[发明专利]基于广义鲁棒控制的网络防御方法、系统及交换机

说明书

本发明属于网络交换机安全技术领域，特别涉及一种基于广义鲁棒控制的网络防御方法、系统及交换机，对抓取的网络交换机协议报文复制n份并分发至面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体；各异构执行体依据接收的协议报文进行响应；针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并反馈至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理。本发明利用广义鲁棒控制机制，通过构建覆盖三个层面的异构执行体，实现“感知‑决策‑适配”一体的积极防御，提升以太网交换机面对未知漏洞/后门的处理能力和交换机内部安全稳定性，增强局域网应对外部入侵和内部渗透能力。

技术领域

本发明属于网络交换机安全技术领域，特别涉及一种基于广义鲁棒控制的网络防御方法、系统及交换机，以提高交换机自身稳定性和抗容错能力。

背景技术

局域网是整个计算机网络的最基本单元，而交换机连接局域网中的各台设备，使其组成网络，从而实现资源共享的目的。从用户连接侧来讲，交换机是网络安全防御的第一道防线，对内部网络资源和用户主机的安全防御起到至关重要的作用。如果交换机被恶意控制，攻击者可方便的获取用户隐私数据、监控用户上网行为、获取账户密码信息、篡改关键用户数据、推送传播虚假信息、扰乱网络数据流向、瘫痪网络信息交互、直接发起网络攻击。总之，如果针对主机的攻击是破坏了一个点，那么针对交换机的攻击则危及整个内网。究其原因是交换机存在泛在化的基于未知漏洞和后门等的不确定威胁，且缺乏彻查漏洞和后门等的科学与技术方法。一是，现有的科技能力尚无法彻底避免交换机软硬件设计缺陷导致的漏洞。二是，全球化生态环境衍生出的交换机软硬件后门问题不可能从根本上杜绝。三是，现有的科技理论和方法尚不能有效或在可承受的条件下彻查交换机中的漏洞与后门。四是，第三方出于某种企图在交换机系统中植入后门。因此，交换机自身随机故障等不确定性失效扰动和漏洞、后门等不确定威胁扰动是交换机安全亟待解决的问题。

发明内容

为此，本发明提供一种基于广义鲁棒控制的网络防御方法、系统及交换机，在不改变传统路由交换功能的基础上，不依赖先验知识和攻击特征，解决传统以太网交换机无法防范由于自身故障或漏洞等造成的未知威胁及攻击的问题，提高以太网交换机自身的稳定性以及抗容错能力，达到更好的网络安全防御效果。

按照本发明所提供的设计方案，一种基于广义鲁棒控制的网络防御方法，包含：

对抓取的网络交换机协议报文复制n份并对应分发至n个面向三层交换机的异构执行体，所述异构执行体为采用异构硬件和/或软件组成的功能等价执行体，其中，n为大于2；

各异构执行体依据接收的协议报文进行响应；

针对各异构执行体响应结果，采用大数判决机制选取响应输出数据并反馈至网络交换机，针对未被选中响应结果的异构执行体进行异常记录和处理。

作为本发明基于广义鲁棒控制的网络防御方法，进一步地，所述异构执行体采用异构CPU和/或异构操作系统和/或异构协议栈。

作为本发明基于广义鲁棒控制的网络防御方法，进一步地，针对n个异构执行体，选取一个用于网络数据正常交互的主执行体，其余作为仅接收分发协议报文并做出响应的备执行体。

作为本发明基于广义鲁棒控制的网络防御方法，进一步地，通过设置轮换策略选取主执行体。

作为本发明基于广义鲁棒控制的网络防御方法，进一步地，所述轮换策略为自定义轮换周期。

作为本发明基于广义鲁棒控制的网络防御方法，进一步地，针对各异构执行体响应结果，采用大数判决机制选取响应输出数据时，判决对象包含：MAC表、路由表项、ARP表项、ACL表项、QoS表项及用户管理配置数据。

作为本发明基于广义鲁棒控制的网络防御方法，进一步地，针对异常记录的异构执行体，通过对其下线清洗或降低置信度进行异常处理。