基于SDN技术实现僵尸网络控制信道阻断的方法和装置制造方法及图纸

本发明专利技术请求保护一种基于SDN技术实现僵尸网络控制信道阻断的方法和装置，包括系统控制模块、流表策略模块和流量清洗模块。系统控制模块负责接收并将用户配置的关键参数下发给流表策略模块和流量清洗模块，同时向用户展示当前系统的运行状态。流表策略模块根据用户配置参数和当前网络拓扑结构计算流表，通过SDN控制器把流表下发到SDN交换机，从而将网络内符合控制信道特征的流量重定向到流量清洗模块。流量清洗模块利用深度包检测等技术对接收到的流量进行精确的匹配，过滤掉符合控制信道特征的流量，并将其他流量回注入网络以保证正常通信。

Method and device for realizing botnet control channel blocking based on SDN Technology

The invention relates to a method and a device for realizing botnet control channel blocking based on SDN technology, which comprises a system control module, a flow meter strategy module and a flow cleaning module. The system control module is responsible for receiving and distributing the key parameters of the user configuration to the flow table strategy module and the flow cleaning module. Flow table strategy module according to the calculation of flow table user configuration parameters and the network topology, the SDN controller the flow table is sent to the SDN switch, which will accord with the control channel characteristics within the network traffic is redirected to flow cleaning module. The flow cleaning module makes use of the technology of deep packet inspection to precisely match the received traffic, and filters out the flow characteristic of the control channel.

