CN113259387B - 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法 - Google Patents

一种基于虚拟交换的防止蜜罐被控成为跳板机的方法 Download PDF

Info

Publication number
CN113259387B
CN113259387B CN202110683002.5A CN202110683002A CN113259387B CN 113259387 B CN113259387 B CN 113259387B CN 202110683002 A CN202110683002 A CN 202110683002A CN 113259387 B CN113259387 B CN 113259387B
Authority
CN
China
Prior art keywords
message
honeypots
flow table
honeypot
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110683002.5A
Other languages
English (en)
Other versions
CN113259387A (zh
Inventor
宋彦春
郑昭翼
胡惠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Tianyi Safety Technology Co Ltd
Original Assignee
Jiangsu Tianyi Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Tianyi Safety Technology Co Ltd filed Critical Jiangsu Tianyi Safety Technology Co Ltd
Priority to CN202110683002.5A priority Critical patent/CN113259387B/zh
Publication of CN113259387A publication Critical patent/CN113259387A/zh
Application granted granted Critical
Publication of CN113259387B publication Critical patent/CN113259387B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,利用SDN控制器,通过OpenFlow协议与Openswitch交换机进行交互,按照规则定义流表项,将所有进入交换机的报文根据流表匹配交换机流表项中的源MAC地址,判断报文的合法/非法性,根据MAC地址判断出的合法的报文再根据流表匹配交换机流表项中的源IP,继续判断报文的合法/非法性,最终将报文转至蜜罐中。本发明基于OpenFlow协议,在协议中对经过交换机的报文进行判断,将判断出的非法报文转至蜜罐,将所有的攻击局限在蜜罐范围内,再对经过蜜罐的报文进行定期清洗,防止蜜罐被控成为跳板机侵入真实的服务器中,保证了网络系统的安全性。

