CN113037731B - 基于sdn架构和蜜网的网络流量控制方法及系统 - Google Patents
基于sdn架构和蜜网的网络流量控制方法及系统 Download PDFInfo
- Publication number
- CN113037731B CN113037731B CN202110221397.7A CN202110221397A CN113037731B CN 113037731 B CN113037731 B CN 113037731B CN 202110221397 A CN202110221397 A CN 202110221397A CN 113037731 B CN113037731 B CN 113037731B
- Authority
- CN
- China
- Prior art keywords
- honey
- network
- honeypot
- module
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 125
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000004044 response Effects 0.000 claims abstract description 66
- 238000012216 screening Methods 0.000 claims abstract description 30
- 238000001514 detection method Methods 0.000 claims abstract description 11
- 238000005516 engineering process Methods 0.000 claims description 7
- 238000013519 translation Methods 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 235000014510 cooky Nutrition 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 abstract description 2
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 230000003993 interaction Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000007711 solidification Methods 0.000 description 1
- 230000008023 solidification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,特别涉及一种基于SDN架构和蜜网的网络流量控制方法及系统,包含:设置于控制层的SDN控制器、及与控制器连接的蜜网;所述SDN控制器设置于蜜网上层,通过SDN控制器所在的控制层维护蜜网中各服务,并针对恶意流量选取最合适蜜罐来转发;所述控制层还包含:用于通过检测外部网络接入流量来获取攻击信息的包检测模块、用于维护蜜罐服务拓扑信息的拓扑地图模块、用于收集蜜罐回应并根据预设规则选择最佳回应反馈的连接选择模块及用于通过检查蜜罐指纹信息筛选暴露蜜罐的回应筛选模块。本发明能够对异常攻击流量进行精确控制和丢弃,进而对攻击者恶意行为进行更加全面的记录,具有较好的应用前景。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种基于SDN架构和蜜网的网络流量控制方法及系统。
背景技术
软件定义网络(Software-defined networking,SDN),是通过增加网络的可编程性来提高网络的灵活度的新型网络架构技术,改进当前偏重静态、配置复杂、改动麻烦的网络架构。相比于传统以交换机、路由器为基础设施的网络,SDN不仅可以实现网络应该具有的互联共享功能,而且具有构造简单、扩展性好、灵活度高,可以实现更加细粒度的网络控制等优势。SDN作为一种解决传统网络固化、复杂等问题的新型网络体系结构,其秉持控制与转发平面分离、网络状态集中控制、支持软件编程等设计理念所构造的网络结构具有三个显著的特点:转控分离、集中控制、开放接口。
SDN在物理模型上分为三个层面,即协同应用层、控制层、转发层,在各个层面之间通过接口进行通信,其中北向接口是与传统管理接口形式和类型类似的SDN管理接口,南向接口是数据交互接口,主要用于控制器与转发器之间进行数据交互,东西向接口主要用于SDN网络和其它网络进行通信。SDN的迅速发展和深化应用,丰富了传统信息安全防护技术和思路,将对传统信息安全产生重大影响。蜜网就是由多台各种类型的蜜罐系统构成蜜网网络,第三代蜜网通过一个以桥接模式部署的蜜网网关(HoneyWall)与外部网络连接;蜜网网关构成了蜜网与外部网络的唯一连接点,外部网络所有与蜜罐系统的网络交互流量都将通过蜜网网关,因此,在蜜网网关上可以实现对安全威胁的网络数据捕获,以及对攻击进行有效控制。此外,蜜网网关的桥接方式不对外提供IP地址,同时也不对通过的网络流量进行TTL递减与路由,以确保蜜网网关极难被攻击方发现。而安全研究人员通过蜜网网关的管理接口连接对蜜网网关进行管理控制,以及对蜜网网关上捕获和汇集的安全威胁数据进行分析。如何将SDN网络架构与蜜网结合,通过对蜜网状态感知来实现网络流量控制成为网络安全防御的又一新的手段。
发明内容
为此,本发明提供一种基于SDN架构和蜜网的网络流量控制方法及系统,在现有的蜜网结构中加入SDN的架构,提供有效的蜜网内部管理方案,对异常攻击流量进行精确控制和丢弃,实现对蜜网系统的保护进而对攻击者恶意行为进行更加全面的记录。
按照本发明所提供的设计方案,提供一种基于SDN架构和蜜网的网络流量控制系统,包含:设置于控制层的SDN控制器、及与控制器连接的蜜网;所述SDN控制器设置于蜜网上层,通过SDN控制器所在的控制层维护蜜网中各服务,并针对恶意流量选取最合适蜜罐来转发;所述控制层还包含:用于通过检测外部网络接入流量来获取攻击信息的包检测模块、用于维护蜜罐服务拓扑信息的拓扑地图模块、用于收集蜜罐回应并根据预设规则选择最佳回应反馈的连接选择模块及用于通过检查蜜罐指纹信息筛选暴露蜜罐的回应筛选模块。
作为本发明基于SDN架构和蜜网的网络流量控制系统,进一步地,所述包检测模块将攻击信息相应标签存入数据包头,并将标签信息上传至SDN控制器;拓扑地图模块依据标签信息寻找相关蜜罐服务,并向SDN交换机发送策略路由;SDN交换机依据策略路由,将标签信息对应的攻击信息数据包流量转发至相应蜜罐。
作为本发明基于SDN架构和蜜网的网络流量控制系统,进一步地,所述拓扑地图模块设置有用于维护各蜜罐的定时器,通过定时器定期对蜜罐进行通信并对蜜罐状态定期快照。
作为本发明基于SDN架构和蜜网的网络流量控制系统,进一步地,所述回应筛选模块通过已知指纹数据来筛选暴露蜜罐,并对暴露蜜罐应答进行修改。
作为本发明基于SDN架构和蜜网的网络流量控制系统,进一步地,所述连接选择模块通过队列来容纳存储蜜罐回应。
作为本发明基于SDN架构和蜜网的网络流量控制系统,进一步地,连接筛选模块依据连接持续时间和回应筛选模块对蜜罐修改次数来设置队列中蜜罐权重,依据权重大小选择蜜罐。
进一步地,基于上述的系统,本发明还提供基于SDN架构和蜜网的网络流量控制方法,包含如下内容:
检测外部网络接入流量来获取攻击信息,并将攻击信息相应标签存入攻击信息流量数据包头;
SDN控制器通过标签信息寻找可用蜜罐服务,并向SDN交换机发送策略路由;SDN交换机依据策略路由将攻击信息流量数据包转发至相应蜜罐;
收集各蜜罐回应,通过检查是否存在被攻击者察觉的指纹信息来筛选暴露蜜罐,并对暴露蜜罐进行修改;
针对筛选后的各蜜罐回应,根据预设规则选取最佳回应反馈给攻击者。
作为本发明基于SDN架构和蜜网的网络流量控制方法,进一步地,攻击信息包含但不限于:入侵流量源地址、目的地址、源端口、目的端口、协议类型、包数量、字节数及流数量。
作为本发明基于SDN架构和蜜网的网络流量控制方法,进一步地,通过队列来维护各蜜罐回应,并根据连接时间和指纹修改次数计算回应蜜罐的权重,依据权重大小选择蜜罐建立连接。
作为本发明基于SDN架构和蜜网的网络流量控制方法,针对暴露蜜罐,通过SDN控制器修改与暴露蜜罐相关的路由规则来防止恶意流量感染内容其他主机和/或出现下一次攻击跳板的情形。
本发明的有益效果:
本发明将传统蜜网中的蜜墙进行替换,在使用SDN控制器(比如:OpenDayLight)来实现对蜜网内部设备状态的掌控和对流量的管理,由SDN控制器中的应用实现对恶意流量导向的控制,同时对回应做出筛选,防止蜜网自身的暴露;能够对网络进行更精细化的流量控制,达到掌控蜜网全局信息,可以针对恶意流量选择最合适的蜜罐并转发;对发送给攻击者的回应进行筛选,排查可能被侦测到蜜罐或蜜网存在的字段,提高了蜜网的隐匿性;基于SDN规则的内网安全措施,在蜜罐被攻陷后,SDN控制器修改与蜜罐相关的规则,防止恶意流量污染内网或被作为跳板攻击外网,具有较好的应用前景。
附图说明:
图1为实施例中网络流量控制系统结构示意;
图2为实施例中SDN网络架构示意;
图3为实施例中数据处理过程示意;
图4为实施例中连接选择模块维护多连接示意;
图5为实施例中网络流量控制方法流程示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
针对蜜网网内的全局管理和流量控制,本发明实施例,提出使用SDN架构提供更精细化更完善的功能机制,参见图1所示,提供一种基于SDN架构和蜜网的网络流量控制系统,包含:设置于控制层的SDN控制器、及与控制器连接的蜜网;所述SDN控制器设置于蜜网上层,通过SDN控制器所在的控制层维护蜜网中各服务,并针对恶意流量选取最合适蜜罐来转发;所述控制层还包含:用于通过检测外部网络接入流量来获取攻击信息的包检测模块、用于维护蜜罐服务拓扑信息的拓扑地图模块、用于收集蜜罐回应并根据预设规则选择最佳回应反馈的连接选择模块及用于通过检查蜜罐指纹信息筛选暴露蜜罐的回应筛选模块。
“SDN安全”和“软件定义安全”不是一个概念,前者是新的网络技术的自身安全问题;而后者其实并非是一种技术,而是一种思想或一种体系架构,强调通过软件化的安全应用和安全控制平台,集中控制、智能决策和敏捷响应,以解决以往安全设备简单堆叠不能抵御复杂、高级的安全威胁。逻辑上的集中控制和数据转发分离是SDN的基本思想。参见图2所示,SDN的软件定义体现在:控制平面从嵌入式节点独立出来;以开放可编程的软控制平面代替传统的基于系统嵌入的控制平面;由软件驱动的中央控制器来集中控制。由于其具备的这些特性,SDN的优点就是对传统安全威胁具有较好的应对表现,它的特性及对安全的优势整理如下表:
表:SDN安全特性和优势
本案实施例中,将传统蜜网中的蜜墙进行替换,在使用SDN控制器来实现对蜜网内部设备状态的掌控和对流量的管理,由SDN控制器中的应用实现对恶意流量导向的控制,同时对回应做出筛选,防止蜜网自身的暴露;能够对网络进行更精细化的流量控制,达到掌控蜜网全局信息,可以针对恶意流量选择最合适的蜜罐并转发;对发送给攻击者的回应进行筛选,排查可能被侦测到蜜罐或蜜网存在的字段,提高了蜜网的隐匿性,提升网络安全。
作为本发明实施例中基于SDN架构和蜜网的网络流量控制系统,进一步地,所述包检测模块将攻击信息相应标签存入数据包头,并将标签信息上传至SDN控制器;拓扑地图模块依据标签信息寻找相关蜜罐服务,并向SDN交换机发送策略路由;SDN交换机依据策略路由,将标签信息对应的攻击信息数据包流量转发至相应蜜罐。
参见图3所示,数据包进入交换机,交换机检测不到相关的流表,发送packet_in包给控制器,同时控制器中的包检测模块通过设置端口镜像获取数据包,并使用DPI深度包检测技术对载荷进行检测,寻找攻击信息,packet_in信息包括源地址、目的地址、流入接口号、流出接口号、源端口、目的端口、协议类型、包数量等,而DPI检测则会得到关于包内容的相关信息,据此控制器将编写相应的MPLS标签放入包头。
作为本发明实施例中基于SDN架构和蜜网的网络流量控制系统,进一步地,所述拓扑地图模块设置有用于维护各蜜罐的定时器,通过定时器定期对蜜罐进行通信并对蜜罐状态定期快照。
拓扑地图具体负责用数据库表维护记录蜜罐状态:包括所提供的服务,当前是否可用,以及整个蜜网内部的路由拓扑和蜜网的所有可用资源,并通过蜜罐内置的sebek模块定时与蜜罐通信来获取蜜罐的最新状态,并使用快照功能保存蜜罐过往状态。在查找到相应的蜜罐后,将相关信息发送给控制器。
作为本发明实施例中基于SDN架构和蜜网的网络流量控制系统,进一步地,所述回应筛选模块通过已知指纹数据来筛选暴露蜜罐,并对暴露蜜罐进行修改。进一步地,所述连接选择模块通过队列来容纳存储蜜罐回应,并根据连接时间和指纹信息来选择最佳蜜罐回应。进一步地,连接筛选模块依据连接持续时间和回应筛选模块对蜜罐修改次数来设置队列中蜜罐权重,依据权重大小选择蜜罐建立连接。
参见图3和4所示,标签通过SDN控制器,向SDN交换机发送packet_out数据包,添加基于MPLS标签的策略路由。SDN交换机收到策略路由后,入侵流量被转发到至相关蜜罐,在这期间,连接选择模块将存储与攻击者以及多蜜罐的通信状态信息,以在攻击者和蜜罐中的模拟服务之间实现无缝连接。
具体地,连接选择模块利用现有的SDN功能,执行网络地址转换(NAT)进行数据包的多播,将数据包发送到所选中的蜜罐中。对于通过TCP协议进行的数据传输,连接选择模块以结构化方式管理多个会话。它与攻击者建立会话,并在内部与关联的蜜罐创建多个会话。用套接字维护1:N会话。连接选择模块还管理攻击者的身份(例如,一对用户名和密码)。由于每个会话的数据量可能会有所不同,因此数据存储在表中,以便可以重写攻击者的套接字,从而使易受攻击的服务正确接受有效负载。该表跟踪连接的顺序(SEQ)和确认(ACK)数。在此表中,连接选择模块还在OSI参考模型中为高层插入附加信息,以处理由特定服务动态生成的大量随机数。还将动态更新一些其他标头字段,例如TCP校验和字段。
对于HTTP服务连接选择模块独立保留cookie,引用和授权信息以维护用户状态。此外,连接选择模块记录了一组密钥对,用于加密/解密SSH/HTTPS服务的消息。
连接选择模块收集蜜罐的回应,检查其中是否有易被攻击者察觉的指纹信息。连接选择模块根据规则选择最佳(权重最高)的回应提供给攻击者,
连接选择模块会维护一个队列,长度等于多播的蜜罐个数,用于存储各个蜜罐反馈的回应,回应筛选模块维护着一个已知的指纹数据库,这些指纹暴露了蜜罐或蜜网架构的存在,回应进入队列后,回应筛选模块会对比该指纹库进行检查,对回应中会暴露蜜罐存在的消息进行修改。对完成筛选的回应,连接选择模块进行权值计算。具体规则如下:
连接的持续时间(δt)和回应筛选模块进行的修改次数(#n)。为了说明攻击者的会话持续时间,该模块测量活动连接的持续时间(δta)。接下来,计算修改率,即未被回应筛选器处理响应的数量(N-n)除以成功响应的数量(N),其中n是回应筛选模块执行的修改数量。基于这两个标准,连接权重a(Wa)的计算如下:
在回应队列满且全部经过权值计算或到达规定时长后,连接选择模块会选出权重最高的蜜罐,维持它们之间的连接,进行后续交互,并中断其他连接。
进一步地,基于上述的系统,本发明实施例还提供基于SDN架构和蜜网的网络流量控制方法,参见图5所示,包含如下内容:
S101、检测外部网络接入流量来获取攻击信息,并将攻击信息相应标签存入攻击信息流量数据包头;
S102、SDN控制器通过标签信息寻找可用蜜罐服务,并向SDN交换机发送策略路由;SDN交换机依据策略路由将攻击信息流量数据包转发至相应蜜罐;
S103、收集各蜜罐回应,通过检查是否存在被攻击者察觉的指纹信息来筛选暴露蜜罐,并对暴露蜜罐进行修改;
S104、针对筛选后的各蜜罐回应,根据预设规则选取最佳回应反馈给攻击者。
进一步地,通过队列来维护各蜜罐回应,并根据连接时间和指纹修改次数计算回应蜜罐的权重,依据权重大小选择蜜罐建立连接。针对暴露蜜罐,通过SDN控制器修改与暴露蜜罐相关的路由规则来防止恶意流量感染内容其他主机和/或出现下一次攻击跳板的情形。
本案实施例中,控制器中维护一个蜜罐拓扑地图,定时对蜜罐的状态进行快照,并记录蜜罐的分布和状态,根据所检测到的服务类型信息查找相关联的蜜罐。SDN控制器根据所查询到的蜜罐拓扑以及蜜罐的标签信息,建立并下发流表到交换机。用现有的SDN功能,执行NAT网络地址转换进行多播。通过连接选择模块以结构化方式管理多个会话,并维护一个连接信息表用来存放各个连接相关的状态信息。对于被攻击者控制的蜜罐,控制器修改与之相关的路由规则,防止蜜罐被攻击者利用。并可快速激活一个相同的可用蜜罐。具体地,对于处于与攻击者交互状态的蜜罐,拓扑地图会提高与蜜罐主机通信的频率以掌握蜜罐的即时状态,并根据sebek所提供的数据信息,判断攻击者是否已经提权。对于被攻击者完全控制的蜜罐主机,控制器将修改它的数据流出策略,将发送到内网其他主机的流量引导至包检测模块,对后续传出的数据继续进行追踪。并在需要时根据之前的快照快速开启一台可用的相同蜜罐。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的各实例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不认为超出本发明的范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如:只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (2)
1.一种基于SDN架构和蜜网的网络流量控制系统,其特征在于,包含:设置于控制层的SDN控制器、及与控制器连接的蜜网;所述SDN控制器设置于蜜网上层,通过SDN控制器所在的控制层维护蜜网中各服务,并针对恶意流量选取最合适蜜罐来转发;所述控制层还包含:用于通过检测外部网络接入流量来获取攻击信息的包检测模块、用于维护蜜罐服务拓扑信息的拓扑地图模块、用于收集蜜罐回应并根据预设规则选择最佳回应反馈的连接选择模块及用于通过检查蜜罐指纹信息筛选暴露蜜罐的回应筛选模块;
所述回应筛选模块通过已知指纹数据来筛选暴露蜜罐,并对暴露蜜罐应答进行修改,通过SDN控制器修改与暴露蜜罐相关的路由规则来防止恶意流量感染内容其他主机和/或出现下一次攻击跳板的情形;
所述连接选择模块通过执行网络地址转换NAT进行数据包的多播,通过队列来容纳存储蜜罐回应,并将数据包发送到所选中的蜜罐中,其中,队列长度为多播的蜜罐个数;对于通过TCP协议进行的数据传输,连接选择模块以结构化方式管理与攻击者建立的会话和在内部与关联的蜜罐创建的多个会话,并用套接字维护1:N会话,连接选择模块还管理攻击者的身份,会话数据存储在表中,该表跟踪连接的顺序SEQ和确认ACK数,表中连接选择模块还在OSI参考模型中为高层插入附加信息,以处理由特定服务动态生成的随机数;对于HTTP服务,连接选择模块独立保留cookie,引用和授权信息以维护用户状态,并记录一组密钥对,用于加密/解密SSH/HTTPS服务的消息;
连接选择模块依据连接持续时间和回应筛选模块对蜜罐修改次数来设置队列中蜜罐权重,依据权重选择蜜罐,其中,设置队列中蜜罐权重的规则表示为:
其中,n是回应筛选模块执行的修改蜜罐数量,N-n为未被回应筛选处理响应的蜜罐数量,N为成功响应的蜜罐数量,/>
为连接选择模块测量活动连接的持续时间;
所述包检测模块通过设置端口镜像获取数据包,使用DPI深度包检测技术对载荷进行检测,通过DPI深度包检测技术获取关于包内容的相关信息,并将攻击信息相应标签存入数据包头,将标签信息上传至SDN控制器;拓扑地图模块依据标签信息寻找相关蜜罐服务,并向SDN交换机发送策略路由;SDN交换机依据策略路由,将标签信息对应的攻击信息数据包流量转发至相应蜜罐;攻击信息包含但不限于:入侵流量源地址、目的地址、源端口、目的端口、协议类型、包数量、字节数及流数量;
所述拓扑地图模块设置有用于维护各蜜罐的定时器,通过定时器定期对蜜罐进行通信并对蜜罐状态定期快照。
2.一种基于SDN架构和蜜网的网络流量控制方法,其特征在于,基于权利要求1所述的系统实现,实现过程包含如下内容:
检测外部网络接入流量来获取攻击信息,并将攻击信息相应标签存入攻击信息流量数据包头;攻击信息包含但不限于:入侵流量源地址、目的地址、源端口、目的端口、协议类型、包数量、字节数及流数量;
SDN控制器通过标签信息寻找可用蜜罐服务,并向SDN交换机发送策略路由;SDN交换机依据策略路由将攻击信息流量数据包转发至相应蜜罐;
收集各蜜罐回应,通过检查是否存在被攻击者察觉的指纹信息来筛选暴露蜜罐,并对暴露蜜罐进行修改;
针对筛选后的各蜜罐回应,根据预设规则选取最佳回应反馈给攻击者;
所述回应筛选模块通过已知指纹数据来筛选暴露蜜罐,并对暴露蜜罐应答进行修改;针对暴露蜜罐,通过SDN控制器修改与暴露蜜罐相关的路由规则来防止恶意流量感染内容其他主机和/或出现下一次攻击跳板的情形;
所述连接选择模块通过执行网络地址转换NAT进行数据包的多播,通过队列来容纳存储蜜罐回应,并将数据包发送到所选中的蜜罐中,其中,队列长度为多播的蜜罐个数;对于通过TCP协议进行的数据传输,连接选择模块以结构化方式管理与攻击者建立的会话和在内部与关联的蜜罐创建的多个会话,并用套接字维护1:N会话,连接选择模块还管理攻击者的身份,会话数据存储在表中,该表跟踪连接的顺序SEQ和确认ACK数,表中连接选择模块还在OSI参考模型中为高层插入附加信息,以处理由特定服务动态生成的随机数;对于HTTP服务,连接选择模块独立保留cookie,引用和授权信息以维护用户状态,并记录一组密钥对,用于加密/解密SSH/HTTPS服务的消息;
连接选择模块依据连接持续时间和回应筛选模块对蜜罐修改次数来设置队列中蜜罐权重,依据权重选择蜜罐,其中,设置队列中蜜罐权重的规则表示为:
其中,n是回应筛选模块执行的修改蜜罐数量,N-n为未被回应筛选处理响应的蜜罐数量,N为成功响应的蜜罐数量,/>
为连接选择模块测量活动连接的持续时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110221397.7A CN113037731B (zh) | 2021-02-27 | 2021-02-27 | 基于sdn架构和蜜网的网络流量控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110221397.7A CN113037731B (zh) | 2021-02-27 | 2021-02-27 | 基于sdn架构和蜜网的网络流量控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113037731A CN113037731A (zh) | 2021-06-25 |
| CN113037731B true CN113037731B (zh) | 2023-06-16 |
Family
ID=76464705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110221397.7A Active CN113037731B (zh) | 2021-02-27 | 2021-02-27 | 基于sdn架构和蜜网的网络流量控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113037731B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113438258A (zh) * | 2021-08-27 | 2021-09-24 | 广东省新一代通信与网络创新研究院 | 一种用于UDP Flood攻击的防御方法及系统 |
| CN114531270B (zh) * | 2021-12-31 | 2023-11-03 | 网络通信与安全紫金山实验室 | 针对分段路由标签探测的防御方法及装置 |
| CN114666096A (zh) * | 2022-02-24 | 2022-06-24 | 中国人民解放军国防科技大学 | 一种基于动态服务链的智能蜜网系统及其实现方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017064554A1 (en) * | 2015-10-13 | 2017-04-20 | Schneider Electric Industries Sas | Method for arranging workloads in a software defined automation system |
| CN109246108A (zh) * | 2018-09-18 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构 |
| CN109716732A (zh) * | 2016-08-03 | 2019-05-03 | 施耐德电器工业公司 | 用于软件定义的自动化系统中的部署的工业软件定义的网络架构 |
