CN113691504A - 一种基于软件定义网络的网络诱捕方法及*** - Google Patents

Abstract

本发明公开了一种基于软件定义网络的网络诱捕方法及***，属于网络空间安全技术领域。本发明基于软件定义网络技术，检测网络流量是否是非法信息，并将攻击者的网络流量迁移至生成的蜜罐中，实现对攻击流量的诱捕。本发明的方法不仅能够在网络内的交换节点和终端节点部署诱捕节点，而且能够实现动态调整生成蜜罐，改变诱骗环境，具有可实现全网感知、计算量小、占用资源少的优点。

Description

一种基于软件定义网络的网络诱捕方法及***

技术领域

本发明涉及网络空间安全技术领域，具体涉及一种软件定义网络的网络诱捕方法及***。

背景技术

当前网络安全产品中内置的安全控制响应功能相对单一，仅提供有限数量的响应操作（例如日志，拒绝，丢弃和隔离等），除了简单的自动化响应概念之外，几乎没有创新或技术发展。例如，网络管理员在识别出一些安全威胁（鱼叉式网络钓鱼攻击，网络或资产危害，探测等）之后，阻止攻击者下一步的行动。尽管这些响应措施在检测和阻止单个攻击者尝试的方面具有一定效果，但对于技术娴熟的对手，特别是高级持续威胁（APT）而言，拒绝和丢弃等响应提供了大量的可用信息。攻击者能够快速识别攻击在何时被检测到，并快速调整其攻击策略以继续前进。为了维持对攻击者的优势，并增加攻击者的攻击经济负担，上述被动式的防御策略需要进行修改。

简单地阻止攻击者的防护效能十分有限，欺骗技术是实现未来的网络空间防御的一种重要技术。网络诱捕技术通过克隆的网络、主机、存储空间、以及数据集来仿真一个与真实网络环境非常一致的场景，构建一个高逼真的诱捕环境。通过对攻击者进行吸引和与之交互，将攻击者诱骗至诱捕环境中，以便提取攻击者可能泄漏的有关自身和目标的行为信息。即使攻击者发现了存在诱骗行为，也难以确定所获取的信息有多少是有价值的。

但是，现有技术中的诱捕节点无法覆盖全网络，当网络流量未经过诱捕节点，则无法发现攻击和诱捕攻击；当网络环境复杂、规模庞大的时候，为了提高诱捕节点的覆盖率，需要使用大量新的主机资源成为诱捕节点，无法利用现有的终端设备；此外，蜜罐***难以根据攻击行为进行动态调整，实时改变诱骗环境。

发明内容

为了解决上述现有技术中存在的问题，本发明提供一种基于软件定义网络的网络诱捕方法及***，其能有效地模拟虚假网络资源诱骗攻击者，将网络内的攻击流量迁移至蜜罐中，并且迁移过程对攻击者无感，对攻击者的攻击行为进行诱捕，便于进一步分析。

本发明的目的是这样实现的：

一种基于软件定义网络的网络诱捕方法，包括以下步骤：

步骤S101. 配置控制策略，策略内容包括：数据包的检测模式、蜜罐配置信息列表、网络内IP地址白名单，以及网络攻击或入侵行为规则；

步骤S102. 模拟虚假网络资源，包括主机在线信息、端口开放信息、服务访问信息；其中，主机在线信息和端口开放信息基于蜜罐进行模拟，随机动态变化；服务访问信息基于重现修改后的真实网络流量进行模拟；

步骤S103. 当访问主机对网络内某地址发出请求时，接收访问主机发出的数据包；

步骤S104. 检测步骤S103接收的数据包，判断其是否是非法数据，检测步骤如下：

1）若检测模式是严格模式，则进入步骤2）；若检测模式是非严格模式，则进入步骤3）；

2）检查数据包的源IP地址是否在地址白名单中，若在，则进入步骤3），若不在，则判断该数据包为非法数据，进入步骤S106；

3）将数据包与网络攻击或入侵行为规则进行匹配，判断是否属于攻击或入侵行为，若是，则判断该数据包为非法数据，进入步骤S106，若不是，则判断该数据包为正常数据，进入步骤S105；

步骤S105. 流量正常转发，被访问主机与访问主机进行交互；

步骤S106. 判断是否存在IP地址为数据包的目的IP地址的蜜罐，若是，则进入步骤S108，否则进入步骤S107；

步骤S107. 根据数据包的目的IP地址、被访问主机操作***类型和服务，使用容器技术生成蜜罐，并将生成的蜜罐配置信息添加到蜜罐配置信息列表中，转入步骤S108；

步骤S108. 使用软件定义网络，通过控制器向交换机下发流表的方式，将流量迁移至IP地址为数据包目的IP地址的蜜罐；

步骤S109. 访问主机发出的网络流量被诱捕至蜜罐中，蜜罐与访问主机进行交互，完成网络诱捕。

进一步的，所述步骤S108的具体方式为：

以JSON对象格式向软件定义网络的控制器发送迁移信息，所述迁移信息包括：访问主机的源IP地址、被访问主机的目的IP地址、蜜罐连接的交换机ID、蜜罐连接的交换机端口、蜜罐的MAC地址；

控制器根据迁移信息向交换机下发流表；

交换机根据流表将流量迁移至IP地址为数据包目的IP地址的蜜罐。

一种基于软件定义网络的网络诱捕***，包括网络陷阱模块、SDN控制器模块、诱捕环境模块以及控制模块，所述网络陷阱模块部署在网络中的交换节点和终端主机服务器节点处，实现全网诱捕感知；其中：

网络陷阱模块根据用户配置的策略，接收访问主机发送的数据包，检测数据包是否是非法数据，并根据数据包检测结果向SDN控制器模块反馈信息，下发流表，进行路由策略调整；还根据数据包检测结果和蜜罐情况向诱捕环境模块反馈环境信息，动态调整蜜罐，实时改变诱捕环境；还用于模拟虚假网络资源诱骗攻击者，所述虚假网络资源包括主机在线信息、端口开放信息、服务访问信息；

诱捕环境模块接收网络陷阱模块发送的环境信息，并根据非法数据包的目的IP地址和蜜罐配置信息列表，动态调整生成蜜罐，改变诱骗环境；并将蜜罐和访问主机之间的交互状态报告给控制模块；

控制模块根据用户的选择和控制，配置控制策略；还用于接收诱捕环境模块发送的蜜罐和访问主机之间的交互状态信息，从而分析访问主机对蜜罐的访问情况，并根据访问情况，向SDN控制器模块发送调整路由策略的信息；

SDN控制器模块用于接收网络陷阱模块发送的调整路由策略的信息，处理后向网络内交换机下发流表，将访问主机到目标主机的流量迁移至蜜罐中，使蜜罐与访问主机进行交互；还用于接收控制模块发送的调整路由策略的信息，并将一段时间内没有异常交互行为的访问主机到蜜罐的流表删除。

本发明的有益效果在于：

1、本发明基于软件定义网络（SDN）技术，模拟虚假网络资源诱骗攻击者，检测网络流量是否是非法信息，并将攻击者的网络流量迁移至生成的蜜罐中，实现对攻击流量的诱捕。

2、本发明不仅能够在网络内的交换节点和终端节点部署诱捕节点，而且能够实现动态调整生成蜜罐，改变诱骗环境。

3、本发明可实现全网感知，且计算量小、占用资源少。

附图说明

图1是本发明实施例中网络诱捕方法的流程图。

图2是本发明实施例中网络诱捕***的原理示意图。

具体实施方式

为了使本发明的目的及优点更加清楚明白，下面结合附图和具体实施例对本发明做进一步的说明。应当理解，以下文字仅仅用以描述本发明的一种或几种具体实施方式，并不对本发明具体请求的保护范围进行严格限定。

