本發(fā)明實(shí)施例屬于網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種基于偽裝的網(wǎng)絡(luò)空間安全防御方法及系統(tǒng)。

背景技術(shù)：

SDN是由美國斯坦福大學(xué)Clean Slate研究組提出的一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，可通過軟件編程的形式定義和控制網(wǎng)絡(luò)，被認(rèn)為是網(wǎng)絡(luò)領(lǐng)域的一場革命，其本質(zhì)的特點(diǎn)是控制平面與和轉(zhuǎn)發(fā)平面的分離。此外，SDN通過開放的接口支持用戶對(duì)網(wǎng)絡(luò)處理行為進(jìn)行控制，從而為新型互聯(lián)網(wǎng)體系結(jié)構(gòu)研究提供了新的實(shí)驗(yàn)途徑，也極大的推動(dòng)了下一代互聯(lián)網(wǎng)的發(fā)展。

移動(dòng)目標(biāo)防御(Moving Target Defense)是美國近年來提出的網(wǎng)絡(luò)空間“改變游戲規(guī)則”的革命性技術(shù)之一，其機(jī)制是構(gòu)建動(dòng)態(tài)可變形的網(wǎng)絡(luò)，從而增強(qiáng)網(wǎng)絡(luò)安全。2012年美國北卡羅來納州立大學(xué)的研究小組提出了基于SDN的開放流隨機(jī)主機(jī)轉(zhuǎn)換(OFRHM)方法，利用開放流研究移動(dòng)目標(biāo)防御體系結(jié)構(gòu)，實(shí)現(xiàn)IP地址的不可預(yù)知性及高速變換，同時(shí)保持配置的完整性，并最小化操作管理。此外，Cisco公司和美國北卡羅萊納－夏洛特分校也提出了在SDN網(wǎng)絡(luò)中按照概率隨機(jī)化進(jìn)行虛擬IP地址的動(dòng)態(tài)變化，以構(gòu)建移動(dòng)目標(biāo)防御系統(tǒng)。上述方案都是通過基于構(gòu)建動(dòng)態(tài)可變形的網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)地址變形，將真實(shí)網(wǎng)絡(luò)地址隱藏從而達(dá)到增強(qiáng)網(wǎng)絡(luò)安全的目的，防御惡意攻擊者的主動(dòng)性欠缺，不利于對(duì)惡意流量進(jìn)行研究。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供了一種基于偽裝的網(wǎng)絡(luò)空間安全防御方法及系統(tǒng)，旨在解決現(xiàn)有的方法防御惡意攻擊者的主動(dòng)性欠缺，不利于對(duì)惡意流量進(jìn)行研究的問題。

本發(fā)明實(shí)施例是這樣實(shí)現(xiàn)的，一種基于偽裝的網(wǎng)絡(luò)空間安全防御方法，所述方法包括：

控制器接收交換機(jī)轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包；

在所述網(wǎng)絡(luò)地址信息與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，控制器下發(fā)第一組流表至所述交換機(jī)，所述第一組流表存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系；

所述交換機(jī)根據(jù)接收的第一組流表，將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。

本發(fā)明實(shí)施例的另一目的在于提供一種網(wǎng)絡(luò)空間安全防御系統(tǒng)，所述系統(tǒng)包括：

控制器和交換機(jī)；

所述控制器用于接收交換機(jī)轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包；

在所述網(wǎng)絡(luò)地址信息與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，所述控制器下發(fā)第一組流表至所述交換機(jī)，所述第一組流表存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系；

所述交換機(jī)根據(jù)接收的第一組流表，將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。

在本發(fā)明實(shí)施例中，控制器接收交換機(jī)轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分租數(shù)據(jù)包，判斷所述地址信息是否與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配，如果匹配，則下發(fā)存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系的第一組流表至交換機(jī)，交換機(jī)根據(jù)接收的第一組流表將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，從而實(shí)現(xiàn)了網(wǎng)絡(luò)偽裝目標(biāo)防御，可以將網(wǎng)絡(luò)中有限的偽裝目標(biāo)虛擬化成一個(gè)復(fù)雜的偽裝網(wǎng)絡(luò)，增加惡意流量調(diào)入偽裝網(wǎng)絡(luò)的幾率，同時(shí)可以欺騙惡意流量或者違規(guī)流量，為研究其進(jìn)攻意圖提供便利性。

附圖說明

圖1是本發(fā)明第一實(shí)施例提供的一種基于偽裝的網(wǎng)絡(luò)空間安全防御方法的流程圖；

圖2是本發(fā)明第一實(shí)施例提供的控制器偽裝處理流程的示意圖；

圖3是本發(fā)明第一實(shí)施例提供的控制器網(wǎng)絡(luò)資源主動(dòng)通告的示意圖；

圖4是本發(fā)明第一實(shí)施例提供的一種基于偽裝的網(wǎng)絡(luò)空間安全防御方法的應(yīng)用場景示意圖；

圖5是本發(fā)明第二實(shí)施例提供的一種網(wǎng)絡(luò)空間安全防御系統(tǒng)的結(jié)構(gòu)框圖；

圖6是本發(fā)明第二實(shí)施例提供的一種網(wǎng)絡(luò)空間安全防御系統(tǒng)實(shí)現(xiàn)的應(yīng)用場景示意圖。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

應(yīng)當(dāng)理解，當(dāng)在本說明書和所附權(quán)利要求書中使用時(shí)，術(shù)語“包括”指示所描述特征、整體、步驟、操作、元素和/或組件的存在，但并不排除一個(gè)或多個(gè)其它特征、整體、步驟、操作、元素、組件和/或其集合的存在或添加。

還應(yīng)當(dāng)理解，在此本發(fā)明說明書中所使用的術(shù)語僅僅是出于描述特定實(shí)施例的目的而并不意在限制本發(fā)明。如在本發(fā)明說明書和所附權(quán)利要求書中所使用的那樣，除非上下文清楚地指明其它情況，否則單數(shù)形式的“一”、“一個(gè)”及“該”意在包括復(fù)數(shù)形式。

還應(yīng)當(dāng)進(jìn)一步理解，在本發(fā)明說明書和所附權(quán)利要求書中使用的術(shù)語“和/或”是指相關(guān)聯(lián)列出的項(xiàng)中的一個(gè)或多個(gè)的任何組合以及所有可能組合，并且包括這些組合。

