一种sdn网络的蜜网安全防护系统及方法
【专利摘要】本发明公开了一种SDN网络的蜜网安全防护系统,该系统包括网络入侵检测模块、蜜网管理模块和SDN控制器集群管理模块。网络入侵检测模块对进入组织内部的流量进行入侵检测;网管理模块是系统中最重要的模块,包括蜜网设计模块,蜜网创建模块,流量规则转换模块,加密传输模块,蜜网模型数据库;SDN控制器集群管理模块对组织内网的多个控制器进行协调管理和通信维护。此外,本发明还公开了一种SDN网络的蜜网安全防护方法。通过本发明能自动根据每个攻击、或每类攻击或由人工指定攻击类型集合创建符合要求的蜜网,能帮助安全管理人员更好的监控可疑攻击情况,并作出有效反应。
【专利说明】一种SDN网络的蜜网安全防护系统及方法
【技术领域】
[0001]本发明涉及网络安全【技术领域】,尤其涉及一种SDN网络的蜜网安全防护系统及方法。
【背景技术】
[0002]蜜网是在蜜罐技术上逐渐发展起来的一个新的概念,又可成为诱捕网络。蜜罐技术实质上还是一类研宄型的高交互蜜罐技术。其主要目的是收集黑客的攻击信息。但与传统的蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。
[0003]蜜网技术的分类:
[0004](I)根据交互级别的不同
[0005]根据蜜网与攻击者之间进行的交互对蜜网进行分类,可以将蜜网分为低交互蜜网、中交互蜜网和高交互蜜网。低交互蜜网仅提供一些简单的虚拟服务,例如监听某些特定端口。该类蜜网风险最低,但或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。中交互蜜网提供了更多的可交互信息,它能够预期一些活动,并可以给出一些低交互蜜网无法给予的响应,但是仍然没有为攻击者提供一个可使用的操作系统。同时诱骗进程变得更加复杂,对特定服务的模拟变得更加完善的同时,风险性也更大了。高交互蜜网为攻击者提供一个真实的支撑操作系统。此类蜜网复杂度和甜度大大增加,收集攻击者信息的能力也大大增强。但蜜网也具有高度危险,攻击者最终目标就是取得root权限,自由存取目标机上的数据,然后利用已有资源继续攻击其它机器。宄竟使用何等交互级别的蜜网取决于所要实现的目标。
[0006](2)根据部署目的的不同
[0007]按照部署目的不同分为产品型蜜网和研宄型蜜网两类。产品型蜜网为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。较具代表性的产品型蜜网包括DTK,hοn e y d等开源工具和KFSensor, ManTraq等一系列的商业产品。研宄型蜜网则是专门用于对黑客攻击的捕获和分析,通过部署研宄型蜜网,对黑客攻击进行追踪和分析,能够捕获黑客的击键记录,了解黑客所使用的攻击工具及攻击方法。
[0008]发明专利CN200610169676.9公开了一种多层次蜜网数据传输方法及系统,由蜜网网关统一接收外部网络数据流;蜜网网关对所接收的数据流进行网络入侵检测分析;将正常数据流放行,发送给该数据流的目标主机;将非正常数据流按照威胁级别分为高、中、低三类;将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。本发明可以广泛应用于计算机网络安全【技术领域】,有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点,节省系统资源,提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力,有效对抗反蜜罐技术。
[0009]该技术提供的多层次蜜网传输方法及系统将威胁级别简单分为3类,虽然比传统蜜网有所改进,但仍显粗糙。另外每类可疑流量简单导入原设定的蜜网,这样的机制相对死板不够灵活;同一威胁级别的流量并入一种固定的蜜网,不利于对每一攻击的单独分析。另外当攻击流量的规模突然增强大出说预期设定时,蜜网的资源不足导致难以正常的发挥蜜网的保护、监控作用。
【发明内容】
[0010]本发明的目的是为了克服现有技术的缺陷,提供一种SDN网络的蜜网安全防护系统,从而实现了灵活快速根据不同攻击类型提供蜜网及将蜜网保护触发前攻击行为引入至蜜网。
[0011]为了解决上述技术问题,本申请公开了如下技术方案:
[0012]第一方面,本发明提供了一种SDN网络的蜜网安全防护系统,该系统包括网络入侵检测模块、蜜网管理模块和SDN控制器集群管理模块;其中,
[0013]网络入侵检测模块对进入组织内部的流量进行入侵检测。
[0014]蜜网管理模块包括蜜网设计模块,蜜网创建模块,流量规则转换模块,加密传输模块,蜜网模型数据库。
[0015]蜜网设计模块根据入侵检测服务器传入的信息,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构。
[0016]蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网。
[0017]流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则。
[0018]加密传输模块确保蜜网管理模块与网络入侵检测模块、SDN控制器集群管理模块的通信安全。
[0019]SDN控制器集群管理模块对组织内网的多个控制器进行协调管理和通信维护,包括状态分发/同步模块,分布式管理模块,安全通信模块,冗余备份模块。
[0020]结合第一方面,入侵检测服务器传入的信息包括攻击类型、特征及其安全威胁等级。
[0021]蜜网的网络架构包括蜜罐、服务器、滤器、交换机、数据库和网络分析仪。
[0022]创建虚拟蜜网包括创建网元并且搭建好网络架构,分配合适的MAC地址和IP地址。
[0023]此外,该系统的网络分为蜜网管理网络和业务网络,这两个网络是相互独立的。蜜网管理网络专供蜜网管理流量在网络入侵检测服务器、蜜网管理服务器、SDN控制器集群之间传输所用。该系统能够部署在物理服务器或者虚拟服务器上,也能够部署在物理个人计算机或虚拟机上。
[0024]第二方面,本发明提供了一种SDN网络的蜜网安全防护方法,该方法的具体流程如下:
[0025]Si位于组织内部网络边界的SDN交换机收到数据包,将数据包通过端口镜像传输至入侵检测服务器;
[0026]s2入侵检测服务器对流量进行网络威胁等级判定;
[0027]s3如果判定为无威胁,则不通知蜜网管理服务器,正常转发流量;
[0028]s4如果判定有威胁,入侵检测服务器则分析流量,进行安全威胁等级划分,并识别攻击类型,将攻击类型、特征及其安全威胁等级告知蜜网管理服务器;
[0029]s5蜜网设计模块根据入侵检测服务器传入的信息,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构;
[0030]s6蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网;
[0031]s7流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则;
[0032]s8蜜网管理服务器将流量匹配规则通过安全的传输方式通知SDN控制器;
[0033]s9 SDN控制器下发流量匹配规则至SDN交换机;
[0034]slO SDN交换机将此攻击数据流导向创建的密网;
[0035]sll密网管理器记录攻击情况。
[0036]本发明技术方案带来的有益效果:
[0037]当前蜜网保护产品通常使用固化的硬件设施或固定的虚拟蜜网,当不同种类的可疑攻击发生全部导向当前蜜网,而本发明能自动根据每个攻击、或每类攻击或由人工指定攻击类型集合创建符合要求的蜜网,能帮助安全管理人员更好的监控可疑攻击情况,并作出有效反应。另外当网络攻击规模变化时始终提供固定规模的蜜网,而本发明可以根据可疑攻击的类型和安全威胁等级快速灵活提供相应的蜜网,有效利用了组织现有的资源。
[0038]另外,大多情况下蜜网保护触发前网络攻击已经发生,在组织内网可能已经感染上恶意软件。使用本发明,能在检测到可疑攻击之后通过向SDN交换机下发流量规则匹配此类攻击的关联流量,并将其导向密网,进而在更大的范围内保护组织内网的安全。
【专利附图】
【附图说明】
[0039]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0040]图1是本发明中SDN网络的蜜网安全防护系统的功能模块图;
[0041]图2是本发明中SDN网络的蜜网安全防护方法的网络拓扑图;
[0042]图3是本发明中SDN网络的蜜网安全防护方法的流程图。
【具体实施方式】
[0043]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0044]本发明为了解决现有技术中蜜网保护不能灵活及时的提供蜜网及网络攻击开始一段时间才触发保护机制的缺点或不足,采用了一种SDN网络的蜜网安全防护系统及方法的方案,从而实现了灵活快速根据不同攻击类型提供蜜网及将蜜网保护触发前攻击行为引入至蜜网的目的。
[0045]一种SDN网络的蜜网安全防护系统基于SDN网络实现,由网络入侵检测模块、蜜网管理模块和SDN控制器集群管理模块构成,具体如图1所示。
[0046]网络入侵检测模块对进入组织内部的流量进行入侵检测,输入流量由部署在边界的SDN交换机端口镜像产生。入侵检测服务器进行网络威胁等级判定。如果判定为无威胁,则不通知蜜网管理服务器,正常转发流量。如果判定有威胁,入侵检测服务器则分析流量,进行安全威胁等级划分,并识别攻击类型。最后将攻击类型、特征及其安全威胁等级告知蜜网管理服务器。
[0047]蜜网管理模块是系统中最重要的模块,包括蜜网设计模块,蜜网创建模块,流量规则转换模块,加密传输模块,蜜网模型数据库。蜜网设计模块根据入侵检测服务器传入的信息,如攻击类型、特征及其安全威胁等级,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构,其中主要包括蜜罐、服务器、滤器、交换机、数据库、网络分析仪。蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网,其中包括创建网元并且搭建好网络架构,最后分配合适的MAC地址和IP地址。流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则。加密传输模块确保蜜网管理模块与网络入侵检测模块、SDN控制器集群管理模块的通信安全。
[0048]SDN控制器集群管理模块对组织内网的多个控制器进行协调管理和通信维护,主要包括状态分发/同步模块,分布式管理模块,安全通信模块,冗余备份模块。SDN控制器集群控制模块通过交换机接口通信模块使用南向接口协议与支持SDN的交换机进行通信,使用其他模块实现多控制器之间的流表的同步。
[0049]一种SDN网络的蜜网安全防护系统的网络分为蜜网管理网络和业务网络,这两个网络是相互独立的。蜜网管理网络专供蜜网管理流量在网络入侵检测服务器、蜜网管理服务器、SDN控制器集群之间传输所用。一种SDN网络的蜜网安全防护系统能够部署在物理服务器或者虚拟服务器上,也能够部署在物理个人计算机或虚拟机上,其网络拓扑图如图2所示。在图中实线表示业务流量,点实线表示蜜网管理流量,该图只是交换机与服务器之间的网络拓扑,相关设备如个人电脑等都已略去。
[0050]一种SDN网络的蜜网安全防护方法的流程如图3所示,具体流程如下:
[0051]I)位于组织内部网络边界的SDN交换机收到数据包,将数据包通过端口镜像传输至入侵检测服务器;
[0052]2)入侵检测服务器对流量进行网络威胁等级判定;
[0053]3)如果判定为无威胁,则不通知蜜网管理服务器,正常转发流量;
[0054]4)如果判定有威胁,入侵检测服务器则分析流量,进行安全威胁等级划分,并识别攻击类型,将攻击类型、特征及其安全威胁等级告知蜜网管理服务器;
[0055]5)蜜网设计模块根据入侵检测服务器传入的信息,如攻击类型、特征及其安全威胁等级,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构,其中主要包括蜜罐、服务器、滤器、交换机、数据库、网络分析仪;
[0056]6)蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网,其中包括创建网元并且搭建好网络架构,最后分配合适的MAC地址和IP地址;
[0057]7)流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则;
[0058]8)蜜网管理服务器将流量匹配规则通过安全的传输方式通知SDN控制器;
[0059]9) SDN控制器下发流量匹配规则至SDN交换机;
[0060]10) SDN交换机将此攻击数据流导向创建的密网;
[0061]11)密网管理器记录攻击情况。
