本發(fā)明專利技術(shù)公開了一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換系統(tǒng)及方法,該方法采集請求數(shù)據(jù)報文、計(jì)算并統(tǒng)計(jì)請求報文源IP地址和目的IP地址的分布概率;比較相鄰時間間隔內(nèi)源IP地址和目的IP地址分布的相似性,確定掃描攻擊目標(biāo)和掃描策略;根據(jù)不同的掃描策略生成不同的IP地址轉(zhuǎn)換策略;執(zhí)行IP地址轉(zhuǎn)換策略完成IP地址和端口號的主動遷移。基于威脅感知觸發(fā)跳變策略,提高網(wǎng)絡(luò)跳變策略選取的針對性。通過自適應(yīng)調(diào)整跳變端信息與跳變周期,實(shí)現(xiàn)對端節(jié)點(diǎn)適度保護(hù)。護(hù)。護(hù)。
【技術(shù)實(shí)現(xiàn)步驟摘要】
一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換系統(tǒng)及方法
[0001]本專利技術(shù)屬于網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種基于SDN的網(wǎng)絡(luò)變換系統(tǒng)及方法。
技術(shù)介紹
[0002]隨著攻擊愈加智能化、自動化,攻擊者有95%的時間用于收集目標(biāo)網(wǎng)絡(luò)信息并策劃攻擊方法。因此,網(wǎng)絡(luò)掃描作為各種攻擊手段的先導(dǎo)技術(shù)和初始階段,為網(wǎng)絡(luò)攻擊的有效實(shí)施發(fā)揮著不可替代的作用。網(wǎng)絡(luò)掃描是通過向選定范圍內(nèi)的節(jié)點(diǎn)發(fā)送探測報文以獲取目標(biāo)網(wǎng)絡(luò)中節(jié)點(diǎn)信息的偵測手段。掃描的內(nèi)容包括網(wǎng)際協(xié)議(IP)地址掃描和端口掃描兩種。1)IP地址掃描:攻擊者通過發(fā)送ICMP回應(yīng)請求報文在未知網(wǎng)絡(luò)探測端節(jié)點(diǎn)的可達(dá)性和IP地址。2)Port掃描:當(dāng)攻擊者鎖定了活躍端節(jié)點(diǎn)的IP地址,將會通過TCP掃描和UDP掃描探測目標(biāo)節(jié)點(diǎn)的開放端口。其中,針對TCP的掃描主要利用全TCP掃描,即通過TCP三次握手與目標(biāo)節(jié)點(diǎn)建立完整TCP連接以確定端口是否開放;或者偽造TCP報文片段,如偽造的SYN、FIN、Xmas、和NULL位等報文探測目標(biāo)端口是否開放。對UDP的掃描則主要利用ICMP報文實(shí)施。
[0003]網(wǎng)絡(luò)掃描可用掃描寬度和掃描頻度兩個屬性描述,依據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)和獲得的知識信息,網(wǎng)絡(luò)掃描采用不同的掃描策略,以提高掃描的有效性。依據(jù)掃描寬度和頻度可分為盲掃描、非盲掃描兩種策略。(1)盲掃描策略:盲掃描是攻擊者對全部節(jié)點(diǎn)空間內(nèi)的端信息進(jìn)行均勻掃描以偵測活躍端節(jié)點(diǎn)所采用的策略。由于現(xiàn)有網(wǎng)絡(luò)架構(gòu)具有確定、靜態(tài)的特性,因此,攻擊者通過采用盲掃描策略實(shí)現(xiàn)無重復(fù)的均勻掃描以提高偵測速率。(2)非盲掃描策略:非盲掃描時攻擊者對選定范圍的節(jié)點(diǎn)空間進(jìn)行重復(fù)性非均勻掃描以偵測活躍端節(jié)點(diǎn)所采用的策略。由于攻擊者已知端節(jié)點(diǎn)的分布狀況,因此通過非盲掃描進(jìn)行重復(fù)性的非均勻掃描以提高掃描的成功率。
[0004]SDNA通過在每個子網(wǎng)內(nèi)部署一個超級管理節(jié)點(diǎn)將實(shí)際IP地址轉(zhuǎn)換為虛擬IP地址,實(shí)現(xiàn)對端節(jié)點(diǎn)的虛擬跳變,以防止外部攻擊者對內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)的掃描。OF
?
