本发明涉及计算机互联网网络安全技术领域,具体地讲,是一种基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法。
背景技术:
现有的与互联网相关的网络安全技术当中,在网络管理器上部署OSSEC,能发现针对业务的入侵行为,对于网站业务,OSSEC有网站攻击检测规则。OSSEC检测到规则后,可以联动IpTables,对攻击源进行拦截。但是仅仅通过防火墙方式拦截,存在诸多如下缺。
1.虽然可以阻断攻击,但不能消灭攻击。
2.防火墙不能抵抗最新的未设置策略的攻击漏。
3.对服务器合法开放的端口的攻击大多无法阻隔。
4.对待内部主动发起连接的攻击一般无法阻隔。
5.防火墙本身也会出现问题和受到攻击。
这些是现有技术中存在的不足。
蜜罐技术是设计用来给黑客入侵的,它必须提供一定的漏洞,借此收集证据,同时隐藏真实的服务器地址,因此一台合格的蜜罐要求拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查,最后,就是在必要时候根据蜜罐收集的证据来起诉入侵者。
技术实现要素:
鉴于现有技术中所存在的不足,本发明提供一种能将异常流引流到蜜罐、跟踪记录整个过程并追踪攻击路径,通过蜜罐分析,发现系统本身业务漏洞的基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法。
一种基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法,包括如下步骤:
步骤一:
阐述Neutron网络原理;
其中的扁平网络:
OVS在把数据包转发给虚拟机时会先增加Vlan标记;
OVS在把虚拟机的数据包从物理网卡发送去之前会删除Vlan标记;
其中的Vlan网络:
将从int-br-svc接口流入的数据包外部网络的vlan_id修改为内部网络的vlan_id;
将从phy-br-svc接口流入的数据包内部网络的vlan_id修改为外部网络 的vlan_id;
其中的GRE网络:
br-int桥上的流表做正常转发;
查看br-tun桥上的流表;
步骤二:
设定或结合蜜罐网络:采用GRE的网络模式,通过br-int桥上的流表就需要引流的数据包通过br-tun运到蜜罐虚拟机,采用隧道模式,能保证在不需要修改请求包的源地址的情况下,响应包能原路返回,在br-int通过对响应包进行修改,客户端能正常收到响应包。
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的步骤一中还包括如下方法:
1.数据库设计;
2.逻辑结构设定;
3.部署结构设定;
4.处理程序设定;
5.接口定义;
6.蜜罐流表定义;
7.蜜罐规则更新。
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐流表定义还包括如下步骤:
步骤一:请求包流表,scr_ip从int_port_no端口流入,到b_p_seg,dst_ip,protocol,dst_ip的数据包转发到蜜罐的物理桥在集成桥的接口,修改目标IP,目标MAC,目标的Vlanid
步骤二:应答包流表,从蜜罐接口流入,目标IP=src_ip,源ip=honey_ip,源mac=honey_mac,vlan_id=h_l_vlan,tp_src=dst_port的数据包#修改原ip=dst_ip,源mac=dst_mac,vlan_id=b_l_vlan
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐规则更新还包括如下步骤:
步骤一:获取业务网的内部valnid,外部vlanid,物理网的名称;
步骤二:获取集成桥上连接蜜罐物理网的端口号;
步骤三:获取集成桥上连接业务物理网的端口号;
步骤四:遍历蜜罐规则的每一个实例:删除请求流表;删除响应流表;下发引流流表。
本发明的有益效果是:本发明能将异常流引流到蜜罐,跟踪记录整个过程并对追踪攻击路径,通过蜜罐分析,发现系统本身业务漏洞而进行安全防护。能够做到既阻断网络攻击,又能消灭攻击;能对最新的未设置策略的攻击漏进行防护;对服务器合法开放的端口的攻击能够进行阻隔;对待内部主动发起连接的攻击能够进行阻隔。
附图说明
下面结合附图对本发明进行进一步详述。
图1为本发明扁平网络示意图。
图2为本发明Vlan网络示意图。
图3为本发明GRE网络示意图。
图4为本发明br-tun桥上的流表示意图。
图5为本发明数据库设计示意图。
图6为本发明逻辑结构示意图。
图7为本发明布署结构示意图。
图8为本发明流程示意图。
具体实施方式
本发明公开的基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法,包括如下步骤:
步骤一:
阐述Neutron网络原理;
其中的扁平网络:
OVS在把数据包转发给虚拟机时会先增加Vlan标记;
OVS在把虚拟机的数据包从物理网卡发送去之前会删除Vlan标记;
其中的Vlan网络:
