[发明专利]基于SDN技术构建欺骗诱捕仿真主机的方法、装置、系统

说明书

本发明涉及一种基于SDN技术大规模构建欺骗诱捕仿真主机的方法、装置、系统，属于信息安全技术领域。基于SDN技术大规模构建欺骗诱捕仿真主机的方法，其具体包括以下步骤：步骤一：系统配置，对系统进行标签处理；步骤二：网络识别，对空闲IP进行识别；步骤三：生产仿真主机，形成最大量仿真主机；步骤四：控制流量转发；步骤五：记录攻击行为。本发明通过配置物理交换机、虚拟交换机，采用Vlan、VxLAN、网关的一种或多种网络基本属性，进行标签处理，并通过反向代理算法对标签快速适应，识别空闲IP，进而通过增加流表项关联SDN控制器与后端蜜罐进行多对一或多对多的关系对应，形成最大量仿真主机，进而提高诱捕的成功率。

技术领域

本发明涉及信息安全技术领域，更具体的说是涉及一种基于SDN技术大规模构建欺骗诱捕仿真主机的方法、装置、系统。

背景技术

随着互联网出现和发展，网络安全问题也日渐凸显，特别是随着APT高级持续性威胁出现，网络攻击复杂化、自动化、智能化的特点逐步显现，网络安全问题更加严峻。传统的网络防御技术大都是通过入侵检测、防火墙等方法来保护网络及系统的安全，属于被动防御手段，使得防御方在攻防过程中基本上处于劣势地位，针对与此出现了以欺骗诱捕技术为核心的主动防御技术。

欺骗诱捕技术通过构建仿真主机，将网络攻击行为转移到后端的蜜罐系统中，从而记录攻击行为，降低攻击者攻击到网络中的真实主机。欺骗诱捕构建仿真主机的数量直接关系到诱捕的成功率，目前的云环境、物理环境无法快速构建大规模的仿真主机。

发明内容

有鉴于此，本发明提供了一种基于软件定义网络(Software Defined Network，SDN)技术大规模构建欺骗诱捕仿真主机的方法、装置、系统。

为实现上述目的，本发明提供如下技术方案，主要包括：

基于SDN技术大规模构建欺骗诱捕仿真主机的方法，其具体包括以下步骤：

步骤一：系统配置，对系统进行标签处理；

步骤二：网络识别，对空闲IP进行识别；

步骤三：生产仿真主机，形成最大量仿真主机；

步骤四：控制流量转发；

步骤五：记录攻击行为。

优选的，所述步骤一系统配置，通过配置物理交换机、虚拟交换机，采用Vlan、VxLAN、网关的一种或多种网络基本属性，进行标签处理。

优选的，所述步骤二网络识别，通过SDN的流表转发控制数据取反，反向代理算法对标签快速适应，识别空闲IP。

优选的，所述步骤三生产仿真主机，通过增加流表项关联SDN控制器与后端蜜罐进行多对一或多对多的关系对应，形成最大量仿真主机。

优选的，所述步骤四控制流量转发，通过Vlan或VxLAN或网关IP，定向将到达仿真主机的流量指向对应的蜜罐系统。

优选的，所述步骤五记录攻击行为，通过后端蜜罐系统记录攻击系统。

优选的，所述仿真主机的构建，通过SDN的北向接口，下发路由转发规则，进而构建仿真主机。

优选的，一种基于SDN技术大规模构建欺骗诱捕仿真主机的系统，为一种运行上述方法的系统框架，其欺骗诱捕构建仿真主机的数量越多诱捕的成功率越大。

优选的，一种基于SDN技术大规模构建欺骗诱捕仿真主机的装置，该装置为能够实现上述方法以及系统的装置。