RHM是一種基于OpenFlow的IP轉(zhuǎn)換機(jī)制,通過每次會話時將實(shí)際IP轉(zhuǎn)換虛擬IP實(shí)現(xiàn)端地址跳變。該方法通過形式化描述選取IP所需滿足的約束,在此基礎(chǔ)上利用平均概率或者權(quán)值的方法選取跳變的IP地址實(shí)施跳變。MacFarland等人提出了基于SDN的端信息混淆機(jī)制,SDN控制器在每個連接建立時利用端節(jié)點(diǎn)的真實(shí)IP和MAC地址獲得合成IP(synthesis IP sIP),從而防止端節(jié)點(diǎn)真實(shí)地址泄露。Qiang等人提出了基于OpenFlow的重定向跳變方法,通過增加額外的交換代理將可信的正常用戶和可疑用戶進(jìn)行區(qū)分,并在此基礎(chǔ)上通過交換代理動態(tài)遷移抵御DDoS攻擊。Debroy等人提出了一種基于SDN的低頻跳變方法。它利用虛擬機(jī)作為隱蔽交換代理實(shí)施動態(tài)遷移,并通過分析目標(biāo)網(wǎng)絡(luò)的安全態(tài)勢確定跳變的周期,從而降低跳變的成本。Wang等人則提出了一種基于嗅探反射器的惡意偵測防御方法。它基于SDN構(gòu)造影子網(wǎng)絡(luò),通過反饋隨機(jī)生成的目標(biāo)網(wǎng)絡(luò)信息迷惑攻擊者,從而抵御惡意掃描攻擊。Jafarian等人提出了一種時空混合隨機(jī)跳變(Spatial and Temporal
?
Random Host Mutation,ST
?
RHM)機(jī)制,它基于SDN架構(gòu)在地址空間跳變的基礎(chǔ)上加入時域隨機(jī)跳變,從而通過時間
?
空間二維混合跳變以抵御協(xié)同掃描。
[0005]上述現(xiàn)有技術(shù)存在下列問題:
[0006]1)針對不同的掃描和嗅探方法,單一的變換方式難以保證防御的有效性:由于網(wǎng)絡(luò)掃描可以分為盲掃描、非盲掃描兩大類型,單一的變換方式難以同時滿足防御的有效性和經(jīng)濟(jì)性。特別地,對于非盲掃描攻擊,隨著網(wǎng)絡(luò)掃描策略愈加多變且具有針對性,“盲目隨機(jī)”的跳變策略將極大降低防御的效能。因此,如何面向不同掃描策略有針對地選取跳變策略成為了保證跳變有效的前提。
[0007]2)由于有限跳變空間和固定的跳變周期,導(dǎo)致跳變防御有效性差:網(wǎng)絡(luò)跳變中可選攻擊面維度和取值范圍的有限性,導(dǎo)致跳變不可預(yù)測性降低;與此同時,跟隨掃描策略可通過變換掃描頻率實(shí)現(xiàn)端信息跟蹤,導(dǎo)致跳變時效性差。
技術(shù)實(shí)現(xiàn)思路
[0008]有鑒于此,本專利技術(shù)提供一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換系統(tǒng)及方法,旨在提高網(wǎng)絡(luò)跳變的不可預(yù)測性和時效性。
[0009]為解決以上技術(shù)問題,本專利技術(shù)提供一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換系統(tǒng),包括:檢測代理,用于采集請求數(shù)據(jù)報文、計(jì)算并統(tǒng)計(jì)請求報文源IP地址和目的IP地址的分布概率;控制器,包括檢測分析模塊、轉(zhuǎn)換策略生成模塊;所述檢測分析模塊用于比較相鄰時間間隔內(nèi)源IP地址和目的IP地址分布的相似性,確定掃描攻擊目標(biāo)和掃描策略;所述轉(zhuǎn)換策略生成模塊用于根據(jù)不同的掃描策略生成不同的IP地址轉(zhuǎn)換策略;跳變代理,執(zhí)行IP地址轉(zhuǎn)換策略完成IP地址和端口號的主動遷移。
