CN106789865A - 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 - Google Patents
一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 Download PDFInfo
- Publication number
- CN106789865A CN106789865A CN201610554813.4A CN201610554813A CN106789865A CN 106789865 A CN106789865 A CN 106789865A CN 201610554813 A CN201610554813 A CN 201610554813A CN 106789865 A CN106789865 A CN 106789865A
- Authority
- CN
- China
- Prior art keywords
- network
- honey jar
- vlan
- flow table
- gre
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络安全技术,目的是公开一种基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法。通过阐述Neutron网络原理与设定或结合蜜罐网络:采用GRE的网络模式,通过br‑int桥上的流表就需要引流的数据包通过br‑tun运到蜜罐虚拟机,采用隧道模式,能保证在不需要修改请求包的源地址的情况下,响应包能原路返回,在br‑int通过对响应包进行修改,客户端能正常收到响应包。本发明能将异常流引流到蜜罐,跟踪记录整个过程并对追踪攻击路径,通过蜜罐分析,发现***本身业务漏洞而进行安全防护。
Description
技术领域
本发明涉及计算机互联网网络安全技术领域,具体地讲,是一种基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法。
背景技术
现有的与互联网相关的网络安全技术当中,在网络管理器上部署OSSEC,能发现针对业务的入侵行为,对于网站业务,OSSEC有网站攻击检测规则。OSSEC检测到规则后,可以联动IpTables,对攻击源进行拦截。但是仅仅通过防火墙方式拦截,存在诸多如下缺。
1.虽然可以阻断攻击,但不能消灭攻击。
2.防火墙不能抵抗最新的未设置策略的攻击漏。
3.对服务器合法开放的端口的攻击大多无法阻隔。
4.对待内部主动发起连接的攻击一般无法阻隔。
5.防火墙本身也会出现问题和受到攻击。
这些是现有技术中存在的不足。
蜜罐技术是设计用来给黑客入侵的,它必须提供一定的漏洞,借此收集证据,同时隐藏真实的服务器地址,因此一台合格的蜜罐要求拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查,最后,就是在必要时候根据蜜罐收集的证据来起诉入侵者。
发明内容
鉴于现有技术中所存在的不足,本发明提供一种能将异常流引流到蜜罐、跟踪记录整个过程并追踪攻击路径,通过蜜罐分析,发现***本身业务漏洞的基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法。
一种基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法,包括如下步骤:
步骤一:
阐述Neutron网络原理;
其中的扁平网络:
OVS在把数据包转发给虚拟机时会先增加Vlan标记;
OVS在把虚拟机的数据包从物理网卡发送去之前会删除Vlan标记;
其中的Vlan网络:
将从int-br-svc接口流入的数据包外部网络的vlan_id修改为内部网络的vlan_id;
将从phy-br-svc接口流入的数据包内部网络的vlan_id修改为外部网络 的vlan_id;
其中的GRE网络:
br-int桥上的流表做正常转发;
查看br-tun桥上的流表;
步骤二:
设定或结合蜜罐网络:采用GRE的网络模式,通过br-int桥上的流表就需要引流的数据包通过br-tun运到蜜罐虚拟机,采用隧道模式,能保证在不需要修改请求包的源地址的情况下,响应包能原路返回,在br-int通过对响应包进行修改,客户端能正常收到响应包。
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的步骤一中还包括如下方法:
1.数据库设计;
2.逻辑结构设定;
3.部署结构设定;
4.处理程序设定;
5.接口定义;
6.蜜罐流表定义;
7.蜜罐规则更新。
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐流表定义还包括如下步骤:
步骤一:请求包流表,scr_ip从int_port_no端口流入,到b_p_seg,dst_ip,protocol,dst_ip的数据包转发到蜜罐的物理桥在集成桥的接口,修改目标IP,目标MAC,目标的Vlanid
步骤二:应答包流表,从蜜罐接口流入,目标IP=src_ip,源ip=honey_ip,源mac=honey_mac,vlan_id=h_l_vlan,tp_src=dst_port的数据包#修改原ip=dst_ip,源mac=dst_mac,vlan_id=b_l_vlan
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐规则更新还包括如下步骤:
步骤一:获取业务网的内部valnid,外部vlanid,物理网的名称;
步骤二:获取集成桥上连接蜜罐物理网的端口号;
步骤三:获取集成桥上连接业务物理网的端口号;
步骤四:遍历蜜罐规则的每一个实例:删除请求流表;删除响应流表;下发引流流表。
本发明的有益效果是:本发明能将异常流引流到蜜罐,跟踪记录整个过程并对追踪攻击路径,通过蜜罐分析,发现***本身业务漏洞而进行安全防护。能够做到既阻断网络攻击,又能消灭攻击;能对最新的未设置策略的攻击漏进行防护;对服务器合法开放的端口的攻击能够进行阻隔;对待内部主动发起连接的攻击能够进行阻隔。
附图说明
下面结合附图对本发明进行进一步详述。
图1为本发明扁平网络示意图。
图2为本发明Vlan网络示意图。
图3为本发明GRE网络示意图。
图4为本发明br-tun桥上的流表示意图。
图5为本发明数据库设计示意图。
图6为本发明逻辑结构示意图。
图7为本发明布署结构示意图。