本發(fā)明實(shí)施例中，控制器接收交換機(jī)轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包。在所述網(wǎng)絡(luò)地址信息與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，控制器下發(fā)第一組流表至所述交換機(jī)，所述第一組流表存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系，所述交換機(jī)根據(jù)接收的第一組流表，將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。

為了說明本發(fā)明所述的技術(shù)方案，下面通過具體實(shí)施例來進(jìn)行說明。

實(shí)施例一：

圖1示出了本發(fā)明第一實(shí)施例提供的一種基于偽裝的網(wǎng)絡(luò)空間安全防御方法的流程圖，詳述如下：

步驟S11，控制器接收交換機(jī)轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包。

該步驟中，所述控制器可以為基于OpenFlow協(xié)議的SDN控制器，所述交換機(jī)可以為基于OpenFlow協(xié)議的交換機(jī)。交換機(jī)收到包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包后，若判斷沒有任何流表與其匹配時(shí)，將其送至控制器，控制器接收交換機(jī)轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包，并為所述IP分組數(shù)據(jù)包請(qǐng)求授權(quán)。具體地，交換機(jī)中流表存儲(chǔ)信息包括但不限于網(wǎng)絡(luò)地址信息，所述判斷沒有任何流表與其匹配具體包括判斷交換機(jī)收到的IP分組數(shù)據(jù)包中的網(wǎng)絡(luò)地址信息是否與交換機(jī)中流表中存儲(chǔ)的網(wǎng)絡(luò)地址信息匹配，如果不匹配，則將所述IP分組數(shù)據(jù)包轉(zhuǎn)發(fā)至控制器。

可選地，在所述控制器接收交換機(jī)轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包之前，交換機(jī)接收網(wǎng)絡(luò)側(cè)發(fā)送的網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包，并轉(zhuǎn)發(fā)至控制器，控制器接收所述網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包，并對(duì)所述網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包進(jìn)行偽裝處理；所述偽裝處理具體包括：控制器根據(jù)所述預(yù)設(shè)的虛擬網(wǎng)絡(luò)地址資源信息生成與所述網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包相應(yīng)的響應(yīng)包，并下發(fā)至交換機(jī)；所述虛擬網(wǎng)絡(luò)資源信息包括偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址；交換機(jī)接收并轉(zhuǎn)發(fā)所述響應(yīng)包；控制器還根據(jù)所述虛擬網(wǎng)絡(luò)資源信息和所在網(wǎng)絡(luò)的網(wǎng)絡(luò)資源信息生成相應(yīng)的網(wǎng)絡(luò)資源協(xié)議通告包，并下發(fā)至交換機(jī)；交換機(jī)接收并轉(zhuǎn)發(fā)所述通告包。

具體地，當(dāng)有流量訪問偽裝目標(biāo)網(wǎng)絡(luò)地址時(shí)，交換機(jī)接收網(wǎng)絡(luò)側(cè)流量發(fā)送的網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包并通過SDN PacketIn將其轉(zhuǎn)發(fā)至控制器，所述網(wǎng)絡(luò)資源協(xié)議包括但不限于ARP(Address Resolution Protocol，地址解析協(xié)議)，VTP(VLAN Trunking Protocol，虛擬局域網(wǎng)中繼協(xié)議)，IGP(Interior Gateway Protocols，內(nèi)部網(wǎng)關(guān)協(xié)議)，BGP(Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議)，NetBios網(wǎng)絡(luò)鄰居(網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)協(xié)議)，SSDP(Simple Service Discovery Protocol，簡單服務(wù)發(fā)現(xiàn)協(xié)議)，GOOSE(Generic Object Oriented Substation Event，面向通用對(duì)象的變電站事件)?？刂破鲗?duì)接收的網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包按照某種預(yù)先配置的網(wǎng)絡(luò)偽裝策略進(jìn)行處理，所述預(yù)先配置的網(wǎng)絡(luò)偽裝策略中包括偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址和偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址，所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址通過控制器注入的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息確定。具體地，控制器根據(jù)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址生成與所述網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包相應(yīng)的響應(yīng)包，并通過SDN PacketOut將所述響應(yīng)包發(fā)送至交換機(jī)，交換機(jī)轉(zhuǎn)發(fā)響應(yīng)包。所述響應(yīng)包可以是真實(shí)的主機(jī)、路由或者網(wǎng)上鄰居、事件狀態(tài)等網(wǎng)絡(luò)資源信息，可以是由控制器生成的虛擬偽裝網(wǎng)絡(luò)資源信息，也可以是真實(shí)的主機(jī)、路由或者網(wǎng)上鄰居、事件狀態(tài)等真實(shí)網(wǎng)絡(luò)資源信息與由控制器生成的虛擬偽裝網(wǎng)絡(luò)資源信息兩種信息的組合?？刂破鬟€根據(jù)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息和所在網(wǎng)絡(luò)的網(wǎng)絡(luò)資源信息生成相應(yīng)的網(wǎng)絡(luò)資源協(xié)議通告包，并下發(fā)至交換機(jī)；交換機(jī)接收并轉(zhuǎn)發(fā)所述通告包。

可選地，控制器還可以通過SDN PacketOut機(jī)制按照某種網(wǎng)絡(luò)偽裝策略主動(dòng)向網(wǎng)絡(luò)側(cè)注入虛擬偽裝網(wǎng)絡(luò)資源信息，所述虛擬偽裝網(wǎng)絡(luò)資源信息包括免費(fèi)ARP信令、各類路由通告信令、路由Update信令和偽裝的windows網(wǎng)上鄰居、事件狀態(tài)廣播信令，從而極大擴(kuò)展了虛擬偽裝網(wǎng)絡(luò)資源的形式。

可選地，控制器接收網(wǎng)絡(luò)偽裝策略后，判斷是否需要主動(dòng)通告網(wǎng)絡(luò)資源。當(dāng)需要主動(dòng)通告網(wǎng)絡(luò)資源時(shí)，控制器生成網(wǎng)絡(luò)資源協(xié)議通告包，并通過SDN PacketOut將所述通告包發(fā)送至交換機(jī)，交換機(jī)接收通告包，并轉(zhuǎn)發(fā)。具體地，控制器根據(jù)所述網(wǎng)絡(luò)偽裝策略中的虛擬網(wǎng)絡(luò)資源信息，以及所在網(wǎng)絡(luò)使用的路由協(xié)議等網(wǎng)絡(luò)資源信息，判斷是否需要主動(dòng)通告網(wǎng)絡(luò)資源。所述虛擬網(wǎng)絡(luò)資源信息包括偽裝目標(biāo)的網(wǎng)絡(luò)信息、路由協(xié)議信息、主機(jī)信息和服務(wù)協(xié)議信息；所在網(wǎng)絡(luò)的網(wǎng)絡(luò)資源信息包括所在網(wǎng)絡(luò)的網(wǎng)絡(luò)信息和路由協(xié)議信息、主機(jī)地址和服務(wù)協(xié)議信息；

控制器接收網(wǎng)絡(luò)偽裝策略后，當(dāng)需要主動(dòng)通告網(wǎng)絡(luò)時(shí)，控制器根據(jù)所述偽裝策略中偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息和所在網(wǎng)絡(luò)的網(wǎng)絡(luò)資源信息生成相應(yīng)的網(wǎng)絡(luò)資源協(xié)議通告包，并通過SDN PacketOut下發(fā)至交換機(jī)；交換機(jī)接收并轉(zhuǎn)發(fā)所述通告包。

可選地，控制器接收網(wǎng)絡(luò)偽裝策略后，可以根據(jù)所述網(wǎng)絡(luò)偽裝策略中的虛擬網(wǎng)絡(luò)資源信息中的主機(jī)信息生成相應(yīng)的免費(fèi)ARP數(shù)據(jù)包，將所述ARP數(shù)據(jù)包通過SDN PacketOut下發(fā)至交換機(jī)，交換機(jī)接收并轉(zhuǎn)發(fā)所述ARP通告包，主動(dòng)通告?zhèn)窝b目標(biāo)的主機(jī)信息。

可選地，控制器接收網(wǎng)絡(luò)偽裝策略后，可以根據(jù)所述網(wǎng)絡(luò)偽裝策略中虛擬網(wǎng)絡(luò)資源信息的網(wǎng)絡(luò)信息以及所在網(wǎng)絡(luò)的路由協(xié)議信息，主動(dòng)生成相應(yīng)網(wǎng)絡(luò)的路由通告包，并通過SDN PacketOut下發(fā)至交換機(jī)，交換機(jī)接收并轉(zhuǎn)發(fā)所述路由通告包，主動(dòng)通告?zhèn)窝b網(wǎng)絡(luò)的路由信息。

可選地，控制器接收網(wǎng)絡(luò)偽裝策略后，可以根據(jù)所述網(wǎng)絡(luò)偽裝策略中的虛擬網(wǎng)絡(luò)中資源中的主機(jī)服務(wù)協(xié)議信息生成相應(yīng)服務(wù)協(xié)議的服務(wù)協(xié)議包，并通過SDN PacketOut下發(fā)至交換機(jī)，交換機(jī)接收并轉(zhuǎn)發(fā)所述服務(wù)協(xié)議包，主動(dòng)通告?zhèn)窝b網(wǎng)絡(luò)的主機(jī)服務(wù)信息。所述服務(wù)協(xié)議包括但不限于SSDP、DLNA、GOOSE。

步驟S12，在所述網(wǎng)絡(luò)地址信息與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，控制器下發(fā)第一組流表至所述交換機(jī)，所述第一組流表存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系。

該步驟中，控制器在收到交換機(jī)轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包后，判斷所述網(wǎng)絡(luò)地址信息是否與控制器中預(yù)先設(shè)置的網(wǎng)絡(luò)偽裝策略中偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配。具體地，在所述網(wǎng)絡(luò)地址信息與控制器中預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，控制器下發(fā)第一組流表至交換機(jī)，所述第一組流表存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)轉(zhuǎn)換關(guān)系。所述網(wǎng)絡(luò)地址信息包括但不限于SDN標(biāo)準(zhǔn)9元組和MPLS label?？刂破飨掳l(fā)流表所采用的協(xié)議，可以是OpenFlow，SNMP，Netconf等各種配置管理協(xié)議。除了標(biāo)準(zhǔn)的SDN技術(shù)以外，也可以通過類似的自定義轉(zhuǎn)發(fā)控制方式實(shí)現(xiàn)?？蛇x地，為了節(jié)省資源，可使一個(gè)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與多個(gè)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址對(duì)應(yīng)，這樣，只需布置一個(gè)偽裝目標(biāo)就能實(shí)現(xiàn)對(duì)訪問偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的多個(gè)惡意流量的監(jiān)控。

可選地，在所述網(wǎng)絡(luò)地址信息與預(yù)存的真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配時(shí)，控制器下發(fā)第二組流表至所述交換機(jī)，所述第二組流表存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。在所述網(wǎng)絡(luò)地址信息與控制器中預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不匹配而與預(yù)存的真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配時(shí)，控制器向交換機(jī)發(fā)送第二組流表。交換機(jī)接收第二組流表，根據(jù)存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的第二組流表直接轉(zhuǎn)發(fā)所述IP分組數(shù)據(jù)包。

具體地，控制器通過SDN PacketIn接收到交換機(jī)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)側(cè)數(shù)據(jù)包，判斷所述網(wǎng)絡(luò)側(cè)數(shù)據(jù)包是否為網(wǎng)絡(luò)資源協(xié)議包。在所述網(wǎng)絡(luò)側(cè)數(shù)據(jù)包是網(wǎng)絡(luò)資源協(xié)議包時(shí)，則根據(jù)預(yù)先設(shè)置的某種網(wǎng)絡(luò)偽裝策略生成網(wǎng)絡(luò)資源協(xié)議偽裝響應(yīng)包，并通過SDN PacketOut發(fā)送至交換機(jī)，交換機(jī)轉(zhuǎn)發(fā)所述響應(yīng)包。在所述網(wǎng)絡(luò)側(cè)數(shù)據(jù)包不是網(wǎng)絡(luò)資源協(xié)議包時(shí)，則判斷所述網(wǎng)絡(luò)地址信息是否與控制器中預(yù)先設(shè)置的某種網(wǎng)絡(luò)偽裝策略包括的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配，所述網(wǎng)絡(luò)地址信息與所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配，則發(fā)送存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系的第一組流表至交換機(jī)，所述網(wǎng)絡(luò)地址信息與所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不匹配，而與真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配，則發(fā)送存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的第二組流表至交換機(jī)。

可選地，在所述網(wǎng)絡(luò)地址信息與預(yù)存的真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配時(shí)，判斷所述網(wǎng)絡(luò)地址信息對(duì)應(yīng)的發(fā)送方用戶身份是否為違規(guī)用戶；在所述網(wǎng)絡(luò)地址信息對(duì)應(yīng)的用戶身份為違規(guī)用戶時(shí)，下發(fā)第三組流表至交換機(jī)，所述第三組流表存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系；所述交換機(jī)根據(jù)接收的第三組流表，將所述網(wǎng)絡(luò)地址信息從真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。

可選地，一個(gè)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址可與多個(gè)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址對(duì)應(yīng)，以節(jié)省資源。

具體地，當(dāng)所述網(wǎng)絡(luò)地址信息與預(yù)存的真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配但所述網(wǎng)絡(luò)地址信息對(duì)應(yīng)的用戶身份為違規(guī)用戶，通過控制器下發(fā)存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系的第三組流表至交換機(jī)，交換機(jī)根據(jù)接收的第三組流表將違規(guī)用戶發(fā)起的IP分組數(shù)據(jù)包的網(wǎng)絡(luò)地址信息從真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，將違規(guī)用戶流量導(dǎo)入精心設(shè)計(jì)的偽裝目標(biāo)中去，使得違規(guī)用戶無法接觸真實(shí)目標(biāo)，并可對(duì)違規(guī)用戶的違規(guī)行為進(jìn)行記錄。

步驟S13所述交換機(jī)根據(jù)接收的第一組流表，將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。

該步驟中，交換機(jī)接收控制器發(fā)送的第一組流表，將惡意流量的網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，并根據(jù)第一組流表轉(zhuǎn)發(fā)所述惡意流量。所述惡意流量實(shí)質(zhì)上通過網(wǎng)絡(luò)側(cè)和偽裝目標(biāo)建立了通信，但在該惡意流量的發(fā)起用戶看來，惡意流量是和偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址所代表的網(wǎng)絡(luò)建立了通信，增大了惡意流量偵測和攻擊網(wǎng)絡(luò)漏洞的難度。

具體地，所述交換機(jī)根據(jù)接收的第一組流表，將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址之前還包括控制器判斷偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址是否不在同一子網(wǎng)。在偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不在同一子網(wǎng)時(shí)，所述交換機(jī)將所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址中的MAC地址置為訪問所述偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的網(wǎng)關(guān)的MAC地址。偽裝目標(biāo)可以部署在本地，也可以部署在遠(yuǎn)端的Internet或者Intranet上。在偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不在同一子網(wǎng)時(shí)，交換機(jī)通過流表將所述惡意流量或違規(guī)用戶訪問的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址中的MAC地址置為訪問所述偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的網(wǎng)關(guān)的MAC地址，所述流表包括第一組流表、第二組流表和第三組流表。

本發(fā)明第一實(shí)施例中，控制器接收交換機(jī)轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包，判斷所述地址信息是否與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配，如果匹配，則下發(fā)存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系的第一組流表至交換機(jī)，交換機(jī)根據(jù)接收的第一組流表將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。由于在所述網(wǎng)絡(luò)地址信息與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，控制器下發(fā)第一組流表至所述交換機(jī)，因此，交換機(jī)能夠根據(jù)接收的第一組流表將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，從而能夠?qū)阂饬髁空{(diào)入偽裝網(wǎng)絡(luò)，實(shí)現(xiàn)了網(wǎng)絡(luò)偽裝目標(biāo)防御。進(jìn)一步地，當(dāng)一個(gè)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與多個(gè)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址對(duì)應(yīng)，或者，一個(gè)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址可與多個(gè)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址對(duì)應(yīng)時(shí)，能夠?qū)⒕W(wǎng)絡(luò)中有限的偽裝目標(biāo)虛擬化成一個(gè)復(fù)雜的偽裝網(wǎng)絡(luò)，增加惡意流量調(diào)入偽裝網(wǎng)絡(luò)的幾率，同時(shí)可以欺騙惡意流量或者違規(guī)流量，為研究其進(jìn)攻意圖提供便利性。

應(yīng)理解，在本發(fā)明實(shí)施例中，上述各過程的序號(hào)的大小并不意味著執(zhí)行順序的先后，各過程的執(zhí)行順序應(yīng)以其功能和內(nèi)在邏輯確定，而不應(yīng)對(duì)本發(fā)明實(shí)施例的實(shí)施過程構(gòu)成任何限定。

為了更清楚地描述本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)空間安全防御方法，下面以一具體應(yīng)用場景進(jìn)行說明：

該應(yīng)用場景中，控制器為基于OpenFlow協(xié)議的SDN控制器，交換機(jī)為基于OpenFlow協(xié)議的OF－Switch，網(wǎng)絡(luò)側(cè)發(fā)送的數(shù)據(jù)包的類型包括但不限于網(wǎng)絡(luò)資源協(xié)議包和非網(wǎng)絡(luò)資源協(xié)議相關(guān)的IP分組數(shù)據(jù)包。

參見圖2，是本實(shí)施例提供的SDN控制器偽裝處理流程的示意圖。具體地，SDN控制器通過SDN PacketIn接收到OF－Switch轉(zhuǎn)發(fā)的網(wǎng)絡(luò)側(cè)數(shù)據(jù)包，判斷所述網(wǎng)絡(luò)側(cè)數(shù)據(jù)包是否為網(wǎng)絡(luò)資源協(xié)議包。在所述網(wǎng)絡(luò)側(cè)數(shù)據(jù)包是網(wǎng)絡(luò)資源協(xié)議包時(shí)，則生成網(wǎng)絡(luò)資源協(xié)議響應(yīng)包，并通過SDN PacketOut發(fā)送至OF－Switch，OF－Switch轉(zhuǎn)發(fā)所述響應(yīng)包；所述網(wǎng)絡(luò)側(cè)數(shù)據(jù)包不是網(wǎng)絡(luò)資源協(xié)議包，判斷所述網(wǎng)絡(luò)地址信息是否與SDN控制器中預(yù)先設(shè)置的某種網(wǎng)絡(luò)偽裝策略包括的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配。所述網(wǎng)絡(luò)地址信息與所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配，則發(fā)送存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系的第一組流表至OF－Switch；所述網(wǎng)絡(luò)地址信息與所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不匹配，則發(fā)送存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的第二組流表至OF－Switch。具體地，SDN控制器收到網(wǎng)絡(luò)資源協(xié)議包生成網(wǎng)絡(luò)資源協(xié)議響應(yīng)包時(shí)，SDN控制器可以主動(dòng)按照某種策略向當(dāng)前網(wǎng)絡(luò)注入虛擬偽裝網(wǎng)絡(luò)資源信息。

參見圖3，是本實(shí)施例提供的SDN控制器網(wǎng)絡(luò)資源主動(dòng)通告的示意圖。SDN控制器接收網(wǎng)絡(luò)偽裝策略后，根據(jù)偽裝策略中的網(wǎng)絡(luò)資源信息以及所在網(wǎng)絡(luò)使用的路由協(xié)議信息判斷是否需要主動(dòng)通告網(wǎng)絡(luò)資源。當(dāng)需要主動(dòng)通告網(wǎng)絡(luò)資源時(shí)，SDN控制器根據(jù)所述偽裝策略中偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息和所在網(wǎng)絡(luò)的網(wǎng)絡(luò)資源信息生成相應(yīng)的偽裝網(wǎng)絡(luò)資源協(xié)議通告包，并通過SDN PacketOut將所述網(wǎng)絡(luò)資源協(xié)議通告包發(fā)送至OF－Switch，OF－Switch接收并轉(zhuǎn)發(fā)所述網(wǎng)絡(luò)資源協(xié)議通告包。具體地，SDN控制器根據(jù)所述網(wǎng)絡(luò)偽裝策略中的虛擬網(wǎng)絡(luò)資源信息中的主機(jī)信息生成相應(yīng)的免費(fèi)ARP數(shù)據(jù)包，將所述ARP數(shù)據(jù)包通過SDN PacketOut下發(fā)至OF－Switch，OF－Switch接收并轉(zhuǎn)發(fā)所述ARP通告包，主動(dòng)通告?zhèn)窝b目標(biāo)的主機(jī)信息；SDN控制器根據(jù)所述網(wǎng)絡(luò)偽裝策略中的虛擬網(wǎng)絡(luò)資源信息中的網(wǎng)絡(luò)信息以及所在網(wǎng)絡(luò)的路由協(xié)議信息，主動(dòng)生成相應(yīng)網(wǎng)絡(luò)的路由協(xié)議的路由通告包，并通過SDN PacketOut下發(fā)至OF－Switch，OF－Switch接收并轉(zhuǎn)發(fā)所述路由通告包，主動(dòng)通告?zhèn)窝b網(wǎng)絡(luò)的路由信息；SDN控制器根據(jù)所述網(wǎng)絡(luò)偽裝策略中的虛擬網(wǎng)絡(luò)資源信息中的主機(jī)服務(wù)信息生成相應(yīng)服務(wù)協(xié)議的服務(wù)協(xié)議包，并通過SDN PacketOut下發(fā)至OF－Switch，交OF－Switch接收并轉(zhuǎn)發(fā)所述服務(wù)協(xié)議包，主動(dòng)通告?zhèn)窝b網(wǎng)絡(luò)的主機(jī)服務(wù)信息。所述服務(wù)協(xié)議包括但不限于SSDP、DLNA、GOOSE。OF－Switch向網(wǎng)絡(luò)側(cè)主動(dòng)通告?zhèn)窝b網(wǎng)絡(luò)中的主機(jī)信息、路由信息和服務(wù)信息，增加防御惡意訪問的主動(dòng)性。

參見圖4，是本施例提供的一種基于偽裝的網(wǎng)絡(luò)空間安全防御方法的應(yīng)用場景示意圖。在該應(yīng)用場景中，OF－Switch將惡意流量的網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，使得有限地本地偽裝目標(biāo)和/或云端偽裝目標(biāo)擴(kuò)展成為一個(gè)動(dòng)態(tài)的虛擬偽裝網(wǎng)絡(luò)，增加了惡意流量掉入偽裝網(wǎng)絡(luò)的幾率，為研究惡意流量進(jìn)攻意圖提供便利性。

實(shí)施例二：

圖5示出了本發(fā)明第二實(shí)施例提供的一種網(wǎng)絡(luò)空間安全防御系統(tǒng)的結(jié)構(gòu)框圖，為了便于說明，僅示出了與本實(shí)施例相關(guān)的部分，詳述如下：

所述網(wǎng)絡(luò)空間安全防御系統(tǒng)包括控制器21和交換機(jī)22；控制器21用于接收交換機(jī)22轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包。

具體地，控制器21和交換機(jī)22兩者是邏輯上分離，在實(shí)際中可以將其整合到同一個(gè)單元上，提供相同的功能。

具體地，控制器21可以為基于OpenFlow協(xié)議的SDN控制器，交換機(jī)22可以為基于OpenFlow協(xié)議的交換機(jī)。交換機(jī)22收到包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包后，若判斷沒有任何流表與其匹配時(shí)，將其送至控制器21，控制器21接收交換機(jī)22轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包，并為所述IP分組數(shù)據(jù)包請(qǐng)求授權(quán)。具體地，交換機(jī)22中流表存儲(chǔ)信息包括但不限于網(wǎng)絡(luò)地址信息，所述判斷沒有任何流表與其匹配具體包括判斷交換機(jī)22收到的IP分組數(shù)據(jù)包中的網(wǎng)絡(luò)地址信息是否與交換機(jī)22中流表中存儲(chǔ)的網(wǎng)絡(luò)地址信息匹配，如果不匹配，則將所述IP分組數(shù)據(jù)包轉(zhuǎn)發(fā)至控制器21。

可選地，交換機(jī)22還用于接收網(wǎng)絡(luò)側(cè)發(fā)送的網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包，并轉(zhuǎn)發(fā)至控制器21，控制器21用于接收所述網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包，并對(duì)所述網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包進(jìn)行偽裝處理；所述偽裝處理具體包括：控制器21根據(jù)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息生成與所述網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包相應(yīng)的響應(yīng)包，并下發(fā)至交換機(jī)22；交換機(jī)22接收并轉(zhuǎn)發(fā)所述響應(yīng)包；控制器21還根據(jù)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息和所在網(wǎng)絡(luò)的網(wǎng)絡(luò)資源信息生成相應(yīng)的網(wǎng)絡(luò)資源協(xié)議通告包，并下發(fā)至交換機(jī)22；交換機(jī)22接收并轉(zhuǎn)發(fā)所述通告包。

具體地，當(dāng)有流量訪問偽裝目標(biāo)網(wǎng)絡(luò)地址時(shí)，交換機(jī)22接收網(wǎng)絡(luò)側(cè)流量發(fā)送的網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包并通過SDN PacketIn將其轉(zhuǎn)發(fā)至控制器?？刂破?1對(duì)接收的網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包按照某種預(yù)先配置的網(wǎng)絡(luò)偽裝策略進(jìn)行處理，所述預(yù)先配置的網(wǎng)絡(luò)偽裝策略中包括偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址和偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址，所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址通過交換機(jī)22發(fā)送至控制器21確定，或者，通過控制器21注入的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址確定。具體地，控制器21根據(jù)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息生成與所述網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包相應(yīng)的響應(yīng)包，并通過SDN PacketOut將所述響應(yīng)包發(fā)送至交換機(jī)22，交換機(jī)22轉(zhuǎn)發(fā)響應(yīng)包。所述響應(yīng)包可以是真實(shí)的主機(jī)、路由或者網(wǎng)上鄰居、事件狀態(tài)等網(wǎng)絡(luò)資源信息，可以是由控制器21生成的虛擬偽裝網(wǎng)絡(luò)資源信息，也可以是真實(shí)的主機(jī)、路由或者網(wǎng)上鄰居、事件狀態(tài)等真實(shí)網(wǎng)絡(luò)資源信息與由控制器21生成的虛擬偽裝網(wǎng)絡(luò)資源信息兩種信息的組合。控制器21還根據(jù)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息和所在網(wǎng)絡(luò)的網(wǎng)絡(luò)資源信息生成相應(yīng)的網(wǎng)絡(luò)資源協(xié)議通告包，并下發(fā)至交換機(jī)22；交換機(jī)22接收并轉(zhuǎn)發(fā)所述通告包。

可選地，控制器21還可以通過SDN PacketOut機(jī)制按照某種網(wǎng)絡(luò)偽裝策略主動(dòng)向網(wǎng)絡(luò)側(cè)注入虛擬偽裝網(wǎng)絡(luò)資源信息。

可選地，控制器21可用于接收網(wǎng)絡(luò)偽裝策略后，判斷是否需要主動(dòng)通告網(wǎng)絡(luò)資源。當(dāng)需要主動(dòng)通告網(wǎng)絡(luò)資源時(shí)，控制器21生成網(wǎng)絡(luò)資源協(xié)議通告包，并通過SDN PacketOut將所述通告包發(fā)送至交換機(jī)22，交換機(jī)22接收通告包并轉(zhuǎn)發(fā)。具體地，控制器21根據(jù)所述網(wǎng)絡(luò)偽裝策略中的網(wǎng)絡(luò)資源信息，以及所在網(wǎng)絡(luò)使用的路由協(xié)議等網(wǎng)絡(luò)資源信息，判斷是否需要主動(dòng)通告網(wǎng)絡(luò)資源。

控制器21接收網(wǎng)絡(luò)偽裝策略后，當(dāng)需要主動(dòng)通告網(wǎng)絡(luò)時(shí)，控制器21根據(jù)所述偽裝策略中偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息和所在網(wǎng)絡(luò)的網(wǎng)絡(luò)資源信息生成相應(yīng)的網(wǎng)絡(luò)資源協(xié)議通告包，并通過SDN PacketOut下發(fā)至交換機(jī)22；交換機(jī)22接收并轉(zhuǎn)發(fā)所述通告包。

可選地，控制器21接收網(wǎng)絡(luò)偽裝策略后，可以根據(jù)所述網(wǎng)絡(luò)偽裝策略中的虛擬網(wǎng)絡(luò)資源信息的主機(jī)信息生成相應(yīng)的免費(fèi)ARP數(shù)據(jù)包，將所述ARP數(shù)據(jù)包通過SDN PacketOut下發(fā)至交換機(jī)，交換機(jī)22接收并轉(zhuǎn)發(fā)所述ARP通告包，主動(dòng)通告?zhèn)窝b目標(biāo)的主機(jī)信息。

可選地，控制器21接收網(wǎng)絡(luò)偽裝策略后，可以根據(jù)所述網(wǎng)絡(luò)偽裝策略中的虛擬網(wǎng)絡(luò)資源信息的網(wǎng)絡(luò)信息以及所在網(wǎng)絡(luò)的路由協(xié)議信息，主動(dòng)生成相應(yīng)網(wǎng)絡(luò)的路由協(xié)議的路由通告包，并通過SDN PacketOut下發(fā)至交換機(jī)22，交換機(jī)22接收并轉(zhuǎn)發(fā)所述路由通告包，主動(dòng)通告?zhèn)窝b網(wǎng)絡(luò)的路由信息。

可選地，控制器21接收網(wǎng)絡(luò)偽裝策略后，可以根據(jù)所述網(wǎng)絡(luò)偽裝策略中的虛擬網(wǎng)絡(luò)資源信息的主機(jī)服務(wù)協(xié)議信息生成相應(yīng)服務(wù)協(xié)議的服務(wù)協(xié)議包，并通過SDN PacketOut下發(fā)至交換機(jī)22，交換機(jī)22接收并轉(zhuǎn)發(fā)所述服務(wù)協(xié)議包，主動(dòng)通告?zhèn)窝b網(wǎng)絡(luò)的主機(jī)服務(wù)信息。所述服務(wù)協(xié)議包括但不限于SSDP、DLNA、GOOSE。

可選地，在所述網(wǎng)絡(luò)地址信息與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，控制器21下發(fā)第一組流表至所述交換機(jī)22，所述第一組流表存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系。

具體地，控制器21在收到交換機(jī)22轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包后，判斷所述網(wǎng)絡(luò)地址信息是否與控制器21中預(yù)先設(shè)置的網(wǎng)絡(luò)偽裝策略中偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配。具體地，在所述網(wǎng)絡(luò)地址信息與控制器21中預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，控制器21下發(fā)第一組流表至交換機(jī)22，所述第一組流表存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)轉(zhuǎn)換關(guān)系。

控制器21下發(fā)流表所采用的協(xié)議，可以是OpenFlow，SNMP，Netconf等各種配置管理協(xié)議協(xié)議。除了標(biāo)準(zhǔn)的SDN技術(shù)以外，也可以通過類似的自定義轉(zhuǎn)發(fā)控制方式實(shí)現(xiàn)?？蛇x地，為了節(jié)省資源，可使一個(gè)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與多個(gè)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址對(duì)應(yīng)，這樣，只需布置一個(gè)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址也能實(shí)現(xiàn)對(duì)訪問偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的多個(gè)惡意流量的監(jiān)控。

可選地，在所述網(wǎng)絡(luò)地址信息與預(yù)存的真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配時(shí)，控制器21還用于下發(fā)第二組流表至所述交換機(jī)22，所述第二組流表存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。

具體地，在所述網(wǎng)絡(luò)地址信息與控制器21中預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不匹配而與預(yù)存的真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配時(shí)，控制器21向交換機(jī)22發(fā)送第二組流表。交換機(jī)22接收第二組流表，根據(jù)存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的第二組流表直接轉(zhuǎn)發(fā)所述IP分組數(shù)據(jù)包。

具體地，控制器21用于通過SDN PacketIn接收到交換機(jī)22轉(zhuǎn)發(fā)的網(wǎng)絡(luò)側(cè)數(shù)據(jù)包，判斷所述網(wǎng)絡(luò)側(cè)數(shù)據(jù)包是否為網(wǎng)絡(luò)資源協(xié)議包。在所述網(wǎng)絡(luò)側(cè)數(shù)據(jù)包是網(wǎng)絡(luò)資源協(xié)議包時(shí)，則生成網(wǎng)絡(luò)資源協(xié)議響應(yīng)包，并通過SDN PacketOut發(fā)送至交換機(jī)22，交換機(jī)22轉(zhuǎn)發(fā)所述響應(yīng)包。在所述網(wǎng)絡(luò)側(cè)數(shù)據(jù)包不是網(wǎng)絡(luò)資源協(xié)議包時(shí)，判斷所述網(wǎng)絡(luò)地址信息是否與控制器21中預(yù)先設(shè)置的某種網(wǎng)絡(luò)偽裝策略包括的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配，所述網(wǎng)絡(luò)地址信息與所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配，則發(fā)送存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系的第一組流表至交換機(jī)22，所述網(wǎng)絡(luò)地址信息與所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不匹配，則發(fā)送存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的第二組流表至交換機(jī)22。

可選地，在所述網(wǎng)絡(luò)地址信息與預(yù)存的真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配時(shí)，控制器21判斷所述網(wǎng)絡(luò)地址信息對(duì)應(yīng)的用戶身份是否為違規(guī)用戶；在所述網(wǎng)絡(luò)地址信息對(duì)應(yīng)的用戶身份為違規(guī)用戶時(shí)，控制器21還用于下發(fā)第三組流表至交換機(jī)22，所述第三組流表存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系；所述交換機(jī)22根據(jù)接收的第三組流表，將所述網(wǎng)絡(luò)地址信息從真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。

可選地，一個(gè)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址可與多個(gè)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址對(duì)應(yīng)，以節(jié)省資源。

具體地，當(dāng)所述網(wǎng)絡(luò)地址信息與預(yù)存的真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配但所述網(wǎng)絡(luò)地址信息對(duì)應(yīng)的用戶身份為違規(guī)用戶，通過控制器21下發(fā)存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系的第三組流表至交換機(jī)22，交換機(jī)22根據(jù)接收的第三組流表將違規(guī)用戶的網(wǎng)絡(luò)地址信息從真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，將違規(guī)用戶流量導(dǎo)入精心設(shè)計(jì)的偽裝目標(biāo)中去，使得違規(guī)用戶無法接觸真實(shí)目標(biāo)，并可對(duì)違規(guī)用戶的違規(guī)行為進(jìn)行記錄。

可選地，交換機(jī)22根據(jù)接收的第一組流表，將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。

具體地，交換機(jī)22接收控制器21發(fā)送的第一組流表，將惡意流量的網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，并根據(jù)第一組流表轉(zhuǎn)發(fā)所述惡意流量。所述惡意流量實(shí)質(zhì)上通過網(wǎng)絡(luò)側(cè)和偽裝目標(biāo)建立了通信，但在所述惡意流量的發(fā)起用戶看來，惡意流量是和偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址所代表的網(wǎng)絡(luò)建立了通信，增大了惡意流量偵測和攻擊網(wǎng)絡(luò)漏洞的難度。

具體地，交換機(jī)22根據(jù)接收的第一組流表，將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址之前，控制器21還用于判斷偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址是否不在同一子網(wǎng)。在偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不在同一子網(wǎng)時(shí)，交換機(jī)22將所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址中的MAC地址置為訪問所述偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的網(wǎng)關(guān)的MAC地址。偽裝目標(biāo)可以部署在本地，也可以部署在遠(yuǎn)端的Internet或者Intranet上。在偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不在同一子網(wǎng)時(shí)，交換機(jī)22通過流表將所述惡意流量或違規(guī)用戶訪問的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址中的MAC地址置為訪問所述偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的網(wǎng)關(guān)的MAC地址。

本發(fā)明第二實(shí)施例中，控制器21用于接收交換機(jī)22轉(zhuǎn)發(fā)的包括網(wǎng)絡(luò)地址信息的IP分組數(shù)據(jù)包，判斷所述地址信息是否與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配，如果匹配，則控制器21下發(fā)存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系的第一組流表至交換機(jī)22，交換機(jī)22根據(jù)接收的第一組流表將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。由于在所述網(wǎng)絡(luò)地址信息與預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，控制器21下發(fā)第一組流表至所述交換機(jī)22，因此，交換機(jī)22能夠根據(jù)接收的第一組流表將所述網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，從而能夠?qū)阂饬髁空{(diào)入偽裝網(wǎng)絡(luò)，實(shí)現(xiàn)了網(wǎng)絡(luò)偽裝目標(biāo)防御。進(jìn)一步地，當(dāng)一個(gè)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與多個(gè)偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址對(duì)應(yīng)，或者，一個(gè)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址可與多個(gè)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址對(duì)應(yīng)時(shí)，能夠?qū)⒕W(wǎng)絡(luò)中有限的偽裝目標(biāo)虛擬化成一個(gè)復(fù)雜的偽裝網(wǎng)絡(luò)，增加惡意流量調(diào)入偽裝網(wǎng)絡(luò)的幾率，同時(shí)可以欺騙惡意流量或者違規(guī)流量，為研究其進(jìn)攻意圖提供便利性。

為了進(jìn)一步說明如何應(yīng)用網(wǎng)絡(luò)空間安全防御系統(tǒng)，下面以具體應(yīng)用場景進(jìn)行說明：

圖6示出了本發(fā)明第二實(shí)施例提供的一種網(wǎng)絡(luò)空間安全防御系統(tǒng)實(shí)現(xiàn)的應(yīng)用場景示意圖，網(wǎng)絡(luò)空間安全防御系統(tǒng)包括控制器和交換機(jī)，控制器采用SDN控制器，交換機(jī)采用OF－Switch。在該應(yīng)用場景中，還包括網(wǎng)絡(luò)側(cè)，網(wǎng)絡(luò)側(cè)用于發(fā)送數(shù)據(jù)包，所述數(shù)據(jù)包的類型括但不限于網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包和IP分組數(shù)據(jù)包。

具體地，步驟1中，網(wǎng)絡(luò)側(cè)向OF－Switch發(fā)送數(shù)據(jù)包，所述數(shù)據(jù)包為網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包，OF－Switch通過SDN PacketIn轉(zhuǎn)發(fā)至SDN控制器，SDN控制器收到網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)資源協(xié)議數(shù)據(jù)包按照某種預(yù)先配置的網(wǎng)絡(luò)偽裝策略進(jìn)行處理，所述預(yù)先配置的網(wǎng)絡(luò)偽裝策略中包括偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)資源信息和偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息，所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息通過控制器向網(wǎng)絡(luò)側(cè)注入的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)資源信息確定。步驟2中，SDN控制器生成網(wǎng)絡(luò)資源協(xié)議響應(yīng)包，并通過SDN PacketOut將所述響應(yīng)包發(fā)送至OF－Switch，OF－Switch轉(zhuǎn)發(fā)響應(yīng)包響應(yīng)網(wǎng)絡(luò)側(cè)發(fā)送的數(shù)據(jù)包。所述響應(yīng)包可以是真實(shí)的主機(jī)、路由或者網(wǎng)上鄰居、事件狀態(tài)等網(wǎng)絡(luò)資源信息，可以是由SDN控制器生成的虛擬偽裝網(wǎng)絡(luò)資源信息，也可以是真實(shí)的主機(jī)、路由或者網(wǎng)上鄰居、事件狀態(tài)等真實(shí)網(wǎng)絡(luò)資源信息與由SDN控制器生成的虛擬偽裝網(wǎng)絡(luò)資源信息兩種信息的組合。

步驟3中，網(wǎng)絡(luò)側(cè)向OF－Switch發(fā)送數(shù)據(jù)包，所述數(shù)據(jù)包為非網(wǎng)絡(luò)資源協(xié)議相關(guān)的IP分組數(shù)據(jù)包，OF－Switch在收到首個(gè)IP分組數(shù)據(jù)包發(fā)現(xiàn)與其已有流表不匹配，則轉(zhuǎn)發(fā)至SDN控制器，步驟4中，SDN控制器在收到OF－Switch轉(zhuǎn)發(fā)的IP分組數(shù)據(jù)包后，通過偽裝策略管理判斷所述網(wǎng)絡(luò)地址信息是否與SDN控制器中預(yù)先設(shè)置的網(wǎng)絡(luò)偽裝策略中偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配，并通過轉(zhuǎn)發(fā)規(guī)則管理下發(fā)不同流表至OF－Switch。

具體地，步驟5中，在所述網(wǎng)絡(luò)地址信息與SDN控制器中預(yù)存的偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址匹配時(shí)，SDN控制器下發(fā)第一組流表至OF－Switch，所述第一組流表存儲(chǔ)偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址的對(duì)應(yīng)轉(zhuǎn)換關(guān)系，OF－Switch接收SDN控制器發(fā)送的第一組流表，將IP分組數(shù)據(jù)包的網(wǎng)絡(luò)地址信息從偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，并根據(jù)第一組流表轉(zhuǎn)發(fā)所述IP分組數(shù)據(jù)包。所述IP分組數(shù)據(jù)包實(shí)質(zhì)上通過網(wǎng)絡(luò)側(cè)和偽裝目標(biāo)建立了通信，但在惡意流量的發(fā)起用戶看來，IP分組數(shù)據(jù)包是和偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址所代表的目標(biāo)建立了通信，增大了惡意流量偵測和攻擊網(wǎng)絡(luò)漏洞的難度；在所述網(wǎng)絡(luò)地址信息與所述偽裝目標(biāo)的虛擬網(wǎng)絡(luò)地址不匹配時(shí)，SDN控制器下發(fā)第二組流表至OF－Switch，所述第二組流表存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址，OF－Switch接收第二組流表，并根據(jù)第二組流表直接轉(zhuǎn)發(fā)所述IP分組數(shù)據(jù)包。

在所述網(wǎng)絡(luò)地址信息與預(yù)存的真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址匹配時(shí)，判斷所述網(wǎng)絡(luò)地址信息對(duì)應(yīng)的用戶身份是否為違規(guī)用戶；在所述網(wǎng)絡(luò)地址信息對(duì)應(yīng)的用戶身份為違規(guī)用戶時(shí)，SDN控制器下發(fā)第三組流表至交OF－Switch，所述第三組流表存儲(chǔ)真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址與偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系，所述OF－Switch根據(jù)接收的第三組流表，將所述網(wǎng)絡(luò)地址信息從真實(shí)目標(biāo)的真實(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換為偽裝目標(biāo)的真實(shí)網(wǎng)絡(luò)地址。違規(guī)用戶實(shí)質(zhì)上只是和偽裝目標(biāo)建立了通信，增強(qiáng)了對(duì)違規(guī)用戶的安全防御。

本領(lǐng)域普通技術(shù)人員可以意識(shí)到，結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟，能夠以電子硬件、或者計(jì)算機(jī)軟件和電子硬件的結(jié)合來實(shí)現(xiàn)。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)、裝置和單元的具體工作過程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過程，在此不再贅述。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的系統(tǒng)、裝置和方法，可以通過其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。

所述功能如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：U盤、移動(dòng)硬盤、只讀存儲(chǔ)器(ROM，Read－Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。