技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種SDN網(wǎng)絡(luò)動(dòng)態(tài)目標(biāo)防御系統(tǒng)及方法。

背景技術(shù)

動(dòng)態(tài)目標(biāo)防御—所謂動(dòng)態(tài)目標(biāo)防御(Moving?Target?Defense，MTD)的策略，是建立一個(gè)(由外部看來(lái))屬性多樣而不斷變化的網(wǎng)絡(luò)系統(tǒng)，使黑客在發(fā)動(dòng)攻擊前難以對(duì)目標(biāo)進(jìn)行偵查，藉此增加攻擊的難度而達(dá)成防御。可隨機(jī)變動(dòng)的屬性包含IP、Port、路由、主機(jī)身份、指令集合等。比起傳統(tǒng)網(wǎng)絡(luò)，SDN網(wǎng)絡(luò)控制與轉(zhuǎn)發(fā)分離的特性更容易實(shí)現(xiàn)出這樣的網(wǎng)絡(luò)系統(tǒng)。北卡羅來(lái)納大學(xué)基于OpenFlow協(xié)議研發(fā)的隨機(jī)主機(jī)轉(zhuǎn)換(OF-RHM)技術(shù)，即是利用SDN網(wǎng)絡(luò)實(shí)現(xiàn)主機(jī)IP快速轉(zhuǎn)換，但同時(shí)保持網(wǎng)絡(luò)服務(wù)對(duì)用戶透明，實(shí)驗(yàn)證明可有效防范隨機(jī)掃描攻擊及蠕蟲傳播。

MTD的理論依據(jù)是，攻擊者將無(wú)法映射一個(gè)不斷變化的系統(tǒng)，并實(shí)施協(xié)同攻擊。動(dòng)態(tài)目標(biāo)防御策略會(huì)改變網(wǎng)絡(luò)防御，系統(tǒng)參數(shù)從靜態(tài)配置變得更加動(dòng)態(tài)，這樣攻擊者就很難發(fā)現(xiàn)并利用漏洞。為攻擊者創(chuàng)建了不確定性，可戰(zhàn)勝針對(duì)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。通過(guò)指揮與控制系統(tǒng)，能夠評(píng)估、規(guī)劃、執(zhí)行協(xié)調(diào)的防御，以避免網(wǎng)絡(luò)系統(tǒng)沖突，限制攻擊可用的途徑。

比如在論文“OpenFlow?Random?Host?Mutation:Transparent?Moving?Target?Defense?using?Software?Defined?Networking”中提到將真實(shí)的IP保密不變，但將主機(jī)與一個(gè)短期虛擬IP地址關(guān)聯(lián)。該技術(shù)僅是簡(jiǎn)單的將真實(shí)主機(jī)與虛擬的IP地址綁定，并定期更新虛擬IP地址。攻擊者仍可通過(guò)對(duì)MAC地址或端口地址或兩者的組合進(jìn)行對(duì)攻擊目標(biāo)的掃描。另外虛擬IP為IPv4，可分配為虛擬地址的地址空間有限，攻擊者仍可較輕松的掃描進(jìn)一步了解攻擊目標(biāo)。

此外，申請(qǐng)?zhí)枮?00710179203.1的發(fā)明專利申請(qǐng)公開了一種結(jié)合路由和隧道重定向網(wǎng)絡(luò)攻擊的方法，其通過(guò)在網(wǎng)關(guān)N1與連接蜜罐主機(jī)的網(wǎng)關(guān)N2之間設(shè)置隧道、配置第二張路由表，并標(biāo)記網(wǎng)絡(luò)攻擊IP包，從而將網(wǎng)絡(luò)攻擊重定向到遠(yuǎn)端相同子網(wǎng)地址的蜜罐主機(jī)上，實(shí)現(xiàn)重定向網(wǎng)絡(luò)攻擊。本發(fā)明的方法簡(jiǎn)便易行，快速高效，特別適合在重要網(wǎng)關(guān)上臨時(shí)重定向網(wǎng)絡(luò)攻擊的情況；同時(shí)本發(fā)明的方法具有風(fēng)險(xiǎn)低，無(wú)需擔(dān)心網(wǎng)絡(luò)的最小MTU或者IP包分片問(wèn)題。