| CN111885067A (zh) * | 2020-07-28 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种面向流量的集成式蜜罐威胁数据捕获方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506507B (zh) * | 2014-12-15 | 2017-10-10 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
| KR102155262B1 (ko) * | 2017-09-11 | 2020-09-11 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
| KR101917062B1 (ko) * | 2017-11-02 | 2018-11-09 | 한국과학기술원 | 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램 |
| CN111818077A (zh) * | 2020-07-21 | 2020-10-23 | 北方工业大学 | 一种基于sdn技术的工控混合蜜罐系统 |
| CN112118577B (zh) * | 2020-09-18 | 2023-10-13 | 国网山东省电力公司青岛供电公司 | 基于SDN虚拟蜜罐的IoT网络攻击消减系统及方法 |
-
2021
- 2021-02-27 CN CN202110221397.7A patent/CN113037731B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017064554A1 (en) * | 2015-10-13 | 2017-04-20 | Schneider Electric Industries Sas | Method for arranging workloads in a software defined automation system |
| CN109716732A (zh) * | 2016-08-03 | 2019-05-03 | 施耐德电器工业公司 | 用于软件定义的自动化系统中的部署的工业软件定义的网络架构 |
| CN109246108A (zh) * | 2018-09-18 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构 |
| CN111885067A (zh) * | 2020-07-28 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种面向流量的集成式蜜罐威胁数据捕获方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于深度学习的SDN虚拟蜜网路由优化;胡洋;;计算机系统应用(第10期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113037731A (zh) | 2021-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9825990B2 (en) | System and method for software defined behavioral DDoS attack mitigation | |
| Ioannidis et al. | Implementing pushback: Router-based defense against DDoS attacks | |
| Dabbagh et al. | Software-defined networking security: pros and cons | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| Giotis et al. | Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments | |
| US8484372B1 (en) | Distributed filtering for networks | |
| Abliz | Internet denial of service attacks and defense mechanisms | |
| US8474041B2 (en) | Autonomous diagnosis and mitigation of network anomalies | |
| CN113037731B (zh) | 基于sdn架构和蜜网的网络流量控制方法及系统 | |
| CN110830469A (zh) | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 | |
