[发明专利]基于OpenFlow协议的恶意网站防护方法

摘要

本发明公开了一种基于OpenFlow协议的恶意网站防护方法。本发明基于SDN网络的架构和特性，通过OpenFlow协议将端系统发出的域名解析报文转发至控制器，在控制器模块中对报文进行安全检测并作出处理决策。本发明主要可以应用于SDN架构的企业网络、校园网络等环境。本发明在控制器端首先将DNS报文中的域名提取出来，再应用域名模糊匹配算法与控制器中的黑白名单进行对比，利用对比结果执行对域名解析请求的具体处理操作。本发明不仅能够有效的对终端对恶意网站的访问进行审查和隔离，同时也做到了对于域名相似的钓鱼网站的检测，而且能够在基于SDN的网络架构中便捷地改变控制器的安全策略。

主权项

1.一种基于OpenFlow协议的恶意网站防护方法，其特征在于，该方法应用于符合SDN架构定义的网络环境中，该网络环境包含域名解析服务器DNS、SDN交换机、控制器节点、用于承载危险流量的告警节点以及负责进一步安全审查的审查节点，上述各节点都与SDN交换机相连接，且它们之间进行数据的传递，上述审查节点的网络安全防护措施均高于用户节点；该防护方法具体包括以下步骤：步骤1、对所有的OpenFlow报文进行监听，捕获TCP报文且端口号为53的报文，即域名解析请求报文，随后，对该报文进行解析，提取应用层的域名信息；对所有的OpenFlow报文进行监听并对报文进行解析具体为：步骤1‑1、对收到的OpenFlow报文进行分析，检测传输层中的端口号，对端口号为53的报文进行保存，其它报文正常转发；步骤1‑2、将步骤1‑1中保存的端口号为53的报文进行处理，具体是去掉域中.com、.cn、.org、.net这些不域名信息，生成核心域名信息；步骤2、将该域名信息与控制器节点中的黑白名单进行匹配，根据匹配结果判断域名是否可以信任，如果该域名信息与黑名单中的信息相匹配，则执行步骤3，如果该域名信息与白名单中的信息相匹配，则执行步骤4，如果该域名信息与黑白名单均不匹配，则执行步骤5；所述黑名单是指已知的恶意网站域名信息列表，白名单是指已知的可信性的网站域名信息列表；步骤3、控制器将报文丢弃，并重新构造一个新DNS报文，该新DNS报文的目的地址为网络中用于警示用户的告警节点地址，封装为OpenFlow协议报文下发给SDN交换机；之后，执行步骤6；重新构造一个新DNS报文，具体为：步骤3‑1、新建一个空的DNS报文，填入告警节点的IP地址，设置标志位为0x8180，即支持递归查询的成功的标准DNS响应报文，填入源解析请求报文中的Transaction ID，所述Transaction ID字段用来表示相应的一对DNS查询\响应报文；步骤3‑2、新建一个空的UDP报文，填入源解析请求中的源与目的端口，将步骤3‑1中的DNS报文封装在内；新建一个IP报文，填入源解析请求报文中的源与目的IP地址，将UDP报文封装在内；新建一个以太网报文，填入源解析请求报文中的源与目的MAC地址，将IP报文封装在内；步骤3‑3、新建一个OpenFlow报文，使用控制器中获取网络环境参数的方法得到源OpenFlow消息的来源端口，并设置OpenFlow消息的action为向来源端口转发，最后将这个报文发送至SDN交换机等待转发；步骤4、控制器不对该域名解析请求报文做任何处理并且向SDN交换机下发正常转发该请求报文的流表信息；之后，正常访问该网站；步骤5、采用基于KMP算法的字形模糊匹配算法对域名进行检测，如果检测结果是恶意网站网址，则执行步骤3，否则执行步骤7；步骤6、告警节点将DNS请求报文丢弃，并发出告警信息；步骤7、控制器放弃转发该报文，并重建解析应答报文，该报文的目的地址指向网络中审查节点的地址，并下发至SDN交换机；并利用审查节点访问该网站，之后将该网站进行备份审查，同时审查节点将会对用户上网过程进行监控。