一種sdn網絡的蜜網安全防護系統及方法

2023-10-06 13:30:29

一種sdn網絡的蜜網安全防護系統及方法
【專利摘要】本發明公開了一種SDN網絡的蜜網安全防護系統，該系統包括網絡入侵檢測模塊、蜜網管理模塊和SDN控制器集群管理模塊。網絡入侵檢測模塊對進入組織內部的流量進行入侵檢測；網管理模塊是系統中最重要的模塊，包括蜜網設計模塊，蜜網創建模塊，流量規則轉換模塊，加密傳輸模塊，蜜網模型資料庫；SDN控制器集群管理模塊對組織內網的多個控制器進行協調管理和通信維護。此外，本發明還公開了一種SDN網絡的蜜網安全防護方法。通過本發明能自動根據每個攻擊、或每類攻擊或由人工指定攻擊類型集合創建符合要求的蜜網，能幫助安全管理人員更好的監控可疑攻擊情況，並作出有效反應。
【專利說明】一種SDN網絡的蜜網安全防護系統及方法

【技術領域】
[0001]本發明涉及網絡安全【技術領域】，尤其涉及一種SDN網絡的蜜網安全防護系統及方法。

【背景技術】
[0002]蜜網是在蜜罐技術上逐漸發展起來的一個新的概念，又可成為誘捕網絡。蜜罐技術實質上還是一類研宄型的高交互蜜罐技術。其主要目的是收集黑客的攻擊信息。但與傳統的蜜罐技術的差異在於，蜜網構成了一個黑客誘捕網絡體系架構，在這個架構中，可以包含一個或多個蜜罐，同時保證網絡的高度可控性，以及提供多種工具以方便對攻擊信息的採集和分析。
[0003]蜜網技術的分類:
[0004](I)根據交互級別的不同
[0005]根據蜜網與攻擊者之間進行的交互對蜜網進行分類，可以將蜜網分為低交互蜜網、中交互蜜網和高交互蜜網。低交互蜜網僅提供一些簡單的虛擬服務，例如監聽某些特定埠。該類蜜網風險最低，但或多或少存在著一些容易被黑客所識別的指紋(Fingerprinting)信息。中交互蜜網提供了更多的可交互信息，它能夠預期一些活動，並可以給出一些低交互蜜網無法給予的響應，但是仍然沒有為攻擊者提供一個可使用的作業系統。同時誘騙進程變得更加複雜，對特定服務的模擬變得更加完善的同時，風險性也更大了。高交互蜜網為攻擊者提供一個真實的支撐作業系統。此類蜜網複雜度和甜度大大增加，收集攻擊者信息的能力也大大增強。但蜜網也具有高度危險，攻擊者最終目標就是取得root權限，自由存取目標機上的數據，然後利用已有資源繼續攻擊其它機器。宄竟使用何等交互級別的蜜網取決於所要實現的目標。
[0006](2)根據部署目的的不同
[0007]按照部署目的不同分為產品型蜜網和研宄型蜜網兩類。產品型蜜網為一個組織的網絡提供安全保護，包括檢測攻擊、防止攻擊造成破壞及幫助管理員對攻擊做出及時正確的響應等功能。較具代表性的產品型蜜網包括DTK，hοn e y d等開源工具和KFSensor, ManTraq等一系列的商業產品。研宄型蜜網則是專門用於對黑客攻擊的捕獲和分析，通過部署研宄型蜜網，對黑客攻擊進行追蹤和分析，能夠捕獲黑客的擊鍵記錄，了解黑客所使用的攻擊工具及攻擊方法。
[0008]發明專利CN200610169676.9公開了一種多層次蜜網數據傳輸方法及系統，由蜜網網關統一接收外部網絡數據流；蜜網網關對所接收的數據流進行網絡入侵檢測分析；將正常數據流放行，發送給該數據流的目標主機；將非正常數據流按照威脅級別分為高、中、低三類；將高威脅級數據流重定向至物理蜜罐系統，將中威脅級數據流重定向至虛擬機蜜罐系統，將低威脅級數據流重定向至虛擬蜜罐系統。本發明可以廣泛應用於計算機網絡安全【技術領域】，有效利用低交互蜜罐系統和高交互蜜罐系統各自的優點，節省系統資源，提高了蜜罐系統的覆蓋面和獲取網絡攻擊活動信息、捕獲惡意代碼樣本的能力，有效對抗反蜜罐技術。
[0009]該技術提供的多層次蜜網傳輸方法及系統將威脅級別簡單分為3類，雖然比傳統蜜網有所改進，但仍顯粗糙。另外每類可疑流量簡單導入原設定的蜜網，這樣的機制相對死板不夠靈活；同一威脅級別的流量併入一種固定的蜜網，不利於對每一攻擊的單獨分析。另外當攻擊流量的規模突然增強大出說預期設定時，蜜網的資源不足導致難以正常的發揮蜜網的保護、監控作用。


