本發明提供一種基于軟件定義網絡的惡意網站防護方法及系統，所述方法首先檢測DNS請求數據的域名信息是否存在于白名單和黑名單生成的布隆過濾器內，然后對于可疑的DNS請求數據提取主機名，判定該主機名是否可信，如果可信則對該DNS請求數據進行轉發，否則進行報警并記錄可疑域名。本發明方法僅需把第一次出現的DNS請求數據包送到中心控制器檢測，不需要解析所有的數據包，且根據檢測結果把過濾規則下發到各個OpenFlow交換機，實現惡意網站請求在最靠近源的交換機端進行過濾，在進入網絡主干之前進行攔截，而且本發明無需安裝任何防火墻和殺毒工具，使用更加有效、簡便。本發明方法和系統結合實現了基于軟件定義網絡的惡意網站防護。

技術領域

本發明涉及網絡安全技術領域，更具體地，涉及一種基于軟件定義網絡的惡意網站防護方法及系統。

背景技術

惡意網站一直都是木馬、病毒傳播和網民染毒的主要途經之一。惡意網站利用操作系統或軟件的安全漏洞，在網頁內嵌入惡意的病毒、蠕蟲以及木馬等，當用戶訪問這些網頁時，內嵌的惡意程序會在用戶不知情的情況下，強行修改用戶操作系統和應用軟件的配置信息，導致成為僵尸系統，嚴重影響互聯網的可信性，制約互聯網應用發展。傳統的針對惡意網站的安全工具，如防火墻必須放在流量的必經之路上，對所有數據包進行解析，只適合于在網絡邊界使用。如漏洞掃描、殺毒軟件等要求用戶在PC客戶端上安裝殺毒軟件或安全瀏覽器，為用戶安裝或使用造成不便。

軟件定義網絡(software defined network，SDN)為一種新型的軟件技術的網絡架構，其最大的特點是控制平面與數據平面的松耦合性、網絡狀態控制的集中化支持和實現底層網絡設施對上層應用的透明化，SDN具有靈活的軟件編程能力，促使網絡的自動化管理與控制能力得到空前的提升，因此給了在惡意網站防護系統的研究上又提供了新的方向。

發明內容

本發明的首要目的是克服現有技術使用不便的缺陷，提供一種有效、簡便的基于軟件定義網絡的惡意網站防護方法。

本發明的進一步目的是提供一種有效、簡便的基于軟件定義網絡的惡意網站防護系統。

為解決上述技術問題，本發明的技術方案如下：

一種基于軟件定義網絡的惡意網站防護方法，所述方法包括以下步驟：

S1：采集DNS(域名)請求數據；

S2：解析DNS請求數據中的DNS報文頭部，獲取opcode字段信息，根據opcode字段的數值觸發名單修改或者跳轉到步驟S3；

S3：判斷DNS請求數據中的域名信息是否在白名單列表生成的布隆過濾器內，如果是則對該DNS請求數據進行轉發，否則跳轉到步驟S4；

S4：判斷DNS請求數據中的域名信息是否在黑名單列表生成的布隆過濾器內，如果是則丟棄該DNS請求數據，否則跳轉到步驟S5；

S5：提取DNS請求數據的域名信息中的主機名，判定該主機名是否可信，如果可信則對該DNS請求數據進行轉發，否則進行報警并記錄可疑域名。

在一種優選的方案中，步驟S1中，采集DNS請求數據的具體方法為：OpenFlow交換機收到數據包時，如果在流表中沒有匹配項，或者在流表中被認為是發送到控制器，則將該數據包封裝為Packet_in數據包發送到中心控制器；

在一種優選的方案中，步驟S2中，中心控制器對OpenFlow交換機發送來的Packet_in數據包進行解析，檢查其是否為DNS請求數據，如果是，則解析DNS頭部獲取opcode字段信息，如果opcode字段的數值大于10，則觸發名單修改，否則跳轉到步驟S3。