一种基于SDN的Chaos移动目标防御方法及系统

摘要

本发明公开了一种基于SDN的Chaos移动目标防御方法及系统，利用Chaos塔算法、混淆防御方法以及随机IP防御方法，实现了网络系统对请求者的混淆和动态变化的功能。系统由此设计Chaos塔结构对网络的主机按照重要程度进行分级。混淆防御针对非法访问进行等级混淆，根据混淆指数进行返回信息的混淆，使得攻击者收到虚假的信息；当混淆指数过高时，直接阻断通信。针对合法流量的网络访问进行随机IP防御，通过控制器周期性下发流表对内网环境中的合法通信进行IP随机变换。处在这样区域的网络设备，在保证正常信息交换效率的情况下，具有极高的匿名性，波动性，从而防御入侵者的探查，拓宽了攻击面，增加攻击成本。

说明书

技术领域

本发明属于互联网技术领域，特别是涉及一种新的基于SDN的Chaos移动目标防御方法及系统。

背景技术

内网安全已经成为信息安全的新热点。调查数据表明，我国有63.6%的企业用户处于“高度风险”级别，每年因网络泄密导致的经济损失高达上百亿。虽然大多数企业都非常重视内网安全管理问题，内网安防投入也不断增加，但是内网安全仍然严峻。

如今的企业内网，大多是建立在静态体系上，所以那些内网攻击工具，也是为静态网络度身定做，如Nmap、蠕虫病毒、Cain等。而且内网安全防御所需的花费与恶意攻击者为攻破网络的努力严重不对等，内网防御者往往需要为整个系统叠加层层安全技术手段，而攻击者只需利用某个漏洞即可接管目标。移动目标防御机制是构建动态可变网络，增强内网安全的一种手段。

传统网络由于其静态和封闭等不足，很难真正实现高度随机化的移动目标防御系统。软件定义网络（SoftwareDefinedNetwork，SDN）凭借其弹性和可编程性，为移动目标防御技术的研究提供的一条新的途径。

SDN是由美国斯坦福大学CleanSlate研究组提出的一种新型网络创新架构，可通过软件编程的形式定义和控制网络，被认为是网络领域的一场革命。其本质的特点是控制平面与和转发平面的分离。此外，SDN通过开放的接口支持用户对网络处理行为进行控制，从而为新型互联网体系结构研究提供了新的实验途径，也极大的推动了下一代互联网的发展。目前美国已经有企业和学者开始提出利用SDN技术构建移动目标防御系统。2012年美国北卡罗来纳州立大学的研究小组提出了开放流随机主机转换（OFRHM）方法，利用开放流研究移动目标防御体系结构，实现IP地址的不可预知性及高速变换，同时保持配置的完整性，并最小化操作管理。研究结果表明OFRHM能够有效防御秘密扫描、蠕虫传播以及其他基于扫描的攻击。此外，Cisco公司和美国北卡罗莱纳-夏洛特分校也提出了在SDN网络中按照概率随机化进行虚拟IP地址的动态变化，以构建移动目标防御系统。从目前的研究现状来看，基于SDN的移动目标防御机制的研究工作刚刚开始。

由于上述几种方案都是针对内网中的所有主机通信实行一致的混淆保护，对于一个企业来说防御恶意攻击者的灵活性欠缺，很容易引起恶意攻击者的注意。

发明内容

为了解决上述技术问题，本发明提出了一种基于SDN的Chaos移动目标防御方法及系统，本发明的系统摒弃了构建完美防御系统的方式维护内网安全，通过Chaos塔算法对内网节点分级而治，结合了混淆防御机制和随机IP防御机制，构建出一种多样的、内网环境亦真亦假的机制来提升对于网络攻击的复杂度和开销，从而增强内网的安全程度。

本发明的方法所采用的技术方案是：一种基于SDN的Chaos移动目标防御方法，包括随机IP防御方法和混淆防御方法；其特征在于：利用Chaos塔结构对大型网络的主机按照重要程度进行分级，并采用流量合法性算法根据Chaos塔的结构对当前两台主机之间的通信流量进行分析，判断两主机之间访问是否合法；

若两主机之间访问合法时，则自动启用随机IP防御方法，通过控制器周期性下发流表对内网环境中的合法通信进行IP随机变换；当发生第三方嗅探时，捕获的信息将是两个虚拟IP之间的通信，并且，该随机IP会周期性的改变以达到迷惑攻击者的目的；

当两主机之间访问非法时，即下层主机企图越权访问上层主机时，则自动启用混淆防御方法，对不同的越权级别进行等级混淆，根据混淆指数进行返回信息的混淆，使得攻击者收到虚假的信息；当混淆指数足够高时，直接阻断通信。

