[发明专利]一种基于虚拟交换的防止蜜罐被控成为跳板机的方法

说明书

本发明公开了一种基于虚拟交换的防止蜜罐被控成为跳板机的方法，利用SDN控制器，通过OpenFlow协议与Openswitch交换机进行交互，按照规则定义流表项，将所有进入交换机的报文根据流表匹配交换机流表项中的源MAC地址，判断报文的合法/非法性，根据MAC地址判断出的合法的报文再根据流表匹配交换机流表项中的源IP，继续判断报文的合法/非法性，最终将报文转至蜜罐中。本发明基于OpenFlow协议，在协议中对经过交换机的报文进行判断，将判断出的非法报文转至蜜罐，将所有的攻击局限在蜜罐范围内，再对经过蜜罐的报文进行定期清洗，防止蜜罐被控成为跳板机侵入真实的服务器中，保证了网络系统的安全性。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于虚拟交换的防止蜜罐被控成为跳板机的方法。

背景技术

目前，在部署蜜罐时，通常使用低交互蜜罐或高交互蜜罐。使用低交互蜜的安全性较强罐，但入侵检测的强度较低，而使用高交互的蜜罐时，通常需要在用户的网络中添加很多的规则限制或者加入其监控系统，才能够保证蜜罐系统的安全性。现有的技术中，有些入侵检测技术也使用到了蜜罐，但蜜罐一旦被攻击者掌控之后，就可以在蜜罐所在的环境内横向移动，甚至利用蜜罐，将其当作跳板机，对其他服务器进行攻击，危害到整个网络。部署的大规模蜜罐，如果由于安全性不足，被黑客攻击，极有可能被作为跳板机入侵到真实到服务器中，从而违背了部署蜜罐到初衷，给予黑客更多的攻击渠道。

发明内容

发明目的：本发明的目的在于针对现有技术的不足，提供一种基于虚拟交换的防止蜜罐被控成为跳板机的方法与系统，在协议中对经过蜜罐的流量进行清洗，防止蜜罐与外部的非法通信，防止蜜罐成为跳板机。

本发明公开的一种基于虚拟交换的防止蜜罐被控成为跳板机的方法，其特征在于，包括以下步骤：

步骤1：SDN控制器通过OpenFlow协议与Openvswitch交换机进行交互，按照流的出入规则定义流表项规则；

步骤2：报文进入Openvswitch交换机；

步骤3：根据流表匹配Openvswitch交换机流表项中的源MAC地址，通过源MAC地址的匹配判断报文是否合法，若通过Openvswitch交换机中报文的源MAC地址与流表项中的源MAC地址不匹配，则将其视为合法报文，继续进行下一条规则匹配，若通过Openvswitch交换机中报文的源MAC地址匹配流表项中的源MAC地址，则将其视为非法报文，继续进行下一条规则匹配；

步骤4：通过源MAC地址的匹配确定合法报文后，根据流表匹配Openvswitch交换机流表项中的源IP，通过源MAC地址的匹配确定非法报文后，将该报文的目的IP修改为蜜罐IP，再将报文转送到汇聚层；

步骤5：再通过源IP的匹配进一步判断报文是否合法，若通过Openvswitch交换机中报文的源IP与流表项中的源IP不匹配，则视为合法报文，将其转发至汇聚层，若通过Openvswitch交换机中报文的源IP匹配流表项中的源IP，则视为非法报文，将其丢弃。

所述OpenFlow协议位于数据链路层。

所述还包括步骤6，定期对蜜罐进行删除重建，每当有蜜罐删除时，都会删除作用于该蜜罐的所有流表规则，每当有蜜罐创建时，宿主机会自动添加作用与该蜜罐的流表规则。

所述蜜罐为在宿主机上创建的虚拟机，与宿主机进行通信，宿主机通过收集蜜罐中的威胁信息来达到入侵检测的目的。

所述宿主机为虚拟平台，宿主机创建多个虚拟机。

所述蜜罐由蜜罐管理系统控制，蜜罐管理系统每30分钟对蜜罐进行一次删除重建。

本发明技术方案带来的有益效果有：