本發明提供一種基于OpenFlow的網絡層移動目標防御方法，包括：地址獲取，構建初始數據分組頭部信息，第一IP跳變，第一端口跳變，第二端口跳變，第二IP跳變，目的節點通信。本發明的基于OpenFlow的網絡層移動目標防御方法，不需要第三方軟件實現上層不透明保護即不需要對上層應用進行改動，實現了從節點發出的信息一直處于移動和變化中，有效的避免了攻擊者的攻擊。

技術領域

本發明涉及網絡信息防御領域，尤其涉及一種基于OpenFlow的網絡層移動目標防御方法及系統。

背景技術

近年來，隨著多起具有廣泛危害性安全事故的發生(棱鏡門、SSL心臟滴血等)，網絡安全再一次受到了廣泛的重視。傳統的網絡安全技術通常采用被動式防御(如防火墻、入侵檢測技術等)。這類防御技術通常將保護目標暴露在外，檢測和保護的前提是攻擊正在發生。這種方式對于保護者而言十分不利，防御方總是處于被動防御的地位。主動防御技術是一種讓保護者在攻防博弈中占有主動地位的防御手段。移動目標防御技術則是主動防御技術中一個重要的研究方向。移動目標防御是一種新型的防御技術，這種技術的主要目的是使被保護目標對于外界而言一直處于移動和變化中，使攻擊者難以以此實現保護。國內外學者都對移動目標防御技術進行了相關的研究，可是現有成果大多基于第三方軟件實現對上層不透明的保護，上層應用必須進行相關改動，不使用第三方軟件的方案則存在對現有網絡不兼容的問題。

發明內容

為了克服現有技術的不足，本發明的目的之一在于提供一種基于OpenFlow的網絡層移動目標防御方法，其能解決現有成果大多基于第三方軟件實現對上層不透明的保護，上層應用必須進行相關改動，不使用第三方軟件的方案則存在對現有網絡不兼容的問題。

本發明的目的之二在于提供一種基于OpenFlow的網絡層移動目標防御系統，其能解決現有成果大多基于第三方軟件實現對上層不透明的保護，上層應用必須進行相關改動，不使用第三方軟件的方案則存在對現有網絡不兼容的問題。

本發明的目的之一采用以下技術方案實現：

一種基于OpenFlow的網絡層移動目標防御方法，包括

地址獲取，獲取源節點的網絡地址信息并通過源局域網內的DNS服務器查詢含有目的節點的公網地址的目的地址信息；

構建初始數據分組頭部信息，根據所述網絡地址信息和所述目的地址信息構建初始數據分組頭部信息；

第一IP跳變，將所述初始數據分組頭部信息發送至源局域網內的第一OpenFlow交換機，第一OpenFlow交換機將所述初始數據分組頭部信息發送至源局域網內的第一MTD控制器，第一MTD控制器和第一OpenFlow交換機對所述初始數據分組頭部信息進行第一IP跳變處理并得到第一數據分組頭部信息；

第一端口跳變，第一OpenFlow交換機將所述第一數據分組頭部信息發送至源局域網內的第一網關交換機，第一網關交換機以及第一MTD控制器對所述第一數據分組頭部信息進行第一端口跳變處理并得到第二數據分組頭部信息；

第二端口跳變，第一網關交換機通過互聯網將所述第二數據分組頭部信息發送至目的局域網內的第二網關交換機，第二網關交換機和源局域網內的第二MTD控制器對所述第二數據分組頭部信息進行第二端口跳變處理并得到第三數據分組頭部信息；

第二IP跳變，目的局域網內的第二OpenFlow交換機及第二MTD控制器對所述第三數據分組頭部信息進行第二IP跳變處理并得到第四數據分組頭部信息；

目的節點通信，第二OpenFlow交換機將所述第四數據分組頭部信息發送至目的節點，目的節點解析所述第四數據分組頭部信息完成源節點與目的節點之間的通信。