[0010]作為一種改進(jìn),所述檢測代理包括采集和數(shù)據(jù)統(tǒng)計(jì)模塊、緩存隊(duì)列和時間窗維護(hù)模塊、掃描分布計(jì)算模塊和可疑數(shù)據(jù)上報模塊;所述采集和數(shù)據(jù)統(tǒng)計(jì)模塊用于采集請求報文,并生成時間間隔t內(nèi)的流統(tǒng)計(jì)數(shù)據(jù);所述緩存隊(duì)列和時間窗維護(hù)模塊用于維護(hù)本地緩存隊(duì)列,存儲統(tǒng)計(jì)數(shù)據(jù),實(shí)現(xiàn)時間滑窗機(jī)制;所述掃描分布計(jì)算模塊用于計(jì)算請求數(shù)據(jù)包中源IP地址、目的IP地址的概率分布;所述可疑數(shù)據(jù)上報模塊用于將計(jì)算的地址概率統(tǒng)計(jì)數(shù)據(jù)發(fā)送給控制器檢測分析模塊;
[0011]所述跳變代理包括IP地址映射模塊、數(shù)據(jù)包修改模塊;所述IP地址映射模塊用于接受控制器轉(zhuǎn)換策略生成模塊生成的轉(zhuǎn)換策略,計(jì)算轉(zhuǎn)換的虛擬IP地址,并構(gòu)建虛擬IP地址和實(shí)際IP地址映射列表;所述數(shù)據(jù)包修改模塊用于攔截子網(wǎng)內(nèi)發(fā)送的數(shù)據(jù)報文,修改數(shù)據(jù)報文的報頭信息。
[0012]本專利技術(shù)還提供一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換方法,其特征在于包括:采集請求數(shù)據(jù)報文、計(jì)算并統(tǒng)計(jì)請求報文源IP地址和目的IP地址的分布概率;比較相鄰時間間隔內(nèi)源IP地址和目的IP地址分布的相似性,確定掃描攻擊目標(biāo)和掃描策略;根據(jù)不同的掃描策略生成不同的IP地址轉(zhuǎn)換策略;執(zhí)行IP地址轉(zhuǎn)換策略完成IP地址和端口號的主動遷移。
[0013]作為一種進(jìn)一步的改進(jìn),所述采集請求數(shù)據(jù)報文、計(jì)算并統(tǒng)計(jì)請求報文源IP地址和目的IP地址的分布概率包括:檢測代理完成本地緩存隊(duì)列初始化,設(shè)置滑動窗口,并向控制器檢測分析模塊上報確認(rèn)信息;控制器檢測分析模塊接收確認(rèn)信息后進(jìn)入監(jiān)聽階段,并向檢測代理下發(fā)時間消息和采樣配制參數(shù);檢測代理接收到時間消息和采樣配制參數(shù)后完成時間同步啟動定時機(jī)制,并根據(jù)配制參數(shù)收集子網(wǎng)內(nèi)的請求數(shù)據(jù)包;檢測代理分析處理
采集的請求數(shù)據(jù)包,根據(jù)滑動窗口內(nèi)的統(tǒng)計(jì)數(shù)據(jù)計(jì)算每個時間間隔內(nèi)源IP地址、目的IP地址和端口號的分布,并將采樣分布上報給控制器檢測分析模塊。
[0014]作為另一種更進(jìn)一步的改進(jìn),所述檢測代理分析處理采集的請求數(shù)據(jù)包為分不同時間段統(tǒng)計(jì)每個子網(wǎng)內(nèi)在連續(xù)時間間隔內(nèi)收到的請求數(shù)據(jù)包中源IP地址、目的IP地址、目的端口號,分配新的隊(duì)列空間本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
【技術(shù)特征摘要】
1.一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換系統(tǒng),其特征在于包括:檢測代理,用于采集請求數(shù)據(jù)報文、計(jì)算并統(tǒng)計(jì)請求報文源IP地址和目的IP地址的分布概率;控制器,包括檢測分析模塊、轉(zhuǎn)換策略生成模塊;所述檢測分析模塊用于比較相鄰時間間隔內(nèi)源IP地址和目的IP地址分布的相似性,確定掃描攻擊目標(biāo)和掃描策略;所述轉(zhuǎn)換策略生成模塊用于根據(jù)不同的掃描策略生成不同的IP地址轉(zhuǎn)換策略;跳變代理,執(zhí)行IP地址轉(zhuǎn)換策略完成IP地址和端口號的主動遷移。