基于虚假拓扑生成的网络防护方法及系统和系统架构

技术领域

本发明属于网络安全技术领域，特别涉及一种基于虚假拓扑生成的网络防护方法及系统和系统架构。

背景技术

虽然网络和主机的静态配置简化了可达性和可管理性，但是这也使网络侦查更加简单。攻击者可以执行网络侦查并识别可利用的漏洞，为攻击者提供战术优势。特别是，内部攻击者探测联网环境，可以识别主机和开放端口，并映射其拓扑以查找已知的漏洞或零日漏洞，以执行进一步的攻击操作。APT等复杂的定向攻击依靠网络指纹来识别主机和漏洞。根据权威统计，多达百分之七十的网络攻击是由网络侦查引起的。

攻击者利用静态网络配置不仅可以扫描网络并快速准确地确定目标从而进行有效地计划和发动攻击，还可以轻松地学习和规避检测。例如，如果攻击者选择低速率扫描，安全设备对扫描攻击的可见性会非常小，从而对手的攻击会规避扫描。即使攻击持续进行，网络也不会有任何抵抗。已有研究表明，如果蠕虫以每分钟一次的扫描速度扫描网络的话，它就可以规避掉所有主要的检测技术。欺骗的主要思想就是主动地将错误的网络配置信息发送给攻击者，诱导攻击者得出错误的信息，从而达到保护脆弱主机的目的。

发明内容

为此，本发明提供一种基于虚假拓扑生成的网络防护方法及系统及系统架构，针对现有静态网络中易被网络侦查得到真实的网络配置等问题，利用拟态防御的思想通过构建虚假网络拓扑来欺骗内部攻击者，以保护网络中良性主机，提升网络运行稳定性和可靠性。

按照本发明所提供的设计方案，一种基于虚假拓扑生成的网络防护方法，用于欺骗内部攻击者以提升网络安全，包含如下内容：

依据网络相关信息为网络中不同真实主机节点分别构建不同的虚假网络拓扑，其中，网络相关信息至少包含蜜罐信息、子网数及真实主机节点信息；

根据目的主机节点在虚假网络拓扑中位置来调整目的主机节点应答报文时延及链路带宽；

结合传输至蜜罐的相关数据包并利用SDN控制器对SDN交换机的流规则流量统计来识别恶意流量来源主机，将识别到的主机进行隔离。

作为本发明基于虚假拓扑生成的网络防护方法，进一步的，在SDN控制器和SDN交换机之间的网络链路上设置欺骗服务器；欺骗服务器依据SDN交换机转发的真实主机节点动态主机配置协议报文获取真实主机节点的网络地址信息，其中，网络地址信息包含IP地址、网关地址及DNS服务器地址；网络视图生成器依据该网络地址信息为真实主机节点生成虚假网络拓扑，并将虚假网络拓扑发送给欺骗服务器和SDN控制器。

作为本发明基于虚假拓扑生成的网络防护方法，进一步地，调整应答报文延时及链路带宽时，SDN交换机为目的主机节点发送的数据包添加基于VLAN的标签并转发；通过流量排队识别标签并进行延迟传输。

作为本发明基于虚假拓扑生成的网络防护方法，进一步地，SDN控制器依据SDN交换机请求的转发流表来判断目的主机节点是否为蜜罐，若目的主机节点为蜜罐，则判定数据包为恶意流量。

作为本发明基于虚假拓扑生成的网络防护方法，进一步地，针对恶意流量来源主机，SDN控制器请求SDN交换机的流统计数据，通过统计被传输到蜜罐的数据包数量来识别恶意流量来源主机并进行隔离。

作为本发明基于虚假拓扑生成的网络防护方法，进一步地，设置发送请求间隔时间段，SDN控制器定期请求SDN交换机的流统计数据，以统计相关数据包数量。

作为本发明基于虚假拓扑生成的网络防护方法，进一步地，通过设置数量阈值，当统计到的数据包数量超过该设置的数量阈值时，则判定来源主机为内部攻击者，SDN控制器通过删除SDN交换机上关于该来源主机的流表进行主机隔离。

进一步地，本发明还提供一种基于虚假拓扑生成的网络防护系统，用于欺骗内部攻击者以提升网络安全，包含：构建模块、调整模块和识别模块，其中，

构建模块，用于依据网络相关信息为网络中不同真实主机节点分别构建不同的虚假网络拓扑，其中，网络相关信息至少包含蜜罐信息、子网数及真实主机节点信息；

调整模块，用于根据目的主机节点在虚假网络拓扑中位置来调整目的主机节点应答报文时延及链路带宽；

识别模块，用于结合传输至蜜罐的相关数据包并利用SDN控制器对SDN交换机的流规则流量统计来识别恶意流量来源主机，将识别到的主机进行隔离。

进一步地，本发明还提供一种软件定义网络防护系统架构，包含：设置于SDN交换机和SDN控制器之间的欺骗服务器，设置于欺骗服务器与SDN控制器之间的网络视图生成器及与SDN交换机连接的蜜罐服务器；网络视图生成器依据欺骗服务器获取到的真实网络节点相关网络地址信息为真实网络节点构建用于模拟一致性网络特性的虚假网络拓扑，以实现利用SDN控制器统计与蜜罐有数据包传输的真实网络节点的SDN流规则流量来识别恶意流量来源主机并隔断。

