一种基于蜜罐技术的网络防御系统及防御方法技术方案

本发明专利技术涉及网络安全技术领域，具体地说，涉及一种基于蜜罐技术的网络防御系统及防御方法；通过在蜜网中部署SDN蜜网网关、SDN蜜罐系统作为第一主动防御区域，简化了蜜网部署难度，减少资源消耗，改变SDN交换机的流表，转发或重定向恶意流量的数据流量，将恶意流量引入SDN蜜罐系统中，提高了蜜罐系统的诱骗性，增强了网络安全防御的有效性；通过在SDN防火墙中部署IDS入侵检测模块、SDN控制器集群模块、SDN决策层模块作为第二主动防御区域，实现了SDN防火墙核心控制单元的拟态防御，有效抵御外界利用未知漏洞进行入侵攻击的恶意行为。利用未知漏洞进行入侵攻击的恶意行为。利用未知漏洞进行入侵攻击的恶意行为。

【技术实现步骤摘要】
一种基于蜜罐技术的网络防御系统及防御方法


[0001]本专利技术涉及网络安全
，具体地说，涉及一种基于蜜罐技术的网络防御系统及防御方法。

技术介绍

[0002]蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
[0003]传统的防御方法包括防火墙、入侵防御、入侵检测，通过设定的攻击特征库，采用被动防御的方式，无法及时发现未知的攻击和威胁，蜜罐技术作为主动防御的一种重要手段，通过设置仿真目标，诱骗恶意攻击，实现恶意行为和数据的捕获，为自动化或人工的安全分析提供有效数据。蜜罐可以看成是一种对外提供虚假服务的诱骗主机，依据其交互能力及部署复杂度的不同，分为低交互蜜罐和高交互蜜罐。蜜网是由多个蜜罐实体主机及防火墙、入侵检测等设备所组成的网络，在网络结构层面提供更加逼真的目标模拟，它通过诱骗攻击者使其误以为蜜罐主机就是真实环境下的服务主机，从而起到保护业务应用的作用。低交互蜜罐部署简单，但是容易被攻击者指纹特征识别；高交互蜜罐深度模拟真实系统，诱骗性更强，但部署复杂，现有的蜜罐系统存在部署困难、无法动态调整网络流量流向的问题。
[0004]防火墙作为网络安全防御方法中的核心部分，通过数据包过滤和安全策略匹配机制来实现对网络流量的分析与拦截，但是防火墙是一种确定性和静态性的防御架构，无法实现自动化联动策略部署和防火墙核心异构冗余的安全防御。

技术实现思路

[0005]本专利技术针对现有的蜜罐系统部署困难、无法动态调整网络流量流向，以及防火墙无法联动防御的问题，提出一种基于蜜罐技术的网络防御方法，通过在蜜网中部署SDN蜜网网关、SDN蜜罐系统作为第一主动防御区域，通过改变SDN交换机的流表，转发或重定向恶意流量的数据流量，将恶意流量引入SDN蜜罐系统中，根据恶意流量的类型，通过docker run指令开启对应类型的低交互蜜罐或对应的高交互蜜罐，捕获出恶意流量的攻击数据，简化了蜜网部署难度，减少资源消耗，提高了蜜罐系统的诱骗性，增强了网络安全防御的有效性。
[0006]本专利技术具体实现内容如下：
[0007]一种基于蜜罐技术的网络防御方法，在蜜网中部署SDN蜜网网关、SDN蜜罐系统作为第一主动防御区域，第一主动防御区域抵抗恶意流量包括以下步骤：
[0008]步骤A1：在蜜网中部署SDN蜜网网关、SDN蜜罐系统作为第一主动防御区域，并在SDN蜜网网关中部署入侵检测系统、SDN交换机、SDN控制器，在SDN蜜罐系统中部署低交互蜜
罐、高交互蜜罐；
[0009]步骤A2：根据入侵检测系统的特征库，识别出恶意流量的攻击类型，并下发指令至SDN控制器；
[0010]步骤A3：SDN控制器根据入侵检测系统下发的指令改变SDN交换机的流表，转发或重定向恶意流量的数据流量，将恶意流量引入SDN蜜罐系统中；
[0011]步骤A4：SDN蜜罐系统根据恶意流量的类型，通过docker run指令开启对应类型的低交互蜜罐或对应的高交互蜜罐，捕获出恶意流量的攻击数据，并存储在独立的数据库中；
[0012]步骤A5：SDN蜜罐系统向入侵检测系统发送已经部署完成的SDN蜜罐信息；
[0013]步骤A6：入侵检测系统提醒系统管理员攻击警报，系统管理员依据具体需求决定是否把恶意流量加入SDN蜜网网关防火墙的安全策略中进行黑名单阻拦；
[0014]步骤A7：若攻击警报消失超过阈值时间后，入侵检测系统发送脚本指令到SDN蜜罐系统，销毁对应的SDN蜜罐系统，回收SDN蜜罐系统资源。
[0015]为了更好地实现本专利技术，进一步地，所述所述步骤A2具体包括以下步骤：
[0016]步骤A21：获取M个SDN蜜罐系统监测值、k类SDN蜜罐系统被攻击的次数Xk、SDN蜜罐系统被恶意流量攻击的次数M、SDN蜜罐系统的总数N，计算出恶意流量攻击SDN蜜罐系统皮尔逊检验的拟合优度值X2m；
[0017]步骤A22：根据计算出的拟合优度值X2m，计算出拟合优度值的概率P(X2m)，若概率P(X2m)小于等于0.05，则判断恶意流量攻击为有针对性攻击；
[0018]步骤A23：根据计算出的概率P(X2m)、获取的第i组SDN蜜罐系统被入侵的次数Xi、SDN蜜罐系统被恶意流量攻击的次数M、SDN蜜罐系统的总数N、捕获的入侵次数n，计算出概率P(X2m)值相同的恶意流量的平均值变异系数cv，若平均值变异系数cv小于等于0.001，则判断恶意流量是以相同概率对蜜罐系统进行攻击；
[0019]步骤A24：将SDN蜜罐系统分为已调用的蜜罐系统组A和未被调用的蜜罐系统组B两类，根据入侵检测模块判断哪一类SDN蜜罐系统受到攻击，若该SDN蜜罐系统组受到攻击次数的值均匀增加，则在SDN蜜罐系统B组中逐步调用未启用的SDN蜜罐系统，若该SDN蜜罐系统组中某一类SDN蜜罐系统受到攻击的次数显著增加，则在SDN蜜罐系统B组调用相应类型的SDN蜜罐系统，计算出各个SDN蜜罐系统被攻击的次数Xn；
[0020]步骤A25：根据计算出的各个SDN蜜罐系统被攻击的次数Xn，将SDN蜜罐系统分为N类，将初始攻击次数值设置为0，将SDN蜜罐系统中第一个调用的SDN蜜罐系统标记为X11，若入侵检测系统检测到恶意流量攻击，将相关信息进行统计反馈至决策控制器下发指令至SDN控制器。
[0021]为了更好地实现本专利技术，进一步地，所述步骤A3中重定向恶意流量的数据流量的具体操作为：将恶意流量所发出的数据包内服务器主机的目的IP和MAC地址改为蜜罐系统主机的目的IP和MAC地址，当访问结束回传时，再将回传数据包内源IP和MAC地址改为服务器主机的地址。
[0022]为了更好地实现本专利技术，进一步地，在SDN防火墙中部署IDS入侵检测模块、SDN控制器集群模块、SDN决策层模块作为第二主动防御区域，第二主动防御区域抵抗恶意流量具体包括以下步骤：
[0023]步骤B1：IDS入侵检测模块将识别出的流量进行分析，并将分析后的结果传输至
SDN决策层模块；
[0024]步骤B2：SDN决策层模块根据分析后的结果，判断流量的类型，若是正常业务流量，则正常放行，若是恶意流量，则下发流表和安全策略更新命令至SDN控制器集群模块；
[0025]步骤B3：SDN决策层模块审计当前的SDN控制器集群模块的状态，根据SDN控制器决策算法选举出主SDN控制器集群组，并同步各SDN控制器的控制信息，下发流表和安全策略更新命令至SDN交换机；
[0026]步骤B4：将从SDN交换机采集到的流量转发至SDN控制器，SDN控制器结合IDS检测模块的规则检测流量，当采集到恶意流量时，根据已经生成的流表与流量标识，丢弃流量利用数据平面的有效对策抵抗恶意流量。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于蜜罐技术的网络防御方法，其特征在于，在蜜网中部署SDN蜜网网关、SDN蜜罐系统作为第一主动防御区域，第一主动防御区域抵抗恶意流量包括以下步骤：步骤A1：在蜜网中部署SDN蜜网网关、SDN蜜罐系统作为第一主动防御区域，并在SDN蜜网网关中部署入侵检测系统、SDN交换机、SDN控制器，在SDN蜜罐系统中部署低交互蜜罐、高交互蜜罐；步骤A2：根据入侵检测系统的特征库，识别出恶意流量的攻击类型，并下发指令至SDN控制器；步骤A3：SDN控制器根据入侵检测系统下发的指令改变SDN交换机的流表，转发或重定向恶意流量的数据流量，将恶意流量引入SDN蜜罐系统中；步骤A4：SDN蜜罐系统根据恶意流量的类型，通过docker run指令开启对应类型的低交互蜜罐或对应的高交互蜜罐，捕获出恶意流量的攻击数据，并存储在独立的数据库中；步骤A5：SDN蜜罐系统向入侵检测系统发送已经部署完成的SDN蜜罐信息；步骤A6：入侵检测系统提醒系统管理员攻击警报，系统管理员依据具体需求决定是否把恶意流量加入SDN蜜网网关防火墙的安全策略中进行黑名单阻拦；步骤A7：若攻击警报消失超过阈值时间后，入侵检测系统发送脚本指令到SDN蜜罐系统，销毁对应的SDN蜜罐系统，回收SDN蜜罐系统资源。2.如权利要求1所述的一种基于蜜罐技术的网络防御方法，其特征在于，所述所述步骤A2具体包括以下步骤：步骤A21：获取M个SDN蜜罐系统监测值、k类SDN蜜罐系统被攻击的次数X
k
、SDN蜜罐系统被恶意流量攻击的次数M、SDN蜜罐系统的总数N，计算出恶意流量攻击SDN蜜罐系统皮尔逊检验的拟合优度值X2m；步骤A22：根据计算出的拟合优度值X2m，计算出拟合优度值的概率P(X2m)，若概率P(X2m)小于等于0.05，则判断恶意流量攻击为有针对性攻击；步骤A23：根据计算出的概率P(X2m)、获取的第i组SDN蜜罐系统被入侵的次数X
i
、SDN蜜罐系统被恶意流量攻击的次数M、SDN蜜罐系统的总数N、捕获的入侵次数n，计算出概率P(X2m)值相同的恶意流量的平均值变异系数cv，若平均值变异系数cv小于等于0.001，则判断恶意流量是以相同概率对蜜罐系统进行攻击；步骤A24：将SDN蜜罐系统分为已调用的蜜罐系统组A和未被调用的蜜罐系统组B两类，根据入侵检测模块判断哪一类SDN蜜罐系统受到攻击，若该SDN蜜罐系统组受到攻击次数的值均匀增加，则在SDN蜜罐系统B组中逐步调用未启用的SDN蜜罐系统，若该SDN蜜罐系统组中某一类SDN蜜罐系统受到攻击的次数显著增加，则在SDN蜜罐系统B组调用相应类型的SDN蜜罐系统，计算出各个SDN蜜罐系统被攻击的次数X
n
；步骤A25：根据计算出的各个SDN蜜罐系统被攻击的次数X
n
，将SDN蜜罐系统分为N类，将初始攻击次数值设置为0，将SDN蜜罐系统中第一个调用的SDN蜜罐系统标记为X
11
，若入侵检测系统检测到恶意流量攻击，将相关信息进行统计反馈至决策控制器下发指令至SDN控制器。3.如权利要求2所述的一种基于蜜罐技术的网络防御方法，其特征在于，所述步骤A3中重定向恶意流量的数据流量的具体操作为：将恶意流量所发出的数据包内服务器主机的目的IP和MAC地址改为蜜罐系统主机的目的IP和MAC地址，当访问结束回传时，再将回传数据
包内源IP和MAC地址改为服务器主机的地址。4.如权利要求1所述的一种基于蜜罐技术的网络防御方法，其特征在于，在SDN防火墙中部署IDS入侵检测模块、SDN控制器集群模块、SDN决策层模块作为第二主动防御区域，第二主动防御区域抵抗恶意流量具体包括以下步骤：步骤B1：IDS入侵检测模块将识别出的流量进行分析，并将分析后的结果传输至SDN决策层模块；步骤B2：SDN决策层模块根据分析后的...

【专利技术属性】
技术研发人员：邹双，叶清成，刘欣，
申请(专利权)人：四川公众项目咨询管理有限公司，
类型：发明
国别省市：