一种基于IP地址自适应转换的恶意扫描防御方法及系统技术方案

本发明专利技术提供一种基于IP地址自适应转换的恶意扫描防御方法，应用于SDN，包括以下步骤：1)当受到扫描攻击时，从SDN的每个子网内采样请求数据包，分析请求数据包生成不同时间间隔内的统计数据；2)根据统计数据计算每个时间间隔内源IP地址、目的IP地址及目的端口号的分布；3)计算相邻时间间隔内相同源IP地址、目的IP地址及目的端口号分布的Sibson熵并藉此判断扫描攻击策略；4)依据扫描攻击策略生成IP地址转移策略，并根据IP地址转移策略实施IP地址虚拟转换。同时提供实现上述方法的系统，包括构建于应用于SDN架构中控制器、跳变代理和检测代理，分别用以实现上述方法中的步骤。

A malicious scanning defense method and system based on IP address adaptive conversion

The invention provides a malicious scanning IP defense method based on adaptive address conversion, based on SDN, which comprises the following steps: 1) when subjected to scanning attacks, the sampling request packet from each sub SDN network, analyze the request data Bao Shengcheng different time interval statistical data; 2) distribution is calculated for each time interval endogenous IP address, IP address and destination port number according to the statistical data; 3) calculation of adjacent time interval same source IP address, destination IP address and destination port number distribution and the Sibson entropy to judge scan attack strategy; 4) on the basis of scanning attack strategy generation IP address transfer strategy, and according to the IP address transfer strategy the implementation of virtual IP address conversion. At the same time, a system for implementing the above method is constructed, comprising the steps applied to the SDN architecture, the controller, the jump agent, and the detection agent, respectively, to implement the steps in the method described above.

【技术实现步骤摘要】
一种基于IP地址自适应转换的恶意扫描防御方法及系统
本专利技术属于网络安全领域。具体来说，涉及到一种软件定义网络环境下基于IP地址自适应转换的恶意扫描防御方法及系统。
技术介绍
软件定义网络(SDN)是基于逻辑控制和数据转发分离设计思想，将路由器和交换机等网络设备的控制功能从数据转发功能中解耦处理的网络架构。它由一个可编程的逻辑集中式控制器管理整个网络；由底层转发设备实现数据转发功能。SDN集中控制的特点使得控制器可以在线获取网络性能指标，并在此基础上及时调配资源、实施全局决策。OpenFlow协议则是控制器管理和配置底层网络设备的标准化接口。基于OpenFlow的SDN网络中，各应用依据网络管理者定制的策略生成规则，控制器将形成的规则逻辑视图映射到物理交换机中形成规则物理视图，OpenFlow协议则将规则以流表形式下发到交换机上，从而决定数据包的转发路径。网络扫描是通过向选定范围内的节点发送探测报文以获取目标网络中节点信息的侦测手段。扫描的内容包括网际协议(IP)地址扫描和端口扫描两种。IP地址扫描：攻击者通过发送ICMP回应请求报文在未知网络探测端节点的可达性和IP地址。Port本文档来自技高网...

【技术保护点】
一种基于IP地址自适应转换的恶意扫描防御方法，应用于SDN，包括以下步骤：1)当受到扫描攻击时，从SDN的每个子网内采样请求数据包，分析请求数据包生成不同时间间隔内的统计数据；2)根据统计数据计算每个时间间隔内源IP地址及目的IP地址的分布；3)计算相邻时间间隔内相同源IP地址及目的IP地址分布的Sibson熵并藉此判断扫描攻击策略；4)依据扫描攻击策略生成IP地址转移策略，并根据IP地址转移策略实施IP地址虚拟转换。

【技术特征摘要】
1.一种基于IP地址自适应转换的恶意扫描防御方法，应用于SDN，包括以下步骤：1)当受到扫描攻击时，从SDN的每个子网内采样请求数据包，分析请求数据包生成不同时间间隔内的统计数据；2)根据统计数据计算每个时间间隔内源IP地址及目的IP地址的分布；3)计算相邻时间间隔内相同源IP地址及目的IP地址分布的Sibson熵并藉此判断扫描攻击策略；4)依据扫描攻击策略生成IP地址转移策略，并根据IP地址转移策略实施IP地址虚拟转换。2.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤1)中根据一采样配置参数采样请求数据包，所述统计数据包括：每个子网内在连续时间间隔内收到的请求数据包中的源IP地址及目的IP地址。3.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤2)中依据公式计算同一时间间隔内的源IP地址、目的IP地址的概率分布，其中j∈{Src,Dst}，π∈{IP}。4.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤3)中依据公式和计算相邻时间间隔t内子网内源IP地址及目的IP地址分布的Sibson熵，其中其中，PiSrc(π)表示请求失败报文中源地址的分布概率，PiDst(π)表示请求失败报文中目的地址的分布概率，DS(x,y)表示Sibson熵。5.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤3)中根据如下规则判断扫描攻击策略：3-1)如果两个相邻时间间隔内，每个子网内源IP地址的Sibson熵小于阈值，则判断攻击者采用盲扫描策略；3-2)如果两个相邻时间间隔内，每个子网内目的IP地址的Sibson熵小于阈值，则判断攻击者采用非盲扫描策略。6.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤4)中依据扫描攻击策略根据如下规则生成IP地址转移策略：4-1)当攻击者采用盲扫描策略实施攻击，生成基于权值的随机IP地址转换策略；4-2)当攻击者采用非盲扫描策略实施攻击，生成基于权值的反向IP地址转换策略。7.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，依据公式计算虚拟转换IP地址权值，其中，表示权值，δ表示阀值。8.如权...

【专利技术属性】
技术研发人员：王利明，雷程，刘世文，马多贺，陈凯，董文婷，孔同，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11