[发明专利]一种基于SDN技术实现的自动反扫描方法

权利要求书

1.一种基于SDN技术实现的自动反扫描方法，基于SDN技术，自动升级特征库以发现可疑的扫描，来自于外网的流量无需等检查即可直接进入内网；其最核心的模块是威胁行为判断模块、恶意扫描行为判断模块、自动反扫描特征提取模块、流表生成和下发模块。

2.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法，其特征在于自动升级特征库功能自动收集内网自动反扫描中发现的可疑流量，通过挖掘发现具有攻击性后，将此新特征自动记录到特征库，达到自动升级的目的。

3.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法，其特征在于对于来自于外网的流量，控制器要求SDN边界交换机镜像复制到自动反扫描服务器以进行进一步分析，同时这些流量可进入内网；若发现具有攻击性后，服务器通过控制器下发流表到内网的各SDN交换机，以达到对此来源的数据包进行丢弃的工作。

4.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法，其特征在于威胁行为判断模块搜索历史行为数据库，挖掘此IP来源相关的所有访问信息，主要包括访问机器敏感性、访问的端口、访问频率、是否在黑名单，综合计算其安全威胁指数，最终给出是否具有攻击倾向的指导信息；若具有攻击倾向，则生成新的规则，并将之加入扫描行为规则库，同时通知流表生成和下发模块接收以实现反扫描安全保护工作。

5.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法，其特征在于，恶意扫描行为判断模块根据自动反扫描特征提取模块提取的特征，对扫描行为规则库进行匹配，分析是否属于恶意扫描行为；若判断此行为属于恶意扫描行为，则通知流表生成和下发模块接收以实现反扫描安全保护工作；若未能判断此行为属于恶意扫描行为但访问地址为内网敏感机器，则将相关信息送到威胁行为判断模块以作进一步分析。

6.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法，其特征在于，自动反扫描特征提取模块结合最新特征库数据条的字段信息，提取威恶意扫描行为判断模块所需信息，并将之传递给恶意扫描行为判断模块。

7.根据权利要求1所述的一种基于SDN技术实现的自动反扫描方法，其特征在于，流表生成和下发模块接收接收威胁行为判断模块和恶意扫描行为判断模块传来的安全实施要求，根据相关信息生成标准的流表然后将流表发送给Controller集群控制模块，将流表下发到内网相关的SDN交换机。