一種sdn網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng),該系統(tǒng)由動態(tài)目標(biāo)防御模塊和SDN控制器管理模塊構(gòu)成。動態(tài)目標(biāo)防御模塊包括流量分析模塊、映射信息存儲模塊、目標(biāo)轉(zhuǎn)化模塊、加密傳輸模塊、負(fù)載平衡模塊、安全認(rèn)證模塊和業(yè)務(wù)流記錄數(shù)據(jù)庫、映射信息記錄數(shù)據(jù)庫。SDN控制器管理模塊包括流表生成模塊、流表分發(fā)/同步模塊、路由選擇模塊、DNS服務(wù)模塊、負(fù)載平衡模塊、分布式管理模塊、安全通信模塊、冗余備份模塊、安全認(rèn)證模塊和流表數(shù)據(jù)庫。此外,本發(fā)明還公開了一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御的方法。通過本發(fā)明更加增大了攻擊者檢測目標(biāo)的難度,從而全面保護(hù)內(nèi)網(wǎng)的安全。
【專利說明】-種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,尤其涉及一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng)及方 法。
【背景技術(shù)】
[0002] 動態(tài)目標(biāo)防御一所謂動態(tài)目標(biāo)防御(Moving Target Defense,MTD)的策略,是建 立一個(由外部看來)屬性多樣而不斷變化的網(wǎng)絡(luò)系統(tǒng),使黑客在發(fā)動攻擊前難以對目標(biāo) 進(jìn)行偵查,藉此增加攻擊的難度而達(dá)成防御??呻S機變動的屬性包含IP、Port、路由、主機 身份、指令集合等。比起傳統(tǒng)網(wǎng)絡(luò),SDN網(wǎng)絡(luò)控制與轉(zhuǎn)發(fā)分離的特性更容易實現(xiàn)出這樣的網(wǎng) 絡(luò)系統(tǒng)。北卡羅來納大學(xué)基于OpenFlow協(xié)議研發(fā)的隨機主機轉(zhuǎn)換(0F-RHM)技術(shù),即是利 用SDN網(wǎng)絡(luò)實現(xiàn)主機IP快速轉(zhuǎn)換,但同時保持網(wǎng)絡(luò)服務(wù)對用戶透明,實驗證明可有效防范 隨機掃描攻擊及懦蟲傳播。
[0003] MTD的理論依據(jù)是,攻擊者將無法映射一個不斷變化的系統(tǒng),并實施協(xié)同攻擊。動 態(tài)目標(biāo)防御策略會改變網(wǎng)絡(luò)防御,系統(tǒng)參數(shù)從靜態(tài)配置變得更加動態(tài),這樣攻擊者就很難 發(fā)現(xiàn)并利用漏洞。為攻擊者創(chuàng)建了不確定性,可戰(zhàn)勝針對關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。通過 指揮與控制系統(tǒng),能夠評估、規(guī)劃、執(zhí)行協(xié)調(diào)的防御,以避免網(wǎng)絡(luò)系統(tǒng)沖突,限制攻擊可用的 途徑。
[0004] 比如在論文"OpenFlow Random Host Mutation:Transparent Moving Target Defense using Software Defined Networking"中提到將真實的IP保密不變,但將主機與 一個短期虛擬IP地址關(guān)聯(lián)。該技術(shù)僅是簡單的將真實主機與虛擬的IP地址綁定,并定期 更新虛擬IP地址。攻擊者仍可通過對MAC地址或端口地址或兩者的組合進(jìn)行對攻擊目標(biāo) 的掃描。另外虛擬IP為IPv4,可分配為虛擬地址的地址空間有限,攻擊者仍可較輕松的掃 描進(jìn)一步了解攻擊目標(biāo)。
[0005] 此外,申請?zhí)枮?00710179203. 1的發(fā)明專利申請公開了一種結(jié)合路由和隧道重 定向網(wǎng)絡(luò)攻擊的方法,其通過在網(wǎng)關(guān)N1與連接蜜罐主機的網(wǎng)關(guān)N2之間設(shè)置隧道、配置第二 張路由表,并標(biāo)記網(wǎng)絡(luò)攻擊IP包,從而將網(wǎng)絡(luò)攻擊重定向到遠(yuǎn)端相同子網(wǎng)地址的蜜罐主機 上,實現(xiàn)重定向網(wǎng)絡(luò)攻擊。本發(fā)明的方法簡便易行,快速高效,特別適合在重要網(wǎng)關(guān)上臨時 重定向網(wǎng)絡(luò)攻擊的情況;同時本發(fā)明的方法具有風(fēng)險低,無需擔(dān)心網(wǎng)絡(luò)的最小MTU或者IP 包分片問題。
[0006] 此發(fā)明僅通過在網(wǎng)關(guān)N1與連接蜜罐主機的網(wǎng)關(guān)N2之間設(shè)置隧道、配置第二張路 由表,并標(biāo)記網(wǎng)絡(luò)攻擊IP包,從而將網(wǎng)絡(luò)攻擊重定向到遠(yuǎn)端相同子網(wǎng)地址的蜜罐主機上, 實現(xiàn)重定向網(wǎng)絡(luò)攻擊。攻擊者能在觸發(fā)保護(hù)功能之前到達(dá)真實的主機,經(jīng)過對比即可察覺 流量進(jìn)入蜜罐。另外蜜罐地址與攻擊目標(biāo)綁定不變,這也帶來了相當(dāng)大的安全漏洞。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的目的是為了克服現(xiàn)有技術(shù)的缺陷,提供一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng) 及方法,從而增大了攻擊者檢測目標(biāo)的難度。
[0008] 為了解決上述技術(shù)問題,本申請公開了如下技術(shù)方案:
[0009] 第一方面,本發(fā)明公開了一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng),該系統(tǒng)由動態(tài)目標(biāo)防 御模塊和SDN控制器管理模塊構(gòu)成。
[0010] 動態(tài)目標(biāo)防御模塊包括流量分析模塊、映射信息存儲模塊、目標(biāo)轉(zhuǎn)化模塊、加密傳 輸模塊、負(fù)載平衡模塊、安全認(rèn)證模塊和業(yè)務(wù)流記錄數(shù)據(jù)庫、映射信息記錄數(shù)據(jù)庫。
[0011] 流量分析模塊分析數(shù)據(jù)包,能夠獲取業(yè)務(wù)流標(biāo)識、協(xié)議、目標(biāo)MAC地址、目標(biāo)IP地 址、目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址信息,由此分析得出數(shù)據(jù)包所屬業(yè)務(wù) 的協(xié)議,所屬的業(yè)務(wù),待訪問的目標(biāo)的真實機器地址,最終判斷此業(yè)務(wù)流的敏感程度,生成 安全級別指標(biāo)。
[0012] 映射信息存儲模塊負(fù)責(zé)將業(yè)務(wù)流記錄數(shù)據(jù)庫的存儲管理,并且定期掃描數(shù)據(jù)庫將 失效時間超過設(shè)定值的流表從數(shù)據(jù)庫中清除出去。
[0013] 目標(biāo)轉(zhuǎn)化模塊能根據(jù)業(yè)務(wù)流的安全級別指標(biāo)使用隨機映射算法,將源MAC地址、 源IP地址、源端口地址映射成虛擬的MAC地址、IPv6地址、端口地址。
[0014] 加密傳輸模塊確保MTD服務(wù)器之間、MTD服務(wù)器與其他網(wǎng)元通信的安全。
[0015] 安全認(rèn)證模塊對訪問MTD的對象進(jìn)行認(rèn)證,只允許有訪問權(quán)限的內(nèi)網(wǎng)網(wǎng)元的進(jìn) 入。
[0016] 負(fù)載平衡模塊對當(dāng)前MTD服務(wù)器的工作負(fù)載進(jìn)行監(jiān)控,當(dāng)負(fù)載超過閾值時轉(zhuǎn)移到 其他MTD服務(wù)器進(jìn)行處理或執(zhí)行如簡單丟包此類的安全措施。
[0017] 業(yè)務(wù)流記錄數(shù)據(jù)庫存放業(yè)務(wù)流記錄表項,映射信息記錄數(shù)據(jù)庫存放映射信息記錄 表項。
[0018] SDN控制器管理模塊包括流表生成模塊、流表分發(fā)/同步模塊、路由選擇模塊、DNS 服務(wù)模塊、負(fù)載平衡模塊、分布式管理模塊、安全通信模塊、冗余備份模塊、安全認(rèn)證模塊和 流表數(shù)據(jù)庫。
[0019] 流表生成模塊從MTD服務(wù)器處獲取流量轉(zhuǎn)發(fā)規(guī)則,并根據(jù)此流量轉(zhuǎn)發(fā)規(guī)則生成待 部署到SDN邊界交換機的流表。
[0020] 流表分發(fā)/同步模塊將流表推送到相關(guān)的SDN邊界交換機,并且根據(jù)保持流表在 控制器和交換機上的一致性,實現(xiàn)多控制器之間的流表的同步。
[0021 ] 路由選擇模塊負(fù)責(zé)路由的決策工作。
[0022] 負(fù)載平衡模塊對當(dāng)前SDN控制器的工作負(fù)載進(jìn)行監(jiān)控,當(dāng)負(fù)載超過閾值時轉(zhuǎn)移到 其他SDN控制器進(jìn)行處理或執(zhí)行如簡單丟包此類的安全措施。
[0023] 分布式管理模塊對SDN控制器集群進(jìn)行分布式管理。
[0024] 安全通信模塊確保通信行為的安全進(jìn)行。
[0025] 冗余備份模塊為防止SDN控制器發(fā)生故障影響整個系統(tǒng)的正常工作。
[0026] 安全認(rèn)證模塊對訪問SDN的對象進(jìn)行認(rèn)證,只允許有訪問權(quán)限的內(nèi)網(wǎng)網(wǎng)元的進(jìn) 入。
[0027] 流表數(shù)據(jù)庫存儲當(dāng)前控制器所管理的SDN邊界交換機相關(guān)的未過期的流表項。
[0028] 控制器集群控制模塊通過交換機接口通信模塊使用南向接口協(xié)議與支持SDN的 交換機進(jìn)行通信。
[0029] 其中,目標(biāo)轉(zhuǎn)化模塊包括MAC映射模塊、IP映射模塊、端口映射模塊、協(xié)議標(biāo)識更 改模塊,其能根據(jù)業(yè)務(wù)流的安全級別指標(biāo)使用隨機算法包括MAC隨機映射算法、IP隨機映 射算法、端口隨機映射算法。
[0030] 第二方面,本發(fā)明公開了一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御的方法,該方法將真實的內(nèi) 網(wǎng)網(wǎng)元的信息映射到比原地址空間大為廣大的空間,并且根據(jù)所訪問目標(biāo)的安全級別不同 隨機生成有效期以變換映射的地址,使得攻擊者檢測目標(biāo)信息的難度大大增加,具體流程 為:
[0031] 數(shù)據(jù)包由外網(wǎng)進(jìn)入內(nèi)網(wǎng)的流程:
[0032] sllSDN邊界交換機收到外界傳向內(nèi)網(wǎng)的數(shù)據(jù)包;
[0033] S12SDN邊界交換機查看此數(shù)據(jù)包是否匹配轉(zhuǎn)發(fā)流表;
[0034] sl3如果匹配,SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包;
[0035] sl4如不匹配,SDN邊界交換機提取數(shù)據(jù)包信息轉(zhuǎn)發(fā)給SDN控制器;
[0036] S15SDN控制器查找流表數(shù)據(jù)庫,查看是否匹配已有流表;
[0037] sl6如果匹配,SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機,SDN邊界交換 機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包;
[0038] sl7如不匹配,SDN控制器將收到的信息轉(zhuǎn)發(fā)給MTD服務(wù)器處理;
[0039] S18MTD服務(wù)器的流量分析模塊分析此數(shù)據(jù)包,獲取業(yè)務(wù)流標(biāo)識、協(xié)議、目標(biāo)MAC地 址、目標(biāo)IP地址、目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址信息;
[0040] S19流量分析模塊根據(jù)所獲取的信息查找業(yè)務(wù)流記錄數(shù)據(jù)庫;
[0041] sllO如果存儲在數(shù)據(jù)庫中:
[0042] all映射信息存儲模塊根據(jù)數(shù)據(jù)包的信息查找映射記錄數(shù)據(jù)庫中的記錄表項;
[0043] bll映射信息存儲模塊根據(jù)記錄表項的業(yè)務(wù)標(biāo)識在業(yè)務(wù)流記錄數(shù)據(jù)庫中查找業(yè)務(wù) 流記錄表項;
[0044] ell映射信息存儲模塊獲取該數(shù)據(jù)包所屬業(yè)務(wù)流的真實的目標(biāo)MAC地址、真實的 目標(biāo)IP地址、真實的目標(biāo)端口地址;
[0045] dllMTD服務(wù)器將表項信息以安全的方式發(fā)送至SDN控制器;
[0046] el ISDN控制器的流表生成模塊將收到的信息轉(zhuǎn)化流表;
[0047] fllSDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機;
[0048] gl ISDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包;
[0049] sill如果沒有在數(shù)據(jù)庫中找到此記錄:
[0050] al2流量分析模塊分析新業(yè)務(wù)的協(xié)議,所屬的業(yè)務(wù),待訪問的目標(biāo)的真實機器地 址;
[0051] bl2流量分析模塊判斷此業(yè)務(wù)流的敏感程度,生成安全級別指標(biāo),發(fā)送至映射信息 存儲模塊;
[0052] cl2映射信息存儲模塊將業(yè)務(wù)標(biāo)識,安全級別指標(biāo),協(xié)議信息,真實的目標(biāo)MAC地 址、真實的目標(biāo)IP地址、真實的目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址,按照業(yè) 務(wù)標(biāo)識存入業(yè)務(wù)流記錄數(shù)據(jù)庫;
[0053] dl2映射信息存儲模塊獲取該數(shù)據(jù)包所屬業(yè)務(wù)流的真實的目標(biāo)MAC地址、真實的 目標(biāo)IP地址、真實的目標(biāo)端口地址;
[0054] el2MTD服務(wù)器將表項信息以安全的方式發(fā)送至SDN控制器;
[0055] H2SDN控制器的流表生成模塊將收到的信息轉(zhuǎn)化流表;
[0056] gl2SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機;
[0057] hl2SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包。
[0058] 數(shù)據(jù)包由內(nèi)網(wǎng)發(fā)往外網(wǎng)的流程:
[0059] S21SDN邊界交換機收到內(nèi)網(wǎng)發(fā)往外網(wǎng)的數(shù)據(jù)包;
[0060] S22SDN邊界交換機查看此數(shù)據(jù)包是否匹配轉(zhuǎn)發(fā)流表;
[0061] s23如果匹配,SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包;
[0062] s24如不匹配,SDN邊界交換機提取數(shù)據(jù)包信息轉(zhuǎn)發(fā)給SDN控制器;
[0063] S25SDN控制器查找流表數(shù)據(jù)庫,查看是否匹配已有流表;
[0064] s26如果匹配,SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機,SDN邊界交換 機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包;
[0065] s27如不匹配,SDN控制器將收到的信息轉(zhuǎn)發(fā)給MTD服務(wù)器處理;
[0066] S28MTD服務(wù)器的流量分析模塊分析此數(shù)據(jù)包,獲取業(yè)務(wù)流標(biāo)識、協(xié)議、目標(biāo)MAC地 址、目標(biāo)IP地址、目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址信息;
[0067] s29流量分析模塊根據(jù)所獲取的信息查找業(yè)務(wù)流記錄數(shù)據(jù)庫;
[0068] s210如果信息存儲在數(shù)據(jù)庫:
[0069] a21映射信息存儲模塊根據(jù)數(shù)據(jù)包的信息查找映射記錄數(shù)據(jù)庫中的記錄表項;
[0070] b21映射信息存儲模塊根據(jù)記錄表項的業(yè)務(wù)標(biāo)識在業(yè)務(wù)流記錄數(shù)據(jù)庫中查找業(yè)務(wù) 流記錄表項,查看該表項是否過期;
[0071] c21如果沒有過期:
[0072] i.映射信息存儲模塊獲取該數(shù)據(jù)包所屬對應(yīng)的業(yè)務(wù)流表項信息;
[0073] i i.映射信息存儲模塊內(nèi)網(wǎng)網(wǎng)元對外映射的虛擬的MAC地址、IP地址、目標(biāo)端口地 址,以及變化后的協(xié)議傳遞給SDN控制器;
[0074] iii. SDN控制器的流表生成模塊根據(jù)信息,生成流表,實現(xiàn)以內(nèi)網(wǎng)網(wǎng)元的MAC地 址、IP地址、端口地址的替換,同時隨機更改TTL,填寫流表有效期,也可更改協(xié)議類型;
[0075] iv. SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機;
[0076] d21如果過期:
[0077] i.目標(biāo)轉(zhuǎn)換模塊根據(jù)此業(yè)務(wù)流的安全級別指標(biāo)分別使用MAC隨機映射算法、IP隨 機映射算法、端口隨機映射算法,將源MAC地址、源IP地址、源端口地址映射成虛擬的MAC 地址、IPV6地址、端口地址,并可對協(xié)議標(biāo)識進(jìn)行變換;
[0078] ii.映射信息存儲模塊將業(yè)務(wù)標(biāo)識、有效時間和生成的虛擬MAC地址、IPV6地址、 端口地址一同存入映射信息記錄數(shù)據(jù)庫;
[0079] i i i.映射信息存儲模塊內(nèi)網(wǎng)網(wǎng)元對外映射的虛擬的MAC地址、IP地址、目標(biāo)端口 地址,以及變化后的協(xié)議傳遞給SDN控制器;
[0080] iv. SDN控制器的流表生成模塊根據(jù)信息,生成流表,實現(xiàn)以內(nèi)網(wǎng)網(wǎng)元的MAC地址、 IP地址、端口地址的替換,同時隨機更改TTL,填寫流表有效期,也可更改協(xié)議類型;
[0081] v. SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機;
[0082] vi. SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包;
[0083] s211如信息沒有存儲在數(shù)據(jù)庫:
[0084] a22流量分析模塊分析新業(yè)務(wù)的協(xié)議,所屬的業(yè)務(wù);
[0085] b22流量分析模塊判斷此業(yè)務(wù)流的敏感程度,生成安全級別指標(biāo),發(fā)送至映射信息 存儲模塊;
[0086] c22映射信息存儲模塊將業(yè)務(wù)標(biāo)識,安全級別指標(biāo),協(xié)議信息,真實的目標(biāo)MAC地 址、真實的目標(biāo)IP地址、真實的目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址,按照業(yè) 務(wù)標(biāo)識存入業(yè)務(wù)流記錄數(shù)據(jù)庫;
[0087] d22目標(biāo)轉(zhuǎn)換模塊根據(jù)此業(yè)務(wù)流的安全級別指標(biāo)分別使用MAC隨機映射算法、IP 隨機映射算法、端口隨機映射算法,將源MAC地址、源IP地址、源端口地址映射成虛擬的MAC 地址、IPV6地址、端口地址,并可對協(xié)議標(biāo)識進(jìn)行變換;
[0088] e22映射信息存儲模塊將業(yè)務(wù)標(biāo)識、有效時間和生成的虛擬MAC地址、IPV6地址、 端口地址一同存入映射信息記錄數(shù)據(jù)庫;
[0089] f22映射信息存儲模塊將內(nèi)網(wǎng)網(wǎng)元對外映射的虛擬的MAC地址、IP地址、目標(biāo)端口 地址,以及變化后的協(xié)議傳遞給SDN控制器;
[0090] g22SDN控制器的流表生成模塊根據(jù)信息,生成流表,實現(xiàn)以內(nèi)網(wǎng)網(wǎng)元的MAC地址、 IP地址、端口地址的替換,同時隨機更改TTL,填寫流表有效期,也可更改協(xié)議類型;
[0091] h22SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機;
[0092] i22SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包。
[0093] 本發(fā)明技術(shù)方案帶來的有益效果:
[0094] 一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng)及方法將真實的內(nèi)網(wǎng)網(wǎng)元信息映射到比原地址 空間大為廣大的空間,并且根據(jù)所訪問目標(biāo)的安全級別不同隨機生成有效期以變換映射的 地址,使得攻擊者檢測目標(biāo)信息的難度大大增加。本發(fā)明將IP全部轉(zhuǎn)化為IPv6地址空間, 理論上IPv4最多可以提供約40億個地址,而IPv6則提供約340萬億萬億萬億(2的128 次方)個地址,這就數(shù)量級的提升了目標(biāo)IP確定的難度;本發(fā)明將MAC地址也做了轉(zhuǎn)化,使 得攻擊者難以對真實的目標(biāo)進(jìn)行定位;本發(fā)明在端口地址存在的情況下,也對其進(jìn)行了映 射,加上可設(shè)定對協(xié)議進(jìn)行標(biāo)識符的更改,這更加增大了攻擊者檢測目標(biāo)的難度,從而全面 保護(hù)內(nèi)網(wǎng)的安全。
【專利附圖】
【附圖說明】
[0095] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以 根據(jù)這些附圖獲得其它的附圖。
[0096] 圖1是本發(fā)明中SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng)的功能模塊圖;
[0097] 圖2是本發(fā)明中SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D;
[0098] 圖3是本發(fā)明中數(shù)據(jù)包由外網(wǎng)進(jìn)入內(nèi)網(wǎng)的流程圖;
[0099] 圖4是本發(fā)明中數(shù)據(jù)包由內(nèi)網(wǎng)發(fā)往外網(wǎng)的流程圖。
【具體實施方式】
[0100] 下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;?本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護(hù)的范圍。
[0101] 本發(fā)明為了解決現(xiàn)有技術(shù)中動態(tài)目標(biāo)防御映射到虛擬目標(biāo)固定不變或虛擬目標(biāo) 空間較小的缺點或不足,采用了一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng)及方法,從而增大了攻擊 者檢測目標(biāo)的難度。
[0102] 一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng)基于SDN網(wǎng)絡(luò)實現(xiàn),由動態(tài)目標(biāo)防御模塊和SDN 控制器管理模塊構(gòu)成,具體如圖1所示。
[0103] 動態(tài)目標(biāo)防御模塊包括流量分析模塊、映射信息存儲模塊、目標(biāo)轉(zhuǎn)化模塊、加密傳 輸模塊、負(fù)載平衡模塊、安全認(rèn)證模塊和業(yè)務(wù)流記錄數(shù)據(jù)庫、映射信息記錄數(shù)據(jù)庫。
[0104] 流量分析模塊分析數(shù)據(jù)包,能夠獲取業(yè)務(wù)流標(biāo)識、協(xié)議、目標(biāo)MAC地址、目標(biāo)IP地 址、目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址信息;由此分析得出數(shù)據(jù)包所屬業(yè)務(wù) 的協(xié)議,所屬的業(yè)務(wù),待訪問的目標(biāo)的真實機器地址;最終判斷此業(yè)務(wù)流的敏感程度,生成 安全級別指標(biāo)。
[0105] 映射信息存儲模塊負(fù)責(zé)將業(yè)務(wù)流記錄數(shù)據(jù)庫的存儲管理,并且定期掃描數(shù)據(jù)庫將 失效時間超過設(shè)定值的流表從數(shù)據(jù)庫中清除出去。目標(biāo)轉(zhuǎn)化模塊能根據(jù)業(yè)務(wù)流的安全級別 指標(biāo)分別使用MAC隨機映射算法、IP隨機映射算法、端口隨機映射算法,將源MAC地址、源 IP地址、源端口地址映射成虛擬的MAC地址、IPv6地址、端口地址,并如有需要可對協(xié)議標(biāo) 識進(jìn)行變換;包括MAC映射模塊、IP映射模塊、端口映射模塊、協(xié)議標(biāo)識更改模塊。
[0106] 加密傳輸模塊確保MTD服務(wù)器之間、MTD服務(wù)器與其他網(wǎng)元通信的安全。安全認(rèn) 證模塊對訪問MTD的對象進(jìn)行認(rèn)證,只允許有訪問權(quán)限的內(nèi)網(wǎng)網(wǎng)元的進(jìn)入。負(fù)載平衡模塊 對當(dāng)前MTD服務(wù)器的工作負(fù)載進(jìn)行監(jiān)控,當(dāng)負(fù)載超過閾值時轉(zhuǎn)移到其他MTD服務(wù)器進(jìn)行處 理或執(zhí)行如簡單丟包此類的安全措施。業(yè)務(wù)流記錄數(shù)據(jù)庫存放業(yè)務(wù)流記錄表項,映射信息 記錄數(shù)據(jù)庫存放映射信息記錄表項。
[0107] 其中業(yè)務(wù)流記錄表項的數(shù)據(jù)結(jié)構(gòu)如表1所示:
[0108] 表1業(yè)務(wù)流記錄表項的數(shù)據(jù)結(jié)構(gòu)
【權(quán)利要求】
1. 一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御系統(tǒng),其特征在于,該系統(tǒng)由動態(tài)目標(biāo)防御模塊和SDN控 制器管理模塊構(gòu)成; 動態(tài)目標(biāo)保防御模塊包括流量分析模塊、映射信息存儲模塊、目標(biāo)轉(zhuǎn)化模塊、加密傳輸 模塊、負(fù)載平衡模塊、安全認(rèn)證模塊和業(yè)務(wù)流記錄數(shù)據(jù)庫、映射信息記錄數(shù)據(jù)庫; 流量分析模塊分析數(shù)據(jù)包,能夠獲取業(yè)務(wù)流標(biāo)識、協(xié)議、目標(biāo)MAC地址、目標(biāo)IP地址、目 標(biāo)端口地址,源MAC地址、源IP地址、源端口地址信息,由此分析得出數(shù)據(jù)包所屬業(yè)務(wù)的協(xié) 議,所屬的業(yè)務(wù),待訪問的目標(biāo)的真實機器地址,最終判斷此業(yè)務(wù)流的敏感程度,生成安全 級別指標(biāo); 映射信息存儲模塊負(fù)責(zé)將業(yè)務(wù)流記錄數(shù)據(jù)庫的存儲管理,并且定期掃描數(shù)據(jù)庫將失效 時間超過設(shè)定值的流表從數(shù)據(jù)庫中清除出去; 目標(biāo)轉(zhuǎn)化模塊能根據(jù)業(yè)務(wù)流的安全級別指標(biāo)使用隨機映射算法,將源MAC地址、源IP 地址、源端口地址映射成虛擬的MAC地址、IPv6地址、端口地址; 加密傳輸模塊確保MTD服務(wù)器之間、MTD服務(wù)器與其他網(wǎng)元通信的安全; 安全認(rèn)證模塊對訪問MTD的對象進(jìn)行認(rèn)證,只允許有訪問權(quán)限的內(nèi)網(wǎng)網(wǎng)元的進(jìn)入; 負(fù)載平衡模塊對當(dāng)前MTD服務(wù)器的工作負(fù)載進(jìn)行監(jiān)控,當(dāng)負(fù)載超過閾值時轉(zhuǎn)移到其他 MTD服務(wù)器進(jìn)行處理或執(zhí)行如簡單丟包此類的安全措施; 業(yè)務(wù)流記錄數(shù)據(jù)庫存放業(yè)務(wù)流記錄表項,映射信息記錄數(shù)據(jù)庫存放映射信息記錄表 項; SDN控制器管理模塊包括流表生成模塊、流表分發(fā)/同步模塊、路由選擇模塊、DNS服務(wù) 模塊、負(fù)載平衡模塊、分布式管理模塊、安全通信模塊、冗余備份模塊、安全認(rèn)證模塊和流表 數(shù)據(jù)庫; 流表生成模塊從MTD服務(wù)器處獲取流量轉(zhuǎn)發(fā)規(guī)則,并根據(jù)此流量轉(zhuǎn)發(fā)規(guī)則生成待部署 到SDN邊界交換機的流表; 流表分發(fā)/同步模塊將流表推送到相關(guān)的SDN邊界交換機,并且根據(jù)保持流表在控制 器和交換機上的一致性,實現(xiàn)多控制器之間的流表的同步; 路由選擇模塊負(fù)責(zé)路由的決策工作; 負(fù)載平衡模塊對當(dāng)前SDN控制器的工作負(fù)載進(jìn)行監(jiān)控,當(dāng)負(fù)載超過閾值時轉(zhuǎn)移到其他 SDN控制器進(jìn)行處理或執(zhí)行如簡單丟包此類的安全措施; 分布式管理模塊對SDN控制器集群進(jìn)行分布式管理; 安全通信模塊確保通信行為的安全進(jìn)行; 冗余備份模塊為防止SDN控制器發(fā)生故障影響整個系統(tǒng)的正常工作; 安全認(rèn)證模塊對訪問SDN的對象進(jìn)行認(rèn)證,只允許有訪問權(quán)限的內(nèi)網(wǎng)網(wǎng)元的進(jìn)入; 流表數(shù)據(jù)庫存儲當(dāng)前控制器所管理的SDN邊界交換機相關(guān)的未過期的流表項; 控制器集群控制模塊通過交換機接口通信模塊使用南向接口協(xié)議與支持SDN的交換 機進(jìn)行通信。
2. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,目標(biāo)轉(zhuǎn)化模塊包括MAC映射模塊、IP映射 模塊、端口映射模塊、協(xié)議標(biāo)識更改模塊。
3. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,目標(biāo)轉(zhuǎn)化模塊能根據(jù)業(yè)務(wù)流的安全級別 指標(biāo)使用隨機算法包括MAC隨機映射算法、IP隨機映射算法、端口隨機映射算法。
