本發(fā)明涉及計算機(jī)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體地講，是一種基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法。

背景技術(shù)：

現(xiàn)有的與互聯(lián)網(wǎng)相關(guān)的網(wǎng)絡(luò)安全技術(shù)當(dāng)中，在網(wǎng)絡(luò)管理器上部署OSSEC，能發(fā)現(xiàn)針對業(yè)務(wù)的入侵行為，對于網(wǎng)站業(yè)務(wù)，OSSEC有網(wǎng)站攻擊檢測規(guī)則。OSSEC檢測到規(guī)則后，可以聯(lián)動IpTables，對攻擊源進(jìn)行攔截。但是僅僅通過防火墻方式攔截，存在諸多如下缺。

1.雖然可以阻斷攻擊，但不能消滅攻擊。

2.防火墻不能抵抗最新的未設(shè)置策略的攻擊漏。

3.對服務(wù)器合法開放的端口的攻擊大多無法阻隔。

4.對待內(nèi)部主動發(fā)起連接的攻擊一般無法阻隔。

5.防火墻本身也會出現(xiàn)問題和受到攻擊。

這些是現(xiàn)有技術(shù)中存在的不足。

蜜罐技術(shù)是設(shè)計用來給黑客入侵的，它必須提供一定的漏洞，借此收集證據(jù)，同時隱藏真實的服務(wù)器地址，因此一臺合格的蜜罐要求擁有這些功能:發(fā)現(xiàn)攻擊、產(chǎn)生警告、強(qiáng)大的記錄能力、欺騙、協(xié)助調(diào)查，最后，就是在必要時候根據(jù)蜜罐收集的證據(jù)來起訴入侵者。

技術(shù)實現(xiàn)要素：

鑒于現(xiàn)有技術(shù)中所存在的不足，本發(fā)明提供一種能將異常流引流到蜜罐、跟蹤記錄整個過程并追蹤攻擊路徑，通過蜜罐分析，發(fā)現(xiàn)系統(tǒng)本身業(yè)務(wù)漏洞的基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法。

一種基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法，包括如下步驟：

步驟一：

闡述Neutron網(wǎng)絡(luò)原理；

其中的扁平網(wǎng)絡(luò)：

OVS在把數(shù)據(jù)包轉(zhuǎn)發(fā)給虛擬機(jī)時會先增加Vlan標(biāo)記；

OVS在把虛擬機(jī)的數(shù)據(jù)包從物理網(wǎng)卡發(fā)送去之前會刪除Vlan標(biāo)記；

其中的Vlan網(wǎng)絡(luò)：

將從int-br-svc接口流入的數(shù)據(jù)包外部網(wǎng)絡(luò)的vlan_id修改為內(nèi)部網(wǎng)絡(luò)的vlan_id；

將從phy-br-svc接口流入的數(shù)據(jù)包內(nèi)部網(wǎng)絡(luò)的vlan_id修改為外部網(wǎng)絡(luò) 的vlan_id；

其中的GRE網(wǎng)絡(luò)：

br-int橋上的流表做正常轉(zhuǎn)發(fā)；

查看br-tun橋上的流表；

步驟二：

設(shè)定或結(jié)合蜜罐網(wǎng)絡(luò)：采用GRE的網(wǎng)絡(luò)模式，通過br-int橋上的流表就需要引流的數(shù)據(jù)包通過br-tun運到蜜罐虛擬機(jī)，采用隧道模式，能保證在不需要修改請求包的源地址的情況下，響應(yīng)包能原路返回，在br-int通過對響應(yīng)包進(jìn)行修改，客戶端能正常收到響應(yīng)包。

進(jìn)一步地，所述基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法的步驟一中還包括如下方法：

1.數(shù)據(jù)庫設(shè)計；

2.邏輯結(jié)構(gòu)設(shè)定；

3.部署結(jié)構(gòu)設(shè)定；

4.處理程序設(shè)定；

5.接口定義；

6.蜜罐流表定義；

7.蜜罐規(guī)則更新。

進(jìn)一步地，所述基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法的蜜罐流表定義還包括如下步驟：

步驟一：請求包流表，scr_ip從int_port_no端口流入，到b_p_seg，dst_ip,protocol,dst_ip的數(shù)據(jù)包轉(zhuǎn)發(fā)到蜜罐的物理橋在集成橋的接口，修改目標(biāo)IP，目標(biāo)MAC，目標(biāo)的Vlanid

步驟二：應(yīng)答包流表，從蜜罐接口流入，目標(biāo)IP＝src_ip,源ip＝honey_ip，源mac＝honey_mac，vlan_id＝h_l_vlan，tp_src＝dst_port的數(shù)據(jù)包#修改原ip＝dst_ip，源mac＝dst_mac,vlan_id＝b_l_vlan

進(jìn)一步地，所述基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法的蜜罐規(guī)則更新還包括如下步驟：

