CN106982206A - 一种基于ip地址自适应转换的恶意扫描防御方法及系统 - Google Patents

Abstract

本发明提供一种基于IP地址自适应转换的恶意扫描防御方法，应用于SDN，包括以下步骤：1)当受到扫描攻击时，从SDN的每个子网内采样请求数据包，分析请求数据包生成不同时间间隔内的统计数据；2)根据统计数据计算每个时间间隔内源IP地址、目的IP地址及目的端口号的分布；3)计算相邻时间间隔内相同源IP地址、目的IP地址及目的端口号分布的Sibson熵并藉此判断扫描攻击策略；4)依据扫描攻击策略生成IP地址转移策略，并根据IP地址转移策略实施IP地址虚拟转换。同时提供实现上述方法的系统，包括构建于应用于SDN架构中控制器、跳变代理和检测代理，分别用以实现上述方法中的步骤。

Description

一种基于IP地址自适应转换的恶意扫描防御方法及系统

技术领域

本发明属于网络安全领域。具体来说，涉及到一种软件定义网络环境下基于IP地址自适应转换的恶意扫描防御方法及系统。

背景技术

软件定义网络(SDN)是基于逻辑控制和数据转发分离设计思想，将路由器和交换机等网络设备的控制功能从数据转发功能中解耦处理的网络架构。它由一个可编程的逻辑集中式控制器管理整个网络；由底层转发设备实现数据转发功能。SDN集中控制的特点使得控制器可以在线获取网络性能指标，并在此基础上及时调配资源、实施全局决策。OpenFlow协议则是控制器管理和配置底层网络设备的标准化接口。基于OpenFlow的SDN网络中，各应用依据网络管理者定制的策略生成规则，控制器将形成的规则逻辑视图映射到物理交换机中形成规则物理视图，OpenFlow协议则将规则以流表形式下发到交换机上，从而决定数据包的转发路径。

网络扫描是通过向选定范围内的节点发送探测报文以获取目标网络中节点信息的侦测手段。扫描的内容包括网际协议(IP)地址扫描和端口扫描两种。

IP地址扫描：攻击者通过发送ICMP回应请求报文在未知网络探测端节点的可达性和IP地址。

Port扫描：当攻击者锁定了活跃端节点的IP地址，将会通过TCP扫描和UDP扫描探测目标节点的开放端口。其中，针对TCP的扫描主要利用全TCP扫描，即通过TCP三次握手与目标节点建立完整TCP连接以确定端口是否开放；或者伪造TCP报文片段，如伪造的SYN、FIN、Xmas、和NULL位等报文探测目标端口是否开放。对UDP的扫描则主要利用ICMP报文实施。

网络扫描可用扫描宽度和扫描频度两个属性描述，依据网络的结构特点和获得的知识信息，网络扫描采用不同的扫描策略，以提高扫描的有效性。依据扫描宽度和频度可分为盲扫描、非盲扫描两种策略。

盲扫描策略：盲扫描是攻击者对全部节点空间内的端信息进行均匀扫描以侦测活跃端节点所采用的策略。由于现有网络架构具有确定、静态的特性，因此，攻击者通过采用盲扫描策略实现无重复的均匀扫描以提高侦测速率。

非盲扫描策略：非盲扫描时攻击者对选定范围的节点空间进行重复性非均匀扫描以侦测活跃端节点所采用的策略。由于攻击者已知端节点的分布状况，因此通过非盲扫描进行重复性的非均匀扫描以提高扫描的成功率。

目前，基于端地址转换是一种有效防御恶意扫描攻击的手段。但是由于跳变机制缺乏对恶意扫描策略的自适应性，导致网络跳变策略具有盲目性。随着网络扫描策略愈加多变且具有针对性，“盲目随机”的跳变策略将极大降低防御的效能。

发明内容

有鉴于此，本发明提出了一种基于IP地址自适应转换的恶意扫描防御方法及系统，并将该方法在SDN网络中实现。该方法采用易于维护和扩展的分布式检测架构，由控制器、检测代理和跳变代理共同实现对恶意扫描攻击的检测和IP地址自适应转换。

在SDN环境中，逻辑控制与数据转发相分离的特性使得管理者能够掌握所有网络设备和网络拓扑结构。SDN环境中的端地址转换可动态修改跳变周期和跳变规则，可有效提高网络跳变的可管理性。

本发明的目的是提出一种基于IP地址自适应转换的恶意扫描防御方法，应用于SDN，包括以下步骤：

1)当受到扫描攻击时，从SDN的每个子网内采样请求数据包，分析请求数据包生成不同时间间隔内的统计数据；

2)根据统计数据计算每个时间间隔内源IP地址及目的IP地址的分布；

3)计算相邻时间间隔内相同源IP地址及目的IP地址分布的Sibson熵并藉此判断扫描攻击策略；

4)依据扫描攻击策略生成IP地址转移策略，并根据IP地址转移策略实施IP地址虚拟转换。

进一步地，步骤1)中根据一采样配置参数采样请求数据包，所述统计数据包括：每个子网内在连续时间间隔内收到的请求数据包中的源IP地址及目的IP地址。

进一步地，步骤2)中依据公式计算同一时间间隔内的源IP地址、目的地址的概率分布，其中j∈{Src,Dst}，π∈{IP}。

进一步地，步骤3)中依据公式和计算相邻时间间隔t内子网内源IP地址及目的IP地址分布的Sibson熵，其中 其中，P_i ^Src(π)表示请求失败报文中源地址的分布概率，P_i ^Dst(π)表示请求失败报文中目的地址的分布概率，D_S(x,y)表示Sibson熵。

进一步地，步骤3)中根据如下规则判断扫描攻击策略：

3-1)如果两个相邻时间间隔内，每个子网内源IP地址的Sibson熵小于一阈值，则判断攻击者采用盲扫描策略；

3-2)如果两个相邻时间间隔内，每个子网内目的IP地址的Sibson熵小于一阈值，则判断攻击者采用非盲扫描策略。

进一步地，步骤4)中依据扫描攻击策略根据如下规则生成IP地址转移策略：

4-1)当攻击者采用盲扫描策略实施攻击，生成基于权值的随机IP地址转换策略；

4-2)当攻击者采用非盲扫描策略实施攻击，生成基于权值的反向IP地址转换策略。

进一步地，依据公式计算虚拟转换IP地址权值，其中，表示权值，δ表示阀值。

进一步地，步骤4)中根据IP地址转移策略实施IP地址虚拟转换包括根据IP地址转换策略，计算每个子网内的转换IP地址，并建立虚拟IP地址和真实IP地址的映射列表；对收到子网内的真实IP地址发送的数据包，将其数据报文进行拦截；依据映射列表替换被拦截数据报文中源IP地址，并进行转发。

本发明的另一目的是提出一种基于IP地址自适应转换的恶意扫描防御系统，包括：

检测代理，用以当受到扫描攻击时，从SDN的每个子网内采样请求数据包，分析请求数据包生成不同时间间隔内的统计数据；

控制器，用以根据统计数据计算每个时间间隔内源IP地址、目的IP地址及目的端口号的分布；计算相邻时间间隔内相同源IP地址、目的IP地址及目的端口号分布的Sibson熵并藉此判断扫描攻击策略；

跳变代理，用以依据扫描攻击策略生成IP地址转移策略，并根据IP地址转移策略实施IP地址虚拟转换。

进一步地，所述检测代理包括：采集和数据统计模块、缓存队列和时间窗维护模块、扫描分布计算模块和可疑数据上报模块；

所述控制器包括：缓存空间维护模块、检测分析模块、转换策略生成模块；

所述跳变代理包括：IP地址映射模块、数据包修改模块。

进一步地，所述缓存空间维护模块，用于检测服务器存储上报的采集数据和攻击流信息；

所述检测分析模块，用于计算相邻周期内源IP地址及目的IP地址分布的Sibson熵，生成攻击信息，并产生攻击警告；

所述转换策略生成模块，用于接收扫描策略，计算IP地址权值，生成并下发IP地址转换策略。

进一步地，所述采集和数据统计模块，用于检测代理采集请求报文，并生成时间间隔t内的流统计数据；

所述缓存队列和时间窗维护模块，用于检测代理维护本地缓存队列，存储统计数据，实现时间滑窗机制；

所述扫描分布计算模块，用于检测代理计算请求数据包中源IP地址、目的IP地址的概率分布；

所述可疑数据上报模块，用于检测代理将计算的地址概率统计数据发送给控制器检测分析模块。

进一步地，所述IP地址映射模块，用于接受控制器转换策略生成模块生成的转换策略，计算转换的虚拟IP地址，并构建虚拟IP地址和实际IP地址映射列表；

所述数据包修改模块，用于拦截子网内发送的数据报文，修改数据报文的报头信息。

本发明的有益效果：

本发明的方法及系统整体采用分布式的检测架构，检测代理可以随软件定义网络统规模扩大横向灵活扩展；控制器检测分析模块通过分析相邻时间周期内采集的请求报文源IP地址、目的IP地址和目的端口号的Sibson熵，识别恶意扫描攻击策略。控制器转换策略生成模块依据不同恶意扫描策略生成跳变方法，并下发给跳变代理；跳变代理通过执行端地址虚拟转换实现IP地址和端口号的主动迁移。从而提高端地址的自适应跳变，最大化防御效能。在现有环境下，对比实验得出，本发明的方法及系统可抵御90％以上的恶意扫描共计；相比于现有盲目随机跳变的防御方式可将防御成功率提高至少20％。

附图说明

图1为本发明一实施例中描述的基于IP地址自适应转换的恶意扫描防御系统的架构示意图。

图2为发明一实施例中描述的基于IP地址自适应转换的恶意扫描防御方法的工作流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，可以理解的是，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示为本发明一实施例中基于IP地址自适应转换的恶意扫描防御系统的结构示意图。当攻击者对网络IP地址进行扫描时，每个子网内部署检测代理，检测代理用于采集请求数据报文、计算并统计请求报文源IP地址和目的IP地址的分布概率。控制器在接收到上报信息后，控制器检测分析模块通过利用Sibson熵比较相邻时间间隔内源IP地址和目的IP地址分布的相似性，确定扫描攻击目标和扫描策略。控制器转换策略生成模块基于扫描策略生成IP地址转换策略并发送给跳变代理。每个子网内部署跳变代理，跳变代理用于接收IP地址转换策略，当跳变代理接收到子网内发送的数据包时，将数据包截获，并依据虚拟IP地址与真实IP地址映射列表修改数据报头中的源IP地址信息，并将数据包转发。

SDN交换机依据流表信息进行转发。接收端的跳变代理收到流入的数据包时，将数据包截获，并依据虚拟IP地址与真实IP地址映射列表修改数据报头中的目的IP地址信息，并将数据包转发至子网内端节点。IP地址虚拟转换条件下网络通信流程如下：

1)进行相关配置：在被保护的客户端配置受保护的服务集群列表，在被保护的服务器节点配置合法用户的ID信息。被保护节点进行初始化。

2)客户端A发送会话请求报文，利用客户端的私钥K_Ec(ID_A,req,K_s)对客户端身份信息，请求信息和共享密钥进行签名。

3)代理中的跳变模块截获请求，将请求报文中的HOST字段与受保护服务器集群列表进行比对。若要访问的服务器不在被保护列表中，则采用标准的访问机制；若要访问的服务器属于被保护之列，则将身份信息发送至客户端A所属的跳变代理进行验证。

4)控制器通过查询服务器端所属代理获取真实IP地址映射的虚拟IP地址，并将其发送给客户端A所属跳变代理。

5)跳变代理收到控制器返回的数据包，利用跳变代理的私钥发送K_Es(ID_sp,mIP)给客户端A，其中包括服务器映射的虚拟IP地址。

6)客户端A的跳变代理依据跳变策略选取跳变端信息，并对请求数据包端信息进行修改({rSrcIP(A)},{mDstIP(B)}→{mSrcIP(A)},{mDstIP(B)})。

7)若服务器的虚拟IP转换地址已在控制器转发流表中，网络路由节点依据流表规则进行转发；若不在控制器转发流表中，网络路由节点将转发数据包上报给控制器。

8)控制器对流表规则进行更新，部署到转发路径上的路由节点。

9)服务器所属跳变代理收到请求报文后将其转发给被保护的服务器集群。

10)若被保护的服务器集群虚拟IP地址发生转换，由于转换前的虚拟IP地址在TTL(生存时间值Time To Livel)内依然可用，服务器所属的跳变代理拦截收到的数据包，并将服务器的虚拟IP地址映射到真实IP地址，并转发给服务器集群。

11)服务器集群收到数据包后解析报文，并交由上层应用依据请求内容处理响应。

12)服务器集群的跳变代理拦截响应数据包，并依据跳变策略修改数据包端信息({rSrcIP(B)},{mDstIP(A)}→{mSrcIP(B)},{mDstIP(A)})。

13)网络路由节点依据流表规则进行转发。

14)客户端A所属跳变代理收到响应报文后将IP地址进行转换并将其转发给被保护的客户端A。

15)客户端A解析数据包，并交由上层应用处理响应。

如图2所示是为本发明一实施例中基于IP地址自适应转换的恶意扫描防御方法执行流程示意图。检测代理从子网内请求数据包，并采样周期T内的请求报文，通过解析请求报文判断报文的类型，未判断出类型则做过滤处理，统计不同源IP地址、目的IP地址的分布，并将数据发送给控制器。控制器服务器接收可疑流量存储到缓存空间，控制器中的检测分析模块计算相邻时间间隔内源IP地址和目的IP地址分布的Sibson熵识别扫描攻击策略，生成攻击警告信息发送给转移策略生成模块。转移策略生成模块依据扫描攻击策略生成IP地址转移策略，并部署到跳变代理，实施IP地址虚拟转换。

结合上文实施例及附图描述的方法及系统具体说明本发明的具体实施过程：

1)在控制器建立一个检测分析模块和一个转换策略生成模块，所述检测模块分配两个缓存空间，一个数据缓存空间，一个扫描攻击信息缓存空间，启动定时机制，进入等待阶段。

2)在SDN网络的每个子网建立一个检测代理，所述检测代理完成本地缓存队列初始化，并设置一个滑动窗口，向所述控制器分析模块发送一确认消息。

3)所述控制器分析模块在接收到所述检测代理发送的确认消息后，进入监听阶段，向检测代理发送时间消息和采样配置参数。该采样配置参数为通用术语，在了解本申请说明书公开内容的前提下，本领域技术人员自可确定该参数的确切内容，在此不再赘述。

4)所述检测代理接收时间消息和采样配置参数，完成时间同步启动定时机制，根据采样配置参数开始收集子网内的请求数据包。

5)所述检测代理分析处理采集的请求数据包，分不同时间段统计每个子网内在连续时间间隔内收到的请求数据包中源IP地址、目的IP地址、目的端口号，分配新的队列空间存储统计数据，追加在本地缓存队列队尾；其中，不同子网在同一时间段的统计数据放在一个队列节点上。

6)所述检测代理根据滑动窗口内的统计数据计算每个时间间隔内源IP地址、目的IP地址和端口号的分布，所述检测代理将采样分布上报给控制器检测分析模块。所述检测代理将依据公式计算同一时间间隔内的源IP地址、目的地址的概率分布，其中j∈{Src,Dst}，π∈{IP}。

7)所述控制器检测分析模块接收到采样分布统计数据，存储到本地数据缓存空间中。

8)所述控制器检测分析模块计算采样数据中相同IP地址、端口号相邻时间间隔的Sibson熵，由于IP和端口采用的防御策略是相同的，为了便于描述，本申请统一都以IP地址为例进行说明。根据如下规则判断恶意扫描攻击策略：

8-1)如果两个相邻时间间隔内，每个子网内源IP地址的Sibson熵小于阈值，则攻击者采用盲扫描策略，将扫描攻击策略的相关信息存储到攻击信息缓存空间；

8-2)如果两个相邻时间间隔内，每个子网内目的IP地址的Sibson熵小于阈值，则攻击者采用非盲扫描策略，将扫描攻击策略的相关信息存储到攻击信息缓存空间；

其中，上述阀值的设定一般是依据历史数据训练后获得的。在现有实验环境下，统一设为0.05。但是，实际条件中，不同的应用场景对于置信度要求不同，所以需要依据具体应用情况进行设定，并不一定要统一。在了解本申请公开内容的前提下，本领域技术人员能够遵循本申请的技术构思和核心主旨根据具体的应用环境进行设定及调整，所进行的设定和调整均为本领域常规技术手段，在此不再赘述。

控制器检测分析模块依据公式和计算相邻时间间隔t内子网内源IP地址、目的IP地址的Sibson熵，其中

9)所述控制器检测分析模块计算Sibson熵后，删除数据缓存中的上报信息，所述控制器检测分析模块产生扫描攻击警告，生成包括攻击目标和攻击策略的攻击信息，将攻击信息上报给控制器转换策略生成模块。

10)所述的控制器转换策略生成模块依据接受的扫描策略，根据如下规则制定和部署跳变策略：

10-1)当攻击者采用盲扫描策略实施攻击，生成基于权值的随机IP地址转换策略，将地址转换策略发送给跳变代理；

10-2)当攻击者采用非盲扫描策略实施攻击，生成基于权值的反向IP地址转换策略，将地址转换策略发送给跳变代理；

其中，控制器转换策略生成模块依据公式计算虚拟转换IP地址权值。

11)所述跳变代理接收到地址转换策略，计算每个子网内的转换IP地址，并建立虚拟IP地址和真实IP地址的映射列表；

12)所述跳变代理收到子网内的真实IP地址发送的数据包，将数据报文进行拦截；

13)所述跳变代理依据映射列表替换被拦截数据报文中源IP地址，并进行转发。

综上所述，本发明提供的恶意扫描方法及系统整体采用分布式的检测架构识别恶意扫描攻击策略并依据不同恶意扫描策略生成跳变方法，通过执行端地址虚拟转换实现IP地址和端口号的主动迁移。从而提高端地址的自适应跳变，最大化防御效能。从而大幅度提高SDN网络安全性，具有重大的推广意义。

显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

Claims (10)

1.一种基于IP地址自适应转换的恶意扫描防御方法，应用于SDN，包括以下步骤：

1)当受到扫描攻击时，从SDN的每个子网内采样请求数据包，分析请求数据包生成不同时间间隔内的统计数据；

2)根据统计数据计算每个时间间隔内源IP地址及目的IP地址的分布；

3)计算相邻时间间隔内相同源IP地址及目的IP地址分布的Sibson熵并藉此判断扫描攻击策略；

4)依据扫描攻击策略生成IP地址转移策略，并根据IP地址转移策略实施IP地址虚拟转换。

2.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤1)中根据一采样配置参数采样请求数据包，所述统计数据包括：每个子网内在连续时间间隔内收到的请求数据包中的源IP地址及目的IP地址。

3.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤2)中依据公式计算同一时间间隔内的源IP地址、目的IP地址的概率分布，其中j∈{Src,Dst}，π∈{IP}。

4.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤3)中依据公式和 计算相邻时间间隔t内子网内源IP地址及目的IP地址分布的Sibson熵，其中 其中，P_i ^Src(π)表示请求失败报文中源地址的分布概率，P_i ^Dst(π)表示请求失败报文中目的地址的分布概率，D_S(x,y)表示Sibson熵。

5.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤3)中根据如下规则判断扫描攻击策略：

3-1)如果两个相邻时间间隔内，每个子网内源IP地址的Sibson熵小于阈值，则判断攻击者采用盲扫描策略；

3-2)如果两个相邻时间间隔内，每个子网内目的IP地址的Sibson熵小于阈值，则判断攻击者采用非盲扫描策略。

6.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤4)中依据扫描攻击策略根据如下规则生成IP地址转移策略：

4-1)当攻击者采用盲扫描策略实施攻击，生成基于权值的随机IP地址转换策略；

4-2)当攻击者采用非盲扫描策略实施攻击，生成基于权值的反向IP地址转换策略。

7.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，依据公式计算虚拟转换IP地址权值，其中，表示权值，δ表示阀值。

8.如权利要求1所述的基于IP地址自适应转换的恶意扫描防御方法，其特征在于，步骤4)中根据IP地址转移策略实施IP地址虚拟转换包括根据IP地址转换策略，计算每个子网内的转换IP地址，并建立虚拟IP地址和真实IP地址的映射列表；对收到子网内的真实IP地址发送的数据包，将其数据报文进行拦截；依据映射列表替换被拦截数据报文中源IP地址，并进行转发。

9.一种基于IP地址自适应转换的恶意扫描防御系统，其特征在于，包括：

检测代理，用以当受到扫描攻击时，从SDN的每个子网内采样请求数据包，分析请求数据包生成不同时间间隔内的统计数据；

控制器，用以根据统计数据计算每个时间间隔内源IP地址、目的IP地址及目的端口号的分布；计算相邻时间间隔内相同源IP地址、目的IP地址及目的端口号分布的Sibson熵并藉此判断扫描攻击策略；

跳变代理，用以依据扫描攻击策略生成IP地址转移策略，并根据IP地址转移策略实施IP地址虚拟转换。

10.如权利要求9所述的基于IP地址自适应转换的恶意扫描防御系统，其特征在于，所述检测代理包括：采集和数据统计模块、缓存队列和时间窗维护模块、扫描分布计算模块和可疑数据上报模块；

所述控制器包括：缓存空间维护模块、检测分析模块、转换策略生成模块；

所述跳变代理包括：IP地址映射模块、数据包修改模块；

所述缓存空间维护模块，用于检测服务器存储上报的采集数据和攻击流信息；

所述检测分析模块，用于计算相邻周期内源IP地址及目的IP地址分布的Sibson熵，生成攻击信息，并产生攻击警告；

所述转换策略生成模块，用于接收扫描策略，计算IP地址权值，生成并下发IP地址转换策略；

所述采集和数据统计模块，用于检测代理采集请求报文，并生成时间间隔t内的流统计数据；

所述缓存队列和时间窗维护模块，用于检测代理维护本地缓存队列，存储统计数据，实现时间滑窗机制；

所述扫描分布计算模块，用于检测代理计算请求数据包中源IP地址、目的IP地址的概率分布；

所述可疑数据上报模块，用于检测代理将计算的地址概率统计数据发送给控制器检测分析模块；

所述IP地址映射模块，用于接受控制器转换策略生成模块生成的转换策略，计算转换的虚拟IP地址，并构建虚拟IP地址和实际IP地址映射列表；

所述数据包修改模块，用于拦截子网内发送的数据报文，修改数据报文的报头信息。