一種sdn網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)，該系統(tǒng)包括網(wǎng)絡(luò)入侵檢測模塊、蜜網(wǎng)管理模塊和SDN控制器集群管理模塊。網(wǎng)絡(luò)入侵檢測模塊對進(jìn)入組織內(nèi)部的流量進(jìn)行入侵檢測；網(wǎng)管理模塊是系統(tǒng)中最重要的模塊，包括蜜網(wǎng)設(shè)計(jì)模塊，蜜網(wǎng)創(chuàng)建模塊，流量規(guī)則轉(zhuǎn)換模塊，加密傳輸模塊，蜜網(wǎng)模型數(shù)據(jù)庫；SDN控制器集群管理模塊對組織內(nèi)網(wǎng)的多個(gè)控制器進(jìn)行協(xié)調(diào)管理和通信維護(hù)。此外，本發(fā)明還公開了一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)方法。通過本發(fā)明能自動根據(jù)每個(gè)攻擊、或每類攻擊或由人工指定攻擊類型集合創(chuàng)建符合要求的蜜網(wǎng)，能幫助安全管理人員更好的監(jiān)控可疑攻擊情況，并作出有效反應(yīng)。
【專利說明】一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)及方法

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，尤其涉及一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)及方法。

【背景技術(shù)】
[0002]蜜網(wǎng)是在蜜罐技術(shù)上逐漸發(fā)展起來的一個(gè)新的概念，又可成為誘捕網(wǎng)絡(luò)。蜜罐技術(shù)實(shí)質(zhì)上還是一類研宄型的高交互蜜罐技術(shù)。其主要目的是收集黑客的攻擊信息。但與傳統(tǒng)的蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個(gè)黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，在這個(gè)架構(gòu)中，可以包含一個(gè)或多個(gè)蜜罐，同時(shí)保證網(wǎng)絡(luò)的高度可控性，以及提供多種工具以方便對攻擊信息的采集和分析。
[0003]蜜網(wǎng)技術(shù)的分類:
[0004](I)根據(jù)交互級別的不同
[0005]根據(jù)蜜網(wǎng)與攻擊者之間進(jìn)行的交互對蜜網(wǎng)進(jìn)行分類，可以將蜜網(wǎng)分為低交互蜜網(wǎng)、中交互蜜網(wǎng)和高交互蜜網(wǎng)。低交互蜜網(wǎng)僅提供一些簡單的虛擬服務(wù)，例如監(jiān)聽某些特定端口。該類蜜網(wǎng)風(fēng)險(xiǎn)最低，但或多或少存在著一些容易被黑客所識別的指紋(Fingerprinting)信息。中交互蜜網(wǎng)提供了更多的可交互信息，它能夠預(yù)期一些活動，并可以給出一些低交互蜜網(wǎng)無法給予的響應(yīng)，但是仍然沒有為攻擊者提供一個(gè)可使用的操作系統(tǒng)。同時(shí)誘騙進(jìn)程變得更加復(fù)雜，對特定服務(wù)的模擬變得更加完善的同時(shí)，風(fēng)險(xiǎn)性也更大了。高交互蜜網(wǎng)為攻擊者提供一個(gè)真實(shí)的支撐操作系統(tǒng)。此類蜜網(wǎng)復(fù)雜度和甜度大大增加，收集攻擊者信息的能力也大大增強(qiáng)。但蜜網(wǎng)也具有高度危險(xiǎn)，攻擊者最終目標(biāo)就是取得root權(quán)限，自由存取目標(biāo)機(jī)上的數(shù)據(jù)，然后利用已有資源繼續(xù)攻擊其它機(jī)器。宄竟使用何等交互級別的蜜網(wǎng)取決于所要實(shí)現(xiàn)的目標(biāo)。
[0006](2)根據(jù)部署目的的不同