【發明內容】

[0010]本發明的目的是為了克服現有技術的缺陷，提供一種SDN網絡的蜜網安全防護系統，從而實現了靈活快速根據不同攻擊類型提供蜜網及將蜜網保護觸發前攻擊行為引入至蜜網。
[0011]為了解決上述技術問題，本申請公開了如下技術方案:
[0012]第一方面，本發明提供了一種SDN網絡的蜜網安全防護系統，該系統包括網絡入侵檢測模塊、蜜網管理模塊和SDN控制器集群管理模塊；其中，
[0013]網絡入侵檢測模塊對進入組織內部的流量進行入侵檢測。
[0014]蜜網管理模塊包括蜜網設計模塊，蜜網創建模塊，流量規則轉換模塊，加密傳輸模塊，蜜網模型資料庫。
[0015]蜜網設計模塊根據入侵檢測伺服器傳入的信息，參考蜜網模型資料庫，計算所需向此攻擊提供蜜網的網絡架構。
[0016]蜜網創建模塊根據蜜網設計模塊輸入的蜜網架構創建虛擬蜜網。
[0017]流量規則轉換模塊從蜜網設計模塊獲取可疑流量所需導向蜜網網元的信息，並根據此信息生成流量匹配規則。
[0018]加密傳輸模塊確保蜜網管理模塊與網絡入侵檢測模塊、SDN控制器集群管理模塊的通信安全。
[0019]SDN控制器集群管理模塊對組織內網的多個控制器進行協調管理和通信維護，包括狀態分發/同步模塊，分布式管理模塊，安全通信模塊，冗餘備份模塊。
[0020]結合第一方面，入侵檢測伺服器傳入的信息包括攻擊類型、特徵及其安全威脅等級。
[0021]蜜網的網絡架構包括蜜罐、伺服器、濾器、交換機、資料庫和網絡分析儀。
[0022]創建虛擬蜜網包括創建網元並且搭建好網絡架構，分配合適的MAC地址和IP位址。
[0023]此外，該系統的網絡分為蜜網管理網絡和業務網絡，這兩個網絡是相互獨立的。蜜網管理網絡專供蜜網管理流量在網絡入侵檢測伺服器、蜜網管理伺服器、SDN控制器集群之間傳輸所用。該系統能夠部署在物理伺服器或者虛擬伺服器上，也能夠部署在物理個人計算機或虛擬機上。
[0024]第二方面，本發明提供了一種SDN網絡的蜜網安全防護方法，該方法的具體流程如下:
[0025]Si位於組織內部網絡邊界的SDN交換機收到數據包，將數據包通過埠鏡像傳輸至入侵檢測伺服器；
[0026]s2入侵檢測伺服器對流量進行網絡威脅等級判定；
[0027]s3如果判定為無威脅，則不通知蜜網管理伺服器，正常轉發流量；
[0028]s4如果判定有威脅，入侵檢測伺服器則分析流量，進行安全威脅等級劃分，並識別攻擊類型，將攻擊類型、特徵及其安全威脅等級告知蜜網管理伺服器；
[0029]s5蜜網設計模塊根據入侵檢測伺服器傳入的信息，參考蜜網模型資料庫，計算所需向此攻擊提供蜜網的網絡架構；
[0030]s6蜜網創建模塊根據蜜網設計模塊輸入的蜜網架構創建虛擬蜜網；
[0031]s7流量規則轉換模塊從蜜網設計模塊獲取可疑流量所需導向蜜網網元的信息，並根據此信息生成流量匹配規則；
[0032]s8蜜網管理伺服器將流量匹配規則通過安全的傳輸方式通知SDN控制器；
[0033]s9 SDN控制器下發流量匹配規則至SDN交換機；
[0034]slO SDN交換機將此攻擊數據流導向創建的密網；
[0035]sll密網管理器記錄攻擊情況。
[0036]本發明技術方案帶來的有益效果:
[0037]當前蜜網保護產品通常使用固化的硬體設施或固定的虛擬蜜網，當不同種類的可疑攻擊發生全部導向當前蜜網，而本發明能自動根據每個攻擊、或每類攻擊或由人工指定攻擊類型集合創建符合要求的蜜網，能幫助安全管理人員更好的監控可疑攻擊情況，並作出有效反應。另外當網絡攻擊規模變化時始終提供固定規模的蜜網，而本發明可以根據可疑攻擊的類型和安全威脅等級快速靈活提供相應的蜜網，有效利用了組織現有的資源。
[0038]另外，大多情況下蜜網保護觸發前網絡攻擊已經發生，在組織內網可能已經感染上惡意軟體。使用本發明，能在檢測到可疑攻擊之後通過向SDN交換機下發流量規則匹配此類攻擊的關聯流量，並將其導向密網，進而在更大的範圍內保護組織內網的安全。

