本發(fā)明公開了一種既能保證蜜網(wǎng)系統(tǒng)的安全性，又能維持蜜網(wǎng)價值的新型蜜網(wǎng)機制。當入侵者滲透蜜網(wǎng)、入侵生產(chǎn)網(wǎng)絡(luò)時，本發(fā)明不直接清除入侵者，而是使用網(wǎng)絡(luò)功能虛擬化(NFV)和軟件定義網(wǎng)絡(luò)(SDN)結(jié)合的技術(shù)構(gòu)建一個與原先環(huán)境相似且隔離的蜃景環(huán)境，將入侵者以及入侵現(xiàn)場遷移至蜃景環(huán)境中，誘騙入侵者駐留在蜃景環(huán)境，繼續(xù)俘獲和觀察入侵者的行為。本發(fā)明為網(wǎng)絡(luò)增加一道新的安全防線，且產(chǎn)生的時間開銷和所需的內(nèi)存資源較小，具有良好的可擴展性。同時，利用宿主服務(wù)器提供的計算、內(nèi)存、存儲等資源定制蜜網(wǎng)系統(tǒng)的各個組件，這使得構(gòu)建過程更快捷和經(jīng)濟。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，具體地說是提出一種基于網(wǎng)絡(luò)功能虛擬化(NFV)和軟件定義網(wǎng)絡(luò)(SDN)以提升蜜網(wǎng)價值的技術(shù)，其中蜜網(wǎng)的價值體現(xiàn)在既能延長誘騙入侵者駐留蜜網(wǎng)的時間又能保證蜜網(wǎng)系統(tǒng)的安全。

背景技術(shù)

隨著入侵者使用了各種復雜的逃避技術(shù)以及普遍采用加蜜技術(shù)，目前普遍采用的被動防御的安全系統(tǒng)的作用在下降。蜜罐是一種誘騙入侵者攻擊的主動安全技術(shù)，它通過記錄、檢測和分析攻擊信息，以達到積極應(yīng)對入侵者攻擊和掩護生產(chǎn)網(wǎng)絡(luò)的目的。蜜網(wǎng)作為蜜罐技術(shù)的發(fā)展與延伸，是一種具有綜合體系結(jié)構(gòu)的新型安全系統(tǒng)，它集成了多種蜜罐、數(shù)據(jù)采集和分析工具，具有調(diào)查入侵者來源、考察安全措施的有效性以及隱藏環(huán)境等多重用途。

蜜網(wǎng)是入侵者與防御者博弈的場所：入侵者為了入侵生產(chǎn)網(wǎng)絡(luò)，在蜜網(wǎng)中盡可能多地探測、收集所需信息，并在必要時進行破壞、入侵生產(chǎn)網(wǎng)絡(luò)；防御方則希望通過蜜網(wǎng)發(fā)現(xiàn)、記錄和破解入侵者的行為，以保證生產(chǎn)網(wǎng)絡(luò)安全。一旦蜜網(wǎng)被入侵者識破，或者發(fā)現(xiàn)入侵者損害生產(chǎn)網(wǎng)絡(luò)安全性時入侵者將被清除出該蜜網(wǎng)，就會降低該蜜網(wǎng)的價值。因此，入侵者和防御者雙方都希望入侵者能夠長時間地停留在蜜網(wǎng)中，同時防御者又需要能夠保證入侵者不會對生產(chǎn)網(wǎng)絡(luò)造成危害。

為了解決傳統(tǒng)蜜網(wǎng)存在的部署不便、擴展性和動態(tài)性不足、價格高等缺陷，近年來在蜜網(wǎng)設(shè)計實現(xiàn)中引入NFV技術(shù)，從而增強了蜜網(wǎng)工作的靈活性和性能價格比。

發(fā)明內(nèi)容

[發(fā)明目的]：本發(fā)明的目的是，提出一種基于虛擬化的新型蜜網(wǎng)機制，既能延長入侵者停留在蜜網(wǎng)的時間，又能保證生產(chǎn)網(wǎng)絡(luò)的安全性，提升了蜜網(wǎng)的價值。

[技術(shù)方案]：本發(fā)明的技術(shù)方案是：

1、一種基于虛擬化的蜃景蜜網(wǎng)系統(tǒng)，其特征包括：

A.一種能夠在商用服務(wù)器上運行、基于NFV/SDN技術(shù)的系統(tǒng)結(jié)構(gòu)，該系統(tǒng)由管理器、子蜜網(wǎng)集合、日志倉庫、蜃景子網(wǎng)集合和OpenFlow交換機集合構(gòu)成，系統(tǒng)的組織結(jié)構(gòu)參見圖1，系統(tǒng)的一個示例參見圖2；

B.子蜜網(wǎng)和蜃景子網(wǎng)是支持蜃景蜜網(wǎng)系統(tǒng)工作的重要部分，它們由多種虛擬蜜罐與虛擬網(wǎng)絡(luò)設(shè)備組成，具有檢測、取證入侵者的功能，它們共同形成生產(chǎn)網(wǎng)絡(luò)的安全屏障；

C.管理器具有NFV編排器、SDN控制器和決策分析器等組件的功能，其中決策分析器通過檢索子蜜網(wǎng)記錄的入侵日志，定位入侵者活動范圍，對構(gòu)建蜃景子網(wǎng)、遷移入侵者進行決策；NFV編排器接收決策分析器構(gòu)建消息，利用NFV技術(shù)創(chuàng)建、銷毀、擴容蜃景子網(wǎng)；SDN控制器接收決策分析器遷移消息，通過檢索、更新OpenFlow交換機的流表項實現(xiàn)入侵者的通信流的遷移，系統(tǒng)的主要狀態(tài)如圖3所示；

D.系統(tǒng)使用數(shù)據(jù)庫記錄系統(tǒng)中各個子網(wǎng)及其設(shè)備、鏈路和拓撲等相關(guān)信息。

2、一種基于NFV構(gòu)建蜃景子網(wǎng)的技術(shù)，其特征包括：

A.蜃景蜜網(wǎng)系統(tǒng)記錄、分析入侵者活動和染指過的設(shè)備和子蜜網(wǎng)；

B.管理器將跟蹤每個入侵者的移動軌跡，當入侵者進入位于生產(chǎn)網(wǎng)絡(luò)入口處的子蜜網(wǎng)h_p時，管理器觸發(fā)蜃景子網(wǎng)的構(gòu)建過程；管理器對于每個入侵者單獨構(gòu)建或撤銷一個蜃景子網(wǎng) h_p’；