本发明专利技术公开了一种SDN网络的蜜网安全防护系统,该系统包括网络入侵检测模块、蜜网管理模块和SDN控制器集群管理模块。网络入侵检测模块对进入组织内部的流量进行入侵检测;网管理模块是系统中最重要的模块,包括蜜网设计模块,蜜网创建模块,流量规则转换模块,加密传输模块,蜜网模型数据库;SDN控制器集群管理模块对组织内网的多个控制器进行协调管理和通信维护。此外,本发明专利技术还公开了一种SDN网络的蜜网安全防护方法。通过本发明专利技术能自动根据每个攻击、或每类攻击或由人工指定攻击类型集合创建符合要求的蜜网,能帮助安全管理人员更好的监控可疑攻击情况,并作出有效反应。
【技术实现步骤摘要】
一种SDN网络的蜜网安全防护系统及方法
本专利技术涉及网络安全
,尤其涉及一种SDN网络的蜜网安全防护系统及方法。
技术介绍
蜜网是在蜜罐技术上逐渐发展起来的一个新的概念,又可成为诱捕网络。蜜罐技术实质上还是一类研究型的高交互蜜罐技术。其主要目的是收集黑客的攻击信息。但与传统的蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。蜜网技术的分类:(1)根据交互级别的不同根据蜜网与攻击者之间进行的交互对蜜网进行分类,可以将蜜网分为低交互蜜网、中交互蜜网和高交互蜜网。低交互蜜网仅提供一些简单的虚拟服务,例如监听某些特定端口。该类蜜网风险最低,但或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。中交互蜜网提供了更多的可交互信息,它能够预期一些活动,并可以给出一些低交互蜜网无法给予的响应,但是仍然没有为攻击者提供一个可使用的操作系统。同时诱骗进程变得更加复杂,对特定服务的模拟变得更加完善的同时,风险性也更大了。高交互蜜网为攻击者提供一个真实的支撑操作系统。此类蜜网复杂度和甜度大大增加,收集攻击者信息的能力也大大增强。但蜜网也具有高度危险,攻击者最终目标就是取得root权限,自由存取目标机上的数据,然后利用已有资源继续攻击其它机器。究竟使用何等交互级别的蜜网取决于所要实现的目标。(2)根据部署目的的不同按照部署目的不同分为产品型蜜网和研究型蜜网两类。产品型蜜网为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。较具代表性的产品型蜜网包括DTK,honeyd等开源工具和KFSensor,ManTraq等一系列的商业产品。研究型蜜网则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜网,对黑客攻击进行追踪和分析,能够捕获黑客的击键记录,了解黑客所使用的攻击工具及攻击方法。专利技术专利CN200610169676.9公开了一种多层次蜜网数据传输方法及系统,由蜜网网关统一接收外部网络数据流;蜜网网关对所接收的数据流进行网络入侵检测分析;将正常数据流放行,发送给该数据流的目标主机;将非正常数据流按照威胁级别分为高、中、低三类;将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。本专利技术可以广泛应用于计算机网络安全
,有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点,节省系统资源,提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力,有效对抗反蜜罐技术。该技术提供的多层次蜜网传输方法及系统将威胁级别简单分为3类,虽然比传统蜜网有所改进,但仍显粗糙。另外每类可疑流量简单导入原设定的蜜网,这样的机制相对死板不够灵活;同一威胁级别的流量并入一种固定的蜜网,不利于对每一攻击的单独分析。另外当攻击流量的规模突然增强大出说预期设定时,蜜网的资源不足导致难以正常的发挥蜜网的保护、监控作用。
技术实现思路
本专利技术的目的是为了克服现有技术的缺陷,提供一种SDN网络的蜜网安全防护系统,从而实现了灵活快速根据不同攻击类型提供蜜网及将蜜网保护触发前攻击行为引入至蜜网。为了解决上述技术问题,本申请公开了如下技术方案:第一方面,本专利技术提供了一种SDN网络的蜜网安全防护系统,该系统包括网络入侵检测模块、蜜网管理模块和SDN控制器集群管理模块;其中,网络入侵检测模块对进入组织内部的流量进行入侵检测。蜜网管理模块包括蜜网设计模块,蜜网创建模块,流量规则转换模块,加密传输模块,蜜网模型数据库。蜜网设计模块根据入侵检测模块传入的信息,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构。蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网。流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则。加密传输模块确保蜜网管理模块与网络入侵检测模块、SDN控制器集群管理模块的通信安全,将流量匹配规则通过安全的传输方式通知SDN控制器,然后再由SDN控制器下发流量匹配规则至SDN交换机以将攻击数据流导向创建的蜜网。SDN控制器集群管理模块对组织内网的多个控制器进行协调管理和通信维护,包括状态分发/同步模块,分布式管理模块,安全通信模块,冗余备份模块。结合第一方面,入侵检测模块传入的信息包括攻击类型、特征及其安全威胁等级。蜜网的网络架构包括蜜罐、服务器、滤器、交换机、数据库和网络分析仪。