| US11546266B2 (en) | Correlating discarded network traffic with network policy events through augmented flow | |
| Wang et al. | Towards mitigating link flooding attack via incremental SDN deployment | |
| Rengaraju et al. | Detection and prevention of DoS attacks in Software-Defined Cloud networks | |
| CN112202646B (zh) | 一种流量分析方法和系统 | |
| Polat et al. | The effects of DoS attacks on ODL and POX SDN controllers | |
| US8964763B2 (en) | Inter-router communication method and module | |
| Gkounis | Cross-domain DoS link-flooding attack detection and mitigation using SDN principles | |
| Gautam et al. | Experimental security analysis of SDN network by using packet sniffing and spoofing technique on POX and Ryu controller | |
| Arins | Firewall as a service in SDN OpenFlow network | |
| JP5178573B2 (ja) | 通信システムおよび通信方法 | |
| JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
| Chen et al. | Policy management for network-based intrusion detection and prevention | |
| JP2008219149A (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| TWI797962B (zh) | 基於SASE的IPv6雲邊緣網路安全連線方法 | |
| KR101060615B1 (ko) | 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 450000 Science Avenue 62, Zhengzhou High-tech Zone, Henan Province Patentee after: Information Engineering University of the Chinese People's Liberation Army Cyberspace Force Country or region after: China Patentee after: Purple Mountain Laboratories Address before: No. 62 Science Avenue, High tech Zone, Zhengzhou City, Henan Province Patentee before: Information Engineering University of Strategic Support Force,PLA Country or region before: China Patentee before: Purple Mountain Laboratories |
|
| CP03 | Change of name, title or address |
Address after: No. 62 Science Avenue, High tech Zone, Zhengzhou City, Henan Province Patentee after: Information Engineering University of Strategic Support Force,PLA Country or region after: China Patentee after: Zijinshan Laboratory Address before: No. 62 Science Avenue, High tech Zone, Zhengzhou City, Henan Province Patentee before: Information Engineering University of Strategic Support Force,PLA Country or region before: China Patentee before: Purple Mountain Laboratories |