(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111513187.1 (22)申请日 2021.12.12 (71)申请人 中国电子科技 集团公司第十五研究 所 地址 100083 北京市海淀区北四环中路21 1 号 申请人 中电科网络空间安全研究院有限公 司　 中国电子科技 集团公司第三十 研究 所 (72)发明人 张先国　任传伦　徐军化　杨天长　 尹誉衡　李宝静　 (74)专利代理 机构 北京丰浩知识产权代理事务 所(普通合伙) 11781 代理人 李学康(51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种反溯源异构资源部署和最优路径规划 方法 (57)摘要 本发明公开了一种反溯源异构资源部署和 最优路径 规划方法， 其具体包括反溯源异构资源 部署和反溯源最优路径规划两个步骤； 所述的反 溯源异构资源部署， 是根据攻击者和被攻击者所 在的国家或地区和相关国家和地区的位置信息 和合作关系， 选取一系列基础网络资源， 并对这 些网络资源的属性进行配置， 将该网络资源的属 性的配置问题抽象为一个组合优化决策问题， 通 过决策方法求解该组合优化决策问题。 本发明充 分考虑多种影响反溯源异构网络节 点选取条件， 将反溯源异构网络构建问题抽象为组合优化决 策问题， 为反溯源异构网络构建提供模式化的解 决方案， 从 网络构建层面上保障了反溯源异构网 络的高安全性、 高连通 性和低代价。 权利要求书3页 说明书8页 附图1页 CN 114205152 A 2022.03.18 CN 114205152 A 1.一种反溯源异构资源部署和最优路径规划方法， 其特征在于， 其具体包括反溯源异 构资源部署和反溯源最优路径规划； 所述的反溯源异构资源部署， 是根据攻击者和被攻击者所在的国家或地 区和相关 国家 和地区的位置信息和 合作关系， 选取一系列基础 网络资源， 并对这些网络资源的属 性进行 配置， 将该网络资源的属 性的配置 问题抽象为一个组合优化决策问题， 通过决策方法求解 该组合优化决策问题， 即在一些不同位置和不同属性的网络资源中选取一定数量并满足一 定要求的网络资源， 从而完成对这些网络资源的属性的配置； 所述的反溯源最优路径规划， 将反溯源异构资源部署所选择的每个网络资源看做一个 节点， 将节点按照其所在国家或地区分组， 每个组内包含一定数量的节点， 网络 资源对应的 节点类型包括代理服务、 跳板、 公众服务和第三方匿名网络， 每个节点对应一个属性向量， 它表示此节 点的个体属性， 节点的属性包括节 点所在组、 节点类型、 节点名称、 通信能力、 处 理能力、 存储 能力、 操作系统、 网络应用、 安全性、 物理位置、 稳定性、 可控性和节点状态， 节 点状态包括未选中和选中两种； 节点之 间存在连接 关系， 组与组之 间存在合作关系， 利用节 点和节点之间的连接 关系构成一个无向图， 该图中点表示节 点， 边表示节点的连接 关系， 边 有一定权重值， 边的权重值由节点间的路径带宽决定； 通过构建图， 将反溯源最优路径规划 抽象为组合优化决策问题， 从而使用决策方法来解决。 反溯源最优路径规划需满足安全性、 连通性和经济代价的约束 条件， 因此根据上述约束 条件定义相关的函数， 包括安全性、 连通 性、 经济代价的函数。 2.如权利要求1所述的反溯源异构资源部署和最优路径规划方法， 其特 征在于， 所述的反溯源异构资源部署， 将每个网络资源看做一个节点， 将节点按照其所在 国家 或地区分组， 每个组内包含一定数量的节点， 网络资源对应的节点类型包括代理服务、 跳 板、 公众服务和第三方匿名网络， 每个节点对应一个属 性向量， 它表示此节点的个体属 性， 节点的属性包括节点所在组， 节点类型， 节点名称， 通信能力， 处理能力， 存储能力， 操作系 统， 网络应用， 安全性， 物理位置， 稳定性， 可控性， 节 点状态， 节 点状态包括未选中和选中两 种； 节点之间存在连接 关系， 组与组之 间存在合作关系， 利用节点和节点之 间的连接 关系构 成一个无向图， 该图中点表示节点， 边表示节点的连接关系， 边有一定权重值， 边的权重值 由节点间的路径带宽决定； 通过构建图， 将反溯源异构资源部署问题抽象为组合优化决策 问题， 从而 使用决策 方法来解决。 