一种基于伪装的网络空间安全防御方法及系统与流程

本发明实施例属于网络安全领域，尤其涉及一种基于伪装的网络空间安全防御方法及系统。

背景技术：

SDN是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构，可通过软件编程的形式定义和控制网络，被认为是网络领域的一场革命，其本质的特点是控制平面与和转发平面的分离。此外，SDN通过开放的接口支持用户对网络处理行为进行控制，从而为新型互联网体系结构研究提供了新的实验途径，也极大的推动了下一代互联网的发展。

移动目标防御(Moving Target Defense)是美国近年来提出的网络空间“改变游戏规则”的革命性技术之一，其机制是构建动态可变形的网络，从而增强网络安全。2012年美国北卡罗来纳州立大学的研究小组提出了基于SDN的开放流随机主机转换(OFRHM)方法，利用开放流研究移动目标防御体系结构，实现IP地址的不可预知性及高速变换，同时保持配置的完整性，并最小化操作管理。此外，Cisco公司和美国北卡罗莱纳－夏洛特分校也提出了在SDN网络中按照概率随机化进行虚拟IP地址的动态变化，以构建移动目标防御系统。上述方案都是通过基于构建动态可变形的网络实现网络地址变形，将真实网络地址隐藏从而达到增强网络安全的目的，防御恶意攻击者的主动性欠缺，不利于对恶意流量进行研究。

技术实现要素：

本发明实施例提供了一种基于伪装的网络空间安全防御方法及系统，旨在解决现有的方法防御恶意攻击者的主动性欠缺，不利于对恶意流量进行研究的问题。

本发明实施例是这样实现的，一种基于伪装的网络空间安全防御方法，所述方法包括：

控制器接收交换机转发的包括网络地址信息的IP分组数据包；

在所述网络地址信息与预存的伪装目标的虚拟网络地址匹配时，控制器下发第一组流表至所述交换机，所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系；

所述交换机根据接收的第一组流表，将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址。

本发明实施例的另一目的在于提供一种网络空间安全防御系统，所述系统包括：

控制器和交换机；

所述控制器用于接收交换机转发的包括网络地址信息的IP分组数据包；

在所述网络地址信息与预存的伪装目标的虚拟网络地址匹配时，所述控制器下发第一组流表至所述交换机，所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系；

所述交换机根据接收的第一组流表，将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址。

在本发明实施例中，控制器接收交换机转发的包括网络地址信息的IP分租数据包，判断所述地址信息是否与预存的伪装目标的虚拟网络地址匹配，如果匹配，则下发存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系的第一组流表至交换机，交换机根据接收的第一组流表将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址，从而实现了网络伪装目标防御，可以将网络中有限的伪装目标虚拟化成一个复杂的伪装网络，增加恶意流量调入伪装网络的几率，同时可以欺骗恶意流量或者违规流量，为研究其进攻意图提供便利性。

附图说明

图1是本发明第一实施例提供的一种基于伪装的网络空间安全防御方法的流程图；

图2是本发明第一实施例提供的控制器伪装处理流程的示意图；

图3是本发明第一实施例提供的控制器网络资源主动通告的示意图；

图4是本发明第一实施例提供的一种基于伪装的网络空间安全防御方法的应用场景示意图；

图5是本发明第二实施例提供的一种网络空间安全防御系统的结构框图；

图6是本发明第二实施例提供的一种网络空间安全防御系统实现的应用场景示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

本发明实施例中，控制器接收交换机转发的包括网络地址信息的IP分组数据包。在所述网络地址信息与预存的伪装目标的虚拟网络地址匹配时，控制器下发第一组流表至所述交换机，所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系，所述交换机根据接收的第一组流表，将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

