(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110519253A(43)申请公布日2019.11.29(21)申请号201910772472.1(22)申请日2019.08.21(71)申请人浙江大学地址310058浙江省杭州市西湖区余杭塘路866号(72)发明人吴春明陈双喜吴安邦张继学(74)专利代理机构杭州求是专利事务所有限公司33200代理人邱启旺(51)Int.Cl.H04L29/06(2006.01)H04L12/46(2006.01)权利要求书1页说明书3页附图2页(54)发明名称拟态防御中的虚拟专用网拟态方法(57)摘要本发明公开了一种拟态防御中的虚拟专用网拟态方法。本发明方法综合考虑虚拟专用网通信安全与系统资源等因素，目标是将原本保持单一长连接的虚拟专用网用拟态的思想进行优化，在通信过程中进行动态的异构虚拟专用网隧道切换；通过信道安全传输消息的比率决定下一次轮到此虚拟专用网隧道的时间窗口长度；本发明具有系统资源消耗少，通信双方会话安全，隧道切换快速，普适性强的特点。CN110519253ACN110519253A权利要求书1/1页1.一种拟态防御中的虚拟专用网拟态方法，其特征在于，包括以下步骤：(1)在通信双方之间同时建立起N条异构的虚拟专用网隧道。(2)通信双方实现隧道同步选择，并根据各个通道的安全传输率确定其对应的时间窗口长度，具体为：用N表示步骤(1)建立的通信双方之间虚拟专用网隧道个数；双方通信的总执行周期为T，为每条虚拟专用网隧道分配一个长度为Ti的子时间窗口；用Ci表示第i个虚拟专用网隧道的消息安全传输率，Ci的初始值为1；则第i个虚拟专用网隧道在总执行周期T内占用的子时间窗口长度为其中i＝1,2,…，；为对所有Ci的求和，k为1～N的自然数；依次计算出N个虚拟专用网隧道对应的子时间窗口长度Ti。(3)从第1个虚拟专用网隧道开始，选择一个虚拟专用网隧道，进行双方通信；当通信时间达到步骤(2)得到的子时间窗口长度Ti时，检测当前使用的虚拟专用网隧道，根据最新一次隧道通信情况，记录消息安全传输率Ci，并选择下一个虚拟专用网隧道进行双方通信，依次轮转。(4)在步骤(1)建立的所有虚拟专用网隧道轮转完成后，统一更新消息安全传输率Ci，用于确定下一次通信的子时间窗口长度。2CN110519253A说明书1/3页拟态防御中的虚拟专用网拟态方法技术领域[0001]本发明属于网络安全技术领域，具体属于网络安全拟态防御技术领域，尤其涉及一种拟态防御中的虚拟专用网拟态方法。背景技术[0002]随着互联网的不断演进、攻击技术的不断进化，网络攻击呈现“隐蔽性、协同性、精确性”等特点，网络安全处于“易攻难守”的态势。为了彻底改变传统的“封堵查杀”等被动应对的防护模式，形成主动防御能力，拟态防御技术应运而生。拟态防御技术是指以系统内部动态异构冗余结构为基础提出的一种主动防御技术，能够应对网络空间中的各类未知威胁。由于采用综合性的防御手段，拟态防御技术具有良好的可靠性与普适性，近年来成为学术界与工业界的研究热点。[0003]拟态虚拟专用网方法是拟态防御技术中的一个重要组成部分。虚拟专用网指的是在互联网服务提供商上建立专用网络的技术，通过点对点的连接在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成，其主要用于远程办公、云资源管理等。安全问题是虚拟专用网的核心问题。虚拟专用网的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，一定程度上可以保证通信双方安全地通信。但是，如今的虚拟专用网往往需要扩展到远程访问并保持长时间的连接，这些始终在线的连接将会成为黑客攻击的主要目标，并且不同虚拟专用网厂商自身的协议栈、数据流处理层面可能存在未知漏洞、后门。因此，以拟态防御动态异构冗余架构(DHR)为理论基础，对传统虚拟专用网架构进行改造后设计拟态虚拟专用网，打破传统长连接形式的虚拟专用网就显得尤为重要。[0004]现有的虚拟专用网利用已加密的通道协议来达到保密、发送端认证、消息准确性等通信消息安全效果。这种技术可以用不安全的网络(例如：互联网)，建立安全隧道，来发送可靠、安全的消息。然而这样保持长连接的虚拟专用网存在着三方面缺陷：首先，长时间保持连接的虚拟专用网，使攻击者拥有单一的攻击目标和相对充裕的攻击时间，风险较大；其次，如今存在多种异构的虚拟专用网软件，无法保证这些软件在虚拟专用网实现过程中的协议、软件层面的安全性，若使用的虚拟专用网存在安全漏洞则会直接导致通信过程的不可靠、不安全；第三，单一一款虚拟专用网软件可能存在后门，存在被利用的风险。[0005]因此，现有的虚拟专用网方