一種多實例路由單元的擬態(tài)路由決策方法
【技術(shù)領(lǐng)域】
[0001]該發(fā)明涉及一種網(wǎng)絡(luò)空間安全擬態(tài)防御方法，特別是涉及一種多實例路由單元的擬態(tài)路由決策方法。
【背景技術(shù)】
[0002]擬態(tài)安全防御主要針對網(wǎng)絡(luò)空間攻擊成本和防御成本的嚴(yán)重不對稱性，以及當(dāng)前條件下我國信息領(lǐng)域核心技術(shù)與產(chǎn)業(yè)基礎(chǔ)嚴(yán)重滯后國家安全需求的嚴(yán)峻性提出的，其目標(biāo)是在系統(tǒng)層面利用結(jié)構(gòu)動態(tài)變換和運行環(huán)境動態(tài)多樣化等技術(shù)，阻斷或擾亂攻擊鏈所依賴的靜態(tài)性、相似性和確定性以達成系統(tǒng)安全風(fēng)險可控的要求。

【發(fā)明內(nèi)容】

[0003]本發(fā)明克服了現(xiàn)有技術(shù)中，網(wǎng)絡(luò)空間的安全需求十分嚴(yán)峻的問題，提供一種系統(tǒng)抵御風(fēng)險的能力高的多實例路由單元的擬態(tài)路由決策方法。
[0004]本發(fā)明的技術(shù)解決方案是，提供一種具有以下步驟的多實例路由單元的擬態(tài)路由決策方法，所述方法是擬態(tài)路由交換系統(tǒng)控制平面的路由決策方法，其實現(xiàn)方式如下:
[0005]步驟(I)，路由決策模塊為每一個路由實例維護其下發(fā)的路由表項；
[0006]步驟(2)，對于每個路由表項，與路由決策模塊維護的所有其它路由表項進行比對，得到與該路由表項內(nèi)容完全相同的路由表項的數(shù)目，根據(jù)路由表項相同的數(shù)目及所屬路由實例的可信度計算每個路由表項的可信度；
[0007]步驟(3)，將具有相同目的地址的可信度最高的路由表項作為決策得到的最終路由表項，將其轉(zhuǎn)換為轉(zhuǎn)發(fā)表項下發(fā)到轉(zhuǎn)發(fā)單元，根據(jù)路由表項被選擇的情況，動態(tài)修改所屬路由實例的可信度；
[0008]步驟(4)，對于路由實例下發(fā)的刪除路由表項的操作，路由決策模塊首先執(zhí)行對應(yīng)的刪除操作，動態(tài)修改所屬路由實例的可信度，再轉(zhuǎn)至步驟(2)，重新進行該目的地址路由表項的決策；
[0009]步驟(5)，若檢測到某路由實例發(fā)生問題，則轉(zhuǎn)步驟(4)對應(yīng)刪除該路由實例下發(fā)的所有路由表項。
[0010]所述步驟(I)為初始化操作，具體步驟如下:路由決策模塊在路由實例啟動后，對其進行配置，主要是初始化路由實例的Weight值和Trust值，具體取值取決于路由決策模塊對該路由實例的情況掌握程度。
[0011]所述步驟(2)為Strategy計算，具體步驟如下:
[0012]步驟1:路由決策模塊遍歷每個路由實例下發(fā)的路由表項，在其中查找具有相同內(nèi)容的路由表項；
[0013]步驟2:對應(yīng)記錄每個路由表項的相同表項的情況，計算路由表項的Common值；
[0014]步驟3:每個路由表項根據(jù)自己的Common值以及所屬路由實例的Weight值和Trust值計算得到自己的Strategy值。
[0015]所述步驟(3)為比較及路由下發(fā)操作，具體步驟如下:
[0016]步驟1:路由決策模塊遍歷每個路由實例下發(fā)的路由表項，得到具有相同目的IP的路由表項；
[0017]步驟2:若沒有相同目的IP的路由表項，則轉(zhuǎn)步驟4 ;
[0018]步驟3:對這些具有相同目的IP的路由表項的Strategy值進行比較，選擇具有最大值的路由表項；
[0019]步驟4:將具有最大Strategy值的路由表項轉(zhuǎn)換為轉(zhuǎn)發(fā)表項，下發(fā)至轉(zhuǎn)發(fā)單元；
[0020]步驟5:將該表項所屬路由實例的Trust值增加，同時對與該表項相同的表項所屬的路由實例的Trust值增加。
[0021]所述步驟(4)為路由刪除操作，具體步驟如下:
[0022]步驟1:路由決策模塊記錄要刪除的路由表項內(nèi)容，包括目的IP地址和下一跳IP地址；
[0023]步驟2:將該表項從對應(yīng)的路由實例路由表中刪除，對應(yīng)降低該路由實例的Trust值；
[0024]步驟3:重新對該目的IP地址的路由表項進行Strategy計算、比較及路由下發(fā)過程。
[0025]與現(xiàn)有技術(shù)相比，本發(fā)明多實例路由單元的擬態(tài)路由決策方法具有以下優(yōu)點:擬態(tài)路由交換系統(tǒng)是采用擬態(tài)安全防御機制的可重構(gòu)路由交換節(jié)點，采用適應(yīng)于路由交換節(jié)點體系結(jié)構(gòu)的多樣化構(gòu)建方法，改變傳統(tǒng)的基于數(shù)據(jù)平面、控制平面與管理平面的靜態(tài)體系結(jié)構(gòu)，實施關(guān)鍵硬件構(gòu)件多態(tài)重構(gòu)機制以及協(xié)議軟件多變體協(xié)同運行機制。
[0026]控制平面的威脅主要來自以摧毀路由協(xié)議為目的的路由協(xié)議攻擊和以注入虛假路由為目的的路由欺騙。傳統(tǒng)路由器通過修補路由協(xié)議漏洞、增加附加的安全機制應(yīng)對上述攻擊，從根本上沒有改變控制平面的靜態(tài)特性，無法完全解決控制平面上路由協(xié)議和路由信息的脆弱性問題。為徹底解決路由協(xié)議面臨的安全隱患，擬態(tài)路由交換系統(tǒng)控制平面采用運行環(huán)境的擬態(tài)化、路由協(xié)議的擬態(tài)化以及路由生成和使用的擬態(tài)化，構(gòu)成路由交換系統(tǒng)擬態(tài)控制平面。
[0027]在擬態(tài)路由交換系統(tǒng)中，為實現(xiàn)路由的擬態(tài)化，采用運行多個路由實例的路由計算方式。每個路由實例獨立進行路由計算，產(chǎn)生多個路由表項，將這多個路由表項送至路由決策模塊，路由決策模塊對生成的多個路由表項進行決策，選擇生成轉(zhuǎn)發(fā)表項，下發(fā)至轉(zhuǎn)發(fā)單元。本發(fā)明是對該應(yīng)用環(huán)境下路由決策的方法描述，目的是體現(xiàn)路由決策的擬態(tài)化，提升路由安全性，增強系統(tǒng)抵御風(fēng)險的能力。
【附圖說明】
[0028]圖1是本發(fā)明多實例路由單元的擬態(tài)路由決策方法的路由決策流程示意圖；
[0029]圖2是本發(fā)明多實例路由單元的擬態(tài)路由決策方法的路由表項結(jié)構(gòu)示意圖；
[0030]圖3是本發(fā)明多實例路由單元的擬態(tài)路由決策方法步驟(I)初始化操作的流程示意圖；
[0031]圖4是本發(fā)明多實例路由單元的擬態(tài)路由決策方法步驟(2) Strategy計算的流程示意圖；
[0032]圖5是本發(fā)明多實例路由單元的擬態(tài)路由決策方法步驟(3)比較及路由下發(fā)操作的流程示意圖；
[0033]圖6是本發(fā)明多實例路由單元的擬態(tài)路由決策方法步驟⑷為路由刪除操作的流程不意圖；
【具體實施方式】
[0034]下面結(jié)合附圖和【具體實施方式】對本發(fā)明多實例路由單元的擬態(tài)路由決策方法作進一步說明:所述方法是擬態(tài)路由交換系統(tǒng)控制平面的路由決策方法，其實現(xiàn)方式如下:
[0035]步驟(I)，路由決策模塊為每一個路由實例維護其下發(fā)的路由表項；路由表項格式如附圖2所示。
[0036]步驟(2)，對于每個路由表項，與路由決策模塊維護的所有其它路由表項進行比對，得到與該路由表項內(nèi)容完全相同的路由表項的數(shù)目，根據(jù)路由表項相同的數(shù)目及所屬路由實例的可信度計算每個路由表項的可信度；
[0037]步驟(3)，將具有相同目的地址的可信度最高的路由表項作為決策得到的最終路由表項，將其轉(zhuǎn)換為轉(zhuǎn)發(fā)表項下發(fā)到轉(zhuǎn)發(fā)單元，根據(jù)路由表項被選擇的情況，動態(tài)修改所屬路由實例的可信度；
[0038]步驟(4)，對于路由實例下發(fā)的刪除路由表項的操作，路由決策模塊首先執(zhí)行對應(yīng)的刪除操作，動態(tài)修改所屬路由實例的可信度，再轉(zhuǎn)至步驟(2)，重新進行該目的地址路由表項的決策；
[0039]步驟(5)，若檢測到某路由實例發(fā)生問題，其問題可以是監(jiān)測不到正常的keepalive,或者獲取不到路由信息，與路由實例的連接中斷等等，則轉(zhuǎn)步驟(4)對應(yīng)刪除該路由實例下發(fā)的所有路由表項。
[0040]