[发明专利]一种增值的虚拟化蜃景蜜网机制

说明书

本发明公开了一种既能保证蜜网系统的安全性，又能维持蜜网价值的新型蜜网机制。当入侵者渗透蜜网、入侵生产网络时，本发明不直接清除入侵者，而是使用网络功能虚拟化(NFV)和软件定义网络(SDN)结合的技术构建一个与原先环境相似且隔离的蜃景环境，将入侵者以及入侵现场迁移至蜃景环境中，诱骗入侵者驻留在蜃景环境，继续俘获和观察入侵者的行为。本发明为网络增加一道新的安全防线，且产生的时间开销和所需的内存资源较小，具有良好的可扩展性。同时，利用宿主服务器提供的计算、内存、存储等资源定制蜜网系统的各个组件，这使得构建过程更快捷和经济。

技术领域

本发明属于网络安全领域，具体地说是提出一种基于网络功能虚拟化(NFV)和软件定义网络(SDN)以提升蜜网价值的技术，其中蜜网的价值体现在既能延长诱骗入侵者驻留蜜网的时间又能保证蜜网系统的安全。

背景技术

随着入侵者使用了各种复杂的逃避技术以及普遍采用加蜜技术，目前普遍采用的被动防御的安全系统的作用在下降。蜜罐是一种诱骗入侵者攻击的主动安全技术，它通过记录、检测和分析攻击信息，以达到积极应对入侵者攻击和掩护生产网络的目的。蜜网作为蜜罐技术的发展与延伸，是一种具有综合体系结构的新型安全系统，它集成了多种蜜罐、数据采集和分析工具，具有调查入侵者来源、考察安全措施的有效性以及隐藏环境等多重用途。

蜜网是入侵者与防御者博弈的场所：入侵者为了入侵生产网络，在蜜网中尽可能多地探测、收集所需信息，并在必要时进行破坏、入侵生产网络；防御方则希望通过蜜网发现、记录和破解入侵者的行为，以保证生产网络安全。一旦蜜网被入侵者识破，或者发现入侵者损害生产网络安全性时入侵者将被清除出该蜜网，就会降低该蜜网的价值。因此，入侵者和防御者双方都希望入侵者能够长时间地停留在蜜网中，同时防御者又需要能够保证入侵者不会对生产网络造成危害。

为了解决传统蜜网存在的部署不便、扩展性和动态性不足、价格高等缺陷，近年来在蜜网设计实现中引入NFV技术，从而增强了蜜网工作的灵活性和性能价格比。

发明内容

[发明目的]：本发明的目的是，提出一种基于虚拟化的新型蜜网机制，既能延长入侵者停留在蜜网的时间，又能保证生产网络的安全性，提升了蜜网的价值。

[技术方案]：本发明的技术方案是：

1、一种基于虚拟化的蜃景蜜网系统，其特征包括：

A.一种能够在商用服务器上运行、基于NFV/SDN技术的系统结构，该系统由管理器、子蜜网集合、日志仓库、蜃景子网集合和OpenFlow交换机集合构成，系统的组织结构参见图1，系统的一个示例参见图2；

B.子蜜网和蜃景子网是支持蜃景蜜网系统工作的重要部分，它们由多种虚拟蜜罐与虚拟网络设备组成，具有检测、取证入侵者的功能，它们共同形成生产网络的安全屏障；

C.管理器具有NFV编排器、SDN控制器和决策分析器等组件的功能，其中决策分析器通过检索子蜜网记录的入侵日志，定位入侵者活动范围，对构建蜃景子网、迁移入侵者进行决策；NFV编排器接收决策分析器构建消息，利用NFV技术创建、销毁、扩容蜃景子网；SDN控制器接收决策分析器迁移消息，通过检索、更新OpenFlow交换机的流表项实现入侵者的通信流的迁移，系统的主要状态如图3所示；

D.系统使用数据库记录系统中各个子网及其设备、链路和拓扑等相关信息。

2、一种基于NFV构建蜃景子网的技术，其特征包括：

A.蜃景蜜网系统记录、分析入侵者活动和染指过的设备和子蜜网；

B.管理器将跟踪每个入侵者的移动轨迹，当入侵者进入位于生产网络入口处的子蜜网h_p时，管理器触发蜃景子网的构建过程；管理器对于每个入侵者单独构建或撤销一个蜃景子网 h_p’；