[发明专利]拟态化蜜罐指纹混淆系统及其SDN网络架构

说明书

本发明属于通信安全技术领域，特别涉及一种拟态化蜜罐指纹混淆系统、方法及其SDN网络架构，该系统包含：控制中心，部署在分发器之上，用于维护蜜罐的工作状态，根据蜜罐反馈的可疑流量行为特征，动态生成蜜罐的调度规则，并依据调度规则启动与关闭相应蜜罐；分发器，部署在蜜罐群和可疑流量源之间，用于接收输出的可疑流量，记录该可疑流量，并广播至蜜罐群中每个蜜罐；接收来自蜜罐的应答消息，并将该应答消息传输至可疑流量源，用于作为虚假应答消息来回复相应攻击者，其中，蜜罐群中包含多种类型的蜜罐。本发明利用动态变换机制对多个蜜罐进行综合调度，降低单个蜜罐系统被攻击者控制对网络安全性能的影响，提高整个系统的可靠性。

技术领域

本发明属于通信安全技术领域，特别涉及一种拟态化蜜罐指纹混淆系统及其SDN网络架构。

背景技术

随着网络技术的迅猛发展，网络的安全威胁也是层出不穷，攻击者可以通过攻击网络的弱点、漏洞，进行信息窃取、系统破环等活动，这严重的威胁了网络的安全性。蜜罐系统是一种部署于网络上，具有吸引和诱捕价值的网络资源，只有在它被攻击或攻陷的时候它的价值才能体现。蜜罐是一种以保护核心网络元件为目标的诱骗技术，它只包含虚假的敏感数据，无法对外提供正常服务。通常，蜜罐可以是一个网络、主机、服务、数据库中无用的数据项、伪装的用户名及弱口令等。一旦蜜罐被部署在网络中或一些关键主机上，任何试图与蜜罐交互的行为都可以被认为是攻击行为，蜜罐可以检测、监视并诱捕这些攻击行为。

蜜罐技术大大提高了网络的安全性，但这种技术存在以下几个问题：一、蜜罐的指纹难以隐藏，可以被嗅探识别。虽然蜜罐系统可以通过诱骗引诱攻击者攻击错误的网络目标进而保护真实系统的安全，但由于蜜罐系统无法隐藏其指纹特征，攻击者可以通过探测攻击、侧信道攻击等手段嗅探出蜜罐系统的指纹、发现蜜罐，进而绕过蜜罐进而攻击真实网络。此时，由于蜜罐系统丧失了隐蔽性，故难以继续保护真实网络。二、孤立静态防御难以有效保护网络的安全性。蜜罐技术虽然相对于防火墙、入侵检测技术等安全防护技术可以主动的检测出网络中的未知攻击，但是它也不是没有漏洞的。若攻击者掌握了某个蜜罐系统的漏洞或预先在蜜罐中预置了后门，蜜罐防御系统很可能失效。一旦攻击者攻陷蜜罐后，进而利用虚拟机逃逸等技术突破蜜罐的隔离空间，进而攻击真实的网络，很可能会给真实网络造成损失。

发明内容

为此，本发明提供一种拟态化蜜罐指纹混淆系统及其SDN网络架构，解决现有蜜罐技术难以抵挡指纹嗅探和孤立静态防御不足的问题，利用动态变换机制对多个蜜罐进行综合调度，减低了单个蜜罐系统被攻击者控制对网络安全性能的影响，进而大大提高整个系统的可靠性。

按照本发明所提供的设计方案，一种拟态化蜜罐指纹混淆系统，包含：分发器和控制中心，其中，

控制中心，部署在分发器之上，用于维护蜜罐的工作状态，根据蜜罐反馈的可疑流量行为特征，动态生成蜜罐的调度规则，并依据调度规则启动与关闭相应蜜罐；

分发器，部署在蜜罐群和可疑流量源之间，用于接收输出的可疑流量，记录该可疑流量，并广播至蜜罐群中每个蜜罐；接收来自蜜罐的应答消息，并将该应答消息传输至可疑流量源，用于作为虚假应答消息来回复相应攻击者，其中，蜜罐群中包含多种类型的蜜罐。

上述的，所述的控制中心包含定时模块、调度模块及调度规则库，其中，

定时模块，用于维护蜜罐群中每个蜜罐的生命周期，并触发调度模块；

调度模块，用于根据定时模块中的蜜罐生命周期，通过动态调度模型选取调度规则库中蜜罐的调度规则，并根据该调度规则启动与关闭相应蜜罐。

调度规则库，用于根据用户需求及蜜罐运行状态动态生成蜜罐群的调度策略，并向调度模块提供调度规则。

上述的，所述的分发器包含记录模块、请求模块和回复模块，其中，

记录模块，用于针对接收到的可疑流量进行编码、记录并反馈到控制中心；