本發(fā)明提出了一種擬態(tài)交換機(jī)安全流量控制裝置及方法，其中，裝置包括安全態(tài)勢感知模塊、引流模塊和數(shù)據(jù)中轉(zhuǎn)模塊，使用該裝置進(jìn)行安全流量控制方法，包括以下步驟：步驟1：安全態(tài)勢感知模塊選定將要被控制的安全流量報(bào)文特征并制定安全策略；步驟2：引流模塊獲取來自擬態(tài)交換機(jī)物理端口或者異構(gòu)執(zhí)行體虛擬端口的安全流量報(bào)文特征，根據(jù)報(bào)文特征制定動(dòng)態(tài)引流策略；步驟3：數(shù)據(jù)中轉(zhuǎn)模塊完成報(bào)文的解析后再轉(zhuǎn)發(fā)至擬態(tài)交換機(jī)物理端口或者異構(gòu)執(zhí)行體虛擬端口。本發(fā)明提供的擬態(tài)交換機(jī)安全流量控制方法解決了擬態(tài)交換機(jī)流量轉(zhuǎn)發(fā)中報(bào)文分流、指紋變換和分發(fā)指配環(huán)節(jié)開發(fā)難度較大以及效率過低的問題，還極大增加了攻擊者的攻擊難度。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全防護(hù)領(lǐng)域，尤其涉及一種擬態(tài)交換機(jī)安全流量控制裝置及方法。

背景技術(shù)

隨著網(wǎng)絡(luò)空間安全形勢日益嚴(yán)峻，網(wǎng)絡(luò)空間擬態(tài)防御技術(shù)應(yīng)運(yùn)而生。擬態(tài)防御技術(shù)是通過構(gòu)建動(dòng)態(tài)冗余系統(tǒng)架構(gòu)和運(yùn)行機(jī)理實(shí)現(xiàn)的一種不依賴先驗(yàn)知識(shí)的主動(dòng)防御機(jī)制。

典型擬態(tài)防御模型由輸入代理器、功能等價(jià)異構(gòu)執(zhí)行體、輸出裁決器和反饋控制器構(gòu)成。輸入代理器完成外部輸入信息的復(fù)制分發(fā)，異構(gòu)執(zhí)行體獲得輸入代理分發(fā)的外部輸入信息計(jì)算輸出結(jié)果，輸出裁決器根據(jù)輸出結(jié)果進(jìn)行多模裁決并負(fù)責(zé)代理輸出的功能，反饋控制器根據(jù)輸出裁決器的輸出結(jié)果反饋調(diào)整輸入代理器和異構(gòu)執(zhí)行體集的服務(wù)特性，以此實(shí)現(xiàn)擬態(tài)偽裝。對擬態(tài)交換機(jī)的安全流量控制是在安全態(tài)勢感知的基礎(chǔ)上，通過動(dòng)態(tài)調(diào)整引流規(guī)則和分發(fā)指配邏輯以符合擬態(tài)防御架構(gòu)中輸入代理器的服務(wù)特性，將指定的安全流量報(bào)文作為外部輸入信息分發(fā)給功能等價(jià)的異構(gòu)執(zhí)行體集。但在基于擬態(tài)防御架構(gòu)的交換機(jī)設(shè)備的實(shí)際應(yīng)用中，滿足擬態(tài)防御架構(gòu)的完整的輸入代理模型又往往難以實(shí)現(xiàn)，尤其是報(bào)文分流、指紋變換和分發(fā)指配環(huán)節(jié)有很大的開發(fā)難度，從而無法有效實(shí)現(xiàn)擬態(tài)交換機(jī)安全流量的引流及控制。

如安全外殼協(xié)議（ Secure Shell，SSH），其是建立在應(yīng)用層上的安全協(xié)議，是一種專為遠(yuǎn)程登錄和其他網(wǎng)絡(luò)服務(wù)提供的安全性協(xié)議。SSH作為用戶完成交換機(jī)配置的主要入口之一，是重要的交換機(jī)安全配置流量。

SSH協(xié)議的安全性主要來自于會(huì)話階段采用的diffie-hellman密鑰交換算法，其保證了會(huì)話雙方不進(jìn)行私鑰交換的情況下各自計(jì)算出雙方一致的共享秘鑰用于會(huì)話加密。由于各異構(gòu)執(zhí)行體產(chǎn)生的私鑰不都相同，所以各異構(gòu)執(zhí)行體會(huì)使用自身的私鑰計(jì)算出不同的共享秘鑰。顯然，直接復(fù)制不能完成對SSH流量的正確分發(fā)。

發(fā)明內(nèi)容

鑒于上述內(nèi)容，有必要提供一種擬態(tài)交換機(jī)安全流量控制裝置及方法，本發(fā)明解決了擬態(tài)交換機(jī)流量轉(zhuǎn)發(fā)中報(bào)文分流、指紋變換和分發(fā)指配環(huán)節(jié)難度較大以及效率過低的問題。

本發(fā)明一方面提出一種擬態(tài)交換機(jī)安全流量控制裝置，包括：

安全態(tài)勢感知模塊，用于維護(hù)報(bào)文特征數(shù)據(jù)庫，并制定安全策略；

引流模塊，制定動(dòng)態(tài)引流策略，維護(hù)擬態(tài)交換機(jī)安全流量在擬態(tài)交換機(jī)物理端口與數(shù)據(jù)中轉(zhuǎn)模塊間的數(shù)據(jù)通路，以及維護(hù)數(shù)據(jù)中轉(zhuǎn)模塊與異構(gòu)執(zhí)行體虛擬端口的數(shù)據(jù)通路；

數(shù)據(jù)中轉(zhuǎn)模塊，根據(jù)所述安全態(tài)勢感知模塊制定的安全策略對來自擬態(tài)交換機(jī)物理端口的流量執(zhí)行報(bào)文的解析過程，并將解析后的報(bào)文根據(jù)所述動(dòng)態(tài)引流策略轉(zhuǎn)發(fā)至異構(gòu)執(zhí)行體虛擬端口；或者

根據(jù)所述安全態(tài)勢感知模塊制定的安全策略對來自異構(gòu)執(zhí)行體虛擬端口的流量執(zhí)行報(bào)文的解析過程，并將解析后的報(bào)文根據(jù)所述動(dòng)態(tài)引流策略轉(zhuǎn)發(fā)至擬態(tài)交換機(jī)物理端口。

基于上述，所述報(bào)文的解析過程為指紋變換過程。

基于上述，所述數(shù)據(jù)中轉(zhuǎn)模塊設(shè)置執(zhí)行體代理，所述執(zhí)行體代理包括主執(zhí)行體和分發(fā)代理模塊，所述分發(fā)代理模塊將來自擬態(tài)交換機(jī)物理端口的流量重定向到主執(zhí)行體并與各異構(gòu)執(zhí)行體建立連接；所述主執(zhí)行體管理配置信息，通過所述分發(fā)代理模塊將配置信息分發(fā)至各異構(gòu)執(zhí)行體。