步驟一：獲取業(yè)務(wù)網(wǎng)的內(nèi)部valnid，外部vlanid，物理網(wǎng)的名稱；

步驟二：獲取集成橋上連接蜜罐物理網(wǎng)的端口號；

步驟三：獲取集成橋上連接業(yè)務(wù)物理網(wǎng)的端口號；

步驟四：遍歷蜜罐規(guī)則的每一個實例：刪除請求流表；刪除響應(yīng)流表；下發(fā)引流流表。

本發(fā)明的有益效果是：本發(fā)明能將異常流引流到蜜罐，跟蹤記錄整個過程并對追蹤攻擊路徑，通過蜜罐分析，發(fā)現(xiàn)系統(tǒng)本身業(yè)務(wù)漏洞而進(jìn)行安全防護(hù)。能夠做到既阻斷網(wǎng)絡(luò)攻擊，又能消滅攻擊；能對最新的未設(shè)置策略的攻擊漏進(jìn)行防護(hù)；對服務(wù)器合法開放的端口的攻擊能夠進(jìn)行阻隔；對待內(nèi)部主動發(fā)起連接的攻擊能夠進(jìn)行阻隔。

附圖說明

下面結(jié)合附圖對本發(fā)明進(jìn)行進(jìn)一步詳述。

圖1為本發(fā)明扁平網(wǎng)絡(luò)示意圖。

圖2為本發(fā)明Vlan網(wǎng)絡(luò)示意圖。

圖3為本發(fā)明GRE網(wǎng)絡(luò)示意圖。

圖4為本發(fā)明br-tun橋上的流表示意圖。

圖5為本發(fā)明數(shù)據(jù)庫設(shè)計示意圖。

圖6為本發(fā)明邏輯結(jié)構(gòu)示意圖。

圖7為本發(fā)明布署結(jié)構(gòu)示意圖。

圖8為本發(fā)明流程示意圖。

具體實施方式

本發(fā)明公開的基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法，包括如下步驟：

步驟一：

闡述Neutron網(wǎng)絡(luò)原理；

其中的扁平網(wǎng)絡(luò)：

OVS在把數(shù)據(jù)包轉(zhuǎn)發(fā)給虛擬機(jī)時會先增加Vlan標(biāo)記；

OVS在把虛擬機(jī)的數(shù)據(jù)包從物理網(wǎng)卡發(fā)送去之前會刪除Vlan標(biāo)記；

其中的Vlan網(wǎng)絡(luò)：

將從int-br-svc接口流入的數(shù)據(jù)包外部網(wǎng)絡(luò)的vlan_id修改為內(nèi)部網(wǎng)絡(luò)的vlan_id；

將從phy-br-svc接口流入的數(shù)據(jù)包內(nèi)部網(wǎng)絡(luò)的vlan_id修改為外部網(wǎng)絡(luò)的vlan_id；

其中的GRE網(wǎng)絡(luò)：

br-int橋上的流表做正常轉(zhuǎn)發(fā)；

查看br-tun橋上的流表；

步驟二：

設(shè)定或結(jié)合蜜罐網(wǎng)絡(luò)：采用GRE的網(wǎng)絡(luò)模式，通過br-int橋上的流表就需要引流的數(shù)據(jù)包通過br-tun運到蜜罐虛擬機(jī)，采用隧道模式，能保證在不需要修改請求包的源地址的情況下，響應(yīng)包能原路返回，在br-int通過對響應(yīng)包進(jìn)行修改，客戶端能正常收到響應(yīng)包。

進(jìn)一步地，所述基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法的步驟一中還包括如下方法：

1.數(shù)據(jù)庫設(shè)計；

2.邏輯結(jié)構(gòu)設(shè)定；

3.部署結(jié)構(gòu)設(shè)定；

4.處理程序設(shè)定；

5.接口定義；

6.蜜罐流表定義；

7.蜜罐規(guī)則更新。

進(jìn)一步地，所述基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法的蜜罐流表定義還包括如下步驟：

步驟一：請求包流表，scr_ip從int_port_no端口流入，到b_p_seg，dst_ip,protocol,dst_ip的數(shù)據(jù)包轉(zhuǎn)發(fā)到蜜罐的物理橋在集成橋的接口，修改目標(biāo)IP，目標(biāo)MAC，目標(biāo)的Vlanid

步驟二：應(yīng)答包流表，從蜜罐接口流入，目標(biāo)IP＝src_ip,源ip＝honey_ip，源mac＝honey_mac，vlan_id＝h_l_vlan，tp_src＝dst_port的數(shù)據(jù)包#修改原ip＝dst_ip，源mac＝dst_mac,vlan_id＝b_l_vlan

進(jìn)一步地，所述基于GRE網(wǎng)絡(luò)結(jié)合SDN技術(shù)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防護(hù)方法的蜜罐規(guī)則更新還包括如下步驟：