将从int-br-svc接口流入的数据包外部网络的vlan_id修改为内部网络的vlan_id;
将从phy-br-svc接口流入的数据包内部网络的vlan_id修改为外部网络的vlan_id;
其中的GRE网络:
br-int桥上的流表做正常转发;
查看br-tun桥上的流表;
步骤二:
设定或结合蜜罐网络:采用GRE的网络模式,通过br-int桥上的流表就需要引流的数据包通过br-tun运到蜜罐虚拟机,采用隧道模式,能保证在不需要修改请求包的源地址的情况下,响应包能原路返回,在br-int通过对响应包进行修改,客户端能正常收到响应包。
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的步骤一中还包括如下方法:
1.数据库设计;
2.逻辑结构设定;
3.部署结构设定;
4.处理程序设定;
5.接口定义;
6.蜜罐流表定义;
7.蜜罐规则更新。
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐流表定义还包括如下步骤:
步骤一:请求包流表,scr_ip从int_port_no端口流入,到b_p_seg,dst_ip,protocol,dst_ip的数据包转发到蜜罐的物理桥在集成桥的接口,修改目标IP,目标MAC,目标的Vlanid
步骤二:应答包流表,从蜜罐接口流入,目标IP=src_ip,源ip=honey_ip,源mac=honey_mac,vlan_id=h_l_vlan,tp_src=dst_port的数据包#修改原ip=dst_ip,源mac=dst_mac,vlan_id=b_l_vlan
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐规则更新还包括如下步骤:
步骤一:获取业务网的内部valnid,外部vlanid,物理网的名称;
步骤二:获取集成桥上连接蜜罐物理网的端口号;
步骤三:获取集成桥上连接业务物理网的端口号;
步骤四:遍历蜜罐规则的每一个实例:删除请求流表;删除响应流表;下发引流流表。
如图1到图8所示本发明的具体实施例:东城通过应急快速恢复平台将业务已经迁移到平台管理的虚拟机上,并通过网络管控器上的Haproxy实现了业务的负载均衡。在网络管理器上部署OSSEC,能发现针对业务的入侵行为,东城主要是网站业务,OSSEC有网站攻击检测规则。OSSEC检测到规则后,可以联动IpTables,对源进行拦截。
通过防火墙方式拦截,很难发现攻击路径,利用SDN技术,将异常流引流到蜜罐,跟踪记录整个过程,便于追踪攻击路径,发现业务漏洞。
目前东城的二期项目需要实现蜜罐分析的功能。
基本原理
Neutron网络的原理
扁平网络
蜜罐网络
蜜罐网络采用GRE的网络模式,通过br-int桥上的流表就需要引流的数据包通过br-tun运到蜜罐虚拟机,采用隧道模式,能保证在不需要修改请求包的源地址的情况下,响应包能原路返回,在br-int通过对响应包进行修改,客户端能正常收到响应包。
响应一级变化
部署结构
处理流程
实现
数据库设计
表:honey
描述:蜜罐引流规则定义
表:honeyalias
描述:蜜罐引流实例
逻辑结构
Neutron-server代码
通过扩展插件实现Honey的接口定义,Honey配置的存储,与openvswitch-agent之间的交付
扩展接口定义
neutron_honey\extensions\honey.py
资源属性定义
资源的属性定义表格式如下,定义了Rest接口提供了配置的资源类型,对资源进行操作的属性要求;RESOURCE_ATTRIBUTE_MAP的key为每一种资源名的复数形式,Value为该资源的scheme描述。
代理端代码
1.被动接受引流的配置
2.每次重启自动加载所有引流的配置(未实现)
3.端口删除(业务虚拟机),在集成桥上删除原IP或目标IP=虚拟机,vlan_ip=端口的tagid的流表
4.业务网络删除:
ovs_neutron_agent.reclaim_local_vlan会删除从物理网络桥到集成桥的流表
删除集成桥上,从蜜罐接口流入,目标IP在业务网中的流表
蜜罐流表
1.请求包流表
scr_ip从int_port_no端口流入,到b_p_seg,dst_ip,protocol,dst_ip的数据包转发到蜜罐的物理桥在集成桥的接口,修改目标IP,目标MAC,目标的Vlanid
2.应答包流表
从蜜罐接口流入,目标IP=src_ip,源ip=honey_ip,源mac=honey_mac,
vlan_id=h_l_vlan,tp_src=dst_port的数据包
#修改原ip=dst_ip,源mac=dst_mac,vlan_id=b_l_vlan
蜜罐规则更新
1.获取业务网的内部valnid,外部vlanid,物理网的名称
2.获取集成桥上连接蜜罐物理网的端口号
3.获取集成桥上连接业务物理网的端口号
4.遍历蜜罐规则的每一个实例
a)删除请求流表
b)删除响应流表
下发引流流表 。