如图2所示，一种基于软件定义网络的网络诱捕***，包括网络陷阱模块，SDN控制器模块，诱捕环境模块，控制模块。

网络陷阱模块能够根据用户配置的策略，接收访问主机发送的数据包并检测是否是非法数据；能够根据数据包检测结果向SDN控制器模块反馈信息，下发流表，进行路由策略调整；能够根据数据包检测结果和蜜罐情况向诱捕环境模块反馈信息，动态调整蜜罐，实时改变诱捕环境；能够模拟虚假网络资源诱骗攻击者，包括主机在线信息、端口开放信息、服务访问信息。该模块可以部署在网络中的交换节点和终端主机服务器节点，能够在消耗资源有限的情况下，实现全网诱捕感知。

诱捕环境模块接收网络陷阱模块发送的环境生成调整信息，并根据非法数据包的目的IP地址和蜜罐配置信息列表，动态调整生成蜜罐，改变诱骗环境；能够将蜜罐和访问主机之间的交互状态报告给控制模块。

控制模块能够根据用户的选择和控制，配置控制策略；能够接收诱捕环境模块发送的蜜罐和访问主机之间的交互状态信息，及时掌握和分析访问主机对蜜罐的访问情况，并根据访问情况，向SDN控制器模块发送调整路由策略的信息。

SDN控制器模块能够接收网络陷阱模块发送的调整路由策略的信息，处理后向网络内交换机下发流表，将访问主机到目标主机的流量迁移至蜜罐中，使蜜罐与访问主机进行交互；能够接收控制模块发送的调整路由策略的信息，将一段时间内没有异常交互行为或没有交互行为的访问主机到蜜罐的流表删除。

基于上述***，可实现基于软件定义网络的网络诱捕方法。如图1所示，该方法的流程如下：

S101. 控制模块配置控制策略，策略内容包括：1.检测数据包的模式（严格模式或非严格模式）；2. 蜜罐配置信息列表；3. 网络内IP地址白名单；4. 网络攻击或入侵行为规则。

S102. 网络陷阱模块基于重现修改后的真实网络流量模拟服务访问信息；诱捕环境模块基于蜜罐技术，模拟主机在线信息、端口开放信息，并随机动态变化，以便能高逼真的诱骗攻击者。

S103. 访问主机向网络内的某一主机进行访问，网络陷阱模块接收数据包；

S104. 网络陷阱模块对网络数据包进行检测。当网络数据包不是非法流量时，转到S105；当网络数据包是非法流量时，进入S106；

S105. 访问主机正常访问目标主机；

S106. 判断是否存在IP地址为数据包的目的IP地址的蜜罐，若是，则进入S108，若不是，则进入S107；

S107. 网络陷阱模块向SDN控制器模块发送调整路由策略的信息，向诱捕环境模块发送生成调整诱捕环境的信息。诱捕环境模块接收网络陷阱模块发送的生成调整诱捕环境的信息，动态生成或调整蜜罐；然后转入S108；

S108. SDN控制器模块接收网络陷阱模块发送的调整路由策略的信息，向交换机下发相应流表，将访问主机到目的主机的网络流量迁移至诱捕环境模块生成的蜜罐中。

S109. 诱捕环境模块中的蜜罐和访问主机进行交互，并将交互状态信息上报给控制模块；控制模块掌握和分析访问主机和蜜罐的交互状态。

至此，完成对访问主机的网络流量的诱捕和处理，同时，能够根据交互状态实时调整路由策略。

本发明基于软件定义网络技术，检测网络流量是否是非法信息，并将攻击者的网络流量迁移至生成的蜜罐中，实现对攻击流量的诱捕。本发明不仅能够在网络内的交换节点和终端节点部署诱捕节点，而且能够实现动态调整生成蜜罐，改变诱骗环境，具有可实现全网感知、计算量小、占用资源少的优点。

Claims (3)

