本發明公開了一種基于擬態邊緣網關的TCP數據包的歸一化方法，屬于計算機網絡技術領域，該歸一化方法具體為：對于每一條擬態環境和外部主機的TCP連接，構造會話緩存存儲擬態環境內部各主機TCP與這條TCP連接的映射關系，使得擬態環境內各主機通過同一條TCP連接與外部主機進行通信。本發明基于擬態邊緣網關，通過關鍵信息緩存的方法加快了擬態網關內部TCP數據包的處理速度，并能有效支持MQTT、ModeBus等多種工業協議。

技術領域

本發明涉及計算機網絡技術領域，尤其涉及一種基于擬態邊緣網關的TCP數據包的歸一化方法。

背景技術

隨著工業互聯網規模的逐步擴大，新型網絡架構日趨復雜以及網絡協議的多樣化，網絡攻擊手段也愈發隱蔽和復雜。傳統的安全防護手段已經難以滿足網絡安全的要求，因而構造自適應的內生安全系統成為了工業互聯網領域新要求。擬態邊緣網關的作為擬態域的邊界，發揮了隔離擬態網絡和非擬態網絡的門戶作用，對于構建自適應的內生安全系統有著重要意義。現有技術是設置代理服務器發揮網關功能對擬態環境內外部主機的通信進行管理，并在代理服務器內部進行TCP數據包的拆包組包，實現TCP數據包的歸一化。這種實現方式要求代理服務器分別與擬態環境內外部各主機建立多條TCP連接，一旦代理服務器遭到攻擊，將無法保證擬態環境的安全性。

發明內容

本發明的目的在于針對現有技術的不足，提供一種基于擬態邊緣網關的TCP數據包的歸一化方法。

本發明是通過以下技術方案實現的：一種基于擬態邊緣網關的TCP數據包的歸一化方法，包括以下步驟：

步驟一：擬態邊緣網關采用輪詢方式輪流從不同主機隊列的不同輸入網口采集TCP數據包；所述TCP數據包分為來自擬態環境內部執行體的TCP數據包和來自擬態環境外部的TCP數據包；

步驟二：將來自擬態環境內部執行體的TCP數據包解析四元組后，若存在對應的會話緩存，所述TCP數據包映射到對應的會話緩存，將會話緩存存儲到對應執行體的緩存隊列中，并啟動輸出超時計時器；若不存在對應會話緩存，則構造以四元組為索引值的會話緩存，并再將所述TCP數據包映射到構造的會話緩存，將會話緩存存儲到對應執行體的緩存隊列中，并啟動輸出超時計時器；對于來自擬態環境外部的TCP數據包，在其進入擬態邊緣網關后進行四元組解析，得到該四元組映射的會話緩存，直接進行歸一化操作；

步驟三：對于所有啟動輸出超時計時器的會話緩存，若所有執行體緩存隊列均非空，則將該會話緩存中所有執行體緩存隊列的第一個TCP數據包取出，并進行歸一化操作；否則等到輸出超時計時器超時后，若有半數以上的執行體緩存隊列非空，則將該會話緩存中所有執行體緩存隊列的第一個TCP數據包取出，進行歸一化操作并更新會話緩存各字段；若所有執行體緩存隊列至少有一個TCP數據包，則清除該會話緩存內所有數據；

步驟四：擬態邊緣網關對收到的TCP數據包進行關鍵信息的歸一化操作；

步驟五：將歸一化的TCP數據包通過對應網口發給對應主機。

進一步地，擬態邊緣網關用2個不同隊列分別對應擬態環境內部的執行體和擬態環境外部的遠端主機，所述擬態環境內部的執行體共享同一IP地址；TCP數據包通過不同輸入網口進入擬態邊緣網關。

進一步地，構造以四元組為索引值的會話緩存的方法為：將來自各執行體第一個TCP數據包的關鍵字段初始化會話緩存。

進一步地，步驟二中所述四元組包括：擬態環境內IP地址、擬態環境外IP地址、擬態環境外端口、網口。

進一步地，所述關鍵信息包括：四元組、擬態環境外端口號、TCP數據包的序列號、TCP數據包的確認號、TCP數據包的窗口大小、TCP數據包的packet_id以及TCP數據包option字段的內容；所述TCP數據包option字段的內容包括：TCP會話的單個數據包的最大傳輸長度、TCP會話接收隊列窗口的拓展倍數、TCP會話是否支持選擇重傳的標志位和TCP數據包的時間戳；