CN108400958A - 一种基于sdn技术实现的自动反扫描方法 - Google Patents

一种基于sdn技术实现的自动反扫描方法 Download PDF

Info

Publication number
CN108400958A
CN108400958A CN201710068850.9A CN201710068850A CN108400958A CN 108400958 A CN108400958 A CN 108400958A CN 201710068850 A CN201710068850 A CN 201710068850A CN 108400958 A CN108400958 A CN 108400958A
Authority
CN
China
Prior art keywords
scanning
module
behavior
counter
automatic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710068850.9A
Other languages
English (en)
Inventor
杨育斌
程丽明
柯宗贵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Blue Shield Information Security Technology Co Ltd
Bluedon Information Security Technologies Co Ltd
Original Assignee
Blue Shield Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Blue Shield Information Security Technology Co Ltd filed Critical Blue Shield Information Security Technology Co Ltd
Priority to CN201710068850.9A priority Critical patent/CN108400958A/zh
Publication of CN108400958A publication Critical patent/CN108400958A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于SDN技术实现的自动反扫描方法,该发明针对进入内网的流量先扫描后放行,不能自动升级特征库以发现可疑的扫描的问题,采用了一种基于SDN技术实现的自动反扫描方法的方法,达到自动升级扫描特征库、仅镜像非阻断进入内网的流量即可实现反扫描安全保护的目的。

Description

一种基于SDN技术实现的自动反扫描方法
技术领域
本发明涉及一种信息安全技术领域,特别涉及一种基于SDN技术实现的自动反扫描方法。
背景技术
随着"云计算"在互联网中的日益兴起,互联网的功能变得越来越强大,但同时也给网络安全带来了非常严峻的考验,互联网数据量的增大会引起网络安全漏洞的增加,黑客就会利用各类互联网漏洞进行蓄意入侵和攻击,而许多攻击和入侵行为都是通过扫描网络中的系统漏洞引起的,因此,三层交换机上部署防扫描技术就能够很好地阻止黑客扫描到内部主机漏洞,在一定程度上保障了企业网络安全。
发明内容
一种基于SDN技术实现的自动反扫描方法技术关键点是基于SDN技术,自动升级特征库以发现可疑的扫描,来自于外网的流量无需等检查即可直接进入内网。自动升级特征库功能自动收集内网自动反扫描中发现的可疑流量,通过挖掘发现具有攻击性后,将此新特征自动记录到特征库,达到自动升级的目的。另外对于来自于外网的流量,控制器要求SDN边界交换机镜像复制到自动反扫描服务器以进行进一步分析,同时这些流量可进入内网;若发现具有攻击性后,服务器通过控制器下发流表到内网的各SDN交换机,以达到对此来源的数据包进行丢弃的工作。
本发明实际是一种SDN应用,基于SDN控制器而实现,其最核心的模块是威胁行为判断模块、恶意扫描行为判断模块、自动反扫描特征提取模块、流表生成和下发模块。具体介绍如下:
1.威胁行为判断模块搜索历史行为数据库,挖掘此IP来源相关的所有访问信息,主要包括访问机器敏感性、访问的端口、访问频率、是否在黑名单,综合计算其安全威胁指数,最终给出是否具有攻击倾向的指导信息;若具有攻击倾向,则生成新的规则,并将之加入扫描行为规则库,同时通知流表生成和下发模块接收以实现反扫描安全保护工作。
2.恶意扫描行为判断模块根据自动反扫描特征提取模块提取的特征,对扫描行为规则库进行匹配,分析是否属于恶意扫描行为;若判断此行为属于恶意扫描行为,则通知流表生成和下发模块接收以实现反扫描安全保护工作;若未能判断此行为属于恶意扫描行为但访问地址为内网敏感机器,则将相关信息送到威胁行为判断模块以作进一步分析。
3.自动反扫描特征提取模块结合最新特征库数据条的字段信息,提取威恶意扫描行为判断模块所需信息,并将之传递给恶意扫描行为判断模块。
4.流表生成和下发模块接收接收威胁行为判断模块和恶意扫描行为判断模块传来的安全实施要求,根据相关信息生成标准的流表然后将流表发送给Controller集群控制模块,将流表下发到内网相关的SDN交换机。
同时,本发明设计的基本功能还包括自身安全保障模块、平台运维管理模块、数据库管理模块和Controller集群控制模块。Controller集群控制模块对数据中心内的多控制器进行协调管理,主要包括状态分发/同步模块,分域管理模块,分布式存储管理模块,交换机共享控制模块,交换机接口通信模块。控制器集群控制模块通过交换机接口通信模块使用南向接口协议与支持SDN的交换机进行通信,使用其他模块实现多控制器之间的流表的同步。
本发明技术方案带来的有益效果:
一种基于SDN技术实现的自动反扫描方法基于SDN技术,自动升级特征库以发现可疑的扫描,来自于外网的流量无需等检查即可直接进入内网。一种基于SDN技术实现的自动反扫描方法能面对不断变换的网络情况自动发现新的攻击扫描特征,并将此新特征自动记录到特征库,达到自动升级的目的。一种基于SDN技术实现的自动反扫描方法具备很强的扩展能力和动态调整能力,在攻击量突增的情况下,能快速调用资源应对。对于来自于外网的流量,控制器要求SDN边界交换机镜像复制到自动反扫描服务器以进行进一步分析,同时这些流量可进入内网,不影响正常的精力环境;若发现具有攻击性后,服务器通过控制器下发流表到内网的各SDN交换机,以达到对此来源的数据包进行丢弃的工作。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明功能模块图;
图2是本发明流程图;
图3是本发明网络拓扑图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
1、SDN边界交换机接收到数据包;
2、若数据包的IP源地址在黑名单上,交换机自动丢弃此数据包;
3、SDN控制机指示SDN交换机对所有数据包做镜像,将所有数据包复制一份发送到反扫描服务器;
4、恶意扫描行为判断模块匹配扫描行为规则库,分析是否属于恶意扫描行为;
1)若判断为无恶意,是否访问内网敏感机器;
2)若是内网敏感机器,将其特征提取记录到历史行为数据库,结合历史行为数据库深入挖掘计算其安全威胁指数,判断是否具有攻击倾向;
3)若具有攻击倾向,则生成新的规则,加入扫描行为规则库;
4)若不具有攻击倾向,结束对此数据包的相关分析。
5、生成流表以指示边界交换机丢弃从此IP源发来的数据包;
6、将此流表下发到内网所有的SDN交换机;
7、将此数据包的源地址加入黑名单;
8、结束对此数据包的相关分析。
以上对本发明实施例所提供的一种基于SDN技术实现的自动反扫描方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (7)

1.一种基于SDN技术实现的自动反扫描方法,基于SDN技术,自动升级特征库以发现可疑的扫描,来自于外网的流量无需等检查即可直接进入内网;其最核心的模块是威胁行为判断模块、恶意扫描行为判断模块、自动反扫描特征提取模块、流表生成和下发模块。
2.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法,其特征在于自动升级特征库功能自动收集内网自动反扫描中发现的可疑流量,通过挖掘发现具有攻击性后,将此新特征自动记录到特征库,达到自动升级的目的。
3.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法,其特征在于对于来自于外网的流量,控制器要求SDN边界交换机镜像复制到自动反扫描服务器以进行进一步分析,同时这些流量可进入内网;若发现具有攻击性后,服务器通过控制器下发流表到内网的各SDN交换机,以达到对此来源的数据包进行丢弃的工作。
4.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法,其特征在于威胁行为判断模块搜索历史行为数据库,挖掘此IP来源相关的所有访问信息,主要包括访问机器敏感性、访问的端口、访问频率、是否在黑名单,综合计算其安全威胁指数,最终给出是否具有攻击倾向的指导信息;若具有攻击倾向,则生成新的规则,并将之加入扫描行为规则库,同时通知流表生成和下发模块接收以实现反扫描安全保护工作。
5.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法,其特征在于,恶意扫描行为判断模块根据自动反扫描特征提取模块提取的特征,对扫描行为规则库进行匹配,分析是否属于恶意扫描行为;若判断此行为属于恶意扫描行为,则通知流表生成和下发模块接收以实现反扫描安全保护工作;若未能判断此行为属于恶意扫描行为但访问地址为内网敏感机器,则将相关信息送到威胁行为判断模块以作进一步分析。
6.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法,其特征在于,自动反扫描特征提取模块结合最新特征库数据条的字段信息,提取威恶意扫描行为判断模块所需信息,并将之传递给恶意扫描行为判断模块。
7.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法,其特征在于,流表生成和下发模块接收接收威胁行为判断模块和恶意扫描行为判断模块传来的安全实施要求,根据相关信息生成标准的流表然后将流表发送给Controller集群控制模块,将流表下发到内网相关的SDN交换机。
CN201710068850.9A 2017-02-08 2017-02-08 一种基于sdn技术实现的自动反扫描方法 Pending CN108400958A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710068850.9A CN108400958A (zh) 2017-02-08 2017-02-08 一种基于sdn技术实现的自动反扫描方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710068850.9A CN108400958A (zh) 2017-02-08 2017-02-08 一种基于sdn技术实现的自动反扫描方法

Publications (1)

Publication Number Publication Date
CN108400958A true CN108400958A (zh) 2018-08-14

Family

ID=63093931

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710068850.9A Pending CN108400958A (zh) 2017-02-08 2017-02-08 一种基于sdn技术实现的自动反扫描方法

Country Status (1)

Country Link
CN (1) CN108400958A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101753562A (zh) * 2009-12-28 2010-06-23 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及网络安全防护设备
CN104506507A (zh) * 2014-12-15 2015-04-08 蓝盾信息安全技术股份有限公司 一种sdn网络的蜜网安全防护系统及方法
CN105553975A (zh) * 2015-12-14 2016-05-04 上海红神信息技术有限公司 一种用于提供网络服务的方法、装置和系统
CN105897611A (zh) * 2016-06-24 2016-08-24 武汉绿色网络信息服务有限责任公司 一种基于sdn采用dpi技术实现业务识别和流量调度的系统和方法
CN105933301A (zh) * 2016-04-13 2016-09-07 重庆邮电大学 一种基于sdn实现网络蠕虫集中防控的方法和装置
CN106254338A (zh) * 2016-07-29 2016-12-21 杭州华三通信技术有限公司 报文检测方法以及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101753562A (zh) * 2009-12-28 2010-06-23 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及网络安全防护设备
CN104506507A (zh) * 2014-12-15 2015-04-08 蓝盾信息安全技术股份有限公司 一种sdn网络的蜜网安全防护系统及方法
CN105553975A (zh) * 2015-12-14 2016-05-04 上海红神信息技术有限公司 一种用于提供网络服务的方法、装置和系统
CN105933301A (zh) * 2016-04-13 2016-09-07 重庆邮电大学 一种基于sdn实现网络蠕虫集中防控的方法和装置
CN105897611A (zh) * 2016-06-24 2016-08-24 武汉绿色网络信息服务有限责任公司 一种基于sdn采用dpi技术实现业务识别和流量调度的系统和方法
CN106254338A (zh) * 2016-07-29 2016-12-21 杭州华三通信技术有限公司 报文检测方法以及装置

Similar Documents

Publication Publication Date Title
Wang et al. Delving into internet DDoS attacks by botnets: characterization and analysis
CN112637220B (zh) 一种工控系统安全防护方法及装置
CN107370763B (zh) 基于外部威胁情报分析的资产安全预警方法及装置
Jajodia et al. Topological vulnerability analysis: A powerful new approach for network attack prevention, detection, and response
CN106982194A (zh) 漏洞扫描方法及装置
CN102694820B (zh) 签名规则的处理方法、服务器及入侵防御系统
CN107995192B (zh) 一种网络边界违规内联的检测与阻断系统
CN104169937A (zh) 机会系统扫描
CN111786966A (zh) 浏览网页的方法和装置
CN110365674B (zh) 一种预测网络攻击面的方法、服务器和系统
CN111510463B (zh) 异常行为识别系统
CN110351237B (zh) 用于数控机床的蜜罐方法及装置
CN112131577A (zh) 一种漏洞检测方法、装置、设备及计算机可读存储介质
CN109474601A (zh) 一种基于行为识别的扫描类攻击处置方法
CN104486320A (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
CN112769797A (zh) 一种闭源电力工控系统的安全防御系统及防御方法
CN112565300A (zh) 基于行业云黑客攻击识别与封堵方法、系统、装置及介质
CN110365673B (zh) 一种隔离网络攻击面的方法、服务器和系统
CN114339767B (zh) 一种信令检测方法、装置、电子设备及存储介质
CN116305155A (zh) 一种程序安全检测防护方法、装置、介质及电子设备
CN105429996A (zh) 一种智能发现和定位地址转换设备的方法
CN112615848B (zh) 漏洞修复状态检测方法及系统
CN113971288A (zh) 一种基于大数据技术智慧校园安全管控平台
CN113098852A (zh) 一种日志处理方法及装置
CN116781380A (zh) 一种校园网安全风险终端拦截溯源系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180814