【專利附圖】

【附圖說明】
[0039]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其它的附圖。
[0040]圖1是本發明中SDN網絡的蜜網安全防護系統的功能模塊圖；
[0041]圖2是本發明中SDN網絡的蜜網安全防護方法的網絡拓撲圖；
[0042]圖3是本發明中SDN網絡的蜜網安全防護方法的流程圖。

【具體實施方式】
[0043]下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。
[0044]本發明為了解決現有技術中蜜網保護不能靈活及時的提供蜜網及網絡攻擊開始一段時間才觸發保護機制的缺點或不足，採用了一種SDN網絡的蜜網安全防護系統及方法的方案，從而實現了靈活快速根據不同攻擊類型提供蜜網及將蜜網保護觸發前攻擊行為引入至蜜網的目的。
[0045]一種SDN網絡的蜜網安全防護系統基於SDN網絡實現，由網絡入侵檢測模塊、蜜網管理模塊和SDN控制器集群管理模塊構成，具體如圖1所示。
[0046]網絡入侵檢測模塊對進入組織內部的流量進行入侵檢測，輸入流量由部署在邊界的SDN交換機埠鏡像產生。入侵檢測伺服器進行網絡威脅等級判定。如果判定為無威脅，則不通知蜜網管理伺服器，正常轉發流量。如果判定有威脅，入侵檢測伺服器則分析流量，進行安全威脅等級劃分，並識別攻擊類型。最後將攻擊類型、特徵及其安全威脅等級告知蜜網管理伺服器。
[0047]蜜網管理模塊是系統中最重要的模塊，包括蜜網設計模塊，蜜網創建模塊，流量規則轉換模塊，加密傳輸模塊，蜜網模型資料庫。蜜網設計模塊根據入侵檢測伺服器傳入的信息，如攻擊類型、特徵及其安全威脅等級，參考蜜網模型資料庫，計算所需向此攻擊提供蜜網的網絡架構，其中主要包括蜜罐、伺服器、濾器、交換機、資料庫、網絡分析儀。蜜網創建模塊根據蜜網設計模塊輸入的蜜網架構創建虛擬蜜網，其中包括創建網元並且搭建好網絡架構，最後分配合適的MAC地址和IP位址。流量規則轉換模塊從蜜網設計模塊獲取可疑流量所需導向蜜網網元的信息，並根據此信息生成流量匹配規則。加密傳輸模塊確保蜜網管理模塊與網絡入侵檢測模塊、SDN控制器集群管理模塊的通信安全。
[0048]SDN控制器集群管理模塊對組織內網的多個控制器進行協調管理和通信維護，主要包括狀態分發/同步模塊，分布式管理模塊，安全通信模塊，冗餘備份模塊。SDN控制器集群控制模塊通過交換機接口通信模塊使用南向接口協議與支持SDN的交換機進行通信，使用其他模塊實現多控制器之間的流表的同步。
[0049]一種SDN網絡的蜜網安全防護系統的網絡分為蜜網管理網絡和業務網絡，這兩個網絡是相互獨立的。蜜網管理網絡專供蜜網管理流量在網絡入侵檢測伺服器、蜜網管理伺服器、SDN控制器集群之間傳輸所用。一種SDN網絡的蜜網安全防護系統能夠部署在物理伺服器或者虛擬伺服器上，也能夠部署在物理個人計算機或虛擬機上，其網絡拓撲圖如圖2所示。在圖中實線表示業務流量，點實線表示蜜網管理流量，該圖只是交換機與伺服器之間的網絡拓撲，相關設備如個人電腦等都已略去。
[0050]一種SDN網絡的蜜網安全防護方法的流程如圖3所示，具體流程如下:
[0051]I)位於組織內部網絡邊界的SDN交換機收到數據包，將數據包通過埠鏡像傳輸至入侵檢測伺服器；
[0052]2)入侵檢測伺服器對流量進行網絡威脅等級判定；
[0053]3)如果判定為無威脅，則不通知蜜網管理伺服器，正常轉發流量；
[0054]4)如果判定有威脅，入侵檢測伺服器則分析流量，進行安全威脅等級劃分，並識別攻擊類型，將攻擊類型、特徵及其安全威脅等級告知蜜網管理伺服器；
[0055]5)蜜網設計模塊根據入侵檢測伺服器傳入的信息，如攻擊類型、特徵及其安全威脅等級，參考蜜網模型資料庫，計算所需向此攻擊提供蜜網的網絡架構，其中主要包括蜜罐、伺服器、濾器、交換機、資料庫、網絡分析儀；
[0056]6)蜜網創建模塊根據蜜網設計模塊輸入的蜜網架構創建虛擬蜜網，其中包括創建網元並且搭建好網絡架構，最後分配合適的MAC地址和IP位址；
[0057]7)流量規則轉換模塊從蜜網設計模塊獲取可疑流量所需導向蜜網網元的信息，並根據此信息生成流量匹配規則；
[0058]8)蜜網管理伺服器將流量匹配規則通過安全的傳輸方式通知SDN控制器；
[0059]9) SDN控制器下發流量匹配規則至SDN交換機；
[0060]10) SDN交換機將此攻擊數據流導向創建的密網；
[0061]11)密網管理器記錄攻擊情況。
[0062]在本發明中蜜網也可用物理蜜網實現，但這需要花費遠大於本發明的硬體資料，並且部署速度遠落後於本發明。
[0063]通過本發明能自動根據每個攻擊、或每類攻擊或由人工指定攻擊類型集合創建符合要求的蜜網，能幫助安全管理人員更好的監控可疑攻擊情況，並做出有效反應；能根據可疑攻擊的類型和安全威脅等級快速靈活提供相應的蜜網，有效利用了組織現有的資源，實現了可擴展的蜜網保護；能在檢測到可疑攻擊之後通過向SDN交換機下發流量規則匹配此類攻擊的關聯流量，並將其導向密網，進而在更大的範圍內保護組織內網的安全。
[0064]以上對本發明實施例所提供的一種SDN網絡的蜜網安全防護系統及方法進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用於幫助理解本發明的方法及其核心思想；同時，對於本領域的一般技術人員，依據本發明的思想，在【具體實施方式】及應用範圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。
【權利要求】