此發(fā)明僅通過(guò)在網(wǎng)關(guān)N1與連接蜜罐主機(jī)的網(wǎng)關(guān)N2之間設(shè)置隧道、配置第二張路由表，并標(biāo)記網(wǎng)絡(luò)攻擊IP包，從而將網(wǎng)絡(luò)攻擊重定向到遠(yuǎn)端相同子網(wǎng)地址的蜜罐主機(jī)上，實(shí)現(xiàn)重定向網(wǎng)絡(luò)攻擊。攻擊者能在觸發(fā)保護(hù)功能之前到達(dá)真實(shí)的主機(jī)，經(jīng)過(guò)對(duì)比即可察覺流量進(jìn)入蜜罐。另外蜜罐地址與攻擊目標(biāo)綁定不變，這也帶來(lái)了相當(dāng)大的安全漏洞。

發(fā)明內(nèi)容

本發(fā)明的目的是為了克服現(xiàn)有技術(shù)的缺陷，提供一種SDN網(wǎng)絡(luò)動(dòng)態(tài)目標(biāo)防御系統(tǒng)及方法，從而增大了攻擊者檢測(cè)目標(biāo)的難度。

為了解決上述技術(shù)問(wèn)題，本申請(qǐng)公開了如下技術(shù)方案：

第一方面，本發(fā)明公開了一種SDN網(wǎng)絡(luò)動(dòng)態(tài)目標(biāo)防御系統(tǒng)，該系統(tǒng)由動(dòng)態(tài)目標(biāo)防御模塊和SDN控制器管理模塊構(gòu)成。

動(dòng)態(tài)目標(biāo)防御模塊包括流量分析模塊、映射信息存儲(chǔ)模塊、目標(biāo)轉(zhuǎn)化模塊、加密傳輸模塊、負(fù)載平衡模塊、安全認(rèn)證模塊和業(yè)務(wù)流記錄數(shù)據(jù)庫(kù)、映射信息記錄數(shù)據(jù)庫(kù)。

流量分析模塊分析數(shù)據(jù)包，能夠獲取業(yè)務(wù)流標(biāo)識(shí)、協(xié)議、目標(biāo)MAC地址、目標(biāo)IP地址、目標(biāo)端口地址，源MAC地址、源IP地址、源端口地址信息，由此分析得出數(shù)據(jù)包所屬業(yè)務(wù)的協(xié)議，所屬的業(yè)務(wù)，待訪問(wèn)的目標(biāo)的真實(shí)機(jī)器地址，最終判斷此業(yè)務(wù)流的敏感程度，生成安全級(jí)別指標(biāo)。

映射信息存儲(chǔ)模塊負(fù)責(zé)將業(yè)務(wù)流記錄數(shù)據(jù)庫(kù)的存儲(chǔ)管理，并且定期掃描數(shù)據(jù)庫(kù)將失效時(shí)間超過(guò)設(shè)定值的流表從數(shù)據(jù)庫(kù)中清除出去。

目標(biāo)轉(zhuǎn)化模塊能根據(jù)業(yè)務(wù)流的安全級(jí)別指標(biāo)使用隨機(jī)映射算法，將源MAC地址、源IP地址、源端口地址映射成虛擬的MAC地址、IPv6地址、端口地址。

加密傳輸模塊確保MTD服務(wù)器之間、MTD服務(wù)器與其他網(wǎng)元通信的安全。

安全認(rèn)證模塊對(duì)訪問(wèn)MTD的對(duì)象進(jìn)行認(rèn)證，只允許有訪問(wèn)權(quán)限的內(nèi)網(wǎng)網(wǎng)元的進(jìn)入。

負(fù)載平衡模塊對(duì)當(dāng)前MTD服務(wù)器的工作負(fù)載進(jìn)行監(jiān)控，當(dāng)負(fù)載超過(guò)閾值時(shí)轉(zhuǎn)移到其他MTD服務(wù)器進(jìn)行處理或執(zhí)行如簡(jiǎn)單丟包此類的安全措施。

業(yè)務(wù)流記錄數(shù)據(jù)庫(kù)存放業(yè)務(wù)流記錄表項(xiàng)，映射信息記錄數(shù)據(jù)庫(kù)存放映射信息記錄表項(xiàng)。

SDN控制器管理模塊包括流表生成模塊、流表分發(fā)/同步模塊、路由選擇模塊、DNS服務(wù)模塊、負(fù)載平衡模塊、分布式管理模塊、安全通信模塊、冗余備份模塊、安全認(rèn)證模塊和流表數(shù)據(jù)庫(kù)。