[发明专利]一种基于软件定义网络的安全防御系统及防御方法

权利要求书

1.一种基于软件定义网络的安全防御系统，包括若干台虚拟机、虚拟交换机、虚拟机接口模块、以及一台openflow交换机；其特征在于，还包括设置在受保护虚拟机外部的：

一网络控制模块：某台虚拟机经过虚拟交换机发起的网络连接请求数据包，会以openflow交换机为介质到达网络控制模块，网络控制模块记录下流量的信息，且虚拟交换机中没有该网络连接请求相应的流表项；如果数据包的协议高于网络层，则查看目标物理地址是否在虚拟交换机上有端口，如果有则广播该包，无则生成流表项并转发到目的地；如果数据包协议不高于网络层，则网络控制模块将发送网络连接请求的datapath id、源地址、源端口信息发送出；

一攻击分析模块：接受在数据包协议不高于网络层时，由网络控制模块发送的网络连接请求数据包的datapath id、源地址、源端口；并调用进程检测模块和虚拟机接口模块获取发起请求的虚拟机的信息，并将判定结果返回给网络控制模块并由网络控制模块做出对策：

判定一：若判定为恶意流量，则生成流表项并丢包；若判定不是恶意流量则生成流表项并送往原目的地；

判定二：若无法判断是否恶意，则生成流表项并将数据包重定向到网络流量检测模块处；

一进程检测模块：进行进程检测并将进程检测结果发送给攻击分析模块，具体是：首先利用虚拟机接口模块寻找虚拟机内的活动进程链，在此之前，需要找到Windows加载的内核模块链表表头，然后遍历内核模块链表找出ntoskrnl.exe；找到操作系统内核文件ntoskrnl.exe以及其加载到内存中的基地址后，通过分析ntoskrnl.exe的PE文件，在其中的.edata节的导出地址表中得到PsInitialSystemProcess的相对虚拟地址；

PsInitialSystemProcess是指向系统进程的EPROCESS结构的指针，其在内存中的虚拟地址VA由VA＝RVA+BaseAddress得出；在Windows中，活动进程的EPROCESS结构会相互连接成一个双向循环链表，故得到PsInitialSystemProcess地址并寻找到system的EPROCESS后，即可确定活动进程链，从而分析隐藏进程以及检测网络状态，提供进程相关信息给攻击分析模块；

一网络流量检测模块：接收攻击分析模块发送的数据包，并进行深层检查，若判断为正常流量，则直接正常转发到原目的地并生成对应的流表项，若判定为恶意流量则生成流表项并丢包；本框架的工作在于对网络流量的捕获以及路由控制，而不在于改良现有的流量检测算法，因此本模块直接利用了开源工具snort，将snort运行在in-line模式下，实行数据包检测。

2.一种基于软件定义网络的安全防御方法，其特征在于，包括以下步骤：

步骤1，在主机外接网络控制模块，使攻击分析模块控制网络控制模块；

步骤2，某台虚拟机发起网络连接请求经过虚拟交换机时，若有相应的流表项则按照流表项转发，若虚拟交换机中没有相应的流表项，则虚拟交换机会将流量发送给网络控制模块；

步骤3，网络控制模块记录下流量的信息并转发给攻击分析模块，攻击分析模块调用进程检测模块来获取发起请求的虚拟机的信息，进程检测模块可以判断发起者虚拟机内所有进程的安全状态；网络控制模块基于开源网络控制器增加了一个自循环避免环节，防止广播包在网络流量检测模块和虚拟交换机之间循环；

步骤4，若攻击分析模块的决策断定发起网络请求的进程是可疑的，则攻击分析模块将会向网络控制模块发起命令，对于该进程或该进程所属的虚拟机所发出的所有流量，都将在网络控制模块的控制下被虚拟交换机送至网络流量检测模块进行判断；若判断结果为安全，则转向原目的地；若攻击分析模块的决策断定发起请求的进程为有害，则直接丢包；在此若只针对该进程发出的流量进行重定向，可以控制整个系统的开销；若针对该进程所属的虚拟机发出的所有流量都进行重定向，将会增大开销来保证系统的安全性。