TWI668987B - 基於目標式移動防護的主機防護系統及其方法 - Google Patents
基於目標式移動防護的主機防護系統及其方法 Download PDFInfo
- Publication number
- TWI668987B TWI668987B TW107114244A TW107114244A TWI668987B TW I668987 B TWI668987 B TW I668987B TW 107114244 A TW107114244 A TW 107114244A TW 107114244 A TW107114244 A TW 107114244A TW I668987 B TWI668987 B TW I668987B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- user terminal
- user
- service
- server
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本發明揭露一種基於目標式移動防護的主機防護系統及其方法,係供軟體定義網路中之軟體定義網路控制器判斷訊務來源是否為合法使用者,其方法包括:接收來自使用者終端發出之使用者訊務;執行帳號或密碼之認證,以於該帳號或密碼之認證正確時,透過追蹤路由機制計算出該使用者訊務之路由路徑參數;比對該路由路徑參數與預存資料是否相同,以確認該使用者終端是否為合法使用者,其中,當該使用者終端為正常使用者終端時,將該使用者訊務導向伺服器主機資源池,或者當該帳號或密碼錯誤,或該使用者終端為惡意使用者終端時,將該使用者訊務導向沙箱主機資源池,藉此混淆駭客之偵查行為。
Description
本發明係有關防止駭客偵查之機制,詳而言之,係關於一種基於目標式移動防護的主機防護系統及其方法。
目前網路攻擊事件頻傳,加上進階持續威脅(Advanced Persistent Threat,APT)攻擊事件非常嚴重,此對網路設備之資安問題構成重大影響。駭客於執行APT攻擊之前,會先針對攻擊之目標進行情資收集,例如對目標主機之網路IP位址、網域名稱、開啟之服務埠、主機作業系統版本、開啟服務的應用程式名稱及版本資訊等進行收集,然後針對前述之網路情資偵查及蒐集資訊來進行目標主機之弱點攻擊。
對於上述駭客偵查行為,基於傳統網路架構只能使用靜態設定,也就是說設定後不能隨意修改變動,此造成駭客進行網路情資偵查及蒐集時,可以穩定及準確地進行攻擊行為,攻擊封包送至目標主機後,針對目標主機之回應封包內容,可精準地確認主機之所有網路及主機設定,進
而達到目標主機的攻擊目的,此導致駭客在攻擊前偵查過於容易,若能增加其困難性甚至混淆偵查結果,當可有效降低駭客攻擊行為的發生。
由上可知,若能找出一種伺服器主機保護的方法,例如透過混淆方式以使駭客取得錯誤偵查資料,致使無法準確取得目標主機的網路資訊,藉此降低遭攻擊情況,此將成為目前本技術領域人員急欲解決之技術問題。
本發明之目的係提出一種防止駭客偵查之主機防護機制,透過動態改變伺服器主機之網路參數及網路拓樸,以達到混淆駭客偵查行為。
本發明次一目的係提供認證機制,藉以有效將惡意使用者終端導向預先設置之沙箱伺服器,使惡意使用者終端取得錯誤資訊,藉此達到混淆駭客以及進一步紀錄駭客攻擊行為之目的。
為了達成上述或其他目的,本發明提出一種基於目標式移動防護的主機防護系統,包括使用者終端;伺服器主機資源池,係包括至少一服務伺服器;沙箱主機資源池,係包括至少一沙箱伺服器;以及軟體定義網路控制器,其與複數個軟體定義網路交換器位於一軟體定義網路中,該軟體定義網路控制器透過該複數個軟體定義網路交換器連接該伺服器主機資源池及該沙箱主機資源池,其中,於該軟體定義網路控制器收到來自該使用者終端之使用者訊務時,係先判斷該使用者訊務所載之帳號與/或密碼是否正確,
以於該帳號與/或密碼正確時,透過追蹤路由(traceroute)機制計算出該使用者訊務之路由路徑參數,藉由比對該路由路徑參數與預存資料是否相同,以確認該使用者終端是否為合法使用者,俾於該使用者終端為正常使用者終端時,將該使用者訊務導向該伺服器主機資源池,或者於該帳號與/或密碼錯誤,或該使用者終端為惡意使用者終端時,將該使用者訊務導向該沙箱主機資源池。
於一實施例中,該路由路徑參數包括網路位置(IP)、網路跳躍次數(HOP)及/或存活時間(TTL)。
於另一實施例中,該軟體定義網路控制器係固定間隔時間動態配置該至少一服務伺服器及該至少一沙箱伺服器之虛擬網路參數,以將該至少一服務伺服器及該至少一沙箱伺服器之真實網路參數與該虛擬網路參數紀錄於該軟體定義網路控制器內。
另外,前述軟體定義網路控制器更包括:認證管理模組,係執行使用者認證授權之管理;網路拓樸管理模組,係執行網路拓樸之優化計算;網路流表管理模組,係執行訊務交換路徑管理;伺服器主機資源池管理模組,係執行該至少一服務伺服器之網路參數運作管理;沙箱主機資源池管理模組,係執行該至少一沙箱伺服器之網路參數運作管理;以及目標式移動防護管理模組,係執行全網之網路參數分配以及該軟體定義網路控制器各模組之交互運作協調管理。
本發明復提出一種基於目標式移動防護的主機防護
方法,供軟體定義網路中之軟體定義網路控制器判斷訊務來源是否為合法使用者,該軟體定義網路係執行以下步驟:接收來自使用者終端發出之使用者訊務;執行帳號與/或密碼之認證,以於該帳號與/或密碼之認證正確時,透過追蹤路由(traceroute)機制計算出該使用者訊務之路由路徑參數;以及比對該路由路徑參數與預存資料是否相同,以確認該使用者終端是否為合法使用者,其中,當該使用者終端為正常使用者終端時,將該使用者訊務導向伺服器主機資源池,或者當該帳號與/或密碼錯誤,或該使用者終端為惡意使用者終端時,將該使用者訊務導向沙箱主機資源池。
於上述方法中,更包括於該軟體定義網路控制器執行訊務來源判斷前,執行下列步驟:儲存供使用者認證之該帳號與/或密碼以及來源網路位址;以及透過追蹤路由(traceroute)機制以該來源網路位址計算路由路徑,藉此取得並儲存該來源網路位址之裝置的網路位址、網路跳躍次數及/或存活時間。
於上述方法中,更包括於該軟體定義網路控制器執行訊務來源判斷前,執行下列步驟:收集該伺服器主機資源池之服務伺服器的相關資訊列表以及該沙箱主機資源池之沙箱伺服器的相關資訊列表至該軟體定義網路控制器;依據該服務伺服器和該沙箱伺服器之真實網路參數動態配置一虛擬網路參數,以將該真實網路參數與其相對應之該虛擬網路參數儲存於資料庫;以及基於全網狀(Full Mesh)網路拓樸特性進行動態網路拓樸的改變,利用週期間隔時間
重新計算不同網路拓樸並連結該虛擬網路參數,以取得穩定狀態之路由路徑。
於上述方法中,重新計算不同網路拓樸更包括以下步驟:依據當前網路架構建立虛擬全網狀網路拓樸,以將相關流表資料紀錄於該軟體定義網路控制器中;以及基於該第一流表執行鏈路網路吞吐量計算、鏈路網路封包延遲率計算以及鏈路網路封包遺失率計算以得到新的網路拓樸。
於上述方法中,當該使用者訊務被導向該沙箱主機資源池時,進一步紀錄該惡意使用者終端所使用之C & C(Command and control)中繼站。
相較於現有技術,本發明提出之基於目標式移動防護的主機防護系統及其方法,透過動態配置虛擬網路參數,並且固定間隔時間改變虛擬網路參數,使得惡意使用者終端無法直接連接到目標主機,另外,軟體定義網路控制器除了確認帳號與/或密碼外,會進一步確認使用者終端之路由路徑參數是否與預存資料相同,並在確認是惡意使用者終端時,將其導向沙箱主機資源池,進而提供假的MAC網路位址、假的IP網路位址、假的服務埠、假的作業系統版本、假的應用程式版本、假的漏洞等資訊,以混淆駭客之偵測結果,因此,本發明透過上述方式,將可達到有效欺騙駭客之網路情資偵查及蒐集之結果,並進一步紀錄駭客攻擊行為以進行分析。
1‧‧‧基於目標式移動防護的主機防護系統
100‧‧‧外部存取網路
101‧‧‧正常使用者終端
102‧‧‧惡意使用者終端
200‧‧‧軟體定義網路
210‧‧‧軟體定義網路交換器
220‧‧‧軟體定義網路控制器
221‧‧‧網路拓樸管理模組
222‧‧‧網路流表管理模組
223‧‧‧伺服器主機資源池管理模組
224‧‧‧沙箱主機資源池管理模組
225‧‧‧目標式移動防護管理模組
226‧‧‧認證管理模組
300‧‧‧伺服器主機資源池
301、302、303‧‧‧服務伺服器
400‧‧‧沙箱主機資源池
401、402、403‧‧‧沙箱伺服器
511~515‧‧‧步驟
521~526‧‧‧步驟
531~534‧‧‧步驟
541~545‧‧‧流程
551~556‧‧‧步驟
561~567‧‧‧步驟
S301~S303‧‧‧步驟
第1圖為本發明之基於目標式移動防護的主機防護系
統之網路架構圖;第2圖為本發明之基於目標式移動防護的主機防護系統之軟體定義網路控制器的架構圖;第3圖為本發明之基於目標式移動防護的主機防護方法之步驟圖;第4圖為本發明之基於目標式移動防護的主機防護方法中真實與虛擬網路參數對應之步驟圖;第5圖為本發明之基於目標式移動防護的主機防護方法動態改變網路拓樸之步驟圖;第6圖為本發明之基於目標式移動防護的主機防護方法之使用者認證之步驟圖;第7圖為本發明之基於目標式移動防護的主機防護方法執行使用者終端判斷之流程圖;第8圖為本發明之基於目標式移動防護的主機防護方法中伺服器主機資源池動態改變網路參數之步驟圖;以及第9圖為本發明之基於目標式移動防護的主機防護方法中沙箱主機資源池動態改變網路參數之步驟圖。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其他不同的具體實施形態加以施行或應用。
第1圖係說明本發明之基於目標式移動防護的主機防護系統之網路架構圖。如圖所示,本發明之基於目標式移
動防護的主機防護系統1包括使用者終端、位於軟體定義網路200之軟體定義網路控制器220、伺服器主機資源池300以及沙箱主機資源池400。
使用者終端位於外部存取網路100內,可包括正常使用者終端101和惡意使用者終端102。簡言之,正常使用者終端101係指合法使用者裝置要進行連線,惡意使用者終端102則可能是冒充合法使用者裝置的其他裝置,但其有可能會取得認證的帳號與/或密碼,故本發明在認證階段會考量更多有關使用者終端的資訊。
伺服器主機資源池300包括至少一服務伺服器301~303,其中,服務伺服器301~303指可提供服務的伺服器,也就是在正常連線下使用者終端要連結對象。沙箱主機資源池400包括至少一沙箱伺服器401~403,其中,當前端判斷使用者終端為惡意者時,使用者訊務會被導引至沙箱伺服器401~403,藉此提供錯誤的回饋訊息,藉此達到擾亂駭客偵查的目的。
軟體定義網路控制器220與複數個軟體定義網路交換器210位於軟體定義網路200中,該軟體定義網路控制器220透過該複數個軟體定義網路交換器210連接至伺服器主機資源池300及沙箱主機資源池400。
實際運作時,於軟體定義網路控制器220收到來自使用者終端(正常使用者終端101或惡意使用者終端102)之使用者訊務時,會先判斷使用者訊務所載之帳號與/或密碼是否正確,且以於帳號與/或密碼正確時,透過追蹤路由
(traceroute)機制以計算出使用者訊務之路由路徑參數,接著,藉由比對路由路徑參數與其預存資料是否相同,以確認使用者終端是否為合法使用者,其中,預存資料是指運作前,在使用者進行註冊認證就會留下相關資料,例如包括網路位置(IP)、網路跳躍次數(HOP)以及存活時間(TTL),此可用於判斷此使用者訊務來源之使用者終端是否為合法使用者。
