本申請涉及數(shù)據(jù)處理，特別是涉及一種基于p4的抗traceroute的網(wǎng)絡拓撲混淆系統(tǒng)。

背景技術：

1、traceroute是標準路徑追蹤工具，主要用于詳細地顯示數(shù)據(jù)包到主機間路徑的逐跳信息(例如中間路由器的ip地址)。它通過從源端到目的端發(fā)送一系列ttl值遞增的探測數(shù)據(jù)包以探測路由路徑。當一個數(shù)據(jù)包到達一個路由器時，路由器會首先檢查數(shù)據(jù)包的ttl值是否等于1。如果是，它會丟棄該數(shù)據(jù)包并發(fā)送一個包含路由器入接口ip地址的icmp超時消息，用來防止數(shù)據(jù)包在網(wǎng)絡中無限循環(huán)；如果不是，路由器會將該數(shù)據(jù)包的ttl值減1并轉(zhuǎn)發(fā)給下一跳路由器。因此，基于上述轉(zhuǎn)發(fā)規(guī)則，從ttl＝1開始，源端每次發(fā)送ttl值增加1的探測數(shù)據(jù)包，然后接收內(nèi)部設備發(fā)送的icmp超時消息，直到探測數(shù)據(jù)包能夠到達目的端。此外，traceroute還可以使用發(fā)送數(shù)據(jù)包和接收相應icmp超時消息之間的時間差來測量路徑的往返時間(round-trip?time,rtt)。由于攻擊者需要接收目標網(wǎng)絡內(nèi)部轉(zhuǎn)發(fā)設備發(fā)送的響應消息來推斷網(wǎng)絡拓撲結(jié)構(gòu)，基于traceroute的系統(tǒng)也被稱為內(nèi)部協(xié)作拓撲推斷或顯式拓撲推斷。通過綜合多個源端-目的端之間的探測路徑，攻擊者可以獲得一個完整的拓撲結(jié)構(gòu)，該拓撲中的每個節(jié)點代表一個ip地址。這種拓撲被稱為接口級拓撲或ip級拓撲。然而，一個路由器通常有許多接口，每個接口都有單獨的ip地址。因此，接口級拓撲無法反映底層的物理拓撲結(jié)構(gòu)。為此，攻擊者需要將屬于同一路由器的不同接口合并成一個路由器節(jié)點，該操作被稱為別名解析。

2、現(xiàn)有的別名解析技術可以根據(jù)是否需要發(fā)送額外的探測數(shù)據(jù)包分為兩類：1)基于數(shù)據(jù)包的別名解析技術需要發(fā)送額外的探測數(shù)據(jù)包來檢查某兩個ip地址是否屬于同一個路由器。這類別名解析技術分析額外探測數(shù)據(jù)包的響應消息中包含的具體內(nèi)容，例如icmp消息中的源ip地址和ip頭部選項。2)基于圖的別名解析技術在不發(fā)送額外探測數(shù)據(jù)包的情況下分析路徑信息。例如，能夠到達同一個ip地址的不同ip地址是彼此的別名，而同一探測路徑中的ip地址彼此之間不是別名。別名解析完成后，探測拓撲中的每個節(jié)點代表一個獨立的網(wǎng)絡設備，這被稱為路由器級拓撲，可以用來推斷目標網(wǎng)絡的關鍵節(jié)點和鏈路信息。攻擊者可以通過合并收集到的路徑信息中相同的節(jié)點和鏈路信息來構(gòu)建一個接口級拓撲，為了獲得底層物理網(wǎng)絡結(jié)構(gòu)，攻擊者可以使用別名解析技術將接口級拓撲轉(zhuǎn)換為路由器級拓撲。路由器級拓撲可以幫助攻擊者定位目標網(wǎng)絡中的關鍵節(jié)點和鏈路，從而構(gòu)建一種成本效益高的攻擊策略，在尋找到部分關鍵節(jié)點、鏈路之后，攻擊者通過對少量關鍵鏈路發(fā)起泛洪，達到切斷受害者一定范圍內(nèi)網(wǎng)絡通信的目的。

3、目前，鏈路泛洪攻擊已經(jīng)對全球互聯(lián)網(wǎng)造成了嚴重損失。為了解決這一問題，可編程路由器可以通過對icmp消息的修改來嘗試隱藏、混淆部分特定鏈路，以阻止攻擊者發(fā)現(xiàn)有效目標。然而，僅混淆ip地址、創(chuàng)建簡單虛擬通路的系統(tǒng)無法達到混淆鏈路重要性的效果，即使鏈路名稱、代號改變，攻擊者仍然能識別出拓撲中鏈路的位置、評估得到鏈路的重要性，并成功發(fā)起攻擊，威脅網(wǎng)絡可用性。

技術實現(xiàn)思路

1、基于此，有必要針對上述技術問題，提供一種能夠提高網(wǎng)絡安全性的基于p4的抗traceroute的網(wǎng)絡拓撲混淆系統(tǒng)。

2、一種基于p4的抗traceroute的網(wǎng)絡拓撲混淆系統(tǒng)，所述系統(tǒng)包括節(jié)點選擇器、拓撲偽造器、配置生成器和混淆節(jié)點；

3、節(jié)點選擇器用于利用預先設置的多個評價指標來識別目標網(wǎng)絡中的關鍵節(jié)點并在滿足成本約束的情況下計算出混淆節(jié)點的節(jié)點升級策略；

4、拓撲偽造器用于根據(jù)目標網(wǎng)絡拓撲和混淆節(jié)點的節(jié)點升級策略構(gòu)建一個關鍵程度分布均衡的虛假拓撲；

5、配置生成器用于利用p4程序?qū)⑻摷偻負滢D(zhuǎn)換為混淆節(jié)點的數(shù)據(jù)包處理邏輯的配置信息并下發(fā)至混淆節(jié)點以實現(xiàn)將虛假拓撲部署在數(shù)據(jù)平面；

6、混淆節(jié)點用于在數(shù)據(jù)平面執(zhí)行定制的拓撲混淆的數(shù)據(jù)包處理邏輯為惡意探測數(shù)據(jù)包呈現(xiàn)虛假的拓撲信息并以真實的拓撲信息響應正常探測數(shù)據(jù)包。

7、上述基于p4的抗traceroute的網(wǎng)絡拓撲混淆系統(tǒng)，本申請首先利用預先設置的多個評價指標來識別目標網(wǎng)絡中的關鍵節(jié)點并在滿足成本約束的情況下計算出混淆節(jié)點的節(jié)點升級策略，優(yōu)先將目標網(wǎng)絡中關鍵程度高的節(jié)點升級為具有混淆能力的節(jié)點，即混淆節(jié)點，然后根據(jù)目標網(wǎng)絡拓撲和混淆節(jié)點的節(jié)點升級策略構(gòu)建一個關鍵程度分布均衡的虛假拓撲，為攻擊者捏造一個安全性更高的虛假拓撲，使得該虛假拓撲中節(jié)點的關鍵程度的分布更加均勻，以隱藏網(wǎng)絡中的真實關鍵節(jié)點。利用p4程序?qū)⑻摷偻負滢D(zhuǎn)換為混淆節(jié)點的數(shù)據(jù)包處理邏輯的配置信息并下發(fā)至混淆節(jié)點以實現(xiàn)將虛假拓撲部署在數(shù)據(jù)平面，為混淆節(jié)點設計一種新的探測數(shù)據(jù)包處理邏輯，該處理邏輯修改經(jīng)過的探測數(shù)據(jù)包并為到期的探測數(shù)據(jù)包反饋假的icmp超時消息，以向攻擊者呈現(xiàn)一個關鍵節(jié)點隱藏的虛假拓撲，進而大大提高網(wǎng)絡安全性。

技術特征：

1.一種基于p4的抗traceroute的網(wǎng)絡拓撲混淆系統(tǒng)，其特征在于，所述系統(tǒng)包括節(jié)點選擇器、拓撲偽造器、配置生成器和混淆節(jié)點；

2.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，所述目標網(wǎng)絡包括節(jié)點集合和鏈路集合；所述評價指標包括度中心性、基于流量的介數(shù)中心性和緊密中心性；所述度中心性用于描述節(jié)點與網(wǎng)絡中其他節(jié)點的連接概率，定義為其中degree(v)表示節(jié)點v的度；所述基于流量的介數(shù)中心性作為識別潛在關鍵節(jié)點的重要指標，定義為其中f表示探測流量的集合，tvs(f,x)是二進制變量，如果等于1，則表示探測流f的路由路徑穿過節(jié)點v，在識別關鍵節(jié)點時考慮將所有可能的以入口/出口路由器為源地址和目的地址的端到端路徑作為攻擊者的潛在探測路徑，即，|f|＝ne(ne-1)，其中ne為目標網(wǎng)絡中入口/出口路由器的數(shù)量；所述緊密中心性為其中dv,u表示節(jié)點v和u之間的距離。

