[发明专利]一种反溯源异构资源部署和最优路径规划方法

说明书

本发明公开了一种反溯源异构资源部署和最优路径规划方法，其具体包括反溯源异构资源部署和反溯源最优路径规划两个步骤；所述的反溯源异构资源部署，是根据攻击者和被攻击者所在的国家或地区和相关国家和地区的位置信息和合作关系，选取一系列基础网络资源，并对这些网络资源的属性进行配置，将该网络资源的属性的配置问题抽象为一个组合优化决策问题，通过决策方法求解该组合优化决策问题。本发明充分考虑多种影响反溯源异构网络节点选取条件，将反溯源异构网络构建问题抽象为组合优化决策问题，为反溯源异构网络构建提供模式化的解决方案，从网络构建层面上保障了反溯源异构网络的高安全性、高连通性和低代价。

技术领域

本发明涉及网络安全领域，尤其涉及一种反溯源异构资源部署和最优路径规划方法。

背景技术

目前，随着各种溯源技术的发展和广泛应用，普通民众在互联网中的信息安全收到了严峻的考验，因此反溯源网络的部署在当前网络环境下显得尤为重要。

匿名通信系统技术是一种隐藏通信发送者及接受者IP地址、物理位置等实体信息和双方通信关系的通信系统，使窃听者无法直接获知或推知通信双方的通信关系或通信的某一方信息，从而更好地保护网络用户的通信隐私。跳板机技术是指入侵者在对目标入侵时先远程登录跳板机，通过远程操作跳板机对目标进行入侵或攻击，同时实现自身的隐藏。VPN代理技术是在 VPN的基础上衍生出来的提高网络访问速度和安全性的技术，现在已经成为一种反溯源的重要手段。利用VPN的特殊加密通信协议，在因特网位于不同地方的两个节点间临时建立一条穿过混乱公用网络的安全稳定的专用隧道。

当前，关于匿名通信系统技术的研究主要在于提高匿名性能，许多匿名通信技术原型系统借助于多个代理的重路由技术、填充包技术和加密技术来达到匿名发送或匿名接收的目的。而当匿名通信系统技术真正要被应用于现实网络中时，系统管理方式和管理代价会直接影响到该技术的可扩展性。目前的许多匿名通信技术的原型系统采用集中式管理机制，导致其不能承受大量用户的存在，无法应用于大规模的网络环境中。

在跳板机技术中，跳板网络中的节点均为被控主机，在路径选择和配置上比VPN和协议代理更加灵活，但由于被控节点性能参差不齐，个别节点的稳定性较差，一旦路径中某个转发节点失效，整条路径将无法继续正常工作，从而导致目标数据传输的失败。此外，现在很多防火墙或IDS都有追溯的功能，理论上，对于在三跳以内的跳板网络，可以通过代理跳板主机找到源主机。

比起真实的建立一条物理链路，VPN在经济性上表现得非常好，但是所有的安全与稳定都取决于VPN代理服务商，所以VPN的安全与稳定系数并不高。目前也有将VPN代理技术和跳板机网络相组合来构建反溯源网络的方式，但由于两种技术均有各自的缺陷，效果并不理想。

发明内容

针对匿名通信系统由于集中式管理机制无法承受大量用户、跳板网络中由于被控节点性能参差不齐导致路径无法正常工作、VPN的安全和稳定严重依赖代理服务上等现有反溯源技术的缺陷，本发明公开了一种反溯源异构资源部署和最优路径规划方法，利用不同国家及地区的节点，构建从源端到目标端的通联网络，同时设定全局约束条件，规划满足条件的最优路径，从而在实现高质量反溯源网络链路的基础上，承担大规模用户并发使用压力，同时保证对链路节点的选择控制。

本发明公开了一种反溯源异构资源部署和最优路径规划方法，其具体包括反溯源异构资源部署和反溯源最优路径规划两个步骤；

所述的反溯源异构资源部署，是根据攻击者和被攻击者所在的国家或地区和相关国家和地区的位置信息和合作关系，选取一系列基础网络资源，并对这些网络资源的属性进行配置，将该网络资源的属性的配置问题抽象为一个组合优化决策问题，通过决策方法求解该组合优化决策问题，即在一些不同位置和不同属性的网络资源中选取一定数量并满足一定要求的网络资源，从而完成对这些网络资源的属性的配置。