Description

一种基于虚拟交换的防止蜜罐被控成为跳板机的方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于虚拟交换的防止蜜罐被控成为跳板机的方法。
背景技术
目前,在部署蜜罐时,通常使用低交互蜜罐或高交互蜜罐。使用低交互蜜的安全性较强罐,但入侵检测的强度较低,而使用高交互的蜜罐时,通常需要在用户的网络中添加很多的规则限制或者加入其监控系统,才能够保证蜜罐系统的安全性。现有的技术中,有些入侵检测技术也使用到了蜜罐,但蜜罐一旦被攻击者掌控之后,就可以在蜜罐所在的环境内横向移动,甚至利用蜜罐,将其当作跳板机,对其他服务器进行攻击,危害到整个网络。部署的大规模蜜罐,如果由于安全性不足,被黑客攻击,极有可能被作为跳板机入侵到真实到服务器中,从而违背了部署蜜罐到初衷,给予黑客更多的攻击渠道。
发明内容
发明目的:本发明的目的在于针对现有技术的不足,提供一种基于虚拟交换的防止蜜罐被控成为跳板机的方法与系统,在协议中对经过蜜罐的流量进行清洗,防止蜜罐与外部的非法通信,防止蜜罐成为跳板机。
本发明公开的一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,其特征在于,包括以下步骤:
步骤1:SDN控制器通过OpenFlow协议与Openvswitch交换机进行交互,按照流的出入规则定义流表项规则;
步骤2:报文进入Openvswitch交换机;
步骤3:根据流表匹配Openvswitch交换机流表项中的源MAC地址,通过源MAC地址的匹配判断报文是否合法,若通过Openvswitch交换机中报文的源MAC地址与流表项中的源MAC地址不匹配,则将其视为合法报文,继续进行下一条规则匹配,若通过Openvswitch交换机中报文的源MAC地址匹配流表项中的源MAC地址,则将其视为非法报文,继续进行下一条规则匹配;
步骤4:通过源MAC地址的匹配确定合法报文后,根据流表匹配Openvswitch交换机流表项中的源IP,通过源MAC地址的匹配确定非法报文后,将该报文的目的IP修改为蜜罐IP,再将报文转送到汇聚层;
步骤5:再通过源IP的匹配进一步判断报文是否合法,若通过Openvswitch交换机中报文的源IP与流表项中的源IP不匹配,则视为合法报文,将其转发至汇聚层,若通过Openvswitch交换机中报文的源IP匹配流表项中的源IP,则视为非法报文,将其丢弃。
所述OpenFlow协议位于数据链路层。
所述还包括步骤6,定期对蜜罐进行删除重建,每当有蜜罐删除时,都会删除作用于该蜜罐的所有流表规则,每当有蜜罐创建时,宿主机会自动添加作用与该蜜罐的流表规则。
所述蜜罐为在宿主机上创建的虚拟机,与宿主机进行通信,宿主机通过收集蜜罐中的威胁信息来达到入侵检测的目的。
所述宿主机为虚拟平台,宿主机创建多个虚拟机。
所述蜜罐由蜜罐管理系统控制,蜜罐管理系统每30分钟对蜜罐进行一次删除重建。
本发明技术方案带来的有益效果有:
1、通过蜜罐管理系统每30分钟进行一次删除重创,防止有一些蜜罐被利用,成为潜在的危险,现有的技术通常不会定期删除,可能会有一些攻击者对其进行攻击,许久之后还能利用同一通道同一IP进行攻击;
2、通过配置流表项,将经过的数据包都转发给蜜罐,蜜罐收集更多的攻击信息,将攻击仅限于蜜罐内,不会影响到真实业务,现有的技术中,通常蜜罐都是被动接受流量,只有攻击者明确发送给蜜罐的流量才会发到蜜罐中去,不利于收集更多的攻击信息;
3、通过OpenFlow流表项配置,经过了两次判断,精准地分配对各种数据包应有的处理,避免由于对数据包的处理不够精细造成的误报。
附图说明
图1为本发明的一种基于虚拟交换的防止蜜罐被控成为跳板机的方法的流程关系图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
本发明公开了一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,包括以下步骤:
步骤一:SDN控制器通过OpenFlow协议与Openvswitch交换机进行交互,按照流的出入规则定义流表项规则。
本步骤中,SDN控制器与Openvswitch交换机基于OpenFlow协议进行交互,按照流的出入规则定义其流表项规则,本方案中流的出入规则为禁止蜜罐对外发起请求,即蜜罐对外发送的数据包都被丢弃,但允许蜜罐向蜜罐管理系统发送数据包,同时允许蜜罐接收来自任何地址的数据包。OpenFlow流表的每个流表项包括用于数据包匹配的包头域(Header Fields)、用于统计匹配数据包个数的计数器(Counters)和用于展示匹配的数据包如何处理的动作(Actions)三个部分。OpenFlow协议属于数据链路层,能够控制网上交换机或路由器到转发平面,借此改变网络数据包所走的网络路径。
流表项匹配规则可以匹配入接口、物理入接口、流表间数据、二层报文头、三层报文头和四层端口号等报文字段等。流表项动作指令(Instructions & Actions)集定义匹配到该流表项的报文需要进行的处理,当报文匹配流表项时,每个流表项包含的指令集就会执行,这些指令将会影响报文、动作集以及管道流程。交换机不需要支持所有的指令类型,并且控制器可以询问OpenFlow交换机所支持的指令类型。每个流表表项的指令集中每种指令类型最多只能有一个。指令的执行的优先顺序为:Meter(限速)->Apply-Actions(立即执行命令)-> Clear Actions(清除动作集)-> Write-Actions(更改动作集)-> Write-Metadata(更改流表间数据)-> Goto-Table(进入下一级流表)。规则配置完毕后,如果数据包传输过来,流表项没有对应的动作执行,则数据包将会被丢弃,如果没有找到匹配的表项,则封装数据包转发给控制器。
步骤二:报文进入Openvswitch交换机。
步骤三:根据流表匹配Openvswitch交换机流表项中的源MAC地址,通过源MAC地址的匹配判断报文是否合法,若通过Openvswitch交换机中报文的源MAC地址与流表项中的源MAC地址不匹配,则将其视为合法报文,继续进行下一条规则匹配,若通过Openvswitch交换机中报文的源MAC地址匹配流表项中的源MAC地址,则将其视为非法报文,继续进行下一条规则匹配。
本步骤中,流表项里面的参数设有多个,使用流表项中的参数dl_src对流表中的源MAC地址进行匹配,设定dl_src=xx:xx:xx:xx:xx:xx,即dl_src=“某源MAC地址”,此处被设定匹配的源MAC地址为确定不属于外部攻击者的源Mac,它是已知的、来自交换机的MAC地址,目的是方便过滤。通过源MAC地址的匹配结果判断报文是否合法,例如已知Openvswitch交换机使用的某个MAC地址为xx:xx:xx:xx:xx:xx,流表项中则写入dl_src=xx:xx:xx:xx:xx:xx,报文通过Openvswitch交换机,若报文里的源MAC地址为xx:xx:xx:xx:xx:xx,此时,通过Openvswitch交换机中报文的源MAC地址与流表项中的源MAC地址匹配,该条报文视为非法报文,其他情况则不匹配,该报文则为合法报文。
步骤四:通过源MAC地址的匹配确定合法报文后,根据流表匹配Openvswitch交换机流表项中的源IP,通过源MAC地址的匹配确定非法报文后,将该报文的目的IP修改为蜜罐IP,再将报文转送到汇聚层。
本步骤中,通过源MAC地址的匹配确定合法报文后,根据流表匹配Openvswitch交换机流表项中的源IP,流表中指定MAC地址的方式为dl_src=xx:xx:xx:xx:xx:xx,使用nw_src匹配源IP,nw_src=ip[/netmask],通过源MAC地址的匹配确定非法报文后,修改该报文的目的IP,使用指定参数mod_nw_dst为蜜罐IP,修改目标的IPv4地址信息,将该报文的目的IP修改为蜜罐IP,将报文转送到汇聚层,保证攻击者的攻击始终在蜜罐中进行。
步骤五:再通过源IP的匹配进一步判断报文是否合法,若通过Openvswitch交换机中报文的源IP与流表项中的源IP不匹配,则视为合法报文,将其转发至汇聚层,若通过Openvswitch交换机中报文的源IP匹配流表项中的源IP,则将其视为非法报文,将其丢弃。
本步骤中,由于Openvswitch交换机中可能产生流量误报,流表项中会有已知的写入流表项的源MAC地址,这些源MAC地址都是非外来的,所以判断为非法,不会参与之后的判断,反之合法,也就是MAC地址和Openvswitch交换机没有关系,并非正常的交换机流量传输,因此,进一步通过源IP的匹配判断报文合法性。首先,在宿主机上创建多个虚拟机即蜜罐,蜜罐能够与宿主机进行通信,将不合法的报文转发至蜜罐中,宿主机对蜜罐中的报文进行收集,通过收集非法报文达到对威胁信息进行入侵检测的目的。如果通过Openvswitch交换机中报文的源IP与流表项中的源IP不匹配,说明该报文的源IP不是蜜罐管理系统中的,是来自外部的其他地址,则该条报文为合法报文,并且目的地址是蜜罐,将报文转发至蜜罐,如果源IP地址是蜜罐管理系统中的,则该条报文是非法报文,不能让这些报文出去。例如,蜜罐管理系统的源IP是172.16.x.x,netmask=24,流表项中写入nw_src=172.16.x.x[/24],如果报文里的源IP为172.16.x.x[/24],那么报文源IP与流表项中的源IP匹配,是非法报文,反之则不匹配。
优选地,本方法还包括步骤六,定期对蜜罐进行删除重建,每当有蜜罐删除时,都会删除作用于该蜜罐的所有流表规则,每当有蜜罐创建时,宿主机会自动添加作用与该蜜罐的流表规则。
本步骤中,蜜罐管理系统会在每30分钟对蜜罐进行删除重建,防止蜜罐被攻破,提升蜜罐的安全性。宿主机对蜜罐管理系统中存在的蜜罐进行实时监控,每当一个蜜罐删除时,都会删除作用于该蜜罐的所有流表规则,每当有蜜罐创建时,宿主机会自动添加作用与该蜜罐的流表规则。蜜罐管理系统包含对蜜罐收集到的攻击数据进行汇总展示功能,蜜罐创建、配置、删除功能,作用是管理创建出来的蜜罐并展示攻击数据。
优选的,宿主机为虚拟平台,宿主机创建多个虚拟机,蜜罐为在宿主机上创建的虚拟机,与宿主机进行通信,宿主机通过收集蜜罐中的威胁信息来达到入侵检测的目的。
本发明公开了一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,通过OpenFlow协议与Openvswitch交换机进行交互,按照流的出入规则定义其流表项规则,禁止蜜罐对外发起请求,同时允许蜜罐接收来自任何地址的数据包,基于OpenFlow协议,在协议中对经过交换机的报文进行判断,将判断出的非法报文转至蜜罐,将所有的攻击局限在蜜罐范围内,再对经过蜜罐的报文进行定期清洗,防止蜜罐被控成为跳板机侵入真实的服务器中,保证了网络系统的安全性。
如上所述,尽管参照特定的优选实施例已经表示和表述了本发明,但其不得解释为对本发明自身的限制。在不脱离所附权利要求定义的本发明的精神和范围前提下,可对其在形式上和细节上作出各种变化。

Claims (6)

1.一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,其特征在于,包括以下步骤:
步骤1:SDN控制器通过OpenFlow协议与Openvswitch交换机进行交互,按照流的出入规则定义流表项规则;
步骤2:报文进入Openvswitch交换机;
步骤3:根据流表匹配Openvswitch交换机流表项中的源MAC地址,通过源MAC地址的匹配判断报文是否合法,若通过Openvswitch交换机中报文的源MAC地址与流表项中的源MAC地址不匹配,则将其视为合法报文,继续进行下一条规则匹配,若通过Openvswitch交换机中报文的源MAC地址匹配流表项中的源MAC地址,则将其视为非法报文,继续进行下一条规则匹配,所述流表项中的源MAC地址包括已知的、Openvswitch交换机的MAC地址;
步骤4:通过源MAC地址的匹配确定合法报文后,根据流表匹配Openvswitch交换机流表项中的源IP,通过源MAC地址的匹配确定非法报文后,将该报文的目的IP修改为蜜罐IP,再将报文转送到汇聚层,所述流表项中的源IP是蜜罐管理系统中的IP;
步骤5:再通过源IP的匹配进一步判断报文是否合法,若通过Openvswitch交换机中报文的源IP与流表项中的源IP不匹配,则视为合法报文,将其转发至汇聚层,若通过Openvswitch交换机中报文的源IP匹配流表项中的源IP,则视为非法报文,将其丢弃。
2.根据权利要求1所述的一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,其特征在于,所述的OpenFlow协议位于数据链路层。
3.根据权利要求1所述的一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,其特征在于,还包括步骤6,定期对蜜罐进行删除重建,每当有蜜罐删除时,都会删除作用于该蜜罐的所有流表规则,每当有蜜罐创建时,宿主机会自动添加作用与该蜜罐的流表规则。
4.根据权利要求1所述的一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,其特征在于,所述的蜜罐为在宿主机上创建的虚拟机,与宿主机进行通信,宿主机通过收集蜜罐中的威胁信息来达到入侵检测的目的。
5.根据权利要求3所述的一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,其特征在于,所述的宿主机为虚拟平台,宿主机创建多个虚拟机。
6.根据权利要求1所述的一种基于虚拟交换的防止蜜罐被控成为跳板机的方法,其特征在于,所述的蜜罐由蜜罐管理系统控制,蜜罐管理系统每30分钟对蜜罐进行一次删除重建。
CN202110683002.5A 2021-06-21 2021-06-21 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法 Active CN113259387B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110683002.5A CN113259387B (zh) 2021-06-21 2021-06-21 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110683002.5A CN113259387B (zh) 2021-06-21 2021-06-21 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法

Publications (2)

Publication Number Publication Date
CN113259387A CN113259387A (zh) 2021-08-13
CN113259387B true CN113259387B (zh) 2021-09-24

Family

ID=77188825

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110683002.5A Active CN113259387B (zh) 2021-06-21 2021-06-21 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法

Country Status (1)

Country Link
CN (1) CN113259387B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785564A (zh) * 2022-04-01 2022-07-22 江苏天翼安全技术有限公司 一种基于以太网桥规则的防跳板机的通用方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104202322A (zh) * 2014-09-04 2014-12-10 国家电网公司 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法
CN105933235A (zh) * 2016-07-07 2016-09-07 北京邮电大学 数据通信方法及装置
CN109995716A (zh) * 2017-12-29 2019-07-09 北京安天网络安全技术有限公司 基于高交互蜜罐系统的行为激发方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107370756B (zh) * 2017-08-25 2020-04-07 北京神州绿盟信息安全科技股份有限公司 一种蜜网防护方法及系统
CN107872467A (zh) * 2017-12-26 2018-04-03 中国联合网络通信集团有限公司 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统
US11363031B2 (en) * 2018-08-27 2022-06-14 Ciena Corporation Network architecture providing device identification and redirection using whitelisting traffic classification
CN110198270A (zh) * 2019-05-10 2019-09-03 华中科技大学 一种sdn网络中基于路径与ip地址跳变的主动防御方法
CN111726305B (zh) * 2020-06-18 2021-03-16 广州市品高软件股份有限公司 一种面向虚拟机的多级流表管控方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104202322A (zh) * 2014-09-04 2014-12-10 国家电网公司 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法
CN105933235A (zh) * 2016-07-07 2016-09-07 北京邮电大学 数据通信方法及装置
CN109995716A (zh) * 2017-12-29 2019-07-09 北京安天网络安全技术有限公司 基于高交互蜜罐系统的行为激发方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于OpenFlow的蜜罐主动取证技术;杨天识等;《北京理工大学学报》;20190515(第05期);全文 *
基于蜜罐的工控蜜网系统的设计与实现;李政达等;《信息技术与网络安全》;20200810(第08期);全文 *

Also Published As

Publication number Publication date
CN113259387A (zh) 2021-08-13

Similar Documents

Publication Publication Date Title
Cao et al. The {CrossPath} attack: Disrupting the {SDN} control channel via shared links
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
Khan et al. Topology discovery in software defined networks: Threats, taxonomy, and state-of-the-art
US6487666B1 (en) Intrusion detection signature analysis using regular expressions and logical operators
CN101589595B (zh) 用于潜在被污染端系统的牵制机制
CN104954367B (zh) 一种互联网全向跨域DDoS攻击防护方法
US9882904B2 (en) System and method for filtering network traffic
JP2015528263A (ja) ネットワークトラフィック処理システム
CN108737447A (zh) 用户数据报协议流量过滤方法、装置、服务器及存储介质
CN101656638B (zh) 面向误配置的域间前缀劫持检测方法
CN110266650B (zh) Conpot工控蜜罐的识别方法
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
Hubballi et al. An event based technique for detecting spoofed IP packets
Yao et al. VASE: Filtering IP spoofing traffic with agility
CN113259387B (zh) 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法
CN107634971B (zh) 一种检测洪水攻击的方法及装置
JP2019213182A (ja) ネットワーク防御装置およびネットワーク防御システム
KR100733830B1 (ko) 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
Nelle et al. Securing IPv6 neighbor discovery and SLAAC in access networks through SDN
Khirwadkar Defense against network attacks using game theory
CN108521413A (zh) 一种未来信息战争的网络抵抗和防御方法及系统
CN111654558B (zh) Arp交互与内网流量转发方法、装置和设备
CN109104437B (zh) 路由域、用于在路由域中处理ip报文的方法和装置
Siddiqui et al. Self-reliant detection of route leaks in inter-domain routing
Kawazoe et al. A cooperative multi-agent learning approach for avoiding DRDoS Attack

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant