[发明专利]一种基于软件定义网络的恶意网站防护方法及系统

摘要

本发明提供一种基于软件定义网络的恶意网站防护方法及系统，所述方法首先检测DNS请求数据的域名信息是否存在于白名单和黑名单生成的布隆过滤器内，然后对于可疑的DNS请求数据提取主机名，判定该主机名是否可信，如果可信则对该DNS请求数据进行转发，否则进行报警并记录可疑域名。本发明方法仅需把第一次出现的DNS请求数据包送到中心控制器检测，不需要解析所有的数据包，且根据检测结果把过滤规则下发到各个OpenFlow交换机，实现恶意网站请求在最靠近源的交换机端进行过滤，在进入网络主干之前进行拦截，而且本发明无需安装任何防火墙和杀毒工具，使用更加有效、简便。本发明方法和系统结合实现了基于软件定义网络的恶意网站防护。

主权项

1.一种基于软件定义网络的恶意网站防护方法，其特征在于，所述方法包括以下步骤：S1：采集DNS请求数据；S2：解析DNS请求数据中的DNS报文头部，获取opcode字段信息，根据opcode字段的数值触发名单修改或者跳转到步骤S3；名单修改的具体方法为：重新定义opcode字段的10～15的数值及其对应的操作，从而将DNS请求数据中的域名添加到白名单、黑名单或顶级域名名单列表生成的布隆过滤器中，或者将DNS请求数据中的域名从白名单、黑名单或顶级域名名单列表生成的布隆过滤器中删除；S3：判断DNS请求数据中的域名信息是否在白名单列表生成的布隆过滤器内，如果是则对该DNS请求数据进行转发，否则跳转到步骤S4；具体为：首先，读取可信域名列表，逐条域名存放到白名单布隆过滤器，然后，中心控制器通过对DNS请求数据中的域名信息进行哈希运算，判断其是否在白名单列表生成的布隆过滤器内，如果是则对该DNS请求数据进行转发，否则跳转到步骤S4；S4：判断DNS请求数据中的域名信息是否在黑名单列表生成的布隆过滤器内，如果是则丢弃该DNS请求数据，否则跳转到步骤S5；具体为：首先，读取恶意域名列表，逐条域名存放到黑名单布隆过滤器，然后，中心控制器通过对DNS请求数据中的域名信息进行哈希运算，判断其是否在黑名单列表生成的布隆过滤器内，如果是则丢弃该DNS请求数据，否则跳转到步骤S5；S5：提取DNS请求数据的域名信息中的主机名，判定该主机名是否可信，如果可信则对该DNS请求数据进行转发，否则进行报警并记录可疑域名，具体为：对各级域名进行多次提取并对各级域名进行多个哈希运算，判断其是否在顶级域名以及二级域名名单列表生成的布隆过滤器内，根据得到的最后的主机名，判断其与合法主机名编辑距离min Dist是否在满足α≤min Dist≤β，其中α和β为预设的编辑距离的阈值，从而判定该主机名是否可信，如果可信则对该DNS请求数据进行转发，否则进行报警并记录可疑域名。