3.如权利要求2所述的反溯源异构资源部署和最优路径规划方法， 其特 征在于， 反溯源异构资源部署需满足安全性、 连通性和经济代价的约束条件， 因此根据上述约 束条件定义相关的函数， 包括 安全性、 连通 性、 经济代价的函数； 安全性函数是若干个独立的安全因子的累加值， 安全因子用于衡量目标节点与本地节 点的相对安全性， 每个安全因子通过综合考虑节 点的使用方式、 国家间的合作关系、 本地节 点与目标节点间的距离的因素得到； 本地节点为实施网络攻击的节点， 目标节点为被攻击 的节点； 连通性函数由组内节点的连通性和组间的连通性决定； 组内的一个节点连接其他节点 的数量称为该节点的度， 组内节点的连通性以度来度量， 组间节点连通性以它们之间相连 接的两节点之间的最小带宽来表示； 经济代价函数为被选择用于反溯源异构资源部署的所有节点的所需花费的总经济代权　利　要　求　书 1/3 页 2 CN 114205152 A 2价之和； 使用决策方法对该组合优化决策问题进行求解 时， 设定初始状态为各组节点均未被选 中， 目标状态为选取一系列符合要求的节点； 将反溯源异构资源部署决策时需要考虑的国 家/地区、 代理服务、 跳板、 公众服务、 匿名网络、 运营商、 带宽占用、 资源处理能力、 资源存储 能力、 操作系统、 稳定性、 使用方式、 使用状态、 可控性和安全性的因素定义为个体， 将国家/ 地区间位置 关系、 国家/地区间合作关系、 节 点选中状态和方式、 节 点属性关系、 节点间连通 关系定义为关系， 将节点间进行连接和选择节点定义为行为， 基于所定义的个体、 关系、 行 为和函数， 从初始状态出发， 通过不断迭代选取一系列节点， 最后完成异构资源的部署。 4.如权利要求3所述的反溯源异构资源部署和最优路径规划方法， 其特 征在于， 所述的使用决策 方法对该组合优化决策问题进行求 解， 其具体步骤 包括： S11， 在目标节点的网络所在国家/地区选取一定数量的公众服务， 以便于行为的传播 和信息的收集； S12， 然后在目标节点的网络所在国家/地区选取一定数量的代理服务， 该代理服务的 处理能力和传输能力需要满足反溯源的需求， 并确保代理服务具备把目标数据或文件从目 标节点所在的网络转移出去的能力； S13， 在与目标节点的网络所在的国家/地区的周边的国家/地区中， 选取一定数量的与 目标网络所在的国家/地区的网络延迟低于某个阈值的国家/地区， 并在选中的每个 国家/ 地区选取一个跳 板机； S14， 在步骤S12中选取的代理服务所在的国家/地区中选取一定数量的跳板机， 且这些 跳板机的操作系统与步骤S13 选取的跳 板机不同； S15， 在步骤S12中选取的代理服 务所在的国家/地区中选取一定数量的匿名网络； S16， 计算步骤S11至S15所选取的异构资源的安全性函数、 连通性函数和经济代价函 数， 当该三个函数之和大于阈值时， 返回步骤S11； 当该三个函数之和小于阈值时， 进入步骤 S17； S17， 记录所选择的异构资源配置， 完成异构资源的部署， 将所选择的异构资源作为反 溯源路径规划的输入。 5.如权利要求1所述的反溯源异构资源部署和最优路径规划方法， 其特 征在于， 对反溯源最优路径规划决策时， 路径规划决策的初始状态为在网络 中选取的一系列的 异构资源， 目标状态为选择一条最优的攻击 路径； 路径规划过程从源攻击节点出发， 遍历网 络中节点， 找到从源攻击节点到被攻击节点的所有符合条件的路径， 最后从 中选择安全性、 连通性、 经济代价联合 最优的一条路径作为 攻击路径。 6.如权利要求5所述的反溯源异构资源部署和最优路径规划方法， 其特 征在于， 所述的对反溯源最优路径规划决策， 其具体包括： S21， 从源攻击节点出发， 探测与其 直接相连的节点中的未被探测的节点； S22， 判断此节点是否是满足个体定义和关系定义的节点， 如果满足， 转到步骤S23， 否 则转到S21； S23， 以该满足个体定义和关系定义的节点作为新的起点， 探测与其直接相连的节点中 的未被探测的节点， 如果该节点为 目标节点， 则判断其对应的攻击路径是否满足攻击方自 定义的约束条件， 如果满足， 记录此路径， 返回步骤S21查找下一条路径；权　利　要　求　书 2/3 页 3 CN 114205152 A 3