[发明专利]一种基于SDN技术实现的自动反扫描方法

说明书

本发明公开了一种基于SDN技术实现的自动反扫描方法，该发明针对进入内网的流量先扫描后放行，不能自动升级特征库以发现可疑的扫描的问题，采用了一种基于SDN技术实现的自动反扫描方法的方法，达到自动升级扫描特征库、仅镜像非阻断进入内网的流量即可实现反扫描安全保护的目的。

技术领域

本发明涉及一种信息安全技术领域，特别涉及一种基于SDN技术实现的自动反扫描方法。

背景技术

随着＂云计算＂在互联网中的日益兴起,互联网的功能变得越来越强大,但同时也给网络安全带来了非常严峻的考验,互联网数据量的增大会引起网络安全漏洞的增加,黑客就会利用各类互联网漏洞进行蓄意入侵和攻击,而许多攻击和入侵行为都是通过扫描网络中的系统漏洞引起的,因此,三层交换机上部署防扫描技术就能够很好地阻止黑客扫描到内部主机漏洞,在一定程度上保障了企业网络安全。

发明内容

一种基于SDN技术实现的自动反扫描方法技术关键点是基于SDN技术，自动升级特征库以发现可疑的扫描，来自于外网的流量无需等检查即可直接进入内网。自动升级特征库功能自动收集内网自动反扫描中发现的可疑流量，通过挖掘发现具有攻击性后，将此新特征自动记录到特征库，达到自动升级的目的。另外对于来自于外网的流量，控制器要求SDN边界交换机镜像复制到自动反扫描服务器以进行进一步分析，同时这些流量可进入内网；若发现具有攻击性后，服务器通过控制器下发流表到内网的各SDN交换机，以达到对此来源的数据包进行丢弃的工作。

本发明实际是一种SDN应用，基于SDN控制器而实现，其最核心的模块是威胁行为判断模块、恶意扫描行为判断模块、自动反扫描特征提取模块、流表生成和下发模块。具体介绍如下：

1.威胁行为判断模块搜索历史行为数据库，挖掘此IP来源相关的所有访问信息，主要包括访问机器敏感性、访问的端口、访问频率、是否在黑名单，综合计算其安全威胁指数，最终给出是否具有攻击倾向的指导信息；若具有攻击倾向，则生成新的规则，并将之加入扫描行为规则库，同时通知流表生成和下发模块接收以实现反扫描安全保护工作。

2.恶意扫描行为判断模块根据自动反扫描特征提取模块提取的特征，对扫描行为规则库进行匹配，分析是否属于恶意扫描行为；若判断此行为属于恶意扫描行为，则通知流表生成和下发模块接收以实现反扫描安全保护工作；若未能判断此行为属于恶意扫描行为但访问地址为内网敏感机器，则将相关信息送到威胁行为判断模块以作进一步分析。

3.自动反扫描特征提取模块结合最新特征库数据条的字段信息，提取威恶意扫描行为判断模块所需信息，并将之传递给恶意扫描行为判断模块。

4.流表生成和下发模块接收接收威胁行为判断模块和恶意扫描行为判断模块传来的安全实施要求，根据相关信息生成标准的流表然后将流表发送给Controller集群控制模块，将流表下发到内网相关的SDN交换机。

同时，本发明设计的基本功能还包括自身安全保障模块、平台运维管理模块、数据库管理模块和Controller集群控制模块。Controller集群控制模块对数据中心内的多控制器进行协调管理，主要包括状态分发/同步模块，分域管理模块，分布式存储管理模块，交换机共享控制模块，交换机接口通信模块。控制器集群控制模块通过交换机接口通信模块使用南向接口协议与支持SDN的交换机进行通信，使用其他模块实现多控制器之间的流表的同步。

本发明技术方案带来的有益效果：