本发明的有益效果：

本发明通过分析虚假网络拓扑的SDN流规则的流量统计数据，可以识别恶意扫描流量的来源；模拟一致的网络特性，使得用于陷阱和诱饵的蜜罐和真实主机更相似，从而达到欺骗高级攻击者的目的，能够显著增加恶意主机发现脆弱主机的时间并从流量分析中识别恶意主机，具有较好的应用前景。

附图说明：

图1为实施例中基于虚假拓扑生成的网络防护流程示意；

图2为实施例中网络欺骗系统的体系结构示意；

图3为实施例中新接入系统的主机对应的虚假拓扑生成过程示意；

图4为实施例中进行DHCP续约的主机对应的虚假拓扑生成过程示意；

图5为实施例中应答数据包延迟处理示意；

图6为实施例中识别内部攻击者流程示意；

图7为实施例中从节点1和节点3的角度去看虚假网络示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

本发明实施例，参见图1所示，提供一种基于虚假拓扑生成的网络防护方法，用于欺骗内部攻击者以提升网络安全，包含如下内容：

S101、依据网络相关信息为网络中不同真实主机节点分别构建不同的虚假网络拓扑，其中，网络相关信息至少包含蜜罐信息、子网数及真实主机节点信息；

S102、根据目的主机节点在虚假网络拓扑中位置来调整目的主机节点应答报文时延及链路带宽；

S103、结合传输至蜜罐的相关数据包并利用SDN控制器对SDN交换机的流规则流量统计来识别恶意流量来源主机，将识别到的主机进行隔离。

根据网络中蜜罐、子网数以及真实主机的放置策略和配置信息等，构建了虚假网络拓扑，并为不同的真实主机分配不同的虚假网络拓扑；根据使用特定的排队策略和调整延迟使观察到虚假拓扑的网络特性(延迟和带宽)一致；根据SDN控制器对交换机流量统计信息的分析，识别真实节点中潜藏的内部攻击者。通过分析虚假网络拓扑的SDN流规则的流量统计数据，可以识别恶意扫描流量的来源；模拟一致的网络特性，使得用于陷阱和诱饵的蜜罐和真实主机更相似，从而达到欺骗高级攻击者的目的，增加恶意主机发现脆弱主机的时间并从流量分析中识别恶意主机。

作为本发明实施例中基于虚假拓扑生成的网络防护方法，进一步的，在SDN控制器和SDN交换机之间的网络链路上设置欺骗服务器；欺骗服务器依据SDN交换机转发的真实主机节点动态主机配置协议报文获取真实主机节点的网络地址信息，其中，网络地址信息包含IP地址、网关地址及DNS服务器地址；网络视图生成器依据该网络地址信息为真实主机节点生成虚假网络拓扑，并将虚假网络拓扑发送给欺骗服务器和SDN控制器。

新接入网络欺骗系统的主机A发送DHCP报文；SDN交换机收到DHCP报文后转发至欺骗服务器；欺骗服务器将主机A的IP地址、网关地址、DNS服务器地址等信息通过SDN交换机转发至主机A；网络视图生成器为主机A生成虚假网络拓扑。

作为本发明实施例中的基于虚假拓扑生成的网络防护方法，进一步地，调整应答报文延时及链路带宽时，SDN交换机为目的主机节点发送的数据包添加基于VLAN的标签并转发；通过流量排队识别标签并进行延迟传输。

作为本发明实施例中的基于虚假拓扑生成的网络防护方法，进一步地，SDN控制器依据SDN交换机请求的转发流表来判断目的主机节点是否为蜜罐，若目的主机节点为蜜罐，则判定数据包为恶意流量。进一步地，针对恶意流量来源主机，SDN控制器请求SDN交换机的流统计数据，通过统计被传输到蜜罐的数据包数量来识别恶意流量来源主机并进行隔离。进一步地，设置发送请求间隔时间段，SDN控制器定期请求SDN交换机的流统计数据，以统计相关数据包数量。进一步地，通过设置数量阈值，当统计到的数据包数量超过该设置的数量阈值时，则判定来源主机为内部攻击者，SDN控制器通过删除SDN交换机上关于该来源主机的流表进行主机隔离。

根据目的主机在虚假网络拓扑中的位置来调整目的主机应答报文的时延，并使用排队方法保证观察到的网络节点的链路带宽一致。可将向蜜罐发送数据包的节点假定为恶意节点，并密切观察；SDN控制器定期请求SND交换机的流统计数据，以检查被传输到蜜罐的数据包数量，数据包数量超过阈值后，将该主机认定为恶意主机并将其隔离。

