[发明专利]一种基于OpenFlow的网络层移动目标防御方法及系统

说明书

本发明提供一种基于OpenFlow的网络层移动目标防御方法，包括：地址获取，构建初始数据分组头部信息，第一IP跳变，第一端口跳变，第二端口跳变，第二IP跳变，目的节点通信。本发明的基于OpenFlow的网络层移动目标防御方法，不需要第三方软件实现上层不透明保护即不需要对上层应用进行改动，实现了从节点发出的信息一直处于移动和变化中，有效的避免了攻击者的攻击。

技术领域

本发明涉及网络信息防御领域，尤其涉及一种基于OpenFlow的网络层移动目标防御方法及系统。

背景技术

近年来，随着多起具有广泛危害性安全事故的发生(棱镜门、SSL心脏滴血等)，网络安全再一次受到了广泛的重视。传统的网络安全技术通常采用被动式防御(如防火墙、入侵检测技术等)。这类防御技术通常将保护目标暴露在外，检测和保护的前提是攻击正在发生。这种方式对于保护者而言十分不利，防御方总是处于被动防御的地位。主动防御技术是一种让保护者在攻防博弈中占有主动地位的防御手段。移动目标防御技术则是主动防御技术中一个重要的研究方向。移动目标防御是一种新型的防御技术，这种技术的主要目的是使被保护目标对于外界而言一直处于移动和变化中，使攻击者难以以此实现保护。国内外学者都对移动目标防御技术进行了相关的研究，可是现有成果大多基于第三方软件实现对上层不透明的保护，上层应用必须进行相关改动，不使用第三方软件的方案则存在对现有网络不兼容的问题。

发明内容

为了克服现有技术的不足，本发明的目的之一在于提供一种基于OpenFlow的网络层移动目标防御方法，其能解决现有成果大多基于第三方软件实现对上层不透明的保护，上层应用必须进行相关改动，不使用第三方软件的方案则存在对现有网络不兼容的问题。

本发明的目的之二在于提供一种基于OpenFlow的网络层移动目标防御系统，其能解决现有成果大多基于第三方软件实现对上层不透明的保护，上层应用必须进行相关改动，不使用第三方软件的方案则存在对现有网络不兼容的问题。

本发明的目的之一采用以下技术方案实现：

一种基于OpenFlow的网络层移动目标防御方法，包括

地址获取，获取源节点的网络地址信息并通过源局域网内的DNS服务器查询含有目的节点的公网地址的目的地址信息；

构建初始数据分组头部信息，根据所述网络地址信息和所述目的地址信息构建初始数据分组头部信息；

第一IP跳变，将所述初始数据分组头部信息发送至源局域网内的第一OpenFlow交换机，第一OpenFlow交换机将所述初始数据分组头部信息发送至源局域网内的第一MTD控制器，第一MTD控制器和第一OpenFlow交换机对所述初始数据分组头部信息进行第一IP跳变处理并得到第一数据分组头部信息；

第一端口跳变，第一OpenFlow交换机将所述第一数据分组头部信息发送至源局域网内的第一网关交换机，第一网关交换机以及第一MTD控制器对所述第一数据分组头部信息进行第一端口跳变处理并得到第二数据分组头部信息；

第二端口跳变，第一网关交换机通过互联网将所述第二数据分组头部信息发送至目的局域网内的第二网关交换机，第二网关交换机和源局域网内的第二MTD控制器对所述第二数据分组头部信息进行第二端口跳变处理并得到第三数据分组头部信息；

第二IP跳变，目的局域网内的第二OpenFlow交换机及第二MTD控制器对所述第三数据分组头部信息进行第二IP跳变处理并得到第四数据分组头部信息；

目的节点通信，第二OpenFlow交换机将所述第四数据分组头部信息发送至目的节点，目的节点解析所述第四数据分组头部信息完成源节点与目的节点之间的通信。