[发明专利]一种SDN网络的蜜网安全防护系统及方法

权利要求书

1.一种SDN网络的蜜网安全防护系统，其特征在于，该系统包括网络入侵检测模块、蜜网管理模块和SDN控制器集群管理模块；其中，

网络入侵检测模块对进入组织内部的流量进行入侵检测；

蜜网管理模块包括蜜网设计模块，蜜网创建模块，流量规则转换模块，加密传输模块，蜜网模型数据库；

蜜网设计模块根据入侵检测服务器传入的信息，参考蜜网模型数据库，计算所需向此攻击提供蜜网的网络架构；

蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网；

流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息，并根据此信息生成流量匹配规则；

加密传输模块确保蜜网管理模块与网络入侵检测模块、SDN控制器集群管理模块的通信安全；

SDN控制器集群管理模块对组织内网的多个控制器进行协调管理和通信维护，包括状态分发/同步模块，分布式管理模块，安全通信模块，冗余备份模块。

2.根据权利要求1所述的系统，其特征在于，入侵检测服务器传入的信息包括攻击类型、特征及其安全威胁等级。

3.根据权利要求1所述的系统，其特征在于，蜜网的网络架构包括蜜罐、服务器、滤器、交换机、数据库和网络分析仪。

4.根据权利要求1或2或3所述的系统，其特征在于，创建虚拟蜜网包括创建网元并且搭建好网络架构，分配合适的MAC地址和IP地址。

5.根据权利要求1所述的系统，其特征在于，该系统的网络分为蜜网管理网络和业务网络，这两个网络是相互独立的。

6.根据权利要求5所述的系统，其特征在于，蜜网管理网络专供蜜网管理流量在网络入侵检测服务器、蜜网管理服务器、SDN控制器集群之间传输所用。

7.根据权利要求1所述的系统，其特征在于，该系统能够部署在物理服务器或者虚拟服务器上，也能够部署在物理个人计算机或虚拟机上。

8.一种SDN网络的蜜网安全防护方法，其特征在于，该方法的具体流程如下：

s1位于组织内部网络边界的SDN交换机收到数据包，将数据包通过端口镜像传输至入侵检测服务器；

s2入侵检测服务器对流量进行网络威胁等级判定；

s3如果判定为无威胁，则不通知蜜网管理服务器，正常转发流量；

s4如果判定有威胁，入侵检测服务器则分析流量，进行安全威胁等级划分，并识别攻击类型，将攻击类型、特征及其安全威胁等级告知蜜网管理服务器；

s5蜜网设计模块根据入侵检测服务器传入的信息，参考蜜网模型数据库，计算所需向此攻击提供蜜网的网络架构；

s6蜜网创建模块根据蜜网设计模块输入的蜜网架构创建虚拟蜜网；

s7流量规则转换模块从蜜网设计模块获取可疑流量所需导向蜜网网元的信息，并根据此信息生成流量匹配规则；

s8蜜网管理服务器将流量匹配规则通过安全的传输方式通知SDN控制器；

s9SDN控制器下发流量匹配规则至SDN交换机；

s10SDN交换机将此攻击数据流导向创建的密网；

s11密网管理器记录攻击情况。