ICS 35.030 YD CCSL70 中华人民共和国通信行业标准 YD/T 4226--2023 支持拟态防御功能的路由器技术要求 Technical requirements ofrouters supportedmimic architecture 2023-04-21发布 2023-08-01实施 中华人民共和国工业和信息化部 发布
YD/T4226-2023 目次 前言.. Ⅱ 1范围... 2规范性引用文件. 3术语和定义. 4缩略语.. 5概述. 6支持拟态防御功能的路由器通用技术要求 3 7支持拟态防御功能的路由器功能要求.. 7.1路由协议执行体要求. 7.2管理协议执行体要求.. 7.3 输入输出代理要求 7.4 拟态裁决要求. 7.5 调度器要求. 7.6 主动防御要求. 7.7日志接口要求.. 8支持拟态防御功能的路由器性能要求 8.1清洗时间. 8.2调度周期.. 8.3执行体状态收敛时间, 8.4系统恢复时间... 9支持拟态防御功能的路由器安全要求 9.1差模注入情况安全要求. 9.2N-1模注入情况安全要求. 9.3N模注入情况安全要求 附录A(资料性)性能指标计算依据和参考阈值
YD/T4226-2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
本文件是“支持拟态防御功能的设备”系列标准之一,该系列标准的结构和名称预计如下: 1)支持拟态防御功能设备的总体技术指南; 2)支持拟态防御功能的Web服务器技术要求; 3)支持拟态防御功能的Web服务器检测规范; 4)支持拟态防御功能的路由器技术要求; 5)支持拟态防御功能的路由器检测规范; 6)支持拟态防御功能的域名服务器技术要求; 7)支持拟态防御功能的域名服务器检测规范; 8)支持拟态防御功能的交换机技术要求; 9)支持拟态防御功能的交换机检测规范; 10)支持拟态防御功能的防火墙技术要求; 11)支持拟态防御功能的防火墙检测规范; 12)支持拟态防御功能的分布式存储系统技术要求; 13)支持拟态防御功能的分布式存储系统检测规范; 14)支持拟态防御功能的安全网关技术要求; 15)支持拟态防御功能的安全网关检测规范; 16)支持拟态防御功能的云组件技术要求和测试方法.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、中国人民解放军战略支援部队信息工程大学、网络通信与 安全紫金山实验室、迈普通信技术股份有限公司、中国信息通信科技集团有限公司、河南信大网御科技 有限公司、国家信息技术安全研究中心、珠海高凌信息科技股份有限公司.
本文件主要起草人:马海龙、江逸茗、魏亮、谢玮、崔涛、贺倩、石悦、韩伟涛、伊鹏、张震、张 鹏、张进、王继、郭义伟、曾健、张华洪、兰丽莎、戴金友、梁利、刘楠、李辰菲、鲍尚策.
Ⅱ
YD/T4226-2023 支持拟态防御功能的路由器技术要求 1范围 本文件规定了支持拟态防御功能的路由器的技术要求,对支持拟态防御功能的路由器在协议、功能、 安全性等方面提出具体技术要求.
本文件适用于支持拟态防御功能的路由器的研制、生产、认证和实际环境部署.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
YD/T1096-2009路由器设备技术要求边缘路由器 YD/T1097-2009路由器设备技术要求核心路由器 YD/T1452-2014IPv6网络设备技术要求边缘路由器 YD/T1454-2014IPv6网络设备技术要求核心路由器 YD/T2928-2015路由器设备技术要求集群路由器 YD/T4223一2023支持拟态防御功能设备的总体技术指南 3术语和定义 YD/T4223一2023《支持拟态防御功能设备的总体技术指南》确立的以及下列术语和定义适用于本 文件.
3.1 支持拟态防御功能的路由器mimicrouter 将一个路由消息交由多个路由计算执行体进行并行计算,对各个结果进行拟态裁决后输出的路由器.
4缩略语 下列缩略语适用于本文件.
BGP 边界网关协议 BorderGatewayProtocol CPU 中央处理器 Central Processing Unit
YD/T4226-2023 IS-1S 中间系统到中间系统 IntermediateSystemtoIntermediateSystem NetConf 基于XML的网络配置协议 Network Configuration Protocol OSPF 开放式最短路径优先协议 Open Shortest Path First RESTful 表述性状态转移 RepresentationalStateTransfer RIP 路由信息协议 Routing InformationProtocol SNMP 简单网络管理协议 SimpleNetworkManagementProtocol SQL 结构化查询语言 Structured Query Language SSH 安全远程登录 Secure Shell SYSLOG 系统日志 System Log Telnet 远程登录 TelemunicationsNetwork 5概述 支持拟态防御功能的路由器(以下简称“拟态路由器")是基于传统路由器设备采用拟态防御架构, 用多个异构余的功能执行体对同一输入进行处理,并对多个功能执行体的输出消息进行拟态裁决,通 过识别功能执行体输出消息异常,进行路由系统的安全防御.
拟态路由器总体架构如图1所示,在不改变原有设备架构的基础上,按照YD/T4223一2023《支持 拟态防御功能设备的总体技术指南》规定的拟态防御架构构建,在拟态功能层面包括输入/出逻辑单元、 协议代理单元、拟态裁决单元、动态调度单元、控制与决策单元以及异构执行体池.
路由执行 管理执行 路由协消息 Q 体P 体P 拟态路由协 议代理分发 裁决议代理 路由执行 管理执行 管理协消息 体Pz 体P 拟态 管理协 议代理分发 裁决议代理 路由执行 管理执行 三层协消息 体Pi 体P 拟态三层协 议代理分发 裁决议代理 路由执行 管理执行 体Pix 体Px 执行体池 iiiL 动态调度 控制与 协议上报通道 决策 协议下发通道 流表 输入逻辑 查表转发 输出逻辑 转发引擎 图1拟态路由器总体架构 输入/出逻辑单元应支持路由协议报文和管理协议报文的甄别以及与其他报文的分合路,按照代理 的协议类型分为路由协议代理和管理协议代理,其主要功能包括输入消息的动态复制分发、根据路由协 议不同分别进行有状态操作和无状态操作、有状态操作对复制分发的消息进行修改并记录状态、无状态 操作仅进行复制分发.
2