4. 一種SDN網(wǎng)絡(luò)動態(tài)目標(biāo)防御的方法,其特征在于,該方法將真實的內(nèi)網(wǎng)網(wǎng)元的信息 映射到比原地址空間大為廣大的空間,并且根據(jù)所訪問目標(biāo)的安全級別不同隨機生成有效 期以變換映射的地址,使得攻擊者檢測目標(biāo)信息的難度大大增加,具體流程為: 數(shù)據(jù)包由外網(wǎng)進(jìn)入內(nèi)網(wǎng)的流程: sllSDN邊界交換機收到外界傳向內(nèi)網(wǎng)的數(shù)據(jù)包; S12SDN邊界交換機查看此數(shù)據(jù)包是否匹配轉(zhuǎn)發(fā)流表; sl3如果匹配,SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包; sl4如不匹配,SDN邊界交換機提取數(shù)據(jù)包信息轉(zhuǎn)發(fā)給SDN控制器; S15SDN控制器查找流表數(shù)據(jù)庫,查看是否匹配已有流表; sl6如果匹配,SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機,SDN邊界交換機根 據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包; sl7如不匹配,SDN控制器將收到的信息轉(zhuǎn)發(fā)給MTD服務(wù)器處理; S18MTD服務(wù)器的流量分析模塊分析此數(shù)據(jù)包,獲取業(yè)務(wù)流標(biāo)識、協(xié)議、目標(biāo)MAC地址、 目標(biāo)IP地址、目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址信息; sl9流量分析模塊根據(jù)所獲取的信息查找業(yè)務(wù)流記錄數(shù)據(jù)庫; si 10如果存儲在數(shù)據(jù)庫中: all映射信息存儲模塊根據(jù)數(shù)據(jù)包的信息查找映射記錄數(shù)據(jù)庫中的記錄表項; bll映射信息存儲模塊根據(jù)記錄表項的業(yè)務(wù)標(biāo)識在業(yè)務(wù)流記錄數(shù)據(jù)庫中查找業(yè)務(wù)流記 錄表項; ell映射信息存儲模塊獲取該數(shù)據(jù)包所屬業(yè)務(wù)流的真實的目標(biāo)MAC地址、真實的目標(biāo) IP地址、真實的目標(biāo)端口地址; dllMTD服務(wù)器將表項信息以安全的方式發(fā)送至SDN控制器; el ISDN控制器的流表生成模塊將收到的信息轉(zhuǎn)化流表; fl ISDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機; gl ISDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包; sill如果沒有在數(shù)據(jù)庫中找到此記錄: al2流量分析模塊分析新業(yè)務(wù)的協(xié)議,所屬的業(yè)務(wù),待訪問的目標(biāo)的真實機器地址; bl2流量分析模塊判斷此業(yè)務(wù)流的敏感程度,生成安全級別指標(biāo),發(fā)送至映射信息存儲 模塊; cl2映射信息存儲模塊將業(yè)務(wù)標(biāo)識,安全級別指標(biāo),協(xié)議信息,真實的目標(biāo)MAC地址、真 實的目標(biāo)IP地址、真實的目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址,按照業(yè)務(wù)標(biāo) 識存入業(yè)務(wù)流記錄數(shù)據(jù)庫; dl2映射信息存儲模塊獲取該數(shù)據(jù)包所屬業(yè)務(wù)流的真實的目標(biāo)MAC地址、真實的目標(biāo) IP地址、真實的目標(biāo)端口地址; el2MTD服務(wù)器將表項信息以安全的方式發(fā)送至SDN控制器; fl2SDN控制器的流表生成模塊將收到的信息轉(zhuǎn)化流表; gl2SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機; hl2SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包; 數(shù)據(jù)包由內(nèi)網(wǎng)發(fā)往外網(wǎng)的流程: s21SDN邊界交換機收到內(nèi)網(wǎng)發(fā)往外網(wǎng)的數(shù)據(jù)包; S22SDN邊界交換機查看此數(shù)據(jù)包是否匹配轉(zhuǎn)發(fā)流表; s23如果匹配,SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包; s24如不匹配,SDN邊界交換機提取數(shù)據(jù)包信息轉(zhuǎn)發(fā)給SDN控制器; S25SDN控制器查找流表數(shù)據(jù)庫,查看是否匹配已有流表; s26如果匹配,SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機,SDN邊界交換機根 據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包; s27如不匹配,SDN控制器將收到的信息轉(zhuǎn)發(fā)給MTD服務(wù)器處理; S28MTD服務(wù)器的流量分析模塊分析此數(shù)據(jù)包,獲取業(yè)務(wù)流標(biāo)識、協(xié)議、目標(biāo)MAC地址、 目標(biāo)IP地址、目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址信息; s29流量分析模塊根據(jù)所獲取的信息查找業(yè)務(wù)流記錄數(shù)據(jù)庫; S210如果信息存儲在數(shù)據(jù)庫: a21映射信息存儲模塊根據(jù)數(shù)據(jù)包的信息查找映射記錄數(shù)據(jù)庫中的記錄表項; b21映射信息存儲模塊根據(jù)記錄表項的業(yè)務(wù)標(biāo)識在業(yè)務(wù)流記錄數(shù)據(jù)庫中查找業(yè)務(wù)流記 錄表項,查看該表項是否過期; c21如果沒有過期: i.映射信息存儲模塊獲取該數(shù)據(jù)包所屬對應(yīng)的業(yè)務(wù)流表項信息; i i.映射信息存儲模塊內(nèi)網(wǎng)網(wǎng)元對外映射的虛擬的MAC地址、IP地址、目標(biāo)端口地址, 以及變化后的協(xié)議傳遞給SDN控制器; iii. SDN控制器的流表生成模塊根據(jù)信息,生成流表,實現(xiàn)以內(nèi)網(wǎng)網(wǎng)元的MAC地址、IP 地址、端口地址的替換,同時隨機更改TTL,填寫流表有效期,也可更改協(xié)議類型; iv. SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機; d21如果過期: i. 目標(biāo)轉(zhuǎn)換模塊根據(jù)此業(yè)務(wù)流的安全級別指標(biāo)分別使用MAC隨機映射算法、IP隨機映 射算法、端口隨機映射算法,將源MAC地址、源IP地址、源端口地址映射成虛擬的MAC地址、 IPV6地址、端口地址,并可對協(xié)議標(biāo)識進(jìn)行變換; ii. 映射信息存儲模塊將業(yè)務(wù)標(biāo)識、有效時間和生成的虛擬MAC地址、IPV6地址、端口 地址一同存入映射信息記錄數(shù)據(jù)庫; i i i.映射信息存儲模塊內(nèi)網(wǎng)網(wǎng)元對外映射的虛擬的MAC地址、IP地址、目標(biāo)端口地址, 以及變化后的協(xié)議傳遞給SDN控制器; iv. SDN控制器的流表生成模塊根據(jù)信息,生成流表,實現(xiàn)以內(nèi)網(wǎng)網(wǎng)元的MAC地址、IP地 址、端口地址的替換,同時隨機更改TTL,填寫流表有效期,也可更改協(xié)議類型; v. SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機; vi. SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包; s211如信息沒有存儲在數(shù)據(jù)庫: a22流量分析模塊分析新業(yè)務(wù)的協(xié)議,所屬的業(yè)務(wù); b22流量分析模塊判斷此業(yè)務(wù)流的敏感程度,生成安全級別指標(biāo),發(fā)送至映射信息存儲 模塊; c22映射信息存儲模塊將業(yè)務(wù)標(biāo)識,安全級別指標(biāo),協(xié)議信息,真實的目標(biāo)MAC地址、真 實的目標(biāo)IP地址、真實的目標(biāo)端口地址,源MAC地址、源IP地址、源端口地址,按照業(yè)務(wù)標(biāo) 識存入業(yè)務(wù)流記錄數(shù)據(jù)庫; d22目標(biāo)轉(zhuǎn)換模塊根據(jù)此業(yè)務(wù)流的安全級別指標(biāo)分別使用MAC隨機映射算法、IP隨機 映射算法、端口隨機映射算法,將源MAC地址、源IP地址、源端口地址映射成虛擬的MAC地 址、IPV6地址、端口地址,并可對協(xié)議標(biāo)識進(jìn)行變換; e22映射信息存儲模塊將業(yè)務(wù)標(biāo)識、有效時間和生成的虛擬MAC地址、IPV6地址、端口 地址一同存入映射信息記錄數(shù)據(jù)庫; f22映射信息存儲模塊將內(nèi)網(wǎng)網(wǎng)元對外映射的虛擬的MAC地址、IP地址、目標(biāo)端口地 址,以及變化后的協(xié)議傳遞給SDN控制器; g22SDN控制器的流表生成模塊根據(jù)信息,生成流表,實現(xiàn)以內(nèi)網(wǎng)網(wǎng)元的MAC地址、IP地 址、端口地址的替換,同時隨機更改TTL,填寫流表有效期,也可更改協(xié)議類型; h22SDN控制器將該流表下發(fā)給相關(guān)的SDN邊界交換機; i22SDN邊界交換機根據(jù)流表轉(zhuǎn)發(fā)此數(shù)據(jù)包。
【文檔編號】H04L29/06GK104506511SQ201410778930
【公開日】2015年4月8日 申請日期:2014年12月15日 優(yōu)先權(quán)日:2014年12月15日
【發(fā)明者】楊育斌, 程麗明, 柯宗貴 申請人:藍(lán)盾信息安全技術(shù)股份有限公司