图8为本发明流程示意图。
具体实施方式
本发明公开的基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法,包括如下步骤:
步骤一:
阐述Neutron网络原理;
其中的扁平网络:
OVS在把数据包转发给虚拟机时会先增加Vlan标记;
OVS在把虚拟机的数据包从物理网卡发送去之前会删除Vlan标记;
其中的Vlan网络:
将从int-br-svc接口流入的数据包外部网络的vlan_id修改为内部网络的vlan_id;
将从phy-br-svc接口流入的数据包内部网络的vlan_id修改为外部网络的vlan_id;
其中的GRE网络:
br-int桥上的流表做正常转发;
查看br-tun桥上的流表;
步骤二:
设定或结合蜜罐网络:采用GRE的网络模式,通过br-int桥上的流表就需要引流的数据包通过br-tun运到蜜罐虚拟机,采用隧道模式,能保证在不需要修改请求包的源地址的情况下,响应包能原路返回,在br-int通过对响应包进行修改,客户端能正常收到响应包。
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的步骤一中还包括如下方法:
1.数据库设计;
2.逻辑结构设定;
3.部署结构设定;
4.处理程序设定;
5.接口定义;
6.蜜罐流表定义;
7.蜜罐规则更新。
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐流表定义还包括如下步骤:
步骤一:请求包流表,scr_ip从int_port_no端口流入,到b_p_seg,dst_ip,protocol,dst_ip的数据包转发到蜜罐的物理桥在集成桥的接口,修改目标IP,目标MAC,目标的Vlanid
步骤二:应答包流表,从蜜罐接口流入,目标IP=src_ip,源ip=honey_ip,源mac=honey_mac,vlan_id=h_l_vlan,tp_src=dst_port的数据包#修改原ip=dst_ip,源mac=dst_mac,vlan_id=b_l_vlan
进一步地,所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐规则更新还包括如下步骤:
步骤一:获取业务网的内部valnid,外部vlanid,物理网的名称;
步骤二:获取集成桥上连接蜜罐物理网的端口号;
步骤三:获取集成桥上连接业务物理网的端口号;
步骤四:遍历蜜罐规则的每一个实例:删除请求流表;删除响应流表;下发引流流表。
如图1到图8所示本发明的具体实施例:东城通过应急快速恢复平台将业务已经迁移到平台管理的虚拟机上,并通过网络管控器上的Haproxy实现了业务的负载均衡。在网络管理器上部署OSSEC,能发现针对业务的入侵行为,东城主要是网站业务,OSSEC有网站攻击检测规则。OSSEC检测到规则后,可以联动IpTables,对源进行拦截。
通过防火墙方式拦截,很难发现攻击路径,利用SDN技术,将异常流引流到蜜罐,跟踪记录整个过程,便于追踪攻击路径,发现业务漏洞。
目前东城的二期项目需要实现蜜罐分析的功能。
基本原理
Neutron网络的原理
扁平网络
蜜罐网络
蜜罐网络采用GRE的网络模式,通过br-int桥上的流表就需要引流的数据包通过br-tun运到蜜罐虚拟机,采用隧道模式,能保证在不需要修改请求包的源地址的情况下,响应包能原路返回,在br-int通过对响应包进行修改,客户端能正常收到响应包。
响应一级变化
部署结构
处理流程
实现
数据库设计
表:honey
描述:蜜罐引流规则定义
表:honeyalias
描述:蜜罐引流实例
逻辑结构
Neutron-server代码
通过扩展插件实现Honey的接口定义,Honey配置的存储,与openvswitch-agent之间的交付
扩展接口定义
neutron_honey\extensions\honey.py
资源属性定义
资源的属性定义表格式如下,定义了Rest接口提供了配置的资源类型,对资源进行操作的属性要求;RESOURCE_ATTRIBUTE_MAP的key为每一种资源名的复数形式,Value为该资源的scheme描述。
代理端代码
1.被动接受引流的配置
2.每次重启自动加载所有引流的配置(未实现)
3.端口删除(业务虚拟机),在集成桥上删除原IP或目标IP=虚拟机,vlan_ip=端口的tagid的流表
4.业务网络删除:
ovs_neutron_agent.reclaim_local_vlan会删除从物理网络桥到集成桥的流表
删除集成桥上,从蜜罐接口流入,目标IP在业务网中的流表
蜜罐流表
1.请求包流表
scr_ip从int_port_no端口流入,到b_p_seg,dst_ip,protocol,dst_ip的数据包转发到蜜罐的物理桥在集成桥的接口,修改目标IP,目标MAC,目标的Vlanid
2.应答包流表
从蜜罐接口流入,目标IP=src_ip,源ip=honey_ip,源mac=honey_mac,
vlan_id=h_l_vlan,tp_src=dst_port的数据包
#修改原ip=dst_ip,源mac=dst_mac,vlan_id=b_l_vlan
蜜罐规则更新
1.获取业务网的内部valnid,外部vlanid,物理网的名称
2.获取集成桥上连接蜜罐物理网的端口号
3.获取集成桥上连接业务物理网的端口号
4.遍历蜜罐规则的每一个实例
a)删除请求流表
b)删除响应流表
下发引流流表 。
Claims (4)
1.一种基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法,包括如下步骤:
步骤一:
阐述Neutron网络原理;
其中的扁平网络:
OVS在把数据包转发给虚拟机时会先增加Vlan标记;
OVS在把虚拟机的数据包从物理网卡发送去之前会删除Vlan标记;
其中的Vlan网络:
将从int-br-svc接口流入的数据包外部网络的vlan_id修改为内部网络的vlan_id;
将从phy-br-svc接口流入的数据包内部网络的vlan_id修改为外部网络的vlan_id;
其中的GRE网络:
br-int桥上的流表做正常转发;
查看br-tun桥上的流表;
步骤二:
设定或结合蜜罐网络:采用GRE的网络模式,通过br-int桥上的流表就需要引流的数据包通过br-tun运到蜜罐虚拟机,采用隧道模式,能保证在不需要修改请求包的源地址的情况下,响应包能原路返回,在br-int通过对响应包进行修改,客户端能正常收到响应包。
2.根据权利要求1所述的方法,其特征在于:所述基于GRE网络结合SDN 技术和蜜罐技术的网络安全防护方法的步骤一中还包括如下方法:
1.数据库设计;
2.逻辑结构设定;
3.部署结构设定;
4.处理程序设定;
5.接口定义;
6.蜜罐流表定义;
7.蜜罐规则更新。
3.根据权利要求2所述的方法,其特征在于:所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐流表定义还包括如下步骤:
步骤一:请求包流表,scr_ip从int_port_no端口流入,到b_p_seg,dst_ip,protocol,dst_ip的数据包转发到蜜罐的物理桥在集成桥的接口,修改目标IP,目标MAC,目标的Vlanid
步骤二:应答包流表,从蜜罐接口流入,目标IP=src_ip,源ip=honey_ip,源mac=honey_mac,vlan_id=h_l_vlan,tp_src=dst_port的数据包#修改原ip=dst_ip,源mac=dst_mac,vlan_id=b_l_vlan。
4.根据权利要求2所述的方法,其特征在于:所述基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法的蜜罐规则更新还包括如下步骤:
步骤一:获取业务网的内部valnid,外部vlanid,物理网的名称;
步骤二:获取集成桥上连接蜜罐物理网的端口号;
步骤三:获取集成桥上连接业务物理网的端口号;
步骤四:遍历蜜罐规则的每一个实例:删除请求流表;删除响应流表; 下发引流流表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610554813.4A CN106789865B (zh) | 2016-07-14 | 2016-07-14 | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610554813.4A CN106789865B (zh) | 2016-07-14 | 2016-07-14 | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106789865A true CN106789865A (zh) | 2017-05-31 |
| CN106789865B CN106789865B (zh) | 2020-06-02 |
Family
ID=58972324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610554813.4A Active CN106789865B (zh) | 2016-07-14 | 2016-07-14 | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789865B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989086A (zh) * | 2018-06-20 | 2018-12-11 | 复旦大学 | OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯*** |
| CN109120454A (zh) * | 2018-09-04 | 2019-01-01 | 山东浪潮云投信息科技有限公司 | 一种QoS流量限速***及方法 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐*** |
| EP3493503A1 (en) * | 2017-11-30 | 2019-06-05 | Panasonic Intellectual Property Corporation of America | Network protection device and network protection system |
| CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
| CN110650154A (zh) * | 2019-07-03 | 2020-01-03 | 广州非凡信息安全技术有限公司 | 基于真实网络环境在多个网段部署虚拟蜜罐的***及方法 |
| CN112019545A (zh) * | 2020-08-28 | 2020-12-01 | 杭州安恒信息安全技术有限公司 | 一种蜜罐网络部署方法、装置、设备及介质 |
| CN114070630A (zh) * | 2021-11-17 | 2022-02-18 | 国网四川省电力公司眉山供电公司 | 一种粘性蜜罐***及其交互方法 |
| CN114422490A (zh) * | 2021-11-16 | 2022-04-29 | 云南电网有限责任公司信息中心 | 一种基于openresty的数控引流方法、*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020161925A1 (en) * | 1998-10-30 | 2002-10-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及*** |
| CN101145904A (zh) * | 2007-11-07 | 2008-03-19 | 杭州华三通信技术有限公司 | 一种传输数据报文的方法、设备和*** |
| CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和*** |
-
2016
- 2016-07-14 CN CN201610554813.4A patent/CN106789865B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020161925A1 (en) * | 1998-10-30 | 2002-10-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及*** |
| CN101145904A (zh) * | 2007-11-07 | 2008-03-19 | 杭州华三通信技术有限公司 | 一种传输数据报文的方法、设备和*** |
| CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和*** |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3493503A1 (en) * | 2017-11-30 | 2019-06-05 | Panasonic Intellectual Property Corporation of America | Network protection device and network protection system |
| US10911466B2 (en) | 2017-11-30 | 2021-02-02 | Panasonic Intellectual Property Corporation Of America | Network protection device and network protection system |
| CN108989086A (zh) * | 2018-06-20 | 2018-12-11 | 复旦大学 | OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯*** |
| CN108989086B (zh) * | 2018-06-20 | 2021-03-30 | 复旦大学 | OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯*** |
| CN109120454A (zh) * | 2018-09-04 | 2019-01-01 | 山东浪潮云投信息科技有限公司 | 一种QoS流量限速***及方法 |
| CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐*** |
| CN110650154A (zh) * | 2019-07-03 | 2020-01-03 | 广州非凡信息安全技术有限公司 | 基于真实网络环境在多个网段部署虚拟蜜罐的***及方法 |
| CN112019545A (zh) * | 2020-08-28 | 2020-12-01 | 杭州安恒信息安全技术有限公司 | 一种蜜罐网络部署方法、装置、设备及介质 |
| CN114422490A (zh) * | 2021-11-16 | 2022-04-29 | 云南电网有限责任公司信息中心 | 一种基于openresty的数控引流方法、*** |
| CN114070630A (zh) * | 2021-11-17 | 2022-02-18 | 国网四川省电力公司眉山供电公司 | 一种粘性蜜罐***及其交互方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106789865B (zh) | 2020-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789865A (zh) | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 | |
| KR101812403B1 (ko) | SDN에서의 DoS공격 방어시스템 및 이의 구현방법 | |
| EP3270564B1 (en) | Distributed security provisioning | |
| US10581914B2 (en) | Method and system of mitigating network attacks | |
| WO2021233373A1 (zh) | 一种网络安全防护方法、装置、储存介质及电子设备 | |
| JP2015502060A (ja) | ネットワークメタデータを処理するストリーミング方法およびシステム | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其*** | |
| CN106790309A (zh) | 一种应用于多协议安全网关***的过滤模块及其应用 | |
| CN103236932A (zh) | 一种基于访问控制和目录保护的网页防篡改装置及方法 | |
| Kang et al. | A New Logging-based IP Traceback Approach using Data Mining Techniques. | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| CN106656792A (zh) | 一种基于sdn架构的bgp路由可信验证方法 | |
| CN114339767B (zh) | 一种信令检测方法、装置、电子设备及存储介质 | |
| CN102217248B (zh) | 分布式分组流检查和处理 | |
| Ahmed et al. | A Linux-based IDPS using Snort | |
| CN115051851B (zh) | 物联网场景下的用户访问行为管控***和方法 | |
| CN112437070B (zh) | 一种基于操作生成树状态机完整性验证计算方法及*** | |
| CN105376167A (zh) | 分布式分组流检查和处理 | |
| TW201815142A (zh) | 通過代理伺服器日誌偵測domain flux殭屍網路的方法 | |
| CN111385303A (zh) | 一种网络安全防护***及实现方法 | |
| CN118233217B (zh) | 针对内外网络的多级特征防火墙***及介质 | |
| Zhang et al. | A Survey of SDN Data Plane Attacks and Defense Strategies | |
| US20220210166A1 (en) | Robust learning of web traffic | |
| Huang et al. | Study on intelligent firewall system combining intrusion detection and egress access control | |
| KR102246290B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 방법, 장치 및 컴퓨터 프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |