[发明专利]一种SDN网络动态目标防御系统及方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种SDN网络动态目标防御系统及方法。

背景技术

动态目标防御—所谓动态目标防御(Moving Target Defense，MTD)的策略，是建立一个(由外部看来)属性多样而不断变化的网络系统，使黑客在发动攻击前难以对目标进行侦查，藉此增加攻击的难度而达成防御。可随机变动的属性包含IP、Port、路由、主机身份、指令集合等。比起传统网络，SDN网络控制与转发分离的特性更容易实现出这样的网络系统。北卡罗来纳大学基于OpenFlow协议研发的随机主机转换(OF-RHM)技术，即是利用SDN网络实现主机IP快速转换，但同时保持网络服务对用户透明，实验证明可有效防范随机扫描攻击及蠕虫传播。

MTD的理论依据是，攻击者将无法映射一个不断变化的系统，并实施协同攻击。动态目标防御策略会改变网络防御，系统参数从静态配置变得更加动态，这样攻击者就很难发现并利用漏洞。为攻击者创建了不确定性，可战胜针对关键网络基础设施的攻击。通过指挥与控制系统，能够评估、规划、执行协调的防御，以避免网络系统冲突，限制攻击可用的途径。

比如在论文“OpenFlow Random Host Mutation:Transparent Moving Target Defense using Software Defined Networking”中提到将真实的IP保密不变，但将主机与一个短期虚拟IP地址关联。该技术仅是简单的将真实主机与虚拟的IP地址绑定，并定期更新虚拟IP地址。攻击者仍可通过对MAC地址或端口地址或两者的组合进行对攻击目标的扫描。另外虚拟IP为IPv4，可分配为虚拟地址的地址空间有限，攻击者仍可较轻松的扫描进一步了解攻击目标。

此外，申请号为200710179203.1的发明专利申请公开了一种结合路由和隧道重定向网络攻击的方法，其通过在网关N1与连接蜜罐主机的网关N2之间设置隧道、配置第二张路由表，并标记网络攻击IP包，从而将网络攻击重定向到远端相同子网地址的蜜罐主机上，实现重定向网络攻击。本发明的方法简便易行，快速高效，特别适合在重要网关上临时重定向网络攻击的情况；同时本发明的方法具有风险低，无需担心网络的最小MTU或者IP包分片问题。

此发明仅通过在网关N1与连接蜜罐主机的网关N2之间设置隧道、配置第二张路由表，并标记网络攻击IP包，从而将网络攻击重定向到远端相同子网地址的蜜罐主机上，实现重定向网络攻击。攻击者能在触发保护功能之前到达真实的主机，经过对比即可察觉流量进入蜜罐。另外蜜罐地址与攻击目标绑定不变，这也带来了相当大的安全漏洞。

发明内容

本发明的目的是为了克服现有技术的缺陷，提供一种SDN网络动态目标防御系统及方法，从而增大了攻击者检测目标的难度。

为了解决上述技术问题，本申请公开了如下技术方案：

第一方面，本发明公开了一种SDN网络动态目标防御系统，该系统由动态目标防御模块和SDN控制器管理模块构成。

动态目标防御模块包括流量分析模块、映射信息存储模块、目标转化模块、加密传输模块、负载平衡模块、安全认证模块和业务流记录数据库、映射信息记录数据库。

流量分析模块分析数据包，能够获取业务流标识、协议、目标MAC地址、目标IP地址、目标端口地址，源MAC地址、源IP地址、源端口地址信息，由此分析得出数据包所属业务的协议，所属的业务，待访问的目标的真实机器地址，最终判断此业务流的敏感程度，生成安全级别指标。

映射信息存储模块负责将业务流记录数据库的存储管理，并且定期扫描数据库将失效时间超过设定值的流表从数据库中清除出去。

目标转化模块能根据业务流的安全级别指标使用随机映射算法，将源MAC地址、源IP地址、源端口地址映射成虚拟的MAC地址、IPv6地址、端口地址。

加密传输模块确保MTD服务器之间、MTD服务器与其他网元通信的安全。

安全认证模块对访问MTD的对象进行认证，只允许有访问权限的内网网元的进入。

负载平衡模块对当前MTD服务器的工作负载进行监控，当负载超过阈值时转移到其他MTD服务器进行处理或执行如简单丢包此类的安全措施。

业务流记录数据库存放业务流记录表项，映射信息记录数据库存放映射信息记录表项。

SDN控制器管理模块包括流表生成模块、流表分发/同步模块、路由选择模块、DNS服务模块、负载平衡模块、分布式管理模块、安全通信模块、冗余备份模块、安全认证模块和流表数据库。