【技术实现步骤摘要】

本专利技术涉及软件定义网络安全领域，尤其设计一种针对僵尸网络的防护方法和装置。
技术介绍
随着互联网的急速扩张，越来越多的电脑接入网络。其中有一部分电脑没有及时升级补丁或安装杀毒软件。这些安全措施存在漏洞的电脑为黑客提供了可乘之机，被称为肉鸡。而僵尸网络正是一组受控的肉鸡所组成的网络结构。黑客可以利用某些安全漏洞或者蠕虫攻陷一台肉鸡后，把僵尸工具植入该主机，僵尸工具会通过控制信道连接到僵尸网络控制器等候下一步的命令。捣毁僵尸网络最有效的方法是对其控制信道进行劫持，阻断僵尸网络控制器与肉鸡通信的通道，从根源上使得僵尸网络失效。同时，黑客为了提高僵尸网络的隐蔽性、降低服务器的运行成本，往往会把僵尸网络控制器搭建在服务器托管中心，将僵尸网络控制信道隐藏在服务器托管中心正常的通信流量中，以混淆防火墙、杀毒软件等工具，增加了识别、过滤僵尸网络控制信道的难度。软件定义网络SDN是一种近几年来兴起的新型的网络体系结构，通过将网络控制与网络转发解耦合构建开放可编程的网络体系结构，实现了网络流量的灵活控制。利用SDN为网络管理提供的更多便利，可以将SDN网络中隐藏在正常流量内的僵尸网络控制信道识别并过滤掉，从而达到反制僵尸网络的目的。专利技术人黄孙亮等人在2013年10月30日申请了一种基于SDN网络的流量清洗方法与装置，应用引流策略指示SDN控制器将指定的流量重定向到流量清洗器，清洗器从中过滤出攻击流量。相比传统的基于BGP协议的引流方案，该方法依托SDN的流表机制，重定向流量的粒度可以精确到端口号，减小对网络内正常流量的影响。但这是一种在DDOS攻击发生后被动应对的方案，当发生持续时间久、攻击流量大的DDOS攻击发生时，清洗设备面临较大的运行压力。
技术实现思路
针对以下现有的不足，提出了一种基于SDN技术实现僵尸网络控制信道阻断的装置和方法。本专利技术的技术方案如下：一种基于SDN技术实现僵尸网络控制信道阻断的装置，其包括：系统控制模块、流表策略模块、流量清洗模块；其中所述系统控制模块：用于提供用户与系统进行交互的界面，导入配置参数，并从运行状态数据库中读取系统当前的运行状态数据，经过处理后展示给用户；所述流表策略模块：获得当前网络的拓扑信息，同时从系统控制模块获得流量清洗模块所在地址、僵尸网络控制信道的网络层、传输层特征，根据当前网络的拓扑信息、流量清洗模块地址和僵尸网络控制信道的网络层、传输层特征计算用于重定向的流表项，并通过SDN控制器下发这些流表项，最后将当前网络拓扑、下发流表项写入运行状态数据库中；所述流量清洗模块：用于从系统控制模块接收僵尸网络控制信道的详细特征参数，存入本地特征库，运用深度包检测技术对每个接收到的数据包进行检查，抛弃符合本地特征库中特征的数据包，并将正常流量回注进网络中。进一步的，所述系统控制模块包括用户界面、指令下发模块及运行状态数据库，所述用户界面用于导入用户配置参数：包括僵尸网络控制信道的网络层关键字、传输层关键字、应用层关键字，应用层统计特征，流量清洗模块地址；指令下发模块用于将僵尸网络控制信道特征中的端口号、IP地址特征，以及清洗模块地址信息分发到流表策略模块，还将僵尸网络控制信道的端口号、IP地址、应用层关键字、应用层统计特征分发到流量清洗模块；运行状态数据库的运行状态包括流表策略模块从SDN控制器获取的网络拓扑信息，流表策略模块下发的用于重定向的流表项，流量清洗模块的统计数据，统计数据包括报文总数、匹配成功的报文数、抛弃的报文数、回注的报文数。进一步的，所述流表策略模块包括：系统控制交互模块、流表项生成模块、以及SDN控制器交互模块，其中：系统控制交互模块用于接收僵尸网络控制信道特征中的端口号、IP地址特征，以及清洗模块地址信息，并将其发送给流表项生成模块，同时把当前网络拓扑信息、生成的流表项信息发送给运行状态数据库；流表项生成模块根据SDN网络当前的拓扑结构、清洗设备所处的位置以及僵尸网络控制信道的特征生成用于重定向的流表，将SDN网络内符合僵尸网络控制信道IP地址，端口号特征的流量重定向到流量清洗模块。并保证经过清洗后的正常流量能够发送到其目标主机；SDN控制器交互模块负责获取当前网络的拓扑信息，并将其发送给流表项生成模块，同时把流表项生成模块生成的用于重定向的流表项通过SDN控制器下发给SDN交换机。进一步的，所述流量清洗模块包括信道特征库、统计模块、DPI模块其中：信道特征库用于接收并保存由指令下发模块下发的僵尸网络控制信道特征；统计模块负责统计重定向到流量清洗模块的报文总数、匹配成功的报文数、抛弃的报文数、回注的报文数,，并将该信息上传至运行状态数据库；DPI模块应用深度包检测技术对流经僵尸网络控制信道的报文进行逐个检查，对符合信道特征库所提供特征的报文进行抛弃，将正常的流量回注入网络。一种基所述装置的基于SDN技术实现僵尸网络控制信道阻断的方法，其包括以下步骤：首先流表策略模块计算并通过SDN控制器下发用于重定向的流表项；再将网络内符合僵尸网络网络层、传输层特征的流量重定向到流量清洗模块；然后流量清洗模块从中过滤出符合信道特征库中特征的流量并抛弃，最后把正常的访问流量回注入网络。本专利技术的优点及有益效果如下：本专利技术基于SDN技术实现僵尸网络控制信道阻断的方法和装置提供了一种应对僵尸网络威胁的系统，能够将SDN网络中产生的以及流经SDN网络的疑似僵尸网络控制信道的流量重定向到网络内的流量清洗模块，由流量清洗模块做更精确的检查，过滤掉僵尸网络控制信道流量。相比较传统的BGP引流方式，本专利技术应用流表对目标流量进行重定向，粒度精确到端口号，降低了系统对网络正常通信的影响，利用深度包检测技术对重定向的流量进行更详细的检查，提高过滤的精度。专利技术人黄孙亮等人在2013年10月30日申请了基于SDN网络的流量清洗方法与装置，用于DDOS攻击发生之后将攻击流量牵引到网络内的专用设备上清洗过滤，属于DDOS共计发生后被动应对的方案。与之相比本专利技术属于一种预防僵尸网络的措施，从SDN网络中过滤出属于僵尸网络控制信道的流量。在肉鸡与僵尸网络控制器建立连接的阶段，阻断了僵尸网络控制器下发命令的渠道，使僵尸网络失效，从根源上解除DDOS的威胁，真正做到能防患于未然。附图说明图1是本专利技术提供优选实施例系统模块框图；图2是本专利技术的部署示意图；图3是本专利技术的应用场景一；图4是本专利技术的应用本文档来自技高网...