进一步地，基于上述的方法，本发明实施例还提供一种基于虚假拓扑生成的网络防护系统，用于欺骗内部攻击者以提升网络安全，包含：构建模块、调整模块和识别模块，其中，

构建模块，用于依据网络相关信息为网络中不同真实主机节点分别构建不同的虚假网络拓扑，其中，网络相关信息至少包含蜜罐信息、子网数及真实主机节点信息；

调整模块，用于根据目的主机节点在虚假网络拓扑中位置来调整目的主机节点应答报文时延及链路带宽；

识别模块，用于结合传输至蜜罐的相关数据包并利用SDN控制器对SDN交换机的流规则流量统计来识别恶意流量来源主机，将识别到的主机进行隔离。

进一步地，基于上述的方法和系统，本发明还提供一种软件定义网络防护系统架构，包含：设置于SDN交换机和SDN控制器之间的欺骗服务器，设置于欺骗服务器与SDN控制器之间的网络视图生成器及与SDN交换机连接的蜜罐服务器；网络视图生成器依据欺骗服务器获取到的真实网络节点相关网络地址信息为真实网络节点构建用于模拟一致性网络特性的虚假网络拓扑，以实现利用SDN控制器统计与蜜罐有数据包传输的真实网络节点的SDN流规则流量来识别恶意流量来源主机并隔断。

进一步地，结合图2和图3对新加入网络欺骗系统的主机A的虚假网络拓扑的生成过程进行简述：SDN交换机接收主机A发送的DHCP DISCOVER数据包；SDN控制器生成主机A和欺骗服务器之间的流表并下发给SDN交换机；SDN交换机将DHCP DISCOVER数据包转发给欺骗服务器；欺骗服务器将DHCP OFFER数据包发送给SDN交换机；SDN交换机将DHCP OFFER数据包转发给主机A；主机A发送DHCP REQUEST数据包；SDN交换机将DHCP REQUEST数据包转发给欺骗服务器；欺骗服务器生成DHCP ACK数据包，并发送给SDN交换机；SDN交换机将DHCPACK数据包转发给主机A；网络视图生成器生成与主机A对应的虚假网络视图，并将其发送给SDN控制器和欺骗服务器；SDN控制器生成网络中其他真实主机到A的流表，并下发到SDN交换机中。

进一步地，结合图2和图4简要说明如果主机A要进行DHCP续约，则对应A的虚假网络拓扑的生成过程如下：主机A发送DHCP REQUEST数据包到SDN交换机；SDN交换机将收到的DHCP REQUEST数据包转发到欺骗服务器；欺骗服务器发送DHCP ACK数据包到SDN交换机；SDN交换机将DHCP ACK数据包转发到主机A；网络视图生成器生成与A对应的虚假网络拓扑并发送到SDN交换机和欺骗服务器。

进一步地，结合图7，对生成的虚假网络拓扑进行示例说明：对图7中的元素进行说明：灰色的圆表示网络中的虚假路由器；椭圆表示网络中的节点，有数字编号的为网络中的真实节点，其余灰色的为蜜罐；真实节点分为用白色和渐变色区分。图7分为上下两部分，分别是从白色真实节点视角探测到的网络拓扑结构。上半部分为真实主机1探测到的拓扑结构，下半部分为真实主机3探测到的拓扑结构。通过将不同的虚假拓扑分配给不同的主机，致使不同的主机探测到的网络拓扑结构是不同的，从而达到很好的欺骗效果。

进一步地，结合图1和图5对应答数据包进行延迟处理过程进行简述：节点A将数据包发送给SDN交换机；SDN交换机为数据包添加基于VLAN的标签并转发；流量排队系统识别VLAN标签并经延迟处理程序对应答数据包进行延迟传输；SDN交换机删除标签并将数据包转发到A。

进一步地，结合图1和图5对识别新接入网络欺骗系统的主机是否为内部攻击者的过程进行简述：主机A将数据包发送给SDN交换机；SDN交换机向SDN控制器请求转发流表；SDN控制器将流表下发给SDN交换机，若目的节点为蜜罐，则将主机A假定为内部攻击者；SDN交换机将数据包转发到目的节点；每隔一段时间，SDN控制器向SDN交换机请求流规则流量统计信息；SDN交换机将流规则统计信息发送到SDN控制器，主机A和蜜罐之间流量超过一定阈值，则判定主机A为内部攻击者；SDN控制器删除SDN交换机上所有关于主机A的流表。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

基于上述的方法或系统，本发明实施例还提供一种网络设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的系统或执行上述的方法。

基于上述的系统，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的系统。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述系统实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述系统实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述系统实施例中的对应过程，在此不再赘述。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。