本發明提供網絡移動目標防御方法，包括步驟：跳變控制器通過鏈路層發現協議獲取全局網絡拓撲，發送端口狀態請求消息定時獲取網絡中跳變路由的狀態信息；跳變路由接收端口狀態請求消息，反饋端口狀態回復消息，將狀態信息上報跳變控制器；跳變控制器根據全局網絡拓撲和狀態信息構建符合約束條件的跳變路由集合；跳變控制器采用最優跳變路徑生成算法選取跳變路由集合中最優的跳變路徑和跳變周期組合；跳變控制器根據最優的跳變路徑和跳變周期組合通過流表的修改狀態消息配置跳變路由，并根據跳變周期設定空閑時間值。本發明還涉及一種電子設備、存儲介質、網絡移動目標防御系統。本發明能夠有效防止路徑跳變引起的瞬態問題，實現防御收益的最大化。

技術領域

本發明涉及互聯網技術領域，尤其涉及網絡移動目標防御方法、電子設備、存儲介質及系統。

背景技術

隨著信息技術的飛速發展，網絡安全愈加受到重視?，F有網絡安全態勢具有“易攻難守”的特點。攻防雙方具有成本不對稱的特性，網絡信息系統靜態、確定、同構的體系結構和基于先驗知識的安全防護體系在網絡攻擊趨向自動化、智能化的態勢下，難以有效應對愈加復雜和智能的滲透式網絡入侵，更加劇了網絡攻防“易攻難守”的不對稱困境。

針對網絡攻防的不對稱差距，現有的網絡移動目標防御以提供運行環境的隨機、動態、異構為目標，通過多要素的主動變遷以破壞攻擊鏈，對運行環境確定、靜態、同構的依存要求，以阻斷網絡攻擊的發生。但現有路徑跳變技術存在路徑選取具有盲目性，跳變實施缺乏約束性，難以在保證網絡性能的同時最大化防御收益等問題，因此亟需一種能防止路徑跳變引起的瞬態問題及實現防御收益最大化的網絡移動目標防御方法及系統。

發明內容

為了克服現有技術的不足，本發明的目的之一在于提供網絡移動目標防御方法，解決了現有路徑跳變技術存在路徑選取具有盲目性，跳變實施缺乏約束性，難以在保證網絡性能的同時最大化防御收益的問題。

本發明提供網絡移動目標防御方法，包括以下步驟：

發送端口狀態請求消息，跳變控制器通過鏈路層發現協議獲取全局網絡拓撲，發送端口狀態請求消息定時獲取網絡中跳變路由的狀態信息；

反饋端口狀態回復消息，所述跳變路由接收所述端口狀態請求消息，反饋端口狀態回復消息，將狀態信息上報給所述跳變控制器；

構建跳變路由集合，所述跳變控制器根據所述全局網絡拓撲和所述狀態信息構建符合約束條件的跳變路由集合；

選取最優跳變路徑，所述跳變控制器采用最優跳變路徑生成算法選取所述跳變路由集合中最優的跳變路徑和跳變周期組合；

配置跳變路由，所述跳變控制器根據所述最優的跳變路徑和跳變周期組合通過流表的修改狀態消息配置跳變路由，并根據所述跳變周期設定空閑時間值。

進一步地，還包括步驟定義流表項優先級，接收管理員的控制指令定義靜態流表項的優先級，根據所述優先級進行跳變路由的選擇和跳變路徑的遷移。

進一步地，所述約束條件具體為SMT形式化規約跳變路徑約束條件。

進一步地，所述選取所述跳變路由集合中最優的跳變路徑和跳變周期組合包括以下步驟：

初始化組合隊列，初始化最優跳變路徑和跳變周期組合隊列；

構建廣度優先搜索樹，將源節點所屬的跳變路由節點設為根節點，按照所述組合隊列中每個跳變路由節點到所述根節點的距離進行降序排列，并將到所述根節點距離相等的放在同一級，構建無向圖的廣度優先搜索樹；

選擇跳變集合，對每個跳變路由節點、跳變轉發鏈路進行觀測和排序，采用可滿足性模理論求解器選擇符合所述約束條件的跳變路由節點和跳變轉發鏈路集合；