换机流量转发中报文分流、指纹变换和分发指配环节难度较大以及效率过低的问题。

本发明一方面提出一种拟态交换机安全流量控制装置，包括：

安全态势感知模块，用于维护报文特征数据库，并制定安全策略；

引流模块，制定动态引流策略，维护拟态交换机安全流量在拟态交换机物理端口与数据中转模块间的数据通路，以及维护数据中转模块与异构执行体虚拟端口的数据通路；

数据中转模块，根据所述安全态势感知模块制定的安全策略对来自拟态交换机物理端口的流量执行报文的解析过程，并将解析后的报文根据所述动态引流策略转发至异构执行体虚拟端口；或者

根据所述安全态势感知模块制定的安全策略对来自异构执行体虚拟端口的流量执行报文的解析过程，并将解析后的报文根据所述动态引流策略转发至拟态交换机物理端口。

基于上述，所述报文的解析过程为指纹变换过程。

基于上述，所述数据中转模块设置执行体代理，所述执行体代理包括主执行体和分发代理模块，所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接；所述主执行体管理配置信息，通过所述分发代理模块将配置信息分发至各异构执行体。