[发明专利]基于SDN架构和蜜网的网络流量控制方法及系统

说明书

本发明属于网络安全技术领域，特别涉及一种基于SDN架构和蜜网的网络流量控制方法及系统，包含：设置于控制层的SDN控制器、及与控制器连接的蜜网；所述SDN控制器设置于蜜网上层，通过SDN控制器所在的控制层维护蜜网中各服务，并针对恶意流量选取最合适蜜罐来转发；所述控制层还包含：用于通过检测外部网络接入流量来获取攻击信息的包检测模块、用于维护蜜罐服务拓扑信息的拓扑地图模块、用于收集蜜罐回应并根据预设规则选择最佳回应反馈的连接选择模块及用于通过检查蜜罐指纹信息筛选暴露蜜罐的回应筛选模块。本发明能够对异常攻击流量进行精确控制和丢弃，进而对攻击者恶意行为进行更加全面的记录，具有较好的应用前景。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于SDN架构和蜜网的网络流量控制方法及系统。

背景技术

软件定义网络(Software-defined networking，SDN)，是通过增加网络的可编程性来提高网络的灵活度的新型网络架构技术，改进当前偏重静态、配置复杂、改动麻烦的网络架构。相比于传统以交换机、路由器为基础设施的网络，SDN不仅可以实现网络应该具有的互联共享功能，而且具有构造简单、扩展性好、灵活度高，可以实现更加细粒度的网络控制等优势。SDN作为一种解决传统网络固化、复杂等问题的新型网络体系结构，其秉持控制与转发平面分离、网络状态集中控制、支持软件编程等设计理念所构造的网络结构具有三个显著的特点：转控分离、集中控制、开放接口。

SDN在物理模型上分为三个层面，即协同应用层、控制层、转发层，在各个层面之间通过接口进行通信，其中北向接口是与传统管理接口形式和类型类似的SDN管理接口，南向接口是数据交互接口，主要用于控制器与转发器之间进行数据交互，东西向接口主要用于SDN网络和其它网络进行通信。SDN的迅速发展和深化应用，丰富了传统信息安全防护技术和思路，将对传统信息安全产生重大影响。蜜网就是由多台各种类型的蜜罐系统构成蜜网网络,第三代蜜网通过一个以桥接模式部署的蜜网网关(HoneyWall)与外部网络连接；蜜网网关构成了蜜网与外部网络的唯一连接点,外部网络所有与蜜罐系统的网络交互流量都将通过蜜网网关,因此,在蜜网网关上可以实现对安全威胁的网络数据捕获,以及对攻击进行有效控制。此外,蜜网网关的桥接方式不对外提供IP地址,同时也不对通过的网络流量进行TTL递减与路由,以确保蜜网网关极难被攻击方发现。而安全研究人员通过蜜网网关的管理接口连接对蜜网网关进行管理控制,以及对蜜网网关上捕获和汇集的安全威胁数据进行分析。如何将SDN网络架构与蜜网结合，通过对蜜网状态感知来实现网络流量控制成为网络安全防御的又一新的手段。

发明内容

为此，本发明提供一种基于SDN架构和蜜网的网络流量控制方法及系统，在现有的蜜网结构中加入SDN的架构，提供有效的蜜网内部管理方案，对异常攻击流量进行精确控制和丢弃，实现对蜜网系统的保护进而对攻击者恶意行为进行更加全面的记录。

按照本发明所提供的设计方案，提供一种基于SDN架构和蜜网的网络流量控制系统，包含：设置于控制层的SDN控制器、及与控制器连接的蜜网；所述SDN控制器设置于蜜网上层，通过SDN控制器所在的控制层维护蜜网中各服务，并针对恶意流量选取最合适蜜罐来转发；所述控制层还包含：用于通过检测外部网络接入流量来获取攻击信息的包检测模块、用于维护蜜罐服务拓扑信息的拓扑地图模块、用于收集蜜罐回应并根据预设规则选择最佳回应反馈的连接选择模块及用于通过检查蜜罐指纹信息筛选暴露蜜罐的回应筛选模块。

作为本发明基于SDN架构和蜜网的网络流量控制系统，进一步地，所述包检测模块将攻击信息相应标签存入数据包头，并将标签信息上传至SDN控制器；拓扑地图模块依据标签信息寻找相关蜜罐服务，并向SDN交换机发送策略路由；SDN交换机依据策略路由，将标签信息对应的攻击信息数据包流量转发至相应蜜罐。

作为本发明基于SDN架构和蜜网的网络流量控制系统，进一步地，所述拓扑地图模块设置有用于维护各蜜罐的定时器，通过定时器定期对蜜罐进行通信并对蜜罐状态定期快照。