3.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，所述在滿足成本約束的情況下計算出混淆節(jié)點的節(jié)點升級策略，包括：

4.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，所述拓撲偽造器用于根據(jù)目標網(wǎng)絡拓撲和混淆節(jié)點的節(jié)點升級策略構(gòu)建一個關鍵程度分布均衡的虛假拓撲，包括：

5.根據(jù)權(quán)利要求1至4任意一項所述的系統(tǒng)，其特征在于，將虛假拓撲轉(zhuǎn)換為混淆節(jié)點的數(shù)據(jù)包處理邏輯的配置信息并下發(fā)至混淆節(jié)點以實現(xiàn)將虛假拓撲部署在數(shù)據(jù)平面之前，還包括：

6.根據(jù)權(quán)利要求5所述的系統(tǒng)，其特征在于，所述配置生成器用于利用p4程序?qū)⑻摷偻負滢D(zhuǎn)換為混淆節(jié)點的數(shù)據(jù)包處理邏輯的配置信息并下發(fā)至混淆節(jié)點以實現(xiàn)將虛假拓撲部署在數(shù)據(jù)平面，包括：

7.根據(jù)權(quán)利要求6所述的系統(tǒng)，其特征在于，所述混淆節(jié)點用于在數(shù)據(jù)平面執(zhí)行定制的拓撲混淆的數(shù)據(jù)包處理邏輯，為惡意探測數(shù)據(jù)包呈現(xiàn)虛假的拓撲信息并以真實的拓撲信息響應正常探測數(shù)據(jù)包，包括：

8.根據(jù)權(quán)利要求7所述的系統(tǒng)，其特征在于，所述ttl動態(tài)偽裝策略表示根據(jù)虛假路徑的長度而非真實路徑的長度處理數(shù)據(jù)包頭的ttl字段，對于將在混淆節(jié)點分裂出的虛擬節(jié)點上過期的探測數(shù)據(jù)包，混淆節(jié)點會動態(tài)地為icmp超時消息填充ttl值使得消息到達探測節(jié)點時是連續(xù)的。

9.根據(jù)權(quán)利要求5所述的系統(tǒng)，其特征在于，所述icmp錯誤響應表示丟棄觸發(fā)混淆節(jié)點執(zhí)行icmp錯誤響應的數(shù)據(jù)包并將包含虛擬節(jié)點的ip地址和虛假的ttl值的icmp超時消息發(fā)送給惡意探測數(shù)據(jù)包的源端。

技術總結(jié)
本申請涉及一種基于P4的抗Traceroute的網(wǎng)絡拓撲混淆系統(tǒng)。所述系統(tǒng)包括：包括節(jié)點選擇器、拓撲偽造器、配置生成器和混淆節(jié)點；節(jié)點選擇器用于利用多個評價指標來識別目標網(wǎng)絡中的關鍵節(jié)點并在滿足成本約束的情況下計算出混淆節(jié)點的節(jié)點升級策略；拓撲偽造器用于根據(jù)目標網(wǎng)絡拓撲和混淆節(jié)點的節(jié)點升級策略構(gòu)建虛假拓撲；配置生成器用于利用P4程序?qū)⑻摷偻負滢D(zhuǎn)換為混淆節(jié)點的數(shù)據(jù)包處理邏輯的配置信息并下發(fā)至混淆節(jié)點以實現(xiàn)將虛假拓撲部署在數(shù)據(jù)平面；混淆節(jié)點用于在數(shù)據(jù)平面執(zhí)行定制的拓撲混淆的數(shù)據(jù)包處理邏輯為惡意探測數(shù)據(jù)包呈現(xiàn)虛假的拓撲信息并以真實的拓撲信息響應正常探測數(shù)據(jù)包。采用本系統(tǒng)能夠提高網(wǎng)絡安全性。

技術研發(fā)人員：任棒棒,仇常皓,郭得科,羅來龍,李尚森
受保護的技術使用者：中國人民解放軍國防科技大學
技術研發(fā)日：
技術公布日：2024/12/12