【技术实现步骤摘要】
一种基于软件定义网络的网络诱捕方法及系统
[0001]本专利技术涉及网络空间安全
,具体涉及一种软件定义网络的网络诱捕方法及系统。
技术介绍
[0002]当前网络安全产品中内置的安全控制响应功能相对单一,仅提供有限数量的响应操作(例如日志,拒绝,丢弃和隔离等),除了简单的自动化响应概念之外,几乎没有创新或技术发展。例如,网络管理员在识别出一些安全威胁(鱼叉式网络钓鱼攻击,网络或资产危害,探测等)之后,阻止攻击者下一步的行动。尽管这些响应措施在检测和阻止单个攻击者尝试的方面具有一定效果,但对于技术娴熟的对手,特别是高级持续威胁(APT)而言,拒绝和丢弃等响应提供了大量的可用信息。攻击者能够快速识别攻击在何时被检测到,并快速调整其攻击策略以继续前进。为了维持对攻击者的优势,并增加攻击者的攻击经济负担,上述被动式的防御策略需要进行修改。
[0003]简单地阻止攻击者的防护效能十分有限,欺骗技术是实现未来的网络空间防御的一种重要技术。网络诱捕技术通过克隆的网络、主机、存储空间、以及数据集来仿真一个与真实网络环境非常一致...
【技术保护点】
【技术特征摘要】
1.一种基于软件定义网络的网络诱捕方法,其特征在于,包括以下步骤:步骤S101. 配置控制策略,策略内容包括:数据包的检测模式、蜜罐配置信息列表、网络内IP地址白名单,以及网络攻击或入侵行为规则;步骤S102. 模拟虚假网络资源,包括主机在线信息、端口开放信息、服务访问信息;其中,主机在线信息和端口开放信息基于蜜罐进行模拟,随机动态变化;服务访问信息基于重现修改后的真实网络流量进行模拟;步骤S103. 当访问主机对网络内某地址发出请求时,接收访问主机发出的数据包;步骤S104. 检测步骤S103接收的数据包,判断其是否是非法数据,检测步骤如下:1)若检测模式是严格模式,则进入步骤2);若检测模式是非严格模式,则进入步骤3);2)检查数据包的源IP地址是否在地址白名单中,若在,则进入步骤3),若不在,则判断该数据包为非法数据,进入步骤S106;3)将数据包与网络攻击或入侵行为规则进行匹配,判断是否属于攻击或入侵行为,若是,则判断该数据包为非法数据,进入步骤S106,若不是,则判断该数据包为正常数据,进入步骤S105;步骤S105. 流量正常转发,被访问主机与访问主机进行交互;步骤S106. 判断是否存在IP地址为数据包的目的IP地址的蜜罐,若是,则进入步骤S108,否则进入步骤S107;步骤S107. 根据数据包的目的IP地址、被访问主机操作系统类型和服务,使用容器技术生成蜜罐,并将生成的蜜罐配置信息添加到蜜罐配置信息列表中,转入步骤S108;步骤S108. 使用软件定义网络,通过控制器向交换机下发流表的方式,将流量迁移至IP地址为数据包目的IP地址的蜜罐;步骤S109. 访问主机发出的网络流量被诱捕至蜜罐中,蜜罐与访问主机进行交互,完成网络诱捕。2.根据权利要求1所述的一种基于软件定义网络的网络诱捕方法...
【专利技术属性】
技术研发人员:高小涵,贾哲,张海超,娄阳,吴巍,焦利彬,
申请(专利权)人:中国电子科技集团公司第五十四研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。