本發明公開了一種反溯源異構資源部署和最優路徑規劃方法，其具體包括反溯源異構資源部署和反溯源最優路徑規劃兩個步驟；所述的反溯源異構資源部署，是根據攻擊者和被攻擊者所在的國家或地區和相關國家和地區的位置信息和合作關系，選取一系列基礎網絡資源，并對這些網絡資源的屬性進行配置，將該網絡資源的屬性的配置問題抽象為一個組合優化決策問題，通過決策方法求解該組合優化決策問題。本發明充分考慮多種影響反溯源異構網絡節點選取條件，將反溯源異構網絡構建問題抽象為組合優化決策問題，為反溯源異構網絡構建提供模式化的解決方案，從網絡構建層面上保障了反溯源異構網絡的高安全性、高連通性和低代價。

技術領域

本發明涉及網絡安全領域，尤其涉及一種反溯源異構資源部署和最優路徑規劃方法。

背景技術

目前，隨著各種溯源技術的發展和廣泛應用，普通民眾在互聯網中的信息安全收到了嚴峻的考驗，因此反溯源網絡的部署在當前網絡環境下顯得尤為重要。

匿名通信系統技術是一種隱藏通信發送者及接受者IP地址、物理位置等實體信息和雙方通信關系的通信系統，使竊聽者無法直接獲知或推知通信雙方的通信關系或通信的某一方信息，從而更好地保護網絡用戶的通信隱私。跳板機技術是指入侵者在對目標入侵時先遠程登錄跳板機，通過遠程操作跳板機對目標進行入侵或攻擊，同時實現自身的隱藏。VPN代理技術是在 VPN的基礎上衍生出來的提高網絡訪問速度和安全性的技術，現在已經成為一種反溯源的重要手段。利用VPN的特殊加密通信協議，在因特網位于不同地方的兩個節點間臨時建立一條穿過混亂公用網絡的安全穩定的專用隧道。

當前，關于匿名通信系統技術的研究主要在于提高匿名性能，許多匿名通信技術原型系統借助于多個代理的重路由技術、填充包技術和加密技術來達到匿名發送或匿名接收的目的。而當匿名通信系統技術真正要被應用于現實網絡中時，系統管理方式和管理代價會直接影響到該技術的可擴展性。目前的許多匿名通信技術的原型系統采用集中式管理機制，導致其不能承受大量用戶的存在，無法應用于大規模的網絡環境中。

在跳板機技術中，跳板網絡中的節點均為被控主機，在路徑選擇和配置上比VPN和協議代理更加靈活，但由于被控節點性能參差不齊，個別節點的穩定性較差，一旦路徑中某個轉發節點失效，整條路徑將無法繼續正常工作，從而導致目標數據傳輸的失敗。此外，現在很多防火墻或IDS都有追溯的功能，理論上，對于在三跳以內的跳板網絡，可以通過代理跳板主機找到源主機。

比起真實的建立一條物理鏈路，VPN在經濟性上表現得非常好，但是所有的安全與穩定都取決于VPN代理服務商，所以VPN的安全與穩定系數并不高。目前也有將VPN代理技術和跳板機網絡相組合來構建反溯源網絡的方式，但由于兩種技術均有各自的缺陷，效果并不理想。

發明內容

針對匿名通信系統由于集中式管理機制無法承受大量用戶、跳板網絡中由于被控節點性能參差不齊導致路徑無法正常工作、VPN的安全和穩定嚴重依賴代理服務上等現有反溯源技術的缺陷，本發明公開了一種反溯源異構資源部署和最優路徑規劃方法，利用不同國家及地區的節點，構建從源端到目標端的通聯網絡，同時設定全局約束條件，規劃滿足條件的最優路徑，從而在實現高質量反溯源網絡鏈路的基礎上，承擔大規模用戶并發使用壓力，同時保證對鏈路節點的選擇控制。

本發明公開了一種反溯源異構資源部署和最優路徑規劃方法，其具體包括反溯源異構資源部署和反溯源最優路徑規劃兩個步驟；

所述的反溯源異構資源部署，是根據攻擊者和被攻擊者所在的國家或地區和相關國家和地區的位置信息和合作關系，選取一系列基礎網絡資源，并對這些網絡資源的屬性進行配置，將該網絡資源的屬性的配置問題抽象為一個組合優化決策問題，通過決策方法求解該組合優化決策問題，即在一些不同位置和不同屬性的網絡資源中選取一定數量并滿足一定要求的網絡資源，從而完成對這些網絡資源的屬性的配置。