【技术实现步骤摘要】
基于SDN构建动态网络的欺骗防御方法和系统
本专利技术涉及防御网络攻击
,尤其涉及一种基于SDN构建动态网络的欺骗防御方法和系统。
技术介绍
九十年代蜜罐的概念被提出,最开始FredCohen,NielsProvos等安全研究者使用低交互蜜罐来欺骗攻击者,由于容易被识破,后来,大部分安全研究者都使用真实系统构建蜜罐网络,蜜罐技术发展到现在,独立的蜜罐网络已经比较成熟,但仍存在一些比较明显的缺陷,如密网系统仍是独立静态的,难以进行主动防御,只能被动的等待攻击者进入蜜罐网络,然后捕捉攻击行为。传统的IPS产品存在大量的误报,当发现攻击之后,只能选择阻断攻击来止损,无法获取更多的攻击者信息,无法给予攻击者更多的威慑。并且,云计算盛行的今天,也鲜有蜜罐网络技术与云计算结合的安全技术,一些在云上的蜜罐网络也只是独立的静态的等待攻击者的攻击,无法做到动态构建,主动诱导。
技术实现思路
本专利技术针对现有技术中的缺点,提供了一种基于SDN构建动态网络的欺骗防御方法和系统。为了解决上述技术问题,本专利技术通过下述技术方案得以解决:一种基于SDN构建动态网络的欺骗防御方法,包括以...
【技术保护点】
1.一种基于SDN构建动态网络的欺骗防御方法,其特征在于,包括以下步骤:采用旁路模式监控云平台的所有流量数据,从中获取六元组信息数据,并存储至流量数据库中;根据相关正则表达式匹配策略,建立恶意特征库和威胁情报库;根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者;记录所述攻击者的相关信息,所述攻击者的相关信息包括攻击者服务器的IP、攻击者服务器的端口、被攻击服务器的IP...
【技术特征摘要】
1.一种基于SDN构建动态网络的欺骗防御方法,其特征在于,包括以下步骤:采用旁路模式监控云平台的所有流量数据,从中获取六元组信息数据,并存储至流量数据库中;根据相关正则表达式匹配策略,建立恶意特征库和威胁情报库;根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者;记录所述攻击者的相关信息,所述攻击者的相关信息包括攻击者服务器的IP、攻击者服务器的端口、被攻击服务器的IP、被攻击服务器的端口、网络协议类型和数据内容;根据所述攻击者的相关信息调用SDN接口,将从攻击者服务器的IP到被攻击者服务器的IP和相应端口的流量数据转发到蜜罐的相同端口上;若所述蜜罐捕捉到攻击者的流量数据,则将攻击者服务器IP地址定义为高危IP地址并对所述高危IP地址进行拦截封堵。2.根据权利要求1所述的基于SDN构建动态网络的欺骗防御方法,其特征在于,所述六元组信息数据包括源IP、源端口、目标IP、目标端口、协议以及数据内容;所述恶意特征库中包含至少两条正则表达式匹配策略,所述威胁情报库中包含至少两条恶意IP。3.根据权利要求2所述的基于SDN构建动态网络的欺骗防御方法,其特征在于,所述根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者,具体是指:将威胁情报库中的IP依次轮询取出与所述六元组中源IP进行对比,若两者相同,则认为是攻击者;将恶意特征库中的正则表达式匹配策略依次轮询取出与六元组中数据内容进行匹配,若匹配成功,则识别为攻击者。4.根据权利要求2所述的基于SDN构建动态网络的欺骗防御方法,其特征在于,所述判断六元组信息数据是否存在恶意特征或携带威胁情报,还包括,若六元组信息数据不存在恶意特征或携带威胁情报,则统计选定时间间隔内访问目标IP的目标端口的六元组信息数据并判断是否大于预设数值,若大于,则将所述六元组信息数据初步识别为攻击者,若不大于,则认定为非攻击者。5.根据权利要求4所述的基于SDN构建动态网络的欺骗防御方法,其特征在于,所述时间间隔为25...
【专利技术属性】
技术研发人员:程进,聂万泉,汪利辉,魏兴国,
申请(专利权)人:杭州默安科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。