创建虚拟蜜网包括创建网元并且搭建好网络架构,分配合适的MAC地址和IP地址。此外,该系统的网络分为蜜网管理网络和业务网络,这两个网络是相互独立的。蜜网管理网络专供蜜网管理流量在部署网络入侵检测模块的网络入侵检测服务器、部署蜜网管理模块的蜜网管理服务器、SDN控制器集群之间传输所用。该系统能够部署在物理服务器或者虚拟服务器上,也能够部署在物理个人计算机或虚拟机上。第二方面,本专利技术提供了一种SDN网络的蜜网安全防护方法,该方法的具体流程如下:s1位于组织内部网络边界的SDN交换机收到数据包,将数据包通过端口镜像传输至入侵检测服务器的入侵检测模块;s2入侵检测模块对流量进行网络威胁等级判定;s3如果判定为无威胁,则不通知蜜网管理模块,正常转发流量;s4如果判定有威胁,入侵检测模块则分析流量,进行安全威胁等级划分,并识别攻击类型,将攻击类型、特征及其安全威胁等级告知蜜网管理模块;s5蜜网设计模块根据入侵检测模块传入的信息,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构;s6蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网;s7流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则;s8蜜网管理模块将流量匹配规则通过安全的传输方式通知SDN控制器;s9SDN控制器下发流量匹配规则至SDN交换机;s10SDN交换机将此攻击数据流导向创建的密网;s11密网管理器记录攻击情况。本专利技术技术方案带来的有益效果:当前蜜网保护产品通常使用固化的硬件设施或固定的虚拟蜜网,当不同种类的可疑攻击发生全部导向当前蜜网,而本专利技术能自动根据每个攻击、或每类攻击或由人工指定攻击类型集合创建符合要求的蜜网,能帮助安全管理人员更好的监控可疑攻击情况,并作出有效反应。另外当网络攻击规模变化时始终提供固定规模的蜜网,而本专利技术可以根据可疑攻击的类型和安全威胁等级快速灵活提供相应的蜜网,有效利用了组织现有的资源。另外,大多情况下蜜网保护触发前网络攻击已经发生,在组织内网可能已经感染上恶意软件。使用本专利技术,能在检测到可疑攻击之后通过向SDN交换机下发流量规则匹配此类攻击的关联流量,并将其导向密网,进而在更大的范围内保护组织内网的安全。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1是本专利技术中SDN网络的蜜网安全防护系统的功能模块图;图2是本专利技术中SD本文档来自技高网...
【技术保护点】
一种SDN网络的蜜网安全防护系统,其特征在于,该系统包括网络入侵检测模块、蜜网管理模块和SDN控制器集群管理模块;其中,网络入侵检测模块对进入组织内部的流量进行入侵检测;蜜网管理模块包括蜜网设计模块,蜜网创建模块,流量规则转换模块,加密传输模块,蜜网模型数据库;蜜网设计模块根据入侵检测服务器传入的信息,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构;蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网;流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则;加密传输模块确保蜜网管理模块与网络入侵检测模块、SDN控制器集群管理模块的通信安全;SDN控制器集群管理模块对组织内网的多个控制器进行协调管理和通信维护,包括状态分发/同步模块,分布式管理模块,安全通信模块,冗余备份模块。
【技术特征摘要】
1.一种SDN网络的蜜网安全防护系统,其特征在于,该系统包括网络入侵检测模块、蜜网管理模块和SDN控制器集群管理模块;其中,网络入侵检测模块对进入组织内部的流量进行入侵检测;蜜网管理模块包括蜜网设计模块,蜜网创建模块,流量规则转换模块,加密传输模块,蜜网模型数据库;蜜网设计模块根据入侵检测模块传入的信息,参考蜜网模型数据库,计算所需向此攻击提供蜜网的网络架构;蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网;流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息,并根据此信息生成流量匹配规则;加密传输模块确保蜜网管理模块与网络入侵检测模块、SDN控制器集群管理模块的通信安全,将流量匹配规则通过安全的传输方式通知SDN控制器,然后再由SDN控制器下发流量匹配规则至SDN交换机以将攻击数据流导向创建的蜜网;SDN控制器集群管理模块对组织内网的多个控制器进行协调管理和通信维护,包括状态分发/同步模块,分布式管理模块,安全通信模块,冗余备份模块。2.根据权利要求1所述的系统,其特征在于,入侵检测模块传入的信息包括攻击类型、特征及其安全威胁等级。3.根据权利要求1所述的系统,其特征在于,蜜网的网络架构包括蜜罐、服务器、滤器、交换机、数据库和网络分析仪。4.根据权利要求1或2或3所述的系统,其特征在于,创建虚拟蜜网包括创建网元并且搭建好网络架构,分配合适的MAC地址和IP地址。5.根据权利要求1所述的系统,其特征...
【专利技术属性】
技术研发人员:杨育斌,程丽明,柯宗贵,
申请(专利权)人:蓝盾信息安全技术股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。