最後,當軟體定義網路控制器220判斷使用者終端為正常使用者終端101時,則將此使用者訊務導向伺服器主機資源池300,以由服務伺服器301~303提供對應服務,又或者,於帳號與/或密碼錯誤,或使用者終端為惡意使用者終端102時,將使用者訊務導向沙箱主機資源池400,但沙箱伺服器401~403是預先建立不提供服務的伺服器,故惡意使用者終端102僅能取得不同於目標裝置(服務伺服器301~303)的資訊,故能混淆惡意使用者終端102的偵測。
另外,為避免使用者終端取得目標裝置的網路位置,進而連線至伺服器主機資源池300之服務伺服器301~303,本發明係提出動態配置各伺服器的網路參數,即軟體定義網路控制器220可固定間隔時間動態配置服務伺服器301~303及沙箱伺服器401~403之虛擬網路參數,並將服務伺服器301~303及沙箱伺服器401~403的真實網路參數與虛擬網路參數紀錄於軟體定義網路控制器220內。
具體來說,使用者終端在不知情目標裝置的網路位置
下,僅能透過軟體定義網路控制器220來引導,在此情況下,動態改變服務伺服器301~303和沙箱伺服器401~403的網路參數以形成虛擬網路參數,軟體定義網路控制器220紀錄實際網路參數與虛擬網路參數關係,故可以引導使用者訊務的路由,再者,透過虛擬網路參數的不斷變換,也可以形成不同網路拓樸,此也會讓惡意使用者終端102不易掌握軟體定義網路200的環境,讓駭客更難掌握網路狀態。
第2圖係說明本發明之基於目標式移動防護的主機防護系統之軟體定義網路控制器的架構圖。如圖所示,軟體定義網路內包括軟體定義網路控制器220及複數個軟體定義網路交換器210,其中,軟體定義網路控制器220包括網路拓樸管理模組221、網路流表管理模組222、伺服器主機資源池管理模組223、沙箱主機資源池管理模組224、目標式移動防護管理模組225以及認證管理模組226。
簡單來說,網路拓樸管理模組221用於執行網路拓樸之優化計算,網路流表管理模組222用於執行進行訊務交換路徑管理,伺服器主機資源池管理模組223用於執行伺服器主機之網路參數運作管理,沙箱主機資源池管理模組224用於執行沙箱伺服器之運作網路參數管理,目標式移動防護管理模組225用於執行全網之網路參數分配與各模組交互運作協調管理,認證管理模組226則用來執行使用者認證授權之管理。上述各模組具體運作內容,將於後面搭配實施例一併說明。
基於前述網路環境和設備架構下,本發明提出一種目標式移動防護的主機防護方法,係供軟體定義網路中之軟體定義網路控制器判斷訊務來源是否為合法使用者,如第3圖所示,軟體定義網路執行下列步驟:
於步驟S301中,係接收來自使用者終端發出之使用者訊務。此步驟即軟體定義網路控制器接收使用者訊務,其來源可能是正常使用者終端或惡意使用者終端。
於步驟S302中,係執行帳號/密碼之認證,以於該帳號/密碼之認證正確時,透過追蹤路由(traceroute)機制計算出該使用者訊務之路由路徑參數。此步驟為進行來源驗證,包括最基本的帳號/密碼認證,一般駭客通常會通過此驗證,因而須在取得來源設備之路由路徑參數,包括網路位置、網路跳躍次數以及存活時間,藉此進一步判斷使用者訊務來源的終端使否為合法使用者。
於步驟S303中,係比對該路由路徑參數與預存資料是否相同,以確認該使用者終端是否為合法使用者,其中,當該使用者終端為正常使用者終端時,將該使用者訊務導向伺服器主機資源池,或者當該帳號/密碼錯誤,或該使用者終端為惡意使用者終端時,將該使用者訊務導向沙箱主機資源池。此步驟為比對前一步驟取得之路由路徑參數與預存資料是否相同,預存資料即正常使用者終端先前註冊時所取得之路由路徑參數,當兩者一致或相同時,可推得使用者訊務來源的終端使是合法使用者,故可將此使用者訊務導向伺服器主機資源池,反之,若駭客以其他裝置偽
裝要進行驗證,因為路由路徑參數與預設不同,故判定為惡意使用者終端,其使用者訊務將會導向沙箱主機資源池。
此外,當使用者訊務被導向沙箱主機資源池時,軟體定義網路控制器會進一步紀錄該惡意使用者終端所使用之C & C(Command and control)中繼站。
於一實施例中,於該軟體定義網路控制器執行訊務來源判斷前,更執行下列步驟:儲存供使用者認證之帳號/密碼以及來源網路位址;以及透過追蹤路由機制以該來源網路位址計算路由路徑,藉此取得並儲存該來源網路位址之裝置的網路位址、網路跳躍次數及存活時間。此步驟就是正常使用者終端註冊時留下的路由路徑參數,可用於後續當由使用者訊務來時進行比對。
於另一實施例中,於該軟體定義網路控制器執行訊務來源判斷前,更執行下列步驟:收集伺服器主機資源池之服務伺服器的相關資訊列表以及沙箱主機資源池之沙箱伺服器的相關資訊列表至軟體定義網路控制器;依據該服務伺服器和該沙箱伺服器之真實網路參數動態配置一虛擬網路參數,以將該真實網路參數與其相對應之該虛擬網路參數儲存於資料庫;以及基於全網狀(Full Mesh)網路拓樸特性進行動態網路拓樸的改變,利用週期間隔時間重新計算不同網路拓樸並連結該虛擬網路參數,以取得穩定狀態之路由路徑。上述步驟為預先紀錄服務伺服器與沙箱伺服器的真實網路參數,以及動態配置對應的虛擬網路參數,將
兩者相關聯並儲存,另外基於上述虛擬網路參數產生不同網路拓樸,以週期性變更軟體定義網路的參數狀態,藉此降低惡意使用者終端輕易取得整個網路環境相關資訊。
另外,前述重新計算不同網路拓樸更包括以下步驟:依據當前網路架構建立虛擬全網狀網路拓樸,以將相關流表資料紀錄於該軟體定義網路控制器中;以及基於該第一流表執行鏈路網路吞吐量計算、鏈路網路封包延遲率計算以及鏈路網路封包遺失率計算以得到新的網路拓樸。簡言之,上述步驟即依據鏈路網路吞吐量、鏈路網路封包延遲率以及鏈路網路封包遺失率等計算,定期產生新的網路拓樸。
