本发明涉及一种信息安全技术领域,特别涉及一种基于sdn技术实现的自动反扫描方法。
背景技术:
随着"云计算"在互联网中的日益兴起,互联网的功能变得越来越强大,但同时也给网络安全带来了非常严峻的考验,互联网数据量的增大会引起网络安全漏洞的增加,黑客就会利用各类互联网漏洞进行蓄意入侵和攻击,而许多攻击和入侵行为都是通过扫描网络中的系统漏洞引起的,因此,三层交换机上部署防扫描技术就能够很好地阻止黑客扫描到内部主机漏洞,在一定程度上保障了企业网络安全。
技术实现要素:
一种基于sdn技术实现的自动反扫描方法技术关键点是基于sdn技术,自动升级特征库以发现可疑的扫描,来自于外网的流量无需等检查即可直接进入内网。自动升级特征库功能自动收集内网自动反扫描中发现的可疑流量,通过挖掘发现具有攻击性后,将此新特征自动记录到特征库,达到自动升级的目的。另外对于来自于外网的流量,控制器要求sdn边界交换机镜像复制到自动反扫描服务器以进行进一步分析,同时这些流量可进入内网;若发现具有攻击性后,服务器通过控制器下发流表到内网的各sdn交换机,以达到对此来源的数据包进行丢弃的工作。
本发明实际是一种sdn应用,基于sdn控制器而实现,其最核心的模块是威胁行为判断模块、恶意扫描行为判断模块、自动反扫描特征提取模块、流表生成和下发模块。具体介绍如下:
1.威胁行为判断模块搜索历史行为数据库,挖掘此ip来源相关的所有访问信息,主要包括访问机器敏感性、访问的端口、访问频率、是否在黑名单,综合计算其安全威胁指数,最终给出是否具有攻击倾向的指导信息;若具有攻击倾向,则生成新的规则,并将之加入扫描行为规则库,同时通知流表生成和下发模块接收以实现反扫描安全保护工作。
2.恶意扫描行为判断模块根据自动反扫描特征提取模块提取的特征,对扫描行为规则库进行匹配,分析是否属于恶意扫描行为;若判断此行为属于恶意扫描行为,则通知流表生成和下发模块接收以实现反扫描安全保护工作;若未能判断此行为属于恶意扫描行为但访问地址为内网敏感机器,则将相关信息送到威胁行为判断模块以作进一步分析。
3.自动反扫描特征提取模块结合最新特征库数据条的字段信息,提取威恶意扫描行为判断模块所需信息,并将之传递给恶意扫描行为判断模块。
4.流表生成和下发模块接收接收威胁行为判断模块和恶意扫描行为判断模块传来的安全实施要求,根据相关信息生成标准的流表然后将流表发送给controller集群控制模块,将流表下发到内网相关的sdn交换机。
同时,本发明设计的基本功能还包括自身安全保障模块、平台运维管理模块、数据库管理模块和controller集群控制模块。controller集群控制模块对数据中心内的多控制器进行协调管理,主要包括状态分发/同步模块,分域管理模块,分布式存储管理模块,交换机共享控制模块,交换机接口通信模块。控制器集群控制模块通过交换机接口通信模块使用南向接口协议与支持sdn的交换机进行通信,使用其他模块实现多控制器之间的流表的同步。
本发明技术方案带来的有益效果:
一种基于sdn技术实现的自动反扫描方法基于sdn技术,自动升级特征库以发现可疑的扫描,来自于外网的流量无需等检查即可直接进入内网。一种基于sdn技术实现的自动反扫描方法能面对不断变换的网络情况自动发现新的攻击扫描特征,并将此新特征自动记录到特征库,达到自动升级的目的。一种基于sdn技术实现的自动反扫描方法具备很强的扩展能力和动态调整能力,在攻击量突增的情况下,能快速调用资源应对。对于来自于外网的流量,控制器要求sdn边界交换机镜像复制到自动反扫描服务器以进行进一步分析,同时这些流量可进入内网,不影响正常的精力环境;若发现具有攻击性后,服务器通过控制器下发流表到内网的各sdn交换机,以达到对此来源的数据包进行丢弃的工作。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明功能模块图;
图2是本发明流程图;
图3是本发明网络拓扑图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
1、sdn边界交换机接收到数据包;
2、若数据包的ip源地址在黑名单上,交换机自动丢弃此数据包;
3、sdn控制机指示sdn交换机对所有数据包做镜像,将所有数据包复制一份发送到反扫描服务器;
4、恶意扫描行为判断模块匹配扫描行为规则库,分析是否属于恶意扫描行为;
1)若判断为无恶意,是否访问内网敏感机器;
2)若是内网敏感机器,将其特征提取记录到历史行为数据库,结合历史行为数据库深入挖掘计算其安全威胁指数,判断是否具有攻击倾向;
3)若具有攻击倾向,则生成新的规则,加入扫描行为规则库;
4)若不具有攻击倾向,结束对此数据包的相关分析。
5、生成流表以指示边界交换机丢弃从此ip源发来的数据包;
6、将此流表下发到内网所有的sdn交换机;
7、将此数据包的源地址加入黑名单;
8、结束对此数据包的相关分析。
以上对本发明实施例所提供的一种基于sdn技术实现的自动反扫描方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。