[0007]按照部署目的不同分為產(chǎn)品型蜜網(wǎng)和研宄型蜜網(wǎng)兩類。產(chǎn)品型蜜網(wǎng)為一個(gè)組織的網(wǎng)絡(luò)提供安全保護(hù)，包括檢測攻擊、防止攻擊造成破壞及幫助管理員對攻擊做出及時(shí)正確的響應(yīng)等功能。較具代表性的產(chǎn)品型蜜網(wǎng)包括DTK，hοn e y d等開源工具和KFSensor, ManTraq等一系列的商業(yè)產(chǎn)品。研宄型蜜網(wǎng)則是專門用于對黑客攻擊的捕獲和分析，通過部署研宄型蜜網(wǎng)，對黑客攻擊進(jìn)行追蹤和分析，能夠捕獲黑客的擊鍵記錄，了解黑客所使用的攻擊工具及攻擊方法。
[0008]發(fā)明專利CN200610169676.9公開了一種多層次蜜網(wǎng)數(shù)據(jù)傳輸方法及系統(tǒng)，由蜜網(wǎng)網(wǎng)關(guān)統(tǒng)一接收外部網(wǎng)絡(luò)數(shù)據(jù)流；蜜網(wǎng)網(wǎng)關(guān)對所接收的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)入侵檢測分析；將正常數(shù)據(jù)流放行，發(fā)送給該數(shù)據(jù)流的目標(biāo)主機(jī)；將非正常數(shù)據(jù)流按照威脅級別分為高、中、低三類；將高威脅級數(shù)據(jù)流重定向至物理蜜罐系統(tǒng)，將中威脅級數(shù)據(jù)流重定向至虛擬機(jī)蜜罐系統(tǒng)，將低威脅級數(shù)據(jù)流重定向至虛擬蜜罐系統(tǒng)。本發(fā)明可以廣泛應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，有效利用低交互蜜罐系統(tǒng)和高交互蜜罐系統(tǒng)各自的優(yōu)點(diǎn)，節(jié)省系統(tǒng)資源，提高了蜜罐系統(tǒng)的覆蓋面和獲取網(wǎng)絡(luò)攻擊活動信息、捕獲惡意代碼樣本的能力，有效對抗反蜜罐技術(shù)。
[0009]該技術(shù)提供的多層次蜜網(wǎng)傳輸方法及系統(tǒng)將威脅級別簡單分為3類，雖然比傳統(tǒng)蜜網(wǎng)有所改進(jìn)，但仍顯粗糙。另外每類可疑流量簡單導(dǎo)入原設(shè)定的蜜網(wǎng)，這樣的機(jī)制相對死板不夠靈活；同一威脅級別的流量并入一種固定的蜜網(wǎng)，不利于對每一攻擊的單獨(dú)分析。另外當(dāng)攻擊流量的規(guī)模突然增強(qiáng)大出說預(yù)期設(shè)定時(shí)，蜜網(wǎng)的資源不足導(dǎo)致難以正常的發(fā)揮蜜網(wǎng)的保護(hù)、監(jiān)控作用。


【發(fā)明內(nèi)容】

[0010]本發(fā)明的目的是為了克服現(xiàn)有技術(shù)的缺陷，提供一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)，從而實(shí)現(xiàn)了靈活快速根據(jù)不同攻擊類型提供蜜網(wǎng)及將蜜網(wǎng)保護(hù)觸發(fā)前攻擊行為引入至蜜網(wǎng)。
[0011]為了解決上述技術(shù)問題，本申請公開了如下技術(shù)方案:
[0012]第一方面，本發(fā)明提供了一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)，該系統(tǒng)包括網(wǎng)絡(luò)入侵檢測模塊、蜜網(wǎng)管理模塊和SDN控制器集群管理模塊；其中，
[0013]網(wǎng)絡(luò)入侵檢測模塊對進(jìn)入組織內(nèi)部的流量進(jìn)行入侵檢測。
[0014]蜜網(wǎng)管理模塊包括蜜網(wǎng)設(shè)計(jì)模塊，蜜網(wǎng)創(chuàng)建模塊，流量規(guī)則轉(zhuǎn)換模塊，加密傳輸模塊，蜜網(wǎng)模型數(shù)據(jù)庫。
[0015]蜜網(wǎng)設(shè)計(jì)模塊根據(jù)入侵檢測服務(wù)器傳入的信息，參考蜜網(wǎng)模型數(shù)據(jù)庫，計(jì)算所需向此攻擊提供蜜網(wǎng)的網(wǎng)絡(luò)架構(gòu)。