作为优选，所述的Chaos塔是一个具有位置关系的算法结构，它的每一个节点代表一台主机，并利用箭头标识主机之间合法的连接关系；所述的Chaos塔遵守以下三个原则：

原则1：用箭头连接的两台主机，起点主机对终点主机有绝对完整的通信权力；

原则2：位于塔同一层的主机具有受限的通信权；

原则3：除特别指定的连接外，上层主机能够合法访问临近的和下层的主机。

作为优选，所述的流量合法性算法，源主机所在层高于或等于目的主机所在层，或者源主机所在层低于目的主机所在层，但目的主机的结构体存在特权元素，即目的主机的该端口向下层开放时，流量被判定为合法，否则为不合法。

作为优选，所述的等级混淆包括三个等级，混淆指数Index为流量合法性算法根据当前两台通信主机的等级差算出的值，其混淆指数Index与混淆情况的对应关系请见表1；

表1混淆指数Index与混淆情况的对应关系

混淆指数Index混淆情况Index=1随机掩盖少量信息，具体掩盖数据比例由系统即时使用随机算法确定Index=2随机掩盖大量信息，具体掩盖数据比例由系统即时使用随机算法确定Index=3完全阻隔

作为优选，所述的随机IP防御方法，若源主机如需使用其真实IP或虚拟IP与目的地址进行通信，具体实现包括以下步骤：

①OF-switch对于一个新发送的包，没有任何流表与其匹配，则将其送至controller；

②controller为当前的访问请求授权；

③若授权成功，controller下发相应的真实IP与虚拟IP转换行为的流表给OF-switch；

若源主机是内部的，controller则下发两个出、入流表给源OF-switch和目的OF-switch；

④获得流表的源OF-switch将数据包里面的源IP由rIP1转换成vIP1，目的IP由rIP2转换成vIP2；

⑤获得流表的目的OF-switch将数据包里面的目的IP由vIP2还原成rIP2；

⑥目的主机收到源主机的数据包后，发送相应的回应包给源主机，其源IP为rIP2，目的IP为vIP1；

⑦获得流表的源OF-switch将数据包里面的源IP由rIP2转换成vIP2；

⑧获得流表的目的OF-switch将数据包里面的源IP由vIP2还原成rIP2，目的IP由vIP1还原成rIP1。

作为优选，所述的随机IP防御方法，当恶意攻击者attack试图在内网环境中进行嗅探时，rIP1和rIP2的通信过程如下：

①第一次rIP1发送寻找rIP2的arp请求包，这个数据包在经过s1时src被转换为vIP1，经过s2时dst-ip被转换为vIP2，此时被攻击主机提前发送arp回应，进而与vIP1建立通信；

②此时rIP1到rIP2的所有通信数据都被攻击主机以中间人的身份监听了，但因为混淆机制的作用，vIP1与rIP1的对应关系很快被另一个对应关系替换，这时候如果攻击主机仍在监听，则会建立另一个通信隧道，而之前的通信隧道会因主机无应答而断开。

本发明的系统所采用的技术方案是：一种基于SDN的Chaos移动目标防御系统，其特征在于：包括Chaos塔模块、流量合法性判断模块、混淆防御模块、随机IP防御模块、交换机Switch、SDN控制器controller、Packetin、Packetout；

交换机Switch为根据下发的流表对经过的数据包进行修改；所述的SDN控制器controller通过Packetin实时监测流量并对照Chaos塔进行权限判断，然后根据权限判断的返回值通过Packetout或者是安装流表的形式进行应答；一旦有非法的连接请求出现，启动混淆防御模块，Chaos塔就会把流量交给所述的SDN控制器controller进行流量的混淆；所述的流量合法性判断模块计算出一个混淆指数Index，然后根据Chaos塔下发的混淆指数对网络进行不同程度的混淆，当混淆指数超过阈值时，启动随机IP防御模块，对内网进行随机IP混淆，干扰恶意攻击者对内网拓扑结构和功能型主机的探测，起到了延缓甚至阻断内网渗透的作用，使得网络管理员有时间及时采取防御措施。

相对于现有技术，本发明的有益效果为：

（1）内网主机立体化；

基于内网中主机的机密程度将主机分级为一种金字塔状的网络结构。简单来说，其结构上层为核心服务器，越往下越是防护需求较低的主机（例如公司员工电脑），且管理员可自定义主机等级。

（2）分级混淆机制；

对不同情况的非法访问进行等级划分，并实施对应程度的混淆，尽可能小得降低混淆成本，提高混淆效率。

（3）IP地址的不可预知性及高速变换；

现有的很多攻击都需要首先发现目标领域中活跃主机的IP地址，从而实施后续攻击。频繁改变主机的IP地址是一种有效的移动目标防御方法。本发明通过建立一个不可预见的IP地址变化结构，通过SDN控制器给每个节点频繁分配一个随机的虚拟IP。