下面請參考第1-3圖,具體說明系統整體的運作。本發明係於伺服器主機資源池300之服務伺服器301~303前建置混淆駭客情蒐之軟體定義網路200之環境,軟體定義網路控制器220之網路拓樸管理模組221將網路拓樸建立一變動之雛形,伺服器主機資源池300之服務伺服器301~303及沙箱主機資源池400之沙箱伺服器401~403可透過目標式移動防護管理模組225以上述伺服器的真實IP位址、MAC地址和服務埠紀錄等網路參數,動態配置對應虛擬網路參數,例如透過約定時間(例如5或10分鐘等)改變配置動態之虛擬IP網路位址、虛擬MAC網路地址和虛擬服務埠,藉此構成不同網路拓樸。
使用者訊務進入本系統架構時,軟體定義網路控制器220會透過認證管理模組226先進行帳號與/或密碼之認證,
確認是否為合法之使用者,同時針對使用者訊務來源進行網路位址(IP)、網路跳躍次數(HOP)及存活時間(TTL)等路由路徑參數收集,進而判斷此使用者訊務是否為駭客進行偽造網路地址方式(IP SPOOFING)之情況,當軟體定義網路控制器220認定為正常使用者終端101時,則使用者訊務導向伺服器主機資源池300,若軟體定義網路控制器220發現為惡意使用者終端102時,將此使用者訊務導向沙箱主機資源池400,混淆駭客之偵查行為,甚至進而蒐集駭客之相關資訊,動態回饋至目標式移動防護管理模組225。
本發明利用軟體定義網路200之特性,將原先靜態網路配置改用動態配置方式,在特定時間間隔後,整個網路之路由及各主機IP/MAC網路位址透過特定演算法進行動態改變,於網路中建立一沙箱主機資源池400,資源池內有複數作業系統平台(例如Windows、Linux、Unix等)、複數作業系統平台版本(例如Win 7、Win 10、Windows Server 2012、Windows Server 2018等)、複數應用程式(例如MS Office、WinRAR、Adobe Flash)、複數應用程式版本(例如MS Office 2010、MS Office 2013、MS Office 2018)。
由上可知,軟體定義網路控制器220針對伺服器主機資源池300及沙箱主機資源池400內各伺服器之真實IP位址、MAC地址、服務埠動態改變,透過約定時間改變配置動態之虛擬IP網路位址、虛擬MAC網路地址、虛擬服務埠,據此可避免惡意使用者終端102輕易掌握整個網路
環境,進而降低駭客入侵的可能。
於另一實施例中,網路拓樸管理模組221可進行網路拓樸之優化計算,以及將流表資訊寫入網路流表管理模組222中,另外,目標式移動管理模組225可分別整合伺服器主機資源池管理模組223及沙箱主機資源池管理模組224,執行新的網路拓樸之計算以及連結各網路參數。
網路拓樸管理模組221會先依照當前之網路架構建立一虛擬全網狀(Full Mesh)網路拓樸,將其相關流表資訊寫入網路流表管理模組222內,目標式移動防護管理模組225將網路流表管理模組222之流表資訊進行去除冗餘路徑、網路路徑及最佳路由路徑之計算,藉此產生新的網路拓樸,最後將相關流表資訊再寫入網路流表管理模組222內,目標式移動防護管理模組225可固定時間進行資料庫內真實與虛擬對應參數之重新計算,藉以產生新的參數並寫回資料庫內。
當軟體定義網路200動態調整其網路拓樸,此讓駭客無法預測實際之網路連線狀態,當一位使用者試圖由外部存取網路100發送使用者訊務時,軟體定義網路200內軟體定義網路交換器210會先將使用者訊務導向軟體定義網路控制器220,經過身份確認來判斷是否為正常使用者終端,若網路參數數值不相同時,極有可能駭客已取得使用者之帳號與/或密碼,且透過偽造網路地址方式進行偵查或資料竊取,因而透過認證管理模組226之判斷,可將有問題的使用者訊務導向沙箱主機資源池400,以混淆攻擊者
之連線。
第4圖係說明本發明之基於目標式移動防護的主機防護方法中真實與虛擬網路參數對應之步驟圖。如圖所示,步驟511為伺服器主機資源池管理,即將伺服器主機資源池之服務伺服器資訊輸入至軟體定義網路控制器之伺服器主機資源池管理模組,以由伺服器主機資源池管理模組管理伺服器主機資源池之各服務伺服器。
步驟512為沙箱主機資源池管理,即將沙箱主機資源池之沙箱伺服器主機資訊輸入至軟體定義網路控制器之沙箱主機資源池管理模組,以由沙箱主機資源池管理模組管理沙箱主機資源池之各沙箱伺服器。
步驟513為服務伺服器真實網路參數與虛擬網路參數對應。本步驟係利用軟體定義網路控制器之目標式移動防護管理模組與伺服器主機資源池管理模組整合,將服務伺服器之真實網路參數配置對應之虛擬網路參數,網路參數可包括IP網路位址、MAC網路地址、服務埠。也就是說,目標式移動防護管理模組依照服務伺服器的真實IP網路位址、MAC網路地址及服務埠,分別對應分配虛擬之IP網路位址、MAC網路地址及服務埠,進一步地可以將伺服器主機之真實與虛擬對應之相關網路參數寫入目標式移動防護管理模組之資料庫內。
步驟514為沙箱伺服器真實網路參數與虛擬網路參數對應。本步驟係利用目標式移動防護管理模組與沙箱主機資源池管理模組整合,將沙箱伺服器之真實網路參數配置
對應之虛擬網路參數,即目標式移動防護管理模組依照沙箱主機的真實IP網路位址、MAC網路地址及服務埠,分別對應分配虛擬之IP網路位址、MAC網路地址及服務埠,相關參數與關連性同樣被儲存目標式移動防護管理模組之資料庫內。
步驟515為目標式移動防護管理模組進行網路拓樸、服務伺服器、沙箱伺服器與網路拓樸連結。目標式移動防護管理模組週期地提供不同之網路拓樸,且連結服務伺服器之虛擬網路參數及沙箱伺服器之虛擬網路參數,亦即,軟體定義網路控制器之目標式移動防護管理模組於固定間隔時間(例如5或10分鐘等)下,重新計算出不同之網路拓樸,並與服務伺服器之虛擬IP網路位址、虛擬MAC網路地址及虛擬服務埠連結,以及與沙箱伺服器之虛擬IP網路位址、虛擬MAC網路地址及虛擬服務埠連結,以計算出一個穩定狀態之路由路徑,最後前開網路參數形成相關流表資訊並寫入網路流表管理模組內。
舉例來說,服務伺服器甲的真實IP網路位址(rIP1)為10.10.10.10、MAC網路地址(rMAC1)為AA:AA:AA:AA:AA:AA、服務埠(rPort1)為8888,透過動態配置虛擬IP網路位址(vIP1)為100.100.100.100、虛擬MAC網路地址(vMAC1)為AA:AA:AA:AA:AA:BB、虛擬服務埠(vPort1)為9999,經過一固定時間進行重新運算,服務伺服器甲之虛擬IP網路位址(vIP1)為110.110.110.110、虛擬MAC網路地址(vMAC1)為AA:AA:AA:AA:BB:BB、虛擬服
務埠(vPort1)為9999,此讓伺服器主機資源池內服務伺服器之真實資訊不會洩漏,後續也全都使用動態之虛擬資訊進行資訊交換。
另外,沙箱伺服器乙的真實IP網路位址(rIP2)為20.20.20.20、MAC網路地址(rMAC2)為BB:BB:BB:BB:BB:BB、服務埠(rPort2)為1234,透過動態配置虛擬IP網路位址(vIP2)為200.200.200.200、虛擬MAC網路地址(vMAC2)為BB:BB:BB:BB:BB:AA、虛擬服務埠(vPort2)為1233,經過一固定時間進行重新運算,沙箱伺服器乙之虛擬IP網路位址(vIP2)為220.220.220.220、虛擬MAC網路地址(vMAC2)為BB:BB:BB:BB:BB:CC、虛擬服務埠資源池變動其虛擬服務埠(vPort2)為1255,此讓沙箱主機資源池內沙箱伺服器之真實資訊不會洩漏,後續同樣全使用動態之虛擬資訊進行資訊交換。
第5圖係說明本發明之基於目標式移動防護的主機防護方法動態改變網路拓樸之步驟圖。步驟521為虛擬全網狀(Full Mesh)網路拓樸確認,也就是說,網路拓樸管理模組會先依照當前之網路架構建立一虛擬全網狀,並將其相關流表資訊寫入網路流表管理模組內。
步驟522、523、524分別進行鏈路網路吞吐量計算、鏈路網路封包延遲率計算及鏈路網路封包遺失率計算。簡言之,目標式移動防護管理模組將網路流表管理模組之流表內容進行鏈路網路吞吐量計算、鏈路網路封包延遲率計算以及鏈路網路封包遺失率計算,藉此去除冗餘路徑以及
網路路徑與最佳路由路徑之計算,以得到新的網路拓樸。
步驟525為網路拓樸動態改變,且目標式移動防護管理模組會將前述相關流表資訊寫入網路流表管理模組內。
步驟526為週期時間重新更新,亦即目標式移動防護管理模組會於固定時間進行服務伺服器和沙箱伺服器兩者真實與虛擬網路參數對應之重新計算,重新計算之網路參數也會寫回資料庫。
舉例來說,軟體定義網路為虛擬全網狀(Full Mesh)網路拓樸,軟體定義網路控制器於一開始進行各鏈路之網路頻寬承載訊務參數(例如網路吞吐量、網路封包延遲率、網路封包遺失率)進行最佳化路由,以計算其穩定狀態之網路拓樸,同樣地,經過一固定時間後進行重新運算網路拓樸,以令網路拓樸與前一次網路拓樸不同,藉此達到駭客無法偵測網路相關情況之狀態。
第6圖係說明本發明之基於目標式移動防護的主機防護方法之使用者認證之步驟圖。步驟531為使用者認證授權管理帳號、密碼及來源網路位址,也就是使用者一開始先建立其帳號、密碼,同時記錄來源網路位址。
步驟532為帳號、密碼及來源網路位址之輸入。軟體定義網路控制器紀錄要授權之使用者的帳號、密碼及來源網路位址相關資訊,上述係紀錄於認證管理模組。
步驟533為網路位址、網路跳躍次數及存活時間之網路參數計算。軟體定義網路控制器之網路流表管理模組會與認證管理模組內全部使用者來源網路位址先進行
traceroute路由路徑計算,藉此得到各來源網路位址之網路位置、網路跳躍次數及存活時間。
步驟534為相關參數寫入目標式移動防護管理模組資料庫內。
第7圖係說明本發明之基於目標式移動防護的主機防護方法執行使用者終端判斷之流程圖。流程541為訊務到達目標式移動防護網路區域,即使用者終端發出其使用者訊務,此使用者訊務進入軟體定義網路範圍內。
流程542為進行帳號、密碼認證。此步驟為認證管理模組進行帳號、密碼之確認。
流程543為進行Traceroute相關參數判斷。當使用者通過帳號、密碼認證後,會將使用者終端之來源網路地址進行traceroute路由路徑計算,若與目標式移動防護管理模組資料庫內之資料相同,即該使用者終端為正常使用者終端,若不同,則該使用者終端為惡意使用者終端。
流程544係將使用者訊務導向伺服器主機資源池,因為使用者終端為正常使用者終端,故可取得服務伺服器之服務。
流程545係將使用者訊務導向沙箱主機資源池,由於流程543判斷使用者終端為惡意使用者終端,即可能是帳號密碼已外洩,故將此使用者訊務導向沙箱主機資源池,以擾亂駭客之偵查動作。
另外於流程542中,當確認帳號密碼有誤時則同樣將使用者訊務導向沙箱主機資源池,以擾亂駭客之偵查動
作。
舉例而言,使用者在登錄帳號/密碼時,一同紀錄使用者終端之來源網路位址(IP),當訊務進來時,系統透過raceroute機制計算當下之來源網路位址(IP)、網路跳躍次數(HOP COUNT)、存活時間(TTL)相關數值,例如帳號為user1、密碼為passwd01、來源IP網路位址為12.12.12.12、來源MAC網路位址為A1:A1:A1:A1:A1:A1、網路跳躍次數為10、存活時間為210等相關參數。接著,當一個使用者終端嘗試與目標式移動防護機制防護網路區域內之伺服器連線時,軟體定義網路交換器會先將使用者訊務導向至軟體定義網路控制器,身分認證模組會進行帳號/密碼認證,確認是否為真實之使用者,若帳號/密碼認證成功,則進行來源網路位址的traceroute機制計算,例如網路跳躍次數(HOP COUNT)、存活時間(TTL)數值,倘若此使用者終端網路跳躍次數為10、存活時間為210,則代表該使用者終端為正常使用者終端,反之,若是網路跳躍次數為15、存活時間為212,則代表此使用者終端為駭客利用偽造網路地址方式進行資料竊取,故可將此使用者訊務導向沙箱主機資源池,以混淆攻擊者之連線。
第8圖係本發明之基於目標式移動防護的主機防護方法中伺服器主機資源池動態改變網路參數之步驟圖。步驟551為伺服器主機資源池確認,即伺服器主機資源池管理模組會先針對伺服器主機資源池資源確認資源。
步驟552為N伺服器主機之服務程式動態移轉至N+1
伺服器主機進行服務。步驟553為N+1伺服器主機之服務埠動態改變至非N伺服器之服務埠。步驟554為N+2伺服器主機之服務程式動態移轉至N+3伺服主機進行服務。步驟555為N+3伺服主機之服務埠動態改變至非N+2伺服主機之服務埠。步驟556即週期時間重新更新網路參數,也就是說,一段時間間隔經過後將相關的網路參數依上開步驟重新改變,藉此達到伺服器服務主機服務動態化,讓駭客攻擊時無法針對目標進行持續攻擊之行為。
第9圖為本發明之基於目標式移動防護的主機防護方法中沙箱主機資源池動態改變網路參數之步驟圖。步驟561為沙箱主機資源池確認,亦即沙箱主機資源池管理模組會先針對沙箱主機資源池資源確認資源。步驟562為N沙箱主機之服務程式動態移轉至N+1沙箱伺服主機進行服務。步驟563為N+1沙箱主機之作業系統動態改變至非N沙箱主機之作業系統。步驟564為N+1沙箱主機之應用程式動態改變至非N沙箱主機之應用程式。步驟565為N+1沙箱主機之應用程式版本動態改變至非N沙箱主機之應用程式版本。步驟566為N+1沙箱主機之服務埠動態改變至非N沙箱主機之服務埠,達到沙箱主機服務動態化,擾亂駭客之情資收集及攻擊。步驟567即週期時間重新更新網路參數,即一段時間間隔後,將相關的網路參數依前述步驟重新改變,藉此達到沙箱主機服務動態化,可來擾亂駭客之情資收集及攻擊。
綜上所述,本發明之基於目標式移動防護的主機防護
系統及其方法,可有效偵測出是否有偽造網路位址(IP SPOOFING)之情況,亦可有效欺騙駭客之網路情資偵查及蒐集之結果,例如駭客可能取得假的MAC網路位址、假的IP網路位址、假的服務埠、假的作業系統版本、假的應用程式版本、假的漏洞等資訊,另外,本發明系統可透過軟體定義網路(SDN)進行實現及實做,故整體系統架構可輕易被建構完成。
上述實施形態僅例示性說明本發明之原理及其功效,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。因此,本發明之權利保護範圍,應如後述之申請專利範圍所列。
Claims (8)
- 一種基於目標式移動防護的主機防護系統,包括:使用者終端;伺服器主機資源池,係包括至少一服務伺服器;沙箱主機資源池,係包括至少一沙箱伺服器;以及軟體定義網路控制器,其與複數個軟體定義網路交換器位於一軟體定義網路中,該軟體定義網路控制器透過該複數個軟體定義網路交換器連接該伺服器主機資源池及該沙箱主機資源池,其中,該軟體定義網路控制器係固定間隔時間動態配置該至少一服務伺服器及該至少一沙箱伺服器之虛擬網路參數,以將該至少一服務伺服器及該至少一沙箱伺服器之真實網路參數與該虛擬網路參數紀錄於該軟體定義網路控制器內,其中,於該軟體定義網路控制器收到來自該使用者終端之使用者訊務時,係先判斷該使用者訊務所載之帳號或密碼是否正確,以於該帳號或密碼正確時,透過追蹤路由(traceroute)機制計算出該使用者訊務之路由路徑參數,藉由比對該路由路徑參數與預存資料是否相同,以確認該使用者終端是否為合法使用者,俾於該使用者終端為正常使用者終端時,將該使用者訊務導向該伺服器主機資源池,或者於該帳號或密碼錯誤,或該使用者終端為惡意使用者終端時,將該使用者訊務導向該沙箱主機資源池。
- 如申請專利範圍第1項所述之基於目標式移動防護的 主機防護系統,其中,該路由路徑參數包括網路位置(IP)、網路跳躍次數(HOP)或存活時間(TTL)。
- 一種基於目標式移動防護的主機防護系統,包括:使用者終端;伺服器主機資源池,係包括至少一服務伺服器;沙箱主機資源池,係包括至少一沙箱伺服器;以及軟體定義網路控制器,其與複數個軟體定義網路交換器位於一軟體定義網路中,該軟體定義網路控制器透過該複數個軟體定義網路交換器連接該伺服器主機資源池及該沙箱主機資源池,其中,該軟體定義網路控制器包括:認證管理模組,係執行使用者認證授權之管理;網路拓樸管理模組,係執行網路拓樸之優化計算;網路流表管理模組,係執行訊務交換路徑管理;伺服器主機資源池管理模組,係執行該至少一服務伺服器之網路參數運作管理;沙箱主機資源池管理模組,係執行該至少一沙箱伺服器之網路參數運作管理;以及目標式移動防護管理模組,係執行全網之網路參數分配以及該軟體定義網路控制器各模組之交互運作協調管理, 其中,於該軟體定義網路控制器收到來自該使用者終端之使用者訊務時,係先判斷該使用者訊務所載之帳號或密碼是否正確,以於該帳號或密碼正確時,透過追蹤路由(traceroute)機制計算出該使用者訊務之路由路徑參數,藉由比對該路由路徑參數與預存資料是否相同,以確認該使用者終端是否為合法使用者,俾於該使用者終端為正常使用者終端時,將該使用者訊務導向該伺服器主機資源池,或者於該帳號或密碼錯誤,或該使用者終端為惡意使用者終端時,將該使用者訊務導向該沙箱主機資源池。
- 一種基於目標式移動防護的主機防護方法,係供軟體定義網路中之軟體定義網路控制器判斷訊務來源是否為合法使用者,該軟體定義網路係執行以下步驟:收集伺服器主機資源池之服務伺服器的相關資訊列表以及沙箱主機資源池之沙箱伺服器的相關資訊列表至該軟體定義網路控制器;依據該服務伺服器和該沙箱伺服器之真實網路參數動態配置一虛擬網路參數,以將該真實網路參數與其相對應之該虛擬網路參數儲存於資料庫;基於全網狀(Full Mesh)網路拓樸特性進行動態網路拓樸的改變,利用週期間隔時間重新計算不同網路拓樸並連結該虛擬網路參數,以取得穩定狀態之路由路徑;接收來自使用者終端發出之使用者訊務;執行帳號或密碼之認證,以於該帳號或密碼之認 證正確時,透過追蹤路由(traceroute)機制計算出該使用者訊務之路由路徑參數;以及比對該路由路徑參數與預存資料是否相同,以確認該使用者終端是否為合法使用者,其中,當該使用者終端為正常使用者終端時,將該使用者訊務導向該伺服器主機資源池,或者當該帳號或密碼錯誤,或該使用者終端為惡意使用者終端時,將該使用者訊務導向該沙箱主機資源池。
- 如申請專利範圍第4項所述之基於目標式移動防護的主機防護方法,其中,該路由路徑參數包括網路位置(IP)、網路跳躍次數(HOP)或存活時間(TTL)。
- 如申請專利範圍第4項所述之基於目標式移動防護的主機防護方法,更包括於該軟體定義網路控制器執行訊務來源判斷前,執行下列步驟:儲存供使用者認證之該帳號或密碼以及來源網路位址;以及透過追蹤路由(traceroute)機制以該來源網路位址計算路由路徑,藉此取得並儲存該來源網路位址之裝置的網路位址、網路跳躍次數或存活時間。
- 如申請專利範圍第4項所述之基於目標式移動防護的主機防護方法,其中,重新計算不同網路拓樸更包括以下步驟:依據當前網路架構建立虛擬全網狀網路拓樸,以將相關流表資料紀錄於該軟體定義網路控制器中;以及 基於該第一流表執行鏈路網路吞吐量計算、鏈路網路封包延遲率計算以及鏈路網路封包遺失率計算以得到新的網路拓樸。
- 一種基於目標式移動防護的主機防護方法,係供軟體定義網路中之軟體定義網路控制器判斷訊務來源是否為合法使用者,該軟體定義網路係執行以下步驟:接收來自使用者終端發出之使用者訊務;執行帳號或密碼之認證,以於該帳號或密碼之認證正確時,透過追蹤路由(traceroute)機制計算出該使用者訊務之路由路徑參數;以及比對該路由路徑參數與預存資料是否相同,以確認該使用者終端是否為合法使用者,其中,當該使用者終端為正常使用者終端時,將該使用者訊務導向伺服器主機資源池,或者當該帳號或密碼錯誤,或該使用者終端為惡意使用者終端時,將該使用者訊務導向沙箱主機資源池,其中,當該使用者訊務被導向該沙箱主機資源池時,進一步紀錄該惡意使用者終端所使用之C&C(Command and control)中繼站。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107114244A TWI668987B (zh) | 2018-04-26 | 2018-04-26 | 基於目標式移動防護的主機防護系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107114244A TWI668987B (zh) | 2018-04-26 | 2018-04-26 | 基於目標式移動防護的主機防護系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI668987B true TWI668987B (zh) | 2019-08-11 |
| TW201946416A TW201946416A (zh) | 2019-12-01 |
Family
ID=68316581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW107114244A TWI668987B (zh) | 2018-04-26 | 2018-04-26 | 基於目標式移動防護的主機防護系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI668987B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131331A (zh) * | 2020-01-15 | 2020-05-08 | 国网陕西省电力公司电力科学研究院 | 一种网络脆弱性引导的面向信息攻击的移动目标防御部署优化方法 |
| CN111262856A (zh) * | 2020-01-15 | 2020-06-09 | 国网陕西省电力公司电力科学研究院 | 一种经济性与安全性需求引导的移动目标防御响应方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI737506B (zh) * | 2020-09-30 | 2021-08-21 | 中華電信股份有限公司 | 基於軟體定義網路的IPv6訊務偵防系統與方法 |
| TWI813233B (zh) * | 2022-03-30 | 2023-08-21 | 尚承科技股份有限公司 | 人工智慧抵禦網路攻擊的系統及其方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| WO2017063458A1 (zh) * | 2015-10-13 | 2017-04-20 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的物理地址旁路认证方法及装置 |
| CN107222451A (zh) * | 2016-03-22 | 2017-09-29 | 中兴通讯股份有限公司 | 数据流监测方法及装置 |
-
2018
- 2018-04-26 TW TW107114244A patent/TWI668987B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| WO2017063458A1 (zh) * | 2015-10-13 | 2017-04-20 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的物理地址旁路认证方法及装置 |
