[发明专利]基于OpenFlow协议的恶意网站防护方法

说明书

本发明公开了一种基于OpenFlow协议的恶意网站防护方法。本发明基于SDN网络的架构和特性，通过OpenFlow协议将端系统发出的域名解析报文转发至控制器，在控制器模块中对报文进行安全检测并作出处理决策。本发明主要可以应用于SDN架构的企业网络、校园网络等环境。本发明在控制器端首先将DNS报文中的域名提取出来，再应用域名模糊匹配算法与控制器中的黑白名单进行对比，利用对比结果执行对域名解析请求的具体处理操作。本发明不仅能够有效的对终端对恶意网站的访问进行审查和隔离，同时也做到了对于域名相似的钓鱼网站的检测，而且能够在基于SDN的网络架构中便捷地改变控制器的安全策略。

技术领域

本发明属于恶意网站防护技术，特别是一种基于OpenFlow协议的恶意网站防护方法。

背景技术

钓鱼攻击是网络攻击中比较典型的一种攻击。这种攻击方式通过在网页或邮件中植入恶意代码或欺骗性链接，使用户在不察觉的情况下访问恶意网站并透露自己的隐私信息，这种攻击方式的特点是隐蔽性欺骗性强、富有诱惑性，是一种成功率比较高的网络攻击方式。传统的对于这种恶意网站的防护方式受到了网络架构的限制，防护效果并不理想。

目前SDN架构下的安全防护方案仍然处于初始研究阶段，大部分研究工作致力于加强SDN架构中控制器的安全，如通过在控制器南向接口处增加逻辑分层组件，在控制器原有设计基础上增加资源池，应用管理等模块，并对各数据交换接口和基础控制模块的业务控制进行安全改进。(薛聪,马存庆,刘宗斌,等.一种安全SDN控制器架构设计[J].信息网络安全,2014,(9):34-38.DOI:10.3969/j.issn.1671-1122.2014.09.008)；另一部分提出了基于OpenFlow协议的简单安全防护方案，如通过提取OpenFlow流统计信息中与DDOS攻击相关的六元组，采用人工神经网络方法识别DDOS攻击。(Detti A,Blefari-Melazzi N,Salsano S,Pomposini M.CONET:A content centric inter-networkingarchitecture.In:Proc.of the SIGCOMM 2011 Workshop on Information-CentricNetworking(ICN).Toronto:ACM Press,2011.50-55.[doi:10.1145/2018584.2018598])。但是上述的安全防护方案都是主动防护的安全方案，并未考虑到当用户在不知情的前提下主动访问恶意网站时的情况，更没有在SDN应用层面上对一般网络用户访问过程进行保护的防护方案。

发明内容

本发明的目的在于提供一种能够在SDN网络架构下对恶意网站进行防护和主动识别的防护方法，并能通过OpenFlow协议向用户发出警告并将危险流量引导至审查节点对域名进行进一步审查。

实现本发明目的的技术解决方案为：一种基于OpenFlow协议的恶意网站防护方法，该方法应用于符合SDN架构定义的网络环境中，该网络环境包含域名解析服务器DNS、SDN交换机、控制器节点、用于承载危险流量的告警节点以及负责进一步安全审查的审查节点，上述各节点都与SDN交换机相连接，且它们之间进行数据的传递，上述审查节点的网络安全防护措施均高于用户节点；该防护方法具体包括以下步骤：

步骤1、对所有的OpenFlow报文进行监听，捕获TCP报文且端口号为53的报文，即域名解析请求报文，随后，对该报文进行解析，提取应用层的域名信息；

步骤2、将该域名信息与控制器节点中的黑白名单进行匹配，根据匹配结果判断域名是否可以信任，如果该域名信息与黑名单中的信息相匹配，则执行步骤3，如果该域名信息与白名单中的信息相匹配，则执行步骤4，如果该域名信息与黑白名单均不匹配，则执行步骤5；所述黑名单是指已知的恶意网站域名信息列表，白名单是指已知的可信性的网站域名信息列表；