（4）内网环境亦真亦假；

本项目不再追求建立一种无漏洞、无缺陷、完美无瑕的系统来对抗攻击，而是采取多样的、不断变化的评价和部署机制与策略，允许系统漏洞存在、但不允许对方利用的新的安全思想；突破网络攻防“易攻难守”的局面，通过为网络空间威胁创建不对称和不确定性，使系统攻击平面对攻击者而言是不可预测的，从而极大提升防御者的防御能力，从而逆转攻击者的优势，使内网攻防难易程度趋于平衡。

（5）结果记忆；

主机首次通信时触发控制器下发相应的流表，此后每次通信无需经过控制器，提高系统效率。

附图说明

图1为本发明实施例的系统架构图。

图2为本发明实施例的Chaos塔结构。

图3为本发明实施例的Chaos中访问实例。

图4为本发明实施例的混淆常数为1或2时的处理过程。

图5为本发明实施例的混淆常数为3时的处理过程。

图6为本发明实施例的流表下发以及安装过程。

图7为本发明实施例的随机IP混淆机制。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

本发明提供的一种基于SDN的Chaos移动目标防御方法，包括随机IP防御方法和混淆防御方法；本发明利用Chaos塔结构对大型网络的主机按照重要程度进行分级，并采用流量合法性算法根据Chaos塔的结构对当前两台主机之间的通信流量进行分析，判断两主机之间访问是否合法；

若两主机之间访问合法时，则自动启用随机IP防御方法，通过控制器周期性下发流表对内网环境中的合法通信进行IP随机变换；当发生第三方嗅探时，捕获的信息将是两个虚拟IP之间的通信，并且，该随机IP会周期性的改变以达到迷惑攻击者的目的；

当两主机之间访问非法时，即下层主机企图越权访问上层主机时，则自动启用混淆防御方法，对不同的越权级别进行等级混淆，根据混淆指数进行返回信息的混淆，使得攻击者收到虚假的信息；当混淆指数过高时，直接阻断通信。

请见图1，本发明提供的一种基于SDN的Chaos移动目标防御系统Chaos塔模块、流量合法性判断模块、混淆防御模块、随机IP防御模块、交换机Switch、SDN控制器controller、Packetin、Packetout、主机（host1，host2，...，hostn）等模块组成。其中交换机Switch为根据下发的流表对经过的数据包进行修改，SDN控制器controller通过Packetin实时监测流量并对照Chaos塔进行权限判断，然后根据权限判断的返回值通过Packetout或者是安装流表的形式进行应答；一旦有非法的连接请求出现，启动混淆防御模块，Chaos塔就会把流量交给所述的SDN控制器controller进行流量的混淆；所述的流量合法性判断模块计算出一个混淆指数Index，然后根据Chaos塔下发的混淆指数对网络进行不同程度的混淆，当混淆指数超过阈值时，启动随机IP防御模块，对内网进行随机IP混淆，干扰恶意攻击者对内网拓扑结构和功能型主机的探测，起到了延缓甚至阻断内网渗透的作用，使得网络管理员有时间及时采取防御措施。

实施例中关键部分的具体实现说明如下：

1、Chaos塔模块；

请见图2，为Chaos塔的具体结构示意图。Chaos塔模块是核心模块之一，整个系统中的判断算法多是基于本算法建立的塔结构的。Chaos塔是本发明基于内网中主机的机密程度描绘出的一种金字塔状的网络结构，也是整个体系的核心。简单来说，其结构上层为核心服务器，越往下越是防护需求较低的主机（例如公司员工电脑）。

Chaos塔是一个具有位置关系的算法结构。它的每一个节点代表一台主机，箭头标识了主机之间合法的连接关系。换句话说，Chaos塔描述了网络正常时，整个网络之间主机应有的连接状况，而没有发生连接的主机，即是没有业务关系的主机。

当主机之间的连接是按照规定的箭头进行的时候，网络一切正常。然而一旦有非法的连接请求出现，Chaos塔就会把流量交给SDN控制器进行流量的混淆。

Chaos塔遵守以下三个原则：

原则1：用箭头连接的两台主机，起点主机对终点主机有绝对完整的通信权力；

原则2：位于塔同一层的主机具有受限的通信权；

原则3：除特别指定的连接外，上层主机能够合法访问临近的和下层的主机。

首先本发明从用户输入中获取服务器开放的端口信息，然后利用预定义的端口与分值的对应表进行累加得到该主机应在的层级，再将该主机的信息作为一个结构体放到塔中对应层。同时，如果该主机存在某个端口必须向下层主机开放，那么在该结构体中加入一个特权元素，使得在流量判断算法中可以使得指向这个端口的连接全部被判定为合法流量。