| CN107222451A (zh) * | 2016-03-22 | 2017-09-29 | 中兴通讯股份有限公司 | 数据流监测方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131331A (zh) * | 2020-01-15 | 2020-05-08 | 国网陕西省电力公司电力科学研究院 | 一种网络脆弱性引导的面向信息攻击的移动目标防御部署优化方法 |
| CN111262856A (zh) * | 2020-01-15 | 2020-06-09 | 国网陕西省电力公司电力科学研究院 | 一种经济性与安全性需求引导的移动目标防御响应方法 |
| CN111131331B (zh) * | 2020-01-15 | 2022-02-22 | 国网陕西省电力公司电力科学研究院 | 一种网络脆弱性引导的面向信息攻击的移动目标防御部署优化方法 |
| CN111262856B (zh) * | 2020-01-15 | 2022-03-01 | 国网陕西省电力公司电力科学研究院 | 一种经济性与安全性需求引导的移动目标防御响应方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201946416A (zh) | 2019-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Pradhan et al. | Solutions to vulnerabilities and threats in software defined networking (SDN) | |
| Khan et al. | Topology discovery in software defined networks: Threats, taxonomy, and state-of-the-art | |
| Karmakar et al. | Mitigating attacks in software defined networks | |
| TWI668987B (zh) | 基於目標式移動防護的主機防護系統及其方法 | |
| US9043884B2 (en) | Autonomic network protection based on neighbor discovery | |
| Rahouti et al. | SDN security review: Threat taxonomy, implications, and open challenges | |
| Liyanage et al. | Enhancing security of software defined mobile networks | |
| US20140189810A1 (en) | Network security as a service using virtual secure channels | |
| CN106027463B (zh) | 一种数据传输的方法 | |
| Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
| CN105991647B (zh) | 一种数据传输的方法 | |
| He et al. | Securing software defined wireless networks | |
| Thimmaraju et al. | Outsmarting network security with SDN teleportation | |
| CN106797378B (zh) | 用于控制通信网络的装置和方法 | |
| CN106027466B (zh) | 一种身份证云认证系统及读卡系统 | |
| CN106027476B (zh) | 一种身份证云认证系统及读卡系统 | |
| Javanmardi et al. | An SDN perspective IoT-Fog security: A survey | |
| Sebbar et al. | Detection MITM attack in multi-SDN controller | |
| Khan et al. | FML: A novel forensics management layer for software defined networks | |
| Raza et al. | vepc-sec: Securing lte network functions virtualization on public cloud | |
| CN115051836A (zh) | 基于sdn的apt攻击动态防御方法及系统 | |
| TWI510956B (zh) | 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法 | |
| Kong et al. | Combination attacks and defenses on sdn topology discovery | |
| Al-Zewairi et al. | An experimental software defined security controller for software defined network | |
| Byun et al. | Risk and avoidance strategy for blocking mechanism of SDN-based security service |