实施例一：

图1示出了本发明第一实施例提供的一种基于伪装的网络空间安全防御方法的流程图，详述如下：

步骤S11，控制器接收交换机转发的包括网络地址信息的IP分组数据包。

该步骤中，所述控制器可以为基于OpenFlow协议的SDN控制器，所述交换机可以为基于OpenFlow协议的交换机。交换机收到包括网络地址信息的IP分组数据包后，若判断没有任何流表与其匹配时，将其送至控制器，控制器接收交换机转发的包括网络地址信息的IP分组数据包，并为所述IP分组数据包请求授权。具体地，交换机中流表存储信息包括但不限于网络地址信息，所述判断没有任何流表与其匹配具体包括判断交换机收到的IP分组数据包中的网络地址信息是否与交换机中流表中存储的网络地址信息匹配，如果不匹配，则将所述IP分组数据包转发至控制器。

可选地，在所述控制器接收交换机转发的包括网络地址信息的IP分组数据包之前，交换机接收网络侧发送的网络资源协议数据包，并转发至控制器，控制器接收所述网络资源协议数据包，并对所述网络资源协议数据包进行伪装处理；所述伪装处理具体包括：控制器根据所述预设的虚拟网络地址资源信息生成与所述网络资源协议数据包相应的响应包，并下发至交换机；所述虚拟网络资源信息包括伪装目标的虚拟网络地址；交换机接收并转发所述响应包；控制器还根据所述虚拟网络资源信息和所在网络的网络资源信息生成相应的网络资源协议通告包，并下发至交换机；交换机接收并转发所述通告包。

具体地，当有流量访问伪装目标网络地址时，交换机接收网络侧流量发送的网络资源协议数据包并通过SDN PacketIn将其转发至控制器，所述网络资源协议包括但不限于ARP(Address Resolution Protocol，地址解析协议)，VTP(VLAN Trunking Protocol，虚拟局域网中继协议)，IGP(Interior Gateway Protocols，内部网关协议)，BGP(Border Gateway Protocol，边界网关协议)，NetBios网络邻居(网络基本输入/输出系统协议)，SSDP(Simple Service Discovery Protocol，简单服务发现协议)，GOOSE(Generic Object Oriented Substation Event，面向通用对象的变电站事件)。控制器对接收的网络资源协议数据包按照某种预先配置的网络伪装策略进行处理，所述预先配置的网络伪装策略中包括伪装目标的真实网络地址和伪装目标的虚拟网络地址，所述伪装目标的虚拟网络地址通过控制器注入的伪装目标的虚拟网络资源信息确定。具体地，控制器根据伪装目标的虚拟网络地址生成与所述网络资源协议数据包相应的响应包，并通过SDN PacketOut将所述响应包发送至交换机，交换机转发响应包。所述响应包可以是真实的主机、路由或者网上邻居、事件状态等网络资源信息，可以是由控制器生成的虚拟伪装网络资源信息，也可以是真实的主机、路由或者网上邻居、事件状态等真实网络资源信息与由控制器生成的虚拟伪装网络资源信息两种信息的组合。控制器还根据伪装目标的虚拟网络资源信息和所在网络的网络资源信息生成相应的网络资源协议通告包，并下发至交换机；交换机接收并转发所述通告包。

可选地，控制器还可以通过SDN PacketOut机制按照某种网络伪装策略主动向网络侧注入虚拟伪装网络资源信息，所述虚拟伪装网络资源信息包括免费ARP信令、各类路由通告信令、路由Update信令和伪装的windows网上邻居、事件状态广播信令，从而极大扩展了虚拟伪装网络资源的形式。

可选地，控制器接收网络伪装策略后，判断是否需要主动通告网络资源。当需要主动通告网络资源时，控制器生成网络资源协议通告包，并通过SDN PacketOut将所述通告包发送至交换机，交换机接收通告包，并转发。具体地，控制器根据所述网络伪装策略中的虚拟网络资源信息，以及所在网络使用的路由协议等网络资源信息，判断是否需要主动通告网络资源。所述虚拟网络资源信息包括伪装目标的网络信息、路由协议信息、主机信息和服务协议信息；所在网络的网络资源信息包括所在网络的网络信息和路由协议信息、主机地址和服务协议信息；

控制器接收网络伪装策略后，当需要主动通告网络时，控制器根据所述伪装策略中伪装目标的虚拟网络资源信息和所在网络的网络资源信息生成相应的网络资源协议通告包，并通过SDN PacketOut下发至交换机；交换机接收并转发所述通告包。