1.一種SDN網絡的蜜網安全防護系統，其特徵在於，該系統包括網絡入侵檢測模塊、蜜網管理模塊和SDN控制器集群管理模塊；其中， 網絡入侵檢測模塊對進入組織內部的流量進行入侵檢測； 蜜網管理模塊包括蜜網設計模塊，蜜網創建模塊，流量規則轉換模塊，加密傳輸模塊，蜜網模型資料庫； 蜜網設計模塊根據入侵檢測伺服器傳入的信息，參考蜜網模型資料庫，計算所需向此攻擊提供蜜網的網絡架構； 蜜網創建模塊根據蜜網設計模塊輸入的蜜網架構創建虛擬蜜網； 流量規則轉換模塊從蜜網設計模塊獲取可疑流量所需導向蜜網網元的信息，並根據此信息生成流量匹配規則； 加密傳輸模塊確保蜜網管理模塊與網絡入侵檢測模塊、SDN控制器集群管理模塊的通信安全； SDN控制器集群管理模塊對組織內網的多個控制器進行協調管理和通信維護，包括狀態分發/同步模塊，分布式管理模塊，安全通信模塊，冗餘備份模塊。
2.根據權利要求1所述的系統，其特徵在於，入侵檢測伺服器傳入的信息包括攻擊類型、特徵及其安全威脅等級。
3.根據權利要求1所述的系統，其特徵在於，蜜網的網絡架構包括蜜罐、伺服器、濾器、交換機、資料庫和網絡分析儀。
4.根據權利要求1或2或3所述的系統，其特徵在於，創建虛擬蜜網包括創建網元並且搭建好網絡架構，分配合適的MAC地址和IP位址。
5.根據權利要求1所述的系統，其特徵在於，該系統的網絡分為蜜網管理網絡和業務網絡，這兩個網絡是相互獨立的。
6.根據權利要求5所述的系統，其特徵在於，蜜網管理網絡專供蜜網管理流量在網絡入侵檢測伺服器、蜜網管理伺服器、SDN控制器集群之間傳輸所用。
7.根據權利要求1所述的系統，其特徵在於，該系統能夠部署在物理伺服器或者虛擬伺服器上，也能夠部署在物理個人計算機或虛擬機上。
8.—種SDN網絡的蜜網安全防護方法，其特徵在於，該方法的具體流程如下: Si位於組織內部網絡邊界的SDN交換機收到數據包，將數據包通過埠鏡像傳輸至入侵檢測伺服器； s2入侵檢測伺服器對流量進行網絡威脅等級判定；s3如果判定為無威脅，則不通知蜜網管理伺服器，正常轉發流量；s4如果判定有威脅，入侵檢測伺服器則分析流量，進行安全威脅等級劃分，並識別攻擊類型，將攻擊 類型、特徵及其安全威脅等級告知蜜網管理伺服器； s5蜜網設計模塊根據入侵檢測伺服器傳入的信息，參考蜜網模型資料庫，計算所需向此攻擊提供蜜網的網絡架構； s6蜜網創建模塊根據蜜網設計模塊輸入的蜜網架構創建虛擬蜜網；s7流量規則轉換模塊從蜜網設計模塊獲取可疑流量所需導向蜜網網元的信息，並根據此信息生成流量匹配規則； s8蜜網管理伺服器將流量匹配規則通過安全的傳輸方式通知SDN控制器；s9SDN控制器下發流量匹配規則至SDN交換機；slOSDN交換機將此攻擊數據流導向創建的密網；sll密網管理器記錄攻擊情況。
【文檔編號】H04L29/06GK104506507SQ201410777593
【公開日】2015年4月8日 申請日期:2014年12月15日 優先權日:2014年12月15日
【發明者】楊育斌, 程麗明, 柯宗貴 申請人:藍盾信息安全技術股份有限公司