2.根據(jù)權(quán)利要求1所述的一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換系統(tǒng),其特征在于:所述檢測代理包括采集和數(shù)據(jù)統(tǒng)計(jì)模塊、緩存隊(duì)列和時間窗維護(hù)模塊、掃描分布計(jì)算模塊和可疑數(shù)據(jù)上報模塊;所述采集和數(shù)據(jù)統(tǒng)計(jì)模塊用于采集請求報文,并生成時間間隔t內(nèi)的流統(tǒng)計(jì)數(shù)據(jù);所述緩存隊(duì)列和時間窗維護(hù)模塊用于維護(hù)本地緩存隊(duì)列,存儲統(tǒng)計(jì)數(shù)據(jù),實(shí)現(xiàn)時間滑窗機(jī)制;所述掃描分布計(jì)算模塊用于計(jì)算請求數(shù)據(jù)包中源IP地址、目的IP地址的概率分布;所述可疑數(shù)據(jù)上報模塊用于將計(jì)算的地址概率統(tǒng)計(jì)數(shù)據(jù)發(fā)送給控制器檢測分析模塊;所述跳變代理包括IP地址映射模塊、數(shù)據(jù)包修改模塊;所述IP地址映射模塊用于接受控制器轉(zhuǎn)換策略生成模塊生成的轉(zhuǎn)換策略,計(jì)算轉(zhuǎn)換的虛擬IP地址,并構(gòu)建虛擬IP地址和實(shí)際IP地址映射列表;所述數(shù)據(jù)包修改模塊用于攔截子網(wǎng)內(nèi)發(fā)送的數(shù)據(jù)報文,修改數(shù)據(jù)報文的報頭信息。3.一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換方法,其特征在于包括:采集請求數(shù)據(jù)報文、計(jì)算并統(tǒng)計(jì)請求報文源IP地址和目的IP地址的分布概率;比較相鄰時間間隔內(nèi)源IP地址和目的IP地址分布的相似性,確定掃描攻擊目標(biāo)和掃描策略;根據(jù)不同的掃描策略生成不同的IP地址轉(zhuǎn)換策略;執(zhí)行IP地址轉(zhuǎn)換策略完成IP地址和端口號的主動遷移。4.根據(jù)權(quán)利要求3所述的一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換方法,其特征在于所述采集請求數(shù)據(jù)報文、計(jì)算并統(tǒng)計(jì)請求報文源IP地址和目的IP地址的分布概率包括:檢測代理完成本地緩存隊(duì)列初始化,設(shè)置滑動窗口,并向控制器檢測分析模塊上報確認(rèn)信息;控制器檢測分析模塊接收確認(rèn)信息后進(jìn)入監(jiān)聽階段,并向檢測代理下發(fā)時間消息和采樣配制參數(shù);檢測代理接收到時間消息和采樣配制參數(shù)后完成時間同步啟動定時機(jī)制,并根據(jù)配制參數(shù)收集子網(wǎng)內(nèi)的請求數(shù)據(jù)包;檢測代理分析處理采集的請求數(shù)據(jù)包,根據(jù)滑動窗口內(nèi)的統(tǒng)計(jì)數(shù)據(jù)計(jì)算每個時間間隔內(nèi)源IP地址、目的IP地址和端口號的分布,并將采樣分布上報給控制器檢測分析模塊。5.根據(jù)權(quán)利要求4所述的一種基于SDN的多屬性自調(diào)節(jié)網(wǎng)絡(luò)變換方法,其特征在于:所述檢測代理分析處理采集的請求數(shù)據(jù)包為分不同時間段統(tǒng)計(jì)每個子網(wǎng)內(nèi)在連續(xù)時間間...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:朱偉華,王明陽,
申請(專利權(quán))人:佳緣科技股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。