步驟一：獲取業(yè)務(wù)網(wǎng)的內(nèi)部valnid，外部vlanid，物理網(wǎng)的名稱；

步驟二：獲取集成橋上連接蜜罐物理網(wǎng)的端口號；

步驟三：獲取集成橋上連接業(yè)務(wù)物理網(wǎng)的端口號；

步驟四：遍歷蜜罐規(guī)則的每一個實例：刪除請求流表；刪除響應(yīng)流表；下發(fā)引流流表。

如圖1到圖8所示本發(fā)明的具體實施例：東城通過應(yīng)急快速恢復(fù)平臺將業(yè)務(wù)已經(jīng)遷移到平臺管理的虛擬機(jī)上，并通過網(wǎng)絡(luò)管控器上的Haproxy實現(xiàn)了業(yè)務(wù)的負(fù)載均衡。在網(wǎng)絡(luò)管理器上部署OSSEC，能發(fā)現(xiàn)針對業(yè)務(wù)的入侵行為，東城主要是網(wǎng)站業(yè)務(wù)，OSSEC有網(wǎng)站攻擊檢測規(guī)則。OSSEC檢測到規(guī)則后，可以聯(lián)動IpTables，對源進(jìn)行攔截。

通過防火墻方式攔截，很難發(fā)現(xiàn)攻擊路徑，利用SDN技術(shù)，將異常流引流到蜜罐，跟蹤記錄整個過程，便于追蹤攻擊路徑，發(fā)現(xiàn)業(yè)務(wù)漏洞。

目前東城的二期項目需要實現(xiàn)蜜罐分析的功能。

基本原理

Neutron網(wǎng)絡(luò)的原理

扁平網(wǎng)絡(luò)

蜜罐網(wǎng)絡(luò)

蜜罐網(wǎng)絡(luò)采用GRE的網(wǎng)絡(luò)模式，通過br-int橋上的流表就需要引流的數(shù)據(jù)包通過br-tun運到蜜罐虛擬機(jī)，采用隧道模式，能保證在不需要修改請求包的源地址的情況下，響應(yīng)包能原路返回，在br-int通過對響應(yīng)包進(jìn)行修改，客戶端能正常收到響應(yīng)包。

響應(yīng)一級變化

部署結(jié)構(gòu)

處理流程

實現(xiàn)

數(shù)據(jù)庫設(shè)計

表：honey

描述：蜜罐引流規(guī)則定義

表：honeyalias

描述：蜜罐引流實例

邏輯結(jié)構(gòu)

Neutron-server代碼

通過擴(kuò)展插件實現(xiàn)Honey的接口定義，Honey配置的存儲，與openvswitch-agent之間的交付

擴(kuò)展接口定義

neutron_honey\extensions\honey.py

資源屬性定義

資源的屬性定義表格式如下，定義了Rest接口提供了配置的資源類型，對資源進(jìn)行操作的屬性要求；RESOURCE_ATTRIBUTE_MAP的key為每一種資源名的復(fù)數(shù)形式，Value為該資源的scheme描述。

代理端代碼

1.被動接受引流的配置

2.每次重啟自動加載所有引流的配置(未實現(xiàn))

3.端口刪除(業(yè)務(wù)虛擬機(jī))，在集成橋上刪除原IP或目標(biāo)IP＝虛擬機(jī)，vlan_ip＝端口的tagid的流表

4.業(yè)務(wù)網(wǎng)絡(luò)刪除：

ovs_neutron_agent.reclaim_local_vlan會刪除從物理網(wǎng)絡(luò)橋到集成橋的流表

刪除集成橋上，從蜜罐接口流入，目標(biāo)IP在業(yè)務(wù)網(wǎng)中的流表

蜜罐流表

1.請求包流表

scr_ip從int_port_no端口流入，到b_p_seg，dst_ip,protocol,dst_ip的數(shù)據(jù)包轉(zhuǎn)發(fā)到蜜罐的物理橋在集成橋的接口，修改目標(biāo)IP，目標(biāo)MAC，目標(biāo)的Vlanid

2.應(yīng)答包流表

從蜜罐接口流入，目標(biāo)IP＝src_ip,源ip＝honey_ip，源mac＝honey_mac，

vlan_id＝h_l_vlan，tp_src＝dst_port的數(shù)據(jù)包

#修改原ip＝dst_ip，源mac＝dst_mac,vlan_id＝b_l_vlan

蜜罐規(guī)則更新

1.獲取業(yè)務(wù)網(wǎng)的內(nèi)部valnid，外部vlanid，物理網(wǎng)的名稱

2.獲取集成橋上連接蜜罐物理網(wǎng)的端口號

3.獲取集成橋上連接業(yè)務(wù)物理網(wǎng)的端口號

4.遍歷蜜罐規(guī)則的每一個實例

a)刪除請求流表

b)刪除響應(yīng)流表

下發(fā)引流流表 。