[发明专利]一种基于随机化算法的SDN网络IP地址跳变方法

说明书

一种基于随机化算法的SDN网络IP地址跳变方法，涉及计算机技术领域，包括第一主机、第二主机、随机IP地址生成器、交换机、控制器和虚拟IP地址配置管理器；第一主机和第二主机通过控制器连接；控制器和虚拟IP地址配置管理器通过交换机连接。本发明通过第一主机、第二主机、随机IP地址生成器、交换机、控制器和虚拟IP地址配置管理器配合，随机化算法模型通过流规则对真实IP地址和虚拟IP地址进行跳变，并在跳变后的IP地址中进行蜜罐埋入、反追踪设置和监控设置，既提升了网络通信的安全性，又提高了系统的攻击性，实现主动防御和被动防御结合。

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于随机化算法的SDN网络IP地址跳变方法。

背景技术

针对当前网络固有的攻防不对称特性，为了平衡现有网络的攻防环境，美国网络安全与信息保障研发计划提出了应对新型网络攻击的新概念——移动目标防御技术(又称动目标防御，Moving Target Defense，MTD)。

MTD的核心思想是利用受攻击面的变化使网络系统动态化，通过“化静为动、反客为主”的机制策略，提供动态、主动的网络防御功能，使系统具有更少的确定性、静态性、同构性，利用随机化和多样化为攻击者造成困难和障碍，使攻击者难以完成攻击任务，以此减少攻击者攻击成功的可能性，从而让防守方取得有利局面。

随着MTD理论受关注程度的不断提高，越来越多的研究开始着重探讨MTD的实现路径。其中，SDN(软件定义网络)是一种基于开放标准的灵活架构，具备集中控制、灵活定制的独特优势，可以非常好的支持MTD技术实现以及防御效能发挥。因此，将MTD的动态变换与SDN的灵活编排相结合，已成为更具应用价值的研究热点。

在攻击者对OpenFlow交换机发起攻击之前，需要获得攻击目标确切的IP地址、端口号或转发路径。因此，上述参数的改变，能够有效抵御有针对性的侦查攻击。针对数据层的一系列攻击，当前面向SDN的移动目标防御技术主要包括以下3种技术：1)地址跳变；2)路由跳变；3)端口跳变。针对地址跳变，现有的技术方法存在防御方式单一的问题，影响系统的稳定性、安全性。

发明内容

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种基于随机化算法的SDN网络IP地址跳变方法，包括第一主机、第二主机、随机IP地址生成器、交换机、控制器和虚拟IP地址配置管理器；第一主机和第二主机通过控制器连接；控制器和虚拟IP地址配置管理器通过交换机连接。本发明通过第一主机、第二主机、随机IP地址生成器、交换机、控制器和虚拟IP地址配置管理器配合，随机化算法模型通过流规则对真实IP地址和虚拟IP地址进行跳变，并在跳变后的IP地址中进行蜜罐埋入、反追踪设置和监控设置，既提升了网络通信的安全性，又提高了系统的攻击性，实现主动防御和被动防御结合。

(二)技术方案

为解决上述问题，本发明提供了一种基于随机化算法的SDN网络IP地址跳变方法，包括第一主机、第二主机、随机IP地址生成器、交换机、控制器和虚拟IP地址配置管理器；第一主机和第二主机通过控制器连接；控制器和虚拟IP地址配置管理器通过交换机连接；随机IP地址生成器连接虚拟IP地址配置管理器；第一主机上设置有IP地址请求模块；控制器上设置有数据处理模块、网络映射数据库模块、控制模块和IP地址解析模块；第二主机上设置有连接的IP地址存储模块和加密模块；交换机上设置有解密模块、虚拟IP地址获取模块、IP地址跳变模块和伪装模块；虚拟IP地址配置管理器上设置有虚拟IP管理模块。

优选的，IP地址请求模块向控制器发出信号，数据处理模块通过OpenFlow接口对当前网络流表信息进行截取，并存储、分类、汇总，判断IP地址请求的可执行性。

优选的，数控制模块连接据处理模块、网络映射数据库模块和IP地址解析模块。