[0062]在本发明中蜜网也可用物理蜜网实现,但这需要花费远大于本发明的硬件资料,并且部署速度远落后于本发明。
[0063]通过本发明能自动根据每个攻击、或每类攻击或由人工指定攻击类型集合创建符合要求的蜜网,能帮助安全管理人员更好的监控可疑攻击情况,并做出有效反应;能根据可疑攻击的类型和安全威胁等级快速灵活提供相应的蜜网,有效利用了组织现有的资源,实现了可扩展的蜜网保护;能在检测到可疑攻击之后通过向SDN交换机下发流量规则匹配此类攻击的关联流量,并将其导向密网,进而在更大的范围内保护组织内网的安全。
[0064]以上对本发明实施例所提供的一种SDN网络的蜜网安全防护系统及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在【具体实施方式】及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种SDN网络的蜜网安全防护系统,其特征在于,该系统包括网络入侵检测模块、蜜网管理模块和SDN控制器集群管理模块;其中, 网络入侵检测模块对进入组织内部的流量进行入侵检测; 蜜网管理模块包括蜜网设计模块,蜜网创建模块,流量规则转换模块,加密传输模块,蜜网模型数据库; 蜜网设计模块根据入侵检测服务器传入的信息,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构; 蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网; 流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则; 加密传输模块确保蜜网管理模块与网络入侵检测模块、SDN控制器集群管理模块的通信安全; SDN控制器集群管理模块对组织内网的多个控制器进行协调管理和通信维护,包括状态分发/同步模块,分布式管理模块,安全通信模块,冗余备份模块。
2.根据权利要求1所述的系统,其特征在于,入侵检测服务器传入的信息包括攻击类型、特征及其安全威胁等级。
3.根据权利要求1所述的系统,其特征在于,蜜网的网络架构包括蜜罐、服务器、滤器、交换机、数据库和网络分析仪。
4.根据权利要求1或2或3所述的系统,其特征在于,创建虚拟蜜网包括创建网元并且搭建好网络架构,分配合适的MAC地址和IP地址。
5.根据权利要求1所述的系统,其特征在于,该系统的网络分为蜜网管理网络和业务网络,这两个网络是相互独立的。
6.根据权利要求5所述的系统,其特征在于,蜜网管理网络专供蜜网管理流量在网络入侵检测服务器、蜜网管理服务器、SDN控制器集群之间传输所用。
7.根据权利要求1所述的系统,其特征在于,该系统能够部署在物理服务器或者虚拟服务器上,也能够部署在物理个人计算机或虚拟机上。
8.—种SDN网络的蜜网安全防护方法,其特征在于,该方法的具体流程如下: Si位于组织内部网络边界的SDN交换机收到数据包,将数据包通过端口镜像传输至入侵检测服务器; s2入侵检测服务器对流量进行网络威胁等级判定;s3如果判定为无威胁,则不通知蜜网管理服务器,正常转发流量;s4如果判定有威胁,入侵检测服务器则分析流量,进行安全威胁等级划分,并识别攻击类型,将攻击 类型、特征及其安全威胁等级告知蜜网管理服务器; s5蜜网设计模块根据入侵检测服务器传入的信息,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构; s6蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网;s7流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则; s8蜜网管理服务器将流量匹配规则通过安全的传输方式通知SDN控制器;s9SDN控制器下发流量匹配规则至SDN交换机;slOSDN交换机将此攻击数据流导向创建的密网;sll密网管理器记录攻击情况。
【文档编号】H04L29/06GK104506507SQ201410777593
【公开日】2015年4月8日 申请日期:2014年12月15日 优先权日:2014年12月15日
【发明者】杨育斌, 程丽明, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司