[发明专利]一种基于软件定义网络的恶意网站防护方法及系统

权利要求书

1.一种基于软件定义网络的恶意网站防护方法，其特征在于，所述方法包括以下步骤：

S1：采集DNS请求数据；

S2：解析DNS请求数据中的DNS报文头部，获取opcode字段信息，根据opcode字段的数值触发名单修改或者跳转到步骤S3；名单修改的具体方法为：重新定义opcode字段的10～15的数值及其对应的操作，从而将DNS请求数据中的域名添加到白名单、黑名单或顶级域名名单列表生成的布隆过滤器中，或者将DNS请求数据中的域名从白名单、黑名单或顶级域名名单列表生成的布隆过滤器中删除；

S3：判断DNS请求数据中的域名信息是否在白名单列表生成的布隆过滤器内，如果是则对该DNS请求数据进行转发，否则跳转到步骤S4；具体为：首先，读取可信域名列表，逐条域名存放到白名单布隆过滤器，然后，中心控制器通过对DNS请求数据中的域名信息进行哈希运算，判断其是否在白名单列表生成的布隆过滤器内，如果是则对该DNS请求数据进行转发，否则跳转到步骤S4；

S4：判断DNS请求数据中的域名信息是否在黑名单列表生成的布隆过滤器内，如果是则丢弃该DNS请求数据，否则跳转到步骤S5；具体为：首先，读取恶意域名列表，逐条域名存放到黑名单布隆过滤器，然后，中心控制器通过对DNS请求数据中的域名信息进行哈希运算，判断其是否在黑名单列表生成的布隆过滤器内，如果是则丢弃该DNS请求数据，否则跳转到步骤S5；

S5：提取DNS请求数据的域名信息中的主机名，判定该主机名是否可信，如果可信则对该DNS请求数据进行转发，否则进行报警并记录可疑域名，具体为：对各级域名进行多次提取并对各级域名进行多个哈希运算，判断其是否在顶级域名以及二级域名名单列表生成的布隆过滤器内，根据得到的最后的主机名，判断其与合法主机名编辑距离min Dist是否在满足α≤min Dist≤β，其中α和β为预设的编辑距离的阈值，从而判定该主机名是否可信，如果可信则对该DNS请求数据进行转发，否则进行报警并记录可疑域名。

2.根据权利要求1所述的基于软件定义网络的恶意网站防护方法，其特征在于，步骤S1中，采集DNS请求数据的具体方法为：OpenFlow交换机收到数据包时，如果在流表中没有匹配项，或者在流表中被认为是发送到控制器，则将该数据包封装为Packet_in数据包发送到中心控制器。

3.根据权利要求2所述的基于软件定义网络的恶意网站防护方法，其特征在于，步骤S2中，中心控制器对OpenFlow交换机发送来的Packet_in数据包进行解析，检查其是否为DNS请求数据，如果是，则解析DNS头部获取opcode字段信息，如果opcode字段的数值大于10，则触发名单修改，否则跳转到步骤S3。

4.根据权利要求1所述的基于软件定义网络的恶意网站防护方法，其特征在于，所述方法还包括：对DNS请求数据进行转发的具体方法为：中心控制器下发过滤规则给各OpenFlow交换机，所述过滤规则通过源MAC地址与OpenFlow交换机端口的动态映射表生成对应流表项所实现，查询OpenFlow交换机的流表获取转发规则，从而实现DNS请求数据的转发。