[发明专利]拟态防御中的虚拟专用网拟态方法

说明书

本发明公开了一种拟态防御中的虚拟专用网拟态方法。本发明方法综合考虑虚拟专用网通信安全与系统资源等因素，目标是将原本保持单一长连接的虚拟专用网用拟态的思想进行优化，在通信过程中进行动态的异构虚拟专用网隧道切换；通过信道安全传输消息的比率决定下一次轮到此虚拟专用网隧道的时间窗口长度；本发明具有系统资源消耗少，通信双方会话安全，隧道切换快速，普适性强的特点。

技术领域

本发明属于网络安全技术领域，具体属于网络安全拟态防御技术领域，尤其涉及一种拟态防御中的虚拟专用网拟态方法。

背景技术

随着互联网的不断演进、攻击技术的不断进化，网络攻击呈现“隐蔽性、协同性、精确性”等特点，网络安全处于“易攻难守”的态势。为了彻底改变传统的“封堵查杀”等被动应对的防护模式，形成主动防御能力，拟态防御技术应运而生。拟态防御技术是指以系统内部动态异构冗余结构为基础提出的一种主动防御技术，能够应对网络空间中的各类未知威胁。由于采用综合性的防御手段，拟态防御技术具有良好的可靠性与普适性，近年来成为学术界与工业界的研究热点。

拟态虚拟专用网方法是拟态防御技术中的一个重要组成部分。虚拟专用网指的是在互联网服务提供商上建立专用网络的技术，通过点对点的连接在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成，其主要用于远程办公、云资源管理等。安全问题是虚拟专用网的核心问题。虚拟专用网的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，一定程度上可以保证通信双方安全地通信。但是，如今的虚拟专用网往往需要扩展到远程访问并保持长时间的连接，这些始终在线的连接将会成为黑客攻击的主要目标，并且不同虚拟专用网厂商自身的协议栈、数据流处理层面可能存在未知漏洞、后门。因此，以拟态防御动态异构冗余架构(DHR)为理论基础，对传统虚拟专用网架构进行改造后设计拟态虚拟专用网，打破传统长连接形式的虚拟专用网就显得尤为重要。

现有的虚拟专用网利用已加密的通道协议来达到保密、发送端认证、消息准确性等通信消息安全效果。这种技术可以用不安全的网络(例如：互联网)，建立安全隧道，来发送可靠、安全的消息。然而这样保持长连接的虚拟专用网存在着三方面缺陷：首先，长时间保持连接的虚拟专用网，使攻击者拥有单一的攻击目标和相对充裕的攻击时间，风险较大；其次，如今存在多种异构的虚拟专用网软件，无法保证这些软件在虚拟专用网实现过程中的协议、软件层面的安全性，若使用的虚拟专用网存在安全漏洞则会直接导致通信过程的不可靠、不安全；第三，单一一款虚拟专用网软件可能存在后门，存在被利用的风险。

因此，现有的虚拟专用网方法并不能满足通信双方长时间保证连接的安全通信。为保证实际拟态防御技术的高可靠性与高可用性，亟需一种高效且动态的新型虚拟专用网，能够在拥有较小开销的情况下，实现不同虚拟专用网的动态切换，显著增大攻击难度。

发明内容

本发明的目的在于针对现有技术的不足，提供一种拟态防御中的虚拟专用网拟态方法。与现有虚拟专用网方法相比，本发明建立的拟态虚拟专用网具有更高的通信安全性。

本发明的目的是通过以下技术方案来实现的：一种拟态防御中的虚拟专用网拟态方法，包括以下步骤：

(1)在通信双方之间同时建立起N条异构的虚拟专用网隧道；

(2)通信双方实现隧道同步选择，并根据各个通道的安全传输率确定其对应的时间窗口长度，具体为：用N表示步骤(1)建立的通信双方之间虚拟专用网隧道个数；双方通信的总执行周期为T，为每条虚拟专用网隧道分配一个长度为T_i的子时间窗口；用C_i表示第i个虚拟专用网隧道的安全传输率，C_i的初始值为1；则第i个虚拟专用网隧道在总执行周期T内占用的子时间窗口长度为