【技術實現步驟摘要】
本申請涉及網絡安全,尤其涉及一種基于虛擬網絡的源地址驗證方法、裝置、控制器及介質。
技術介紹
1、互聯網的分層體系結構在設計初期,基于一個基本假設,即網絡成員是完全可信的,沒有充分考慮惡意行為可能帶來的安全威脅,從而導致在設計上存在固有的安全漏洞。在當前的互聯網架構中,網絡設備僅依據報文的目的ip地址進行轉發,而不驗證其源地址,為偽造源地址的攻擊提供了可乘之機,影響互聯網安全。例如,分布式拒絕服務攻擊(distributed?denial?of?service,ddos),攻擊者通過操縱大量被控制的計算機或僵尸網絡,向目標服務器(如銀行、支付網關以及根域名服務器等關鍵服務)發送海量的請求,導致目標網絡的帶寬資源被大量消耗,不僅嚴重影響目標服務的正常運行,還可能進一步波及同一局域網內的其他設備,造成整個網絡環境的惡化。
2、隨著ipv6協議的逐步普及,源地址偽造問題變得更加嚴峻。ipv6協議為互聯網提供了龐大的地址空間,滿足了日益增長的互聯網需求。然而,其分散的地址管理方式卻為攻擊者提供了更多的偽造源地址的機會,不僅影響了基于真實源地址的網絡計費、身份認證等功能的準確性,更對互聯網的基礎設施和上層應用構成了嚴重的威脅。因此,為了解決源地址偽造問題,提高互聯網的安全性,現有的域內源地址驗證(source?addressvalidation,sav),例如,基于訪問控制列表(access?control?list,acl)的sav機制需要手動配置規則并頻繁更新,既耗時又容易出錯。一旦acl規則更新不及時,可能導致合法流量被
技術實現思路
1、為了克服現有技術的不足,本專利技術提供一種基于虛擬網絡的源地址驗證方法、裝置、控制器及介質,在復雜動態網絡環境中,僅僅通過報文的源地址實現高效且精準的源地址驗證,從而有效防御源地址偽造攻擊。
2、本申請的第一方面提供一種基于虛擬網絡的源地址驗證方法,所述方法包括:
3、當接收到客戶網絡的連接請求時,確定最近虛擬節點,以控制所述客戶網絡與所述最近虛擬節點建立連接,綁定入接口,并通告源前綴;
4、基于所述源前綴和目的前綴為所述客戶網絡分配原始路徑;
5、當監聽到所述客戶網絡從源地址向目的地址發送報文時,獲取所述原始路徑的所有虛擬節點,以基于所述所有虛擬節點對所述報文的源地址進行驗證;
6、當確定所述源地址在預設的sav驗證表中存在且被標記為合法可信時,則允許所述報文基于所述原始路徑進行轉發,以使得所述報文轉發至所述目的地址。
7、在一個可選的實施方式中,所述方法還包括:
8、根據預設的觸發條件確定路徑更新問題,及基于所述路徑更新問題確定更新路徑;
9、根據所述更新路徑更新所述sav驗證表的路由路徑。
10、在一個可選的實施方式中,所述基于所述路徑更新問題確定更新路徑包括:
11、確定攻擊者的攻擊成功概率,及基于所述攻擊成功概率將所述路徑更新問題建模為多目標優化問題;
12、對所述多目標優化問題進行線性松弛,得到一個連續值解;
13、對所述連續值解進行隨機舍入,生成一組二元決策變量;
14、獲取近似解,及將所述近似解確定為所述更新路徑,所述近似解為對所述二元決策變量進行調整,以滿足預設的約束條件輸出的;
15、將所述近似解確定為所述更新路徑。
16、在一個可選的實施方式中,在所述將所述近似解確定為所述更新路徑之前,所述方法還包括:
17、通過局部搜索的啟發式算法初始化一個可行解,并記錄所述可行解及所述可行解對應的目標函數值,所述可行解為所述近似解中的任意一個;
18、對每個流量需求嘗試通過不同路徑重新路由,并在所述目標函數值改善時更新所述可行解,直至滿足預設的終止條件;
19、當滿足所述終止條件時輸出的可行解作為最優解,及將所述最優解確定為所述更新路徑。
20、在一個可選的實施方式中,所述確定攻擊者的攻擊成功概率包括:
21、確定所述攻擊者成功連接到nfv網絡中的任意一個虛擬節點的第一概率;
22、確定所述攻擊者的攻擊者報文成功進入正確接口的第二概率;
23、確定所述攻擊者成功猜中正確跳數的第三概率;
24、基于所述第一概率、所述第二概率和所述第三概率確定所述攻擊成功概率。
25、在一個可選的實施方式中,所述基于所述第一概率、所述第二概率和所述第三概率確定所述攻擊成功概率包括:
26、通過如下公式,確定所述攻擊成功概率:
27、;
28、其中,為所述攻擊成功概率,為所述第一概率,為所述第二概率,為所述第三概率, b為每個攻擊者在單位時間內最多發送的包數量, c為攻擊者控制的機器人數量。
29、在一個可選的實施方式中,所述方法還包括:
30、確定所述客戶網絡的所述目的前綴;
31、控制源虛擬節點通過目的前綴發起探測操作,以建立包含路由信息的sav驗證表,所述sav驗證表記錄了從所述源虛擬節點到所述目的虛擬節點的路由路徑,所述路由路徑包括從所述源虛擬節點到所述目的虛擬節點的所有虛擬節點。
32、本申請第二方面提供一種基于虛擬網絡的源地址驗證裝置,所述裝置包括:
33、連接建立模塊,用于當接收到客戶網絡的連接請求時,確定最近虛擬節點,以控制所述客戶網絡與所述最近虛擬節點建立連接,綁定入接口,并通告源前綴;
34、路徑分配模塊,用于基于所述源前綴和目的前綴為所述客戶網絡分配原始路徑;
35、地址驗證模塊,用于當監聽到所述客戶網絡從源地址向目的地址發送報文時,獲取所述原始路徑的所有虛擬節點,以基于所述所有虛擬節點對所述報文的源地址進行驗證;
36、報文轉發模塊,用于當確定所述源地址在預設的sav驗證表中存在且被標記為合法可信時,則允許所述報文基于所述原始路徑進行轉發,以使得所述報文轉發至所述目的地址。
37、本申請第三方面提供一種控制器,包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序,所述處理器執行所述計算機程序時實現所述基于虛擬網絡的源地址驗證方法的步驟。
38、本申請第四方面提供一種計算機可讀存儲介質,其上存儲有計算機程序,所述計算機程序被處理器執行時實現上述基于虛擬網絡的源地址驗證方法的步驟。
39、綜上所述,本申請提供的本文檔來自技高網...
【技術保護點】
1.一種基于虛擬網絡的源地址驗證方法,其特征在于,所述方法包括:
2.根據權利要求1所述的基于虛擬網絡的源地址驗證方法,其特征在于,所述方法還包括:
3.根據權利要求2所述的基于虛擬網絡的源地址驗證方法,其特征在于,所述基于所述路徑更新問題確定更新路徑包括:
4.根據權利要求3所述的基于虛擬網絡的源地址驗證方法,其特征在于,在所述將所述近似解確定為所述更新路徑之前,所述方法還包括:
5.根據權利要求3所述的基于虛擬網絡的源地址驗證方法,其特征在于,所述確定攻擊者的攻擊成功概率包括:
6.根據權利要求5所述的基于虛擬網絡的源地址驗證方法,其特征在于,所述基于所述第一概率、所述第二概率和所述第三概率確定所述攻擊成功概率包括:
7.根據權利要求1至6中任意一項所述的基于虛擬網絡的源地址驗證方法,其特征在于,所述方法還包括:
8.一種基于虛擬網絡的源地址驗證裝置,其特征在于,所述裝置包括:
9.一種中央控制器,其特征在于,包括存儲器、處理器以及存儲在存儲器上并可在處理器上運行的計算機程序,所述
10.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現權利要求1至7中任一項所述的基于虛擬網絡的源地址驗證方法的步驟。
...【技術特征摘要】
1.一種基于虛擬網絡的源地址驗證方法,其特征在于,所述方法包括:
2.根據權利要求1所述的基于虛擬網絡的源地址驗證方法,其特征在于,所述方法還包括:
3.根據權利要求2所述的基于虛擬網絡的源地址驗證方法,其特征在于,所述基于所述路徑更新問題確定更新路徑包括:
4.根據權利要求3所述的基于虛擬網絡的源地址驗證方法,其特征在于,在所述將所述近似解確定為所述更新路徑之前,所述方法還包括:
5.根據權利要求3所述的基于虛擬網絡的源地址驗證方法,其特征在于,所述確定攻擊者的攻擊成功概率包括:
6.根據權利要求5所述的基于虛擬網絡的源地址驗證方法,其特征在于,所述基于所述第一概...
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。