可选地，控制器接收网络伪装策略后，可以根据所述网络伪装策略中的虚拟网络资源信息中的主机信息生成相应的免费ARP数据包，将所述ARP数据包通过SDN PacketOut下发至交换机，交换机接收并转发所述ARP通告包，主动通告伪装目标的主机信息。

可选地，控制器接收网络伪装策略后，可以根据所述网络伪装策略中虚拟网络资源信息的网络信息以及所在网络的路由协议信息，主动生成相应网络的路由通告包，并通过SDN PacketOut下发至交换机，交换机接收并转发所述路由通告包，主动通告伪装网络的路由信息。

可选地，控制器接收网络伪装策略后，可以根据所述网络伪装策略中的虚拟网络中资源中的主机服务协议信息生成相应服务协议的服务协议包，并通过SDN PacketOut下发至交换机，交换机接收并转发所述服务协议包，主动通告伪装网络的主机服务信息。所述服务协议包括但不限于SSDP、DLNA、GOOSE。

步骤S12，在所述网络地址信息与预存的伪装目标的虚拟网络地址匹配时，控制器下发第一组流表至所述交换机，所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系。

该步骤中，控制器在收到交换机转发的包括网络地址信息的IP分组数据包后，判断所述网络地址信息是否与控制器中预先设置的网络伪装策略中伪装目标的虚拟网络地址匹配。具体地，在所述网络地址信息与控制器中预存的伪装目标的虚拟网络地址匹配时，控制器下发第一组流表至交换机，所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应转换关系。所述网络地址信息包括但不限于SDN标准9元组和MPLS label。控制器下发流表所采用的协议，可以是OpenFlow，SNMP，Netconf等各种配置管理协议。除了标准的SDN技术以外，也可以通过类似的自定义转发控制方式实现。可选地，为了节省资源，可使一个伪装目标的真实网络地址与多个伪装目标的虚拟网络地址对应，这样，只需布置一个伪装目标就能实现对访问伪装目标的虚拟网络地址的多个恶意流量的监控。

可选地，在所述网络地址信息与预存的真实目标的真实网络地址匹配时，控制器下发第二组流表至所述交换机，所述第二组流表存储真实目标的真实网络地址。在所述网络地址信息与控制器中预存的伪装目标的虚拟网络地址不匹配而与预存的真实目标的真实网络地址匹配时，控制器向交换机发送第二组流表。交换机接收第二组流表，根据存储真实目标的真实网络地址的第二组流表直接转发所述IP分组数据包。

具体地，控制器通过SDN PacketIn接收到交换机转发的网络侧数据包，判断所述网络侧数据包是否为网络资源协议包。在所述网络侧数据包是网络资源协议包时，则根据预先设置的某种网络伪装策略生成网络资源协议伪装响应包，并通过SDN PacketOut发送至交换机，交换机转发所述响应包。在所述网络侧数据包不是网络资源协议包时，则判断所述网络地址信息是否与控制器中预先设置的某种网络伪装策略包括的伪装目标的虚拟网络地址匹配，所述网络地址信息与所述伪装目标的虚拟网络地址匹配，则发送存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系的第一组流表至交换机，所述网络地址信息与所述伪装目标的虚拟网络地址不匹配，而与真实目标的真实网络地址匹配，则发送存储真实目标的真实网络地址的第二组流表至交换机。

可选地，在所述网络地址信息与预存的真实目标的真实网络地址匹配时，判断所述网络地址信息对应的发送方用户身份是否为违规用户；在所述网络地址信息对应的用户身份为违规用户时，下发第三组流表至交换机，所述第三组流表存储真实目标的真实网络地址与伪装目标的真实网络地址的对应关系；所述交换机根据接收的第三组流表，将所述网络地址信息从真实目标的真实网络地址转换为伪装目标的真实网络地址。