【技术保护点】
一种基于SDN技术实现僵尸网络控制信道阻断的装置，其特征在于，包括：系统控制模块(10)、流表策略模块(11)、流量清洗模块(12)；其中所述系统控制模块(10)：用于提供用户与系统进行交互的界面，导入配置参数，并从运行状态数据库中读取系统当前的运行状态数据，经过处理后展示给用户；所述流表策略模块(11)：获得当前网络的拓扑信息，同时从系统控制模块(10)获得流量清洗模块所在地址、僵尸网络控制信道的网络层、传输层特征，根据当前网络的拓扑信息、流量清洗模块地址和僵尸网络控制信道的网络层、传输层特征计算用于重定向的流表项，并通过SDN控制器下发这些流表项，最后将当前网络拓扑、下发流表项写入运行状态数据库中；所述流量清洗模块(12)：用于从系统控制模块(10)接收僵尸网络控制信道的详细特征参数，存入本地特征库，运用深度包检测技术对每个接收到的数据包进行检查，抛弃符合本地特征库中特征的数据包，并将正常流量回注进网络中。

【技术特征摘要】
1.一种基于SDN技术实现僵尸网络控制信道阻断的装置，其特征在于，包
括：系统控制模块(10)、流表策略模块(11)、流量清洗模块(12)；其中
所述系统控制模块(10)：用于提供用户与系统进行交互的界面，导入配置参
数，并从运行状态数据库中读取系统当前的运行状态数据，经过处理后展示给
用户；
所述流表策略模块(11)：获得当前网络的拓扑信息，同时从系统控制模块(10)
获得流量清洗模块所在地址、僵尸网络控制信道的网络层、传输层特征，根据
当前网络的拓扑信息、流量清洗模块地址和僵尸网络控制信道的网络层、传输
层特征计算用于重定向的流表项，并通过SDN控制器下发这些流表项，最后将
当前网络拓扑、下发流表项写入运行状态数据库中；
所述流量清洗模块(12)：用于从系统控制模块(10)接收僵尸网络控制信道的
详细特征参数，存入本地特征库，运用深度包检测技术对每个接收到的数据包
进行检查，抛弃符合本地特征库中特征的数据包，并将正常流量回注进网络中。
2.根据权利要求1所述的基于SDN技术实现僵尸网络控制信道阻断的装置，
其特征在于，所述系统控制模块(10)包括用户界面(13)、指令下发模块(14)及运
行状态数据库(15)，所述用户界面(13)用于导入用户配置参数：包括僵尸网络控
制信道的网络层关键字、传输层关键字、应用层关键字，应用层统计特征，流
量清洗模块地址；指令下发模块(14)用于将僵尸网络控制信道特征中的端口号、
IP地址特征，以及清洗模块地址信息分发到流表策略模块(11)，还将僵尸网络控
制信道的端口号、IP地址、应用层关键字、应用层统计特征分发到流量清洗模
块(12)；运行状态数据库(15)的运行状态包括流表策略模块从SDN控制器获取的
网络拓扑信息，流表策略模块下发的用于重定向的流表项，流量清洗模块的统
计数据，统计数据包括报文总数、匹配成功的报文数、抛弃的报文数、回注的
报文数。
3.根据权利要求1或2所述的基于SDN技术实现僵尸网络控制信道阻断的装
置，其特征在于，所...

【专利技术属性】
技术研发人员：赵国锋，刘一流，曾帅，徐川，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆;50