[0016]蜜網(wǎng)創(chuàng)建模塊根據(jù)蜜網(wǎng)設(shè)計(jì)模塊輸入的蜜網(wǎng)架構(gòu)創(chuàng)建虛擬蜜網(wǎng)。
[0017]流量規(guī)則轉(zhuǎn)換模塊從蜜網(wǎng)設(shè)計(jì)模塊獲取可疑流量所需導(dǎo)向蜜網(wǎng)網(wǎng)元的信息，并根據(jù)此信息生成流量匹配規(guī)則。
[0018]加密傳輸模塊確保蜜網(wǎng)管理模塊與網(wǎng)絡(luò)入侵檢測模塊、SDN控制器集群管理模塊的通信安全。
[0019]SDN控制器集群管理模塊對組織內(nèi)網(wǎng)的多個(gè)控制器進(jìn)行協(xié)調(diào)管理和通信維護(hù)，包括狀態(tài)分發(fā)/同步模塊，分布式管理模塊，安全通信模塊，冗余備份模塊。
[0020]結(jié)合第一方面，入侵檢測服務(wù)器傳入的信息包括攻擊類型、特征及其安全威脅等級。
[0021]蜜網(wǎng)的網(wǎng)絡(luò)架構(gòu)包括蜜罐、服務(wù)器、濾器、交換機(jī)、數(shù)據(jù)庫和網(wǎng)絡(luò)分析儀。
[0022]創(chuàng)建虛擬蜜網(wǎng)包括創(chuàng)建網(wǎng)元并且搭建好網(wǎng)絡(luò)架構(gòu)，分配合適的MAC地址和IP地址。
[0023]此外，該系統(tǒng)的網(wǎng)絡(luò)分為蜜網(wǎng)管理網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)，這兩個(gè)網(wǎng)絡(luò)是相互獨(dú)立的。蜜網(wǎng)管理網(wǎng)絡(luò)專供蜜網(wǎng)管理流量在網(wǎng)絡(luò)入侵檢測服務(wù)器、蜜網(wǎng)管理服務(wù)器、SDN控制器集群之間傳輸所用。該系統(tǒng)能夠部署在物理服務(wù)器或者虛擬服務(wù)器上，也能夠部署在物理個(gè)人計(jì)算機(jī)或虛擬機(jī)上。
[0024]第二方面，本發(fā)明提供了一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)方法，該方法的具體流程如下:
[0025]Si位于組織內(nèi)部網(wǎng)絡(luò)邊界的SDN交換機(jī)收到數(shù)據(jù)包，將數(shù)據(jù)包通過端口鏡像傳輸至入侵檢測服務(wù)器；
[0026]s2入侵檢測服務(wù)器對流量進(jìn)行網(wǎng)絡(luò)威脅等級判定；
[0027]s3如果判定為無威脅，則不通知蜜網(wǎng)管理服務(wù)器，正常轉(zhuǎn)發(fā)流量；
[0028]s4如果判定有威脅，入侵檢測服務(wù)器則分析流量，進(jìn)行安全威脅等級劃分，并識別攻擊類型，將攻擊類型、特征及其安全威脅等級告知蜜網(wǎng)管理服務(wù)器；
[0029]s5蜜網(wǎng)設(shè)計(jì)模塊根據(jù)入侵檢測服務(wù)器傳入的信息，參考蜜網(wǎng)模型數(shù)據(jù)庫，計(jì)算所需向此攻擊提供蜜網(wǎng)的網(wǎng)絡(luò)架構(gòu)；
[0030]s6蜜網(wǎng)創(chuàng)建模塊根據(jù)蜜網(wǎng)設(shè)計(jì)模塊輸入的蜜網(wǎng)架構(gòu)創(chuàng)建虛擬蜜網(wǎng)；
[0031]s7流量規(guī)則轉(zhuǎn)換模塊從蜜網(wǎng)設(shè)計(jì)模塊獲取可疑流量所需導(dǎo)向蜜網(wǎng)網(wǎng)元的信息，并根據(jù)此信息生成流量匹配規(guī)則；
[0032]s8蜜網(wǎng)管理服務(wù)器將流量匹配規(guī)則通過安全的傳輸方式通知SDN控制器；
[0033]s9 SDN控制器下發(fā)流量匹配規(guī)則至SDN交換機(jī)；
[0034]slO SDN交換機(jī)將此攻擊數(shù)據(jù)流導(dǎo)向創(chuàng)建的密網(wǎng)；
[0035]sll密網(wǎng)管理器記錄攻擊情況。
[0036]本發(fā)明技術(shù)方案帶來的有益效果:
[0037]當(dāng)前蜜網(wǎng)保護(hù)產(chǎn)品通常使用固化的硬件設(shè)施或固定的虛擬蜜網(wǎng)，當(dāng)不同種類的可疑攻擊發(fā)生全部導(dǎo)向當(dāng)前蜜網(wǎng)，而本發(fā)明能自動根據(jù)每個(gè)攻擊、或每類攻擊或由人工指定攻擊類型集合創(chuàng)建符合要求的蜜網(wǎng)，能幫助安全管理人員更好的監(jiān)控可疑攻擊情況，并作出有效反應(yīng)。另外當(dāng)網(wǎng)絡(luò)攻擊規(guī)模變化時(shí)始終提供固定規(guī)模的蜜網(wǎng)，而本發(fā)明可以根據(jù)可疑攻擊的類型和安全威脅等級快速靈活提供相應(yīng)的蜜網(wǎng)，有效利用了組織現(xiàn)有的資源。
[0038]另外，大多情況下蜜網(wǎng)保護(hù)觸發(fā)前網(wǎng)絡(luò)攻擊已經(jīng)發(fā)生，在組織內(nèi)網(wǎng)可能已經(jīng)感染上惡意軟件。使用本發(fā)明，能在檢測到可疑攻擊之后通過向SDN交換機(jī)下發(fā)流量規(guī)則匹配此類攻擊的關(guān)聯(lián)流量，并將其導(dǎo)向密網(wǎng)，進(jìn)而在更大的范圍內(nèi)保護(hù)組織內(nèi)網(wǎng)的安全。

【專利附圖】

【附圖說明】
[0039]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其它的附圖。
[0040]圖1是本發(fā)明中SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)的功能模塊圖；
[0041]圖2是本發(fā)明中SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)方法的網(wǎng)絡(luò)拓?fù)鋱D；
[0042]圖3是本發(fā)明中SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)方法的流程圖。

【具體實(shí)施方式】
[0043]下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0044]本發(fā)明為了解決現(xiàn)有技術(shù)中蜜網(wǎng)保護(hù)不能靈活及時(shí)的提供蜜網(wǎng)及網(wǎng)絡(luò)攻擊開始一段時(shí)間才觸發(fā)保護(hù)機(jī)制的缺點(diǎn)或不足，采用了一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)及方法的方案，從而實(shí)現(xiàn)了靈活快速根據(jù)不同攻擊類型提供蜜網(wǎng)及將蜜網(wǎng)保護(hù)觸發(fā)前攻擊行為引入至蜜網(wǎng)的目的。
[0045]一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)基于SDN網(wǎng)絡(luò)實(shí)現(xiàn)，由網(wǎng)絡(luò)入侵檢測模塊、蜜網(wǎng)管理模塊和SDN控制器集群管理模塊構(gòu)成，具體如圖1所示。
[0046]網(wǎng)絡(luò)入侵檢測模塊對進(jìn)入組織內(nèi)部的流量進(jìn)行入侵檢測，輸入流量由部署在邊界的SDN交換機(jī)端口鏡像產(chǎn)生。入侵檢測服務(wù)器進(jìn)行網(wǎng)絡(luò)威脅等級判定。如果判定為無威脅，則不通知蜜網(wǎng)管理服務(wù)器，正常轉(zhuǎn)發(fā)流量。如果判定有威脅，入侵檢測服務(wù)器則分析流量，進(jìn)行安全威脅等級劃分，并識別攻擊類型。最后將攻擊類型、特征及其安全威脅等級告知蜜網(wǎng)管理服務(wù)器。