2、流量合法性判断算法；

流量合法性判断算法是基于Chaos塔结构的。当本发明对某个流量的合法性进行判断时，首先将提取出通过这个流量进行交互的两台主机的IP，然后将请求发起方作为源主机，请求接收方作为目的主机，代入塔结构中，如图3所示，当满足：①源主机所在层高于或等于目的主机所在层；或者②源主机所在层低于目的主机所在层，但目的主机的结构体存在特权元素，即目的主机的该端口向下层开放时，流量被判定为合法，否则为不合法。从而根据流量的合法性，出发控制器下发不同的流表到交换机，如图6所示，来实施不同的防御机制。

3、混淆防御；

当某个请求被判定为非法的时候，系统会利用混淆算法，对访问的结果进行混淆，目的是让非法使用者得到错误的信息。

等级混淆包括三个等级，混淆指数Index为流量合法性算法根据当前两台通信主机的等级差算出的值，其混淆指数Index与混淆情况的对应关系请见表1；

表1混淆指数Index与混淆情况的对应关系

混淆指数Index混淆情况Index=1随机掩盖少量信息，具体掩盖数据比例由系统即时使用随机算法确定Index=2随机掩盖大量信息，具体掩盖数据比例由系统即时使用随机算法确定Index=3完全阻隔

越权程度越大的访问，混淆的程度就会更加大，整个混淆级别分为三个。如附图4，Level1对返回的真实信息进行掩盖，此时中的消息还有一定比例是真实的。Level2对返回的信息进行伪造，此时返回的信息大部分都是虚假的。如附图5，Level3直接断开连接，不允许两者相连。设置混淆级别是为了仿真，麻痹攻击者，防止攻击者在部分情况下能通过其他手段获取某台主机的真实状况，却通过扫描检测，发现了完全不同的情况，而引起攻击者的警觉。

4、随机IP防御；

如图7所示，若源主机如需使用其真实IP或虚拟IP与目的地址进行通信，具体实现包括以下步骤：

①OF-switch对于一个新发送的包，没有任何流表与其匹配，则将其送至controller；

②controller为当前的访问请求授权；

③若授权成功，controller下发相应的真实IP与虚拟IP转换行为的流表给OF-switch；

若源主机是内部的，controller则下发两个出、入流表给源OF-switch和目的OF-switch；

④获得流表的源OF-switch将数据包里面的源IP由rIP1转换成vIP1，目的IP由rIP2转换成vIP2；

⑤获得流表的目的OF-switch将数据包里面的目的IP由vIP2还原成rIP2；

⑥目的主机收到源主机的数据包后，发送相应的回应包给源主机，其源IP为rIP2，目的IP为vIP1；

⑦获得流表的源OF-switch将数据包里面的源IP由rIP2转换成vIP2；

⑧获得流表的目的OF-switch将数据包里面的源IP由vIP2还原成rIP2，目的IP由vIP1还原成rIP1。

当恶意攻击者attack试图在内网环境中进行嗅探时，rIP1和rIP2的通信过程如下：

①第一次rIP1发送寻找rIP2的arp请求包，这个数据包在经过s1时src被转换为vIP1，经过s2时dst-ip被转换为vIP2，此时被攻击主机提前发送arp回应，进而与vIP1建立通信；

②此时rIP1到rIP2的所有通信数据都被攻击主机以中间人的身份监听了，但因为混淆机制的作用，vIP1与rIP1的对应关系很快被另一个对应关系替换，这时候如果攻击主机仍在监听，则会建立另一个通信隧道，而之前的通信隧道会因主机无应答而断开。

在这种模式下，攻击主机监听时会因为没有一个稳定的监听对象而无法判断数据包的真实来源主机的具体功能及其在整个内网中所处地位。换种方式来说，也就是攻击虽然能监听到通信的所有数据，但是却无法判断来源主机和目的主机，也无法通过这个监听隧道来向这两台主机发送信息进行探测；而且本发明定期对交换机中的流表进行重置，这就很好的起到了保护其他主机的作用。

综上，本混淆网络防御机制，在保证正常信息交换效率的情况下，具备了极高的匿名性、波动性，从而限制了入侵者的探查，拓宽了攻击面，增加攻击成本。

考虑到用户体验的问题，本发明为管理员提供了友好的内网管理界面。管理员可以通过管理界面查看连接的交换机信息、主机信息、实时网络拓扑以及自主决定混淆机制是否开启。当混淆机制开启时，可在界面上实时查看当前主机通信的混淆情况。且该界面是独立于控制器而存在的，适用于任何SDN控制器，可移植性强。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。