可选地，一个伪装目标的真实网络地址可与多个真实目标的真实网络地址对应，以节省资源。

具体地，当所述网络地址信息与预存的真实目标的真实网络地址匹配但所述网络地址信息对应的用户身份为违规用户，通过控制器下发存储真实目标的真实网络地址与伪装目标的真实网络地址的对应关系的第三组流表至交换机，交换机根据接收的第三组流表将违规用户发起的IP分组数据包的网络地址信息从真实目标的真实网络地址转换为伪装目标的真实网络地址，将违规用户流量导入精心设计的伪装目标中去，使得违规用户无法接触真实目标，并可对违规用户的违规行为进行记录。

步骤S13所述交换机根据接收的第一组流表，将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址。

该步骤中，交换机接收控制器发送的第一组流表，将恶意流量的网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址，并根据第一组流表转发所述恶意流量。所述恶意流量实质上通过网络侧和伪装目标建立了通信，但在该恶意流量的发起用户看来，恶意流量是和伪装目标的虚拟网络地址所代表的网络建立了通信，增大了恶意流量侦测和攻击网络漏洞的难度。

具体地，所述交换机根据接收的第一组流表，将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址之前还包括控制器判断伪装目标的真实网络地址与伪装目标的虚拟网络地址是否不在同一子网。在伪装目标的真实网络地址与伪装目标的虚拟网络地址不在同一子网时，所述交换机将所述伪装目标的虚拟网络地址中的MAC地址置为访问所述伪装目标的真实网络地址的网关的MAC地址。伪装目标可以部署在本地，也可以部署在远端的Internet或者Intranet上。在伪装目标的真实网络地址与伪装目标的虚拟网络地址不在同一子网时，交换机通过流表将所述恶意流量或违规用户访问的伪装目标的虚拟网络地址中的MAC地址置为访问所述伪装目标的真实网络地址的网关的MAC地址，所述流表包括第一组流表、第二组流表和第三组流表。

本发明第一实施例中，控制器接收交换机转发的包括网络地址信息的IP分组数据包，判断所述地址信息是否与预存的伪装目标的虚拟网络地址匹配，如果匹配，则下发存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系的第一组流表至交换机，交换机根据接收的第一组流表将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址。由于在所述网络地址信息与预存的伪装目标的虚拟网络地址匹配时，控制器下发第一组流表至所述交换机，因此，交换机能够根据接收的第一组流表将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址，从而能够将恶意流量调入伪装网络，实现了网络伪装目标防御。进一步地，当一个伪装目标的真实网络地址与多个伪装目标的虚拟网络地址对应，或者，一个伪装目标的真实网络地址可与多个真实目标的真实网络地址对应时，能够将网络中有限的伪装目标虚拟化成一个复杂的伪装网络，增加恶意流量调入伪装网络的几率，同时可以欺骗恶意流量或者违规流量，为研究其进攻意图提供便利性。

应理解，在本发明实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

为了更清楚地描述本发明实施例提供的网络空间安全防御方法，下面以一具体应用场景进行说明：

该应用场景中，控制器为基于OpenFlow协议的SDN控制器，交换机为基于OpenFlow协议的OF－Switch，网络侧发送的数据包的类型包括但不限于网络资源协议包和非网络资源协议相关的IP分组数据包。

参见图2，是本实施例提供的SDN控制器伪装处理流程的示意图。具体地，SDN控制器通过SDN PacketIn接收到OF－Switch转发的网络侧数据包，判断所述网络侧数据包是否为网络资源协议包。在所述网络侧数据包是网络资源协议包时，则生成网络资源协议响应包，并通过SDN PacketOut发送至OF－Switch，OF－Switch转发所述响应包；所述网络侧数据包不是网络资源协议包，判断所述网络地址信息是否与SDN控制器中预先设置的某种网络伪装策略包括的伪装目标的虚拟网络地址匹配。所述网络地址信息与所述伪装目标的虚拟网络地址匹配，则发送存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系的第一组流表至OF－Switch；所述网络地址信息与所述伪装目标的虚拟网络地址不匹配，则发送存储真实目标的真实网络地址的第二组流表至OF－Switch。具体地，SDN控制器收到网络资源协议包生成网络资源协议响应包时，SDN控制器可以主动按照某种策略向当前网络注入虚拟伪装网络资源信息。