[0047]蜜網(wǎng)管理模塊是系統(tǒng)中最重要的模塊，包括蜜網(wǎng)設(shè)計(jì)模塊，蜜網(wǎng)創(chuàng)建模塊，流量規(guī)則轉(zhuǎn)換模塊，加密傳輸模塊，蜜網(wǎng)模型數(shù)據(jù)庫。蜜網(wǎng)設(shè)計(jì)模塊根據(jù)入侵檢測服務(wù)器傳入的信息，如攻擊類型、特征及其安全威脅等級，參考蜜網(wǎng)模型數(shù)據(jù)庫，計(jì)算所需向此攻擊提供蜜網(wǎng)的網(wǎng)絡(luò)架構(gòu)，其中主要包括蜜罐、服務(wù)器、濾器、交換機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)分析儀。蜜網(wǎng)創(chuàng)建模塊根據(jù)蜜網(wǎng)設(shè)計(jì)模塊輸入的蜜網(wǎng)架構(gòu)創(chuàng)建虛擬蜜網(wǎng)，其中包括創(chuàng)建網(wǎng)元并且搭建好網(wǎng)絡(luò)架構(gòu)，最后分配合適的MAC地址和IP地址。流量規(guī)則轉(zhuǎn)換模塊從蜜網(wǎng)設(shè)計(jì)模塊獲取可疑流量所需導(dǎo)向蜜網(wǎng)網(wǎng)元的信息，并根據(jù)此信息生成流量匹配規(guī)則。加密傳輸模塊確保蜜網(wǎng)管理模塊與網(wǎng)絡(luò)入侵檢測模塊、SDN控制器集群管理模塊的通信安全。
[0048]SDN控制器集群管理模塊對組織內(nèi)網(wǎng)的多個(gè)控制器進(jìn)行協(xié)調(diào)管理和通信維護(hù)，主要包括狀態(tài)分發(fā)/同步模塊，分布式管理模塊，安全通信模塊，冗余備份模塊。SDN控制器集群控制模塊通過交換機(jī)接口通信模塊使用南向接口協(xié)議與支持SDN的交換機(jī)進(jìn)行通信，使用其他模塊實(shí)現(xiàn)多控制器之間的流表的同步。
[0049]一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)的網(wǎng)絡(luò)分為蜜網(wǎng)管理網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)，這兩個(gè)網(wǎng)絡(luò)是相互獨(dú)立的。蜜網(wǎng)管理網(wǎng)絡(luò)專供蜜網(wǎng)管理流量在網(wǎng)絡(luò)入侵檢測服務(wù)器、蜜網(wǎng)管理服務(wù)器、SDN控制器集群之間傳輸所用。一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)能夠部署在物理服務(wù)器或者虛擬服務(wù)器上，也能夠部署在物理個(gè)人計(jì)算機(jī)或虛擬機(jī)上，其網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。在圖中實(shí)線表示業(yè)務(wù)流量，點(diǎn)實(shí)線表示蜜網(wǎng)管理流量，該圖只是交換機(jī)與服務(wù)器之間的網(wǎng)絡(luò)拓?fù)?，相關(guān)設(shè)備如個(gè)人電腦等都已略去。
[0050]一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)方法的流程如圖3所示，具體流程如下:
[0051]I)位于組織內(nèi)部網(wǎng)絡(luò)邊界的SDN交換機(jī)收到數(shù)據(jù)包，將數(shù)據(jù)包通過端口鏡像傳輸至入侵檢測服務(wù)器；
[0052]2)入侵檢測服務(wù)器對流量進(jìn)行網(wǎng)絡(luò)威脅等級判定；
[0053]3)如果判定為無威脅，則不通知蜜網(wǎng)管理服務(wù)器，正常轉(zhuǎn)發(fā)流量；
[0054]4)如果判定有威脅，入侵檢測服務(wù)器則分析流量，進(jìn)行安全威脅等級劃分，并識別攻擊類型，將攻擊類型、特征及其安全威脅等級告知蜜網(wǎng)管理服務(wù)器；
[0055]5)蜜網(wǎng)設(shè)計(jì)模塊根據(jù)入侵檢測服務(wù)器傳入的信息，如攻擊類型、特征及其安全威脅等級，參考蜜網(wǎng)模型數(shù)據(jù)庫，計(jì)算所需向此攻擊提供蜜網(wǎng)的網(wǎng)絡(luò)架構(gòu)，其中主要包括蜜罐、服務(wù)器、濾器、交換機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)分析儀；
[0056]6)蜜網(wǎng)創(chuàng)建模塊根據(jù)蜜網(wǎng)設(shè)計(jì)模塊輸入的蜜網(wǎng)架構(gòu)創(chuàng)建虛擬蜜網(wǎng)，其中包括創(chuàng)建網(wǎng)元并且搭建好網(wǎng)絡(luò)架構(gòu)，最后分配合適的MAC地址和IP地址；
[0057]7)流量規(guī)則轉(zhuǎn)換模塊從蜜網(wǎng)設(shè)計(jì)模塊獲取可疑流量所需導(dǎo)向蜜網(wǎng)網(wǎng)元的信息，并根據(jù)此信息生成流量匹配規(guī)則；
[0058]8)蜜網(wǎng)管理服務(wù)器將流量匹配規(guī)則通過安全的傳輸方式通知SDN控制器；
[0059]9) SDN控制器下發(fā)流量匹配規(guī)則至SDN交換機(jī)；
[0060]10) SDN交換機(jī)將此攻擊數(shù)據(jù)流導(dǎo)向創(chuàng)建的密網(wǎng)；
[0061]11)密網(wǎng)管理器記錄攻擊情況。
[0062]在本發(fā)明中蜜網(wǎng)也可用物理蜜網(wǎng)實(shí)現(xiàn)，但這需要花費(fèi)遠(yuǎn)大于本發(fā)明的硬件資料，并且部署速度遠(yuǎn)落后于本發(fā)明。
[0063]通過本發(fā)明能自動根據(jù)每個(gè)攻擊、或每類攻擊或由人工指定攻擊類型集合創(chuàng)建符合要求的蜜網(wǎng)，能幫助安全管理人員更好的監(jiān)控可疑攻擊情況，并做出有效反應(yīng)；能根據(jù)可疑攻擊的類型和安全威脅等級快速靈活提供相應(yīng)的蜜網(wǎng)，有效利用了組織現(xiàn)有的資源，實(shí)現(xiàn)了可擴(kuò)展的蜜網(wǎng)保護(hù)；能在檢測到可疑攻擊之后通過向SDN交換機(jī)下發(fā)流量規(guī)則匹配此類攻擊的關(guān)聯(lián)流量，并將其導(dǎo)向密網(wǎng)，進(jìn)而在更大的范圍內(nèi)保護(hù)組織內(nèi)網(wǎng)的安全。
[0064]以上對本發(fā)明實(shí)施例所提供的一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)及方法進(jìn)行了詳細(xì)介紹，本文中應(yīng)用了具體個(gè)例對本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時(shí)，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在【具體實(shí)施方式】及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
【權(quán)利要求】
1.一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)，其特征在于，該系統(tǒng)包括網(wǎng)絡(luò)入侵檢測模塊、蜜網(wǎng)管理模塊和SDN控制器集群管理模塊；其中， 網(wǎng)絡(luò)入侵檢測模塊對進(jìn)入組織內(nèi)部的流量進(jìn)行入侵檢測； 蜜網(wǎng)管理模塊包括蜜網(wǎng)設(shè)計(jì)模塊，蜜網(wǎng)創(chuàng)建模塊，流量規(guī)則轉(zhuǎn)換模塊，加密傳輸模塊，蜜網(wǎng)模型數(shù)據(jù)庫； 蜜網(wǎng)設(shè)計(jì)模塊根據(jù)入侵檢測服務(wù)器傳入的信息，參考蜜網(wǎng)模型數(shù)據(jù)庫，計(jì)算所需向此攻擊提供蜜網(wǎng)的網(wǎng)絡(luò)架構(gòu)； 蜜網(wǎng)創(chuàng)建模塊根據(jù)蜜網(wǎng)設(shè)計(jì)模塊輸入的蜜網(wǎng)架構(gòu)創(chuàng)建虛擬蜜網(wǎng)； 流量規(guī)則轉(zhuǎn)換模塊從蜜網(wǎng)設(shè)計(jì)模塊獲取可疑流量所需導(dǎo)向蜜網(wǎng)網(wǎng)元的信息，并根據(jù)此信息生成流量匹配規(guī)則； 加密傳輸模塊確保蜜網(wǎng)管理模塊與網(wǎng)絡(luò)入侵檢測模塊、SDN控制器集群管理模塊的通信安全； SDN控制器集群管理模塊對組織內(nèi)網(wǎng)的多個(gè)控制器進(jìn)行協(xié)調(diào)管理和通信維護(hù)，包括狀態(tài)分發(fā)/同步模塊，分布式管理模塊，安全通信模塊，冗余備份模塊。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，入侵檢測服務(wù)器傳入的信息包括攻擊類型、特征及其安全威脅等級。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，蜜網(wǎng)的網(wǎng)絡(luò)架構(gòu)包括蜜罐、服務(wù)器、濾器、交換機(jī)、數(shù)據(jù)庫和網(wǎng)絡(luò)分析儀。
4.根據(jù)權(quán)利要求1或2或3所述的系統(tǒng)，其特征在于，創(chuàng)建虛擬蜜網(wǎng)包括創(chuàng)建網(wǎng)元并且搭建好網(wǎng)絡(luò)架構(gòu)，分配合適的MAC地址和IP地址。
5.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，該系統(tǒng)的網(wǎng)絡(luò)分為蜜網(wǎng)管理網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)，這兩個(gè)網(wǎng)絡(luò)是相互獨(dú)立的。
6.根據(jù)權(quán)利要求5所述的系統(tǒng)，其特征在于，蜜網(wǎng)管理網(wǎng)絡(luò)專供蜜網(wǎng)管理流量在網(wǎng)絡(luò)入侵檢測服務(wù)器、蜜網(wǎng)管理服務(wù)器、SDN控制器集群之間傳輸所用。
7.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，該系統(tǒng)能夠部署在物理服務(wù)器或者虛擬服務(wù)器上，也能夠部署在物理個(gè)人計(jì)算機(jī)或虛擬機(jī)上。
8.—種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)方法，其特征在于，該方法的具體流程如下: Si位于組織內(nèi)部網(wǎng)絡(luò)邊界的SDN交換機(jī)收到數(shù)據(jù)包，將數(shù)據(jù)包通過端口鏡像傳輸至入侵檢測服務(wù)器； s2入侵檢測服務(wù)器對流量進(jìn)行網(wǎng)絡(luò)威脅等級判定；s3如果判定為無威脅，則不通知蜜網(wǎng)管理服務(wù)器，正常轉(zhuǎn)發(fā)流量；s4如果判定有威脅，入侵檢測服務(wù)器則分析流量，進(jìn)行安全威脅等級劃分，并識別攻擊類型，將攻擊 類型、特征及其安全威脅等級告知蜜網(wǎng)管理服務(wù)器； s5蜜網(wǎng)設(shè)計(jì)模塊根據(jù)入侵檢測服務(wù)器傳入的信息，參考蜜網(wǎng)模型數(shù)據(jù)庫，計(jì)算所需向此攻擊提供蜜網(wǎng)的網(wǎng)絡(luò)架構(gòu)； s6蜜網(wǎng)創(chuàng)建模塊根據(jù)蜜網(wǎng)設(shè)計(jì)模塊輸入的蜜網(wǎng)架構(gòu)創(chuàng)建虛擬蜜網(wǎng)；s7流量規(guī)則轉(zhuǎn)換模塊從蜜網(wǎng)設(shè)計(jì)模塊獲取可疑流量所需導(dǎo)向蜜網(wǎng)網(wǎng)元的信息，并根據(jù)此信息生成流量匹配規(guī)則； s8蜜網(wǎng)管理服務(wù)器將流量匹配規(guī)則通過安全的傳輸方式通知SDN控制器；s9SDN控制器下發(fā)流量匹配規(guī)則至SDN交換機(jī)；slOSDN交換機(jī)將此攻擊數(shù)據(jù)流導(dǎo)向創(chuàng)建的密網(wǎng)；sll密網(wǎng)管理器記錄攻擊情況。
【文檔編號】H04L29/06GK104506507SQ201410777593
【公開日】2015年4月8日 申請日期:2014年12月15日 優(yōu)先權(quán)日:2014年12月15日
【發(fā)明者】楊育斌, 程麗明, 柯宗貴 申請人:藍(lán)盾信息安全技術(shù)股份有限公司