1.一种基于软件定义网络的网络诱捕方法，其特征在于，包括以下步骤：

步骤S101. 配置控制策略，策略内容包括：数据包的检测模式、蜜罐配置信息列表、网络内IP地址白名单，以及网络攻击或入侵行为规则；

步骤S102. 模拟虚假网络资源，包括主机在线信息、端口开放信息、服务访问信息；其中，主机在线信息和端口开放信息基于蜜罐进行模拟，随机动态变化；服务访问信息基于重现修改后的真实网络流量进行模拟；

步骤S103. 当访问主机对网络内某地址发出请求时，接收访问主机发出的数据包；

步骤S104. 检测步骤S103接收的数据包，判断其是否是非法数据，检测步骤如下：

1）若检测模式是严格模式，则进入步骤2）；若检测模式是非严格模式，则进入步骤3）；

2）检查数据包的源IP地址是否在地址白名单中，若在，则进入步骤3），若不在，则判断该数据包为非法数据，进入步骤S106；

3）将数据包与网络攻击或入侵行为规则进行匹配，判断是否属于攻击或入侵行为，若是，则判断该数据包为非法数据，进入步骤S106，若不是，则判断该数据包为正常数据，进入步骤S105；

步骤S105. 流量正常转发，被访问主机与访问主机进行交互；

步骤S106. 判断是否存在IP地址为数据包的目的IP地址的蜜罐，若是，则进入步骤S108，否则进入步骤S107；

步骤S107. 根据数据包的目的IP地址、被访问主机操作***类型和服务，使用容器技术生成蜜罐，并将生成的蜜罐配置信息添加到蜜罐配置信息列表中，转入步骤S108；

步骤S108. 使用软件定义网络，通过控制器向交换机下发流表的方式，将流量迁移至IP地址为数据包目的IP地址的蜜罐；

步骤S109. 访问主机发出的网络流量被诱捕至蜜罐中，蜜罐与访问主机进行交互，完成网络诱捕。

2.根据权利要求1所述的一种基于软件定义网络的网络诱捕方法，其特征在于，所述步骤S108的具体方式为：

以JSON对象格式向软件定义网络的控制器发送迁移信息，所述迁移信息包括：访问主机的源IP地址、被访问主机的目的IP地址、蜜罐连接的交换机ID、蜜罐连接的交换机端口、蜜罐的MAC地址；

控制器根据迁移信息向交换机下发流表；

交换机根据流表将流量迁移至IP地址为数据包目的IP地址的蜜罐。

3.一种基于软件定义网络的网络诱捕***，其特征在于，包括网络陷阱模块、SDN控制器模块、诱捕环境模块以及控制模块，所述网络陷阱模块部署在网络中的交换节点和终端主机服务器节点处，实现全网诱捕感知；其中：

网络陷阱模块根据用户配置的策略，接收访问主机发送的数据包，检测数据包是否是非法数据，并根据数据包检测结果向SDN控制器模块反馈信息，下发流表，进行路由策略调整；还根据数据包检测结果和蜜罐情况向诱捕环境模块反馈环境信息，动态调整蜜罐，实时改变诱捕环境；还用于模拟虚假网络资源诱骗攻击者，所述虚假网络资源包括主机在线信息、端口开放信息、服务访问信息；

诱捕环境模块接收网络陷阱模块发送的环境信息，并根据非法数据包的目的IP地址和蜜罐配置信息列表，动态调整生成蜜罐，改变诱骗环境；并将蜜罐和访问主机之间的交互状态报告给控制模块；

控制模块根据用户的选择和控制，配置控制策略；还用于接收诱捕环境模块发送的蜜罐和访问主机之间的交互状态信息，从而分析访问主机对蜜罐的访问情况，并根据访问情况，向SDN控制器模块发送调整路由策略的信息；

SDN控制器模块用于接收网络陷阱模块发送的调整路由策略的信息，处理后向网络内交换机下发流表，将访问主机到目标主机的流量迁移至蜜罐中，使蜜罐与访问主机进行交互；还用于接收控制模块发送的调整路由策略的信息，并将一段时间内没有异常交互行为的访问主机到蜜罐的流表删除。

Images