参见图3，是本实施例提供的SDN控制器网络资源主动通告的示意图。SDN控制器接收网络伪装策略后，根据伪装策略中的网络资源信息以及所在网络使用的路由协议信息判断是否需要主动通告网络资源。当需要主动通告网络资源时，SDN控制器根据所述伪装策略中伪装目标的虚拟网络资源信息和所在网络的网络资源信息生成相应的伪装网络资源协议通告包，并通过SDN PacketOut将所述网络资源协议通告包发送至OF－Switch，OF－Switch接收并转发所述网络资源协议通告包。具体地，SDN控制器根据所述网络伪装策略中的虚拟网络资源信息中的主机信息生成相应的免费ARP数据包，将所述ARP数据包通过SDN PacketOut下发至OF－Switch，OF－Switch接收并转发所述ARP通告包，主动通告伪装目标的主机信息；SDN控制器根据所述网络伪装策略中的虚拟网络资源信息中的网络信息以及所在网络的路由协议信息，主动生成相应网络的路由协议的路由通告包，并通过SDN PacketOut下发至OF－Switch，OF－Switch接收并转发所述路由通告包，主动通告伪装网络的路由信息；SDN控制器根据所述网络伪装策略中的虚拟网络资源信息中的主机服务信息生成相应服务协议的服务协议包，并通过SDN PacketOut下发至OF－Switch，交OF－Switch接收并转发所述服务协议包，主动通告伪装网络的主机服务信息。所述服务协议包括但不限于SSDP、DLNA、GOOSE。OF－Switch向网络侧主动通告伪装网络中的主机信息、路由信息和服务信息，增加防御恶意访问的主动性。

参见图4，是本施例提供的一种基于伪装的网络空间安全防御方法的应用场景示意图。在该应用场景中，OF－Switch将恶意流量的网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址，使得有限地本地伪装目标和/或云端伪装目标扩展成为一个动态的虚拟伪装网络，增加了恶意流量掉入伪装网络的几率，为研究恶意流量进攻意图提供便利性。

实施例二：

图5示出了本发明第二实施例提供的一种网络空间安全防御系统的结构框图，为了便于说明，仅示出了与本实施例相关的部分，详述如下：

所述网络空间安全防御系统包括控制器21和交换机22；控制器21用于接收交换机22转发的包括网络地址信息的IP分组数据包。

具体地，控制器21和交换机22两者是逻辑上分离，在实际中可以将其整合到同一个单元上，提供相同的功能。

具体地，控制器21可以为基于OpenFlow协议的SDN控制器，交换机22可以为基于OpenFlow协议的交换机。交换机22收到包括网络地址信息的IP分组数据包后，若判断没有任何流表与其匹配时，将其送至控制器21，控制器21接收交换机22转发的包括网络地址信息的IP分组数据包，并为所述IP分组数据包请求授权。具体地，交换机22中流表存储信息包括但不限于网络地址信息，所述判断没有任何流表与其匹配具体包括判断交换机22收到的IP分组数据包中的网络地址信息是否与交换机22中流表中存储的网络地址信息匹配，如果不匹配，则将所述IP分组数据包转发至控制器21。

可选地，交换机22还用于接收网络侧发送的网络资源协议数据包，并转发至控制器21，控制器21用于接收所述网络资源协议数据包，并对所述网络资源协议数据包进行伪装处理；所述伪装处理具体包括：控制器21根据伪装目标的虚拟网络资源信息生成与所述网络资源协议数据包相应的响应包，并下发至交换机22；交换机22接收并转发所述响应包；控制器21还根据伪装目标的虚拟网络资源信息和所在网络的网络资源信息生成相应的网络资源协议通告包，并下发至交换机22；交换机22接收并转发所述通告包。

具体地，当有流量访问伪装目标网络地址时，交换机22接收网络侧流量发送的网络资源协议数据包并通过SDN PacketIn将其转发至控制器。控制器21对接收的网络资源协议数据包按照某种预先配置的网络伪装策略进行处理，所述预先配置的网络伪装策略中包括伪装目标的真实网络地址和伪装目标的虚拟网络地址，所述伪装目标的虚拟网络地址通过交换机22发送至控制器21确定，或者，通过控制器21注入的伪装目标的虚拟网络地址确定。具体地，控制器21根据伪装目标的虚拟网络资源信息生成与所述网络资源协议数据包相应的响应包，并通过SDN PacketOut将所述响应包发送至交换机22，交换机22转发响应包。所述响应包可以是真实的主机、路由或者网上邻居、事件状态等网络资源信息，可以是由控制器21生成的虚拟伪装网络资源信息，也可以是真实的主机、路由或者网上邻居、事件状态等真实网络资源信息与由控制器21生成的虚拟伪装网络资源信息两种信息的组合。控制器21还根据伪装目标的虚拟网络资源信息和所在网络的网络资源信息生成相应的网络资源协议通告包，并下发至交换机22；交换机22接收并转发所述通告包。

可选地，控制器21还可以通过SDN PacketOut机制按照某种网络伪装策略主动向网络侧注入虚拟伪装网络资源信息。

可选地，控制器21可用于接收网络伪装策略后，判断是否需要主动通告网络资源。当需要主动通告网络资源时，控制器21生成网络资源协议通告包，并通过SDN PacketOut将所述通告包发送至交换机22，交换机22接收通告包并转发。具体地，控制器21根据所述网络伪装策略中的网络资源信息，以及所在网络使用的路由协议等网络资源信息，判断是否需要主动通告网络资源。

控制器21接收网络伪装策略后，当需要主动通告网络时，控制器21根据所述伪装策略中伪装目标的虚拟网络资源信息和所在网络的网络资源信息生成相应的网络资源协议通告包，并通过SDN PacketOut下发至交换机22；交换机22接收并转发所述通告包。

可选地，控制器21接收网络伪装策略后，可以根据所述网络伪装策略中的虚拟网络资源信息的主机信息生成相应的免费ARP数据包，将所述ARP数据包通过SDN PacketOut下发至交换机，交换机22接收并转发所述ARP通告包，主动通告伪装目标的主机信息。

可选地，控制器21接收网络伪装策略后，可以根据所述网络伪装策略中的虚拟网络资源信息的网络信息以及所在网络的路由协议信息，主动生成相应网络的路由协议的路由通告包，并通过SDN PacketOut下发至交换机22，交换机22接收并转发所述路由通告包，主动通告伪装网络的路由信息。

可选地，控制器21接收网络伪装策略后，可以根据所述网络伪装策略中的虚拟网络资源信息的主机服务协议信息生成相应服务协议的服务协议包，并通过SDN PacketOut下发至交换机22，交换机22接收并转发所述服务协议包，主动通告伪装网络的主机服务信息。所述服务协议包括但不限于SSDP、DLNA、GOOSE。

可选地，在所述网络地址信息与预存的伪装目标的虚拟网络地址匹配时，控制器21下发第一组流表至所述交换机22，所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系。

具体地，控制器21在收到交换机22转发的包括网络地址信息的IP分组数据包后，判断所述网络地址信息是否与控制器21中预先设置的网络伪装策略中伪装目标的虚拟网络地址匹配。具体地，在所述网络地址信息与控制器21中预存的伪装目标的虚拟网络地址匹配时，控制器21下发第一组流表至交换机22，所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应转换关系。

控制器21下发流表所采用的协议，可以是OpenFlow，SNMP，Netconf等各种配置管理协议协议。除了标准的SDN技术以外，也可以通过类似的自定义转发控制方式实现。可选地，为了节省资源，可使一个伪装目标的真实网络地址与多个伪装目标的虚拟网络地址对应，这样，只需布置一个伪装目标的真实网络地址也能实现对访问伪装目标的虚拟网络地址的多个恶意流量的监控。

可选地，在所述网络地址信息与预存的真实目标的真实网络地址匹配时，控制器21还用于下发第二组流表至所述交换机22，所述第二组流表存储真实目标的真实网络地址。

具体地，在所述网络地址信息与控制器21中预存的伪装目标的虚拟网络地址不匹配而与预存的真实目标的真实网络地址匹配时，控制器21向交换机22发送第二组流表。交换机22接收第二组流表，根据存储真实目标的真实网络地址的第二组流表直接转发所述IP分组数据包。

具体地，控制器21用于通过SDN PacketIn接收到交换机22转发的网络侧数据包，判断所述网络侧数据包是否为网络资源协议包。在所述网络侧数据包是网络资源协议包时，则生成网络资源协议响应包，并通过SDN PacketOut发送至交换机22，交换机22转发所述响应包。在所述网络侧数据包不是网络资源协议包时，判断所述网络地址信息是否与控制器21中预先设置的某种网络伪装策略包括的伪装目标的虚拟网络地址匹配，所述网络地址信息与所述伪装目标的虚拟网络地址匹配，则发送存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系的第一组流表至交换机22，所述网络地址信息与所述伪装目标的虚拟网络地址不匹配，则发送存储真实目标的真实网络地址的第二组流表至交换机22。

可选地，在所述网络地址信息与预存的真实目标的真实网络地址匹配时，控制器21判断所述网络地址信息对应的用户身份是否为违规用户；在所述网络地址信息对应的用户身份为违规用户时，控制器21还用于下发第三组流表至交换机22，所述第三组流表存储真实目标的真实网络地址与伪装目标的真实网络地址的对应关系；所述交换机22根据接收的第三组流表，将所述网络地址信息从真实目标的真实网络地址转换为伪装目标的真实网络地址。

可选地，一个伪装目标的真实网络地址可与多个真实目标的真实网络地址对应，以节省资源。

具体地，当所述网络地址信息与预存的真实目标的真实网络地址匹配但所述网络地址信息对应的用户身份为违规用户，通过控制器21下发存储真实目标的真实网络地址与伪装目标的真实网络地址的对应关系的第三组流表至交换机22，交换机22根据接收的第三组流表将违规用户的网络地址信息从真实目标的真实网络地址转换为伪装目标的真实网络地址，将违规用户流量导入精心设计的伪装目标中去，使得违规用户无法接触真实目标，并可对违规用户的违规行为进行记录。

可选地，交换机22根据接收的第一组流表，将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址。

具体地，交换机22接收控制器21发送的第一组流表，将恶意流量的网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址，并根据第一组流表转发所述恶意流量。所述恶意流量实质上通过网络侧和伪装目标建立了通信，但在所述恶意流量的发起用户看来，恶意流量是和伪装目标的虚拟网络地址所代表的网络建立了通信，增大了恶意流量侦测和攻击网络漏洞的难度。

具体地，交换机22根据接收的第一组流表，将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址之前，控制器21还用于判断伪装目标的真实网络地址与伪装目标的虚拟网络地址是否不在同一子网。在伪装目标的真实网络地址与伪装目标的虚拟网络地址不在同一子网时，交换机22将所述伪装目标的虚拟网络地址中的MAC地址置为访问所述伪装目标的真实网络地址的网关的MAC地址。伪装目标可以部署在本地，也可以部署在远端的Internet或者Intranet上。在伪装目标的真实网络地址与伪装目标的虚拟网络地址不在同一子网时，交换机22通过流表将所述恶意流量或违规用户访问的伪装目标的虚拟网络地址中的MAC地址置为访问所述伪装目标的真实网络地址的网关的MAC地址。

本发明第二实施例中，控制器21用于接收交换机22转发的包括网络地址信息的IP分组数据包，判断所述地址信息是否与预存的伪装目标的虚拟网络地址匹配，如果匹配，则控制器21下发存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系的第一组流表至交换机22，交换机22根据接收的第一组流表将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址。由于在所述网络地址信息与预存的伪装目标的虚拟网络地址匹配时，控制器21下发第一组流表至所述交换机22，因此，交换机22能够根据接收的第一组流表将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址，从而能够将恶意流量调入伪装网络，实现了网络伪装目标防御。进一步地，当一个伪装目标的真实网络地址与多个伪装目标的虚拟网络地址对应，或者，一个伪装目标的真实网络地址可与多个真实目标的真实网络地址对应时，能够将网络中有限的伪装目标虚拟化成一个复杂的伪装网络，增加恶意流量调入伪装网络的几率，同时可以欺骗恶意流量或者违规流量，为研究其进攻意图提供便利性。

为了进一步说明如何应用网络空间安全防御系统，下面以具体应用场景进行说明：

图6示出了本发明第二实施例提供的一种网络空间安全防御系统实现的应用场景示意图，网络空间安全防御系统包括控制器和交换机，控制器采用SDN控制器，交换机采用OF－Switch。在该应用场景中，还包括网络侧，网络侧用于发送数据包，所述数据包的类型括但不限于网络资源协议数据包和IP分组数据包。

具体地，步骤1中，网络侧向OF－Switch发送数据包，所述数据包为网络资源协议数据包，OF－Switch通过SDN PacketIn转发至SDN控制器，SDN控制器收到网络资源协议数据包，对网络资源协议数据包按照某种预先配置的网络伪装策略进行处理，所述预先配置的网络伪装策略中包括伪装目标的真实网络资源信息和伪装目标的虚拟网络资源信息，所述伪装目标的虚拟网络资源信息通过控制器向网络侧注入的伪装目标的虚拟网络资源信息确定。步骤2中，SDN控制器生成网络资源协议响应包，并通过SDN PacketOut将所述响应包发送至OF－Switch，OF－Switch转发响应包响应网络侧发送的数据包。所述响应包可以是真实的主机、路由或者网上邻居、事件状态等网络资源信息，可以是由SDN控制器生成的虚拟伪装网络资源信息，也可以是真实的主机、路由或者网上邻居、事件状态等真实网络资源信息与由SDN控制器生成的虚拟伪装网络资源信息两种信息的组合。

步骤3中，网络侧向OF－Switch发送数据包，所述数据包为非网络资源协议相关的IP分组数据包，OF－Switch在收到首个IP分组数据包发现与其已有流表不匹配，则转发至SDN控制器，步骤4中，SDN控制器在收到OF－Switch转发的IP分组数据包后，通过伪装策略管理判断所述网络地址信息是否与SDN控制器中预先设置的网络伪装策略中伪装目标的虚拟网络地址匹配，并通过转发规则管理下发不同流表至OF－Switch。

具体地，步骤5中，在所述网络地址信息与SDN控制器中预存的伪装目标的虚拟网络地址匹配时，SDN控制器下发第一组流表至OF－Switch，所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应转换关系，OF－Switch接收SDN控制器发送的第一组流表，将IP分组数据包的网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址，并根据第一组流表转发所述IP分组数据包。所述IP分组数据包实质上通过网络侧和伪装目标建立了通信，但在恶意流量的发起用户看来，IP分组数据包是和伪装目标的虚拟网络地址所代表的目标建立了通信，增大了恶意流量侦测和攻击网络漏洞的难度；在所述网络地址信息与所述伪装目标的虚拟网络地址不匹配时，SDN控制器下发第二组流表至OF－Switch，所述第二组流表存储真实目标的真实网络地址，OF－Switch接收第二组流表，并根据第二组流表直接转发所述IP分组数据包。

在所述网络地址信息与预存的真实目标的真实网络地址匹配时，判断所述网络地址信息对应的用户身份是否为违规用户；在所述网络地址信息对应的用户身份为违规用户时，SDN控制器下发第三组流表至交OF－Switch，所述第三组流表存储真实目标的真实网络地址与伪装目标的真实网络地址的对应关系，所述OF－Switch根据接收的第三组流表，将所述网络地址信息从真实目标的真实网络地址转换为伪装目标的真实网络地址。违规用户实质上只是和伪装目标建立了通信，增强了对违规用户的安全防御。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read－Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。