本發明提出了一種擬態交換機安全流量控制裝置及方法，其中，裝置包括安全態勢感知模塊、引流模塊和數據中轉模塊，使用該裝置進行安全流量控制方法，包括以下步驟：步驟1：安全態勢感知模塊選定將要被控制的安全流量報文特征并制定安全策略；步驟2：引流模塊獲取來自擬態交換機物理端口或者異構執行體虛擬端口的安全流量報文特征，根據報文特征制定動態引流策略；步驟3：數據中轉模塊完成報文的解析后再轉發至擬態交換機物理端口或者異構執行體虛擬端口。本發明提供的擬態交換機安全流量控制方法解決了擬態交換機流量轉發中報文分流、指紋變換和分發指配環節開發難度較大以及效率過低的問題，還極大增加了攻擊者的攻擊難度。

技術領域

本發明屬于網絡安全防護領域，尤其涉及一種擬態交換機安全流量控制裝置及方法。

背景技術

隨著網絡空間安全形勢日益嚴峻，網絡空間擬態防御技術應運而生。擬態防御技術是通過構建動態冗余系統架構和運行機理實現的一種不依賴先驗知識的主動防御機制。

典型擬態防御模型由輸入代理器、功能等價異構執行體、輸出裁決器和反饋控制器構成。輸入代理器完成外部輸入信息的復制分發，異構執行體獲得輸入代理分發的外部輸入信息計算輸出結果，輸出裁決器根據輸出結果進行多模裁決并負責代理輸出的功能，反饋控制器根據輸出裁決器的輸出結果反饋調整輸入代理器和異構執行體集的服務特性，以此實現擬態偽裝。對擬態交換機的安全流量控制是在安全態勢感知的基礎上，通過動態調整引流規則和分發指配邏輯以符合擬態防御架構中輸入代理器的服務特性，將指定的安全流量報文作為外部輸入信息分發給功能等價的異構執行體集。但在基于擬態防御架構的交換機設備的實際應用中，滿足擬態防御架構的完整的輸入代理模型又往往難以實現，尤其是報文分流、指紋變換和分發指配環節有很大的開發難度，從而無法有效實現擬態交換機安全流量的引流及控制。

如安全外殼協議（ Secure Shell，SSH），其是建立在應用層上的安全協議，是一種專為遠程登錄和其他網絡服務提供的安全性協議。SSH作為用戶完成交換機配置的主要入口之一，是重要的交換機安全配置流量。

SSH協議的安全性主要來自于會話階段采用的diffie-hellman密鑰交換算法，其保證了會話雙方不進行私鑰交換的情況下各自計算出雙方一致的共享秘鑰用于會話加密。由于各異構執行體產生的私鑰不都相同，所以各異構執行體會使用自身的私鑰計算出不同的共享秘鑰。顯然，直接復制不能完成對SSH流量的正確分發。

發明內容

鑒于上述內容，有必要提供一種擬態交換機安全流量控制裝置及方法，本發明解決了擬態交換機流量轉發中報文分流、指紋變換和分發指配環節難度較大以及效率過低的問題。

本發明一方面提出一種擬態交換機安全流量控制裝置，包括：

安全態勢感知模塊，用于維護報文特征數據庫，并制定安全策略；

引流模塊，制定動態引流策略，維護擬態交換機安全流量在擬態交換機物理端口與數據中轉模塊間的數據通路，以及維護數據中轉模塊與異構執行體虛擬端口的數據通路；

數據中轉模塊，根據所述安全態勢感知模塊制定的安全策略對來自擬態交換機物理端口的流量執行報文的解析過程，并將解析后的報文根據所述動態引流策略轉發至異構執行體虛擬端口；或者

根據所述安全態勢感知模塊制定的安全策略對來自異構執行體虛擬端口的流量執行報文的解析過程，并將解析后的報文根據所述動態引流策略轉發至擬態交換機物理端口。

基于上述，所述報文的解析過程為指紋變換過程。

基于上述，所述數據中轉模塊設置執行體代理，所述執行體代理包括主執行體和分發代理模塊，所述分發代理模塊將來自擬態交換機物理端口的流量重定向到主執行體并與各異構執行體建立連接；所述主執行體管理配置信息，通過所述分發代理模塊將配置信息分發至各異構執行體。