[发明专利]基于虚假拓扑生成的网络防护方法及系统和系统架构

权利要求书

1.一种基于虚假拓扑生成的网络防护方法，用于欺骗内部攻击者以提升网络安全，其特征在于，包含如下内容：

依据网络相关信息为网络中不同真实主机节点分别构建不同的虚假网络拓扑，其中，网络相关信息至少包含蜜罐信息、子网数及真实主机节点信息；

根据目的主机节点在虚假网络拓扑中位置来调整目的主机节点应答报文时延及链路带宽；

结合传输至蜜罐的相关数据包并利用SDN控制器对SDN交换机的流规则流量统计来识别恶意流量来源主机，将识别到的主机进行隔离。

2.根据权利要求1所述的基于虚假拓扑生成的网络防护方法，其特征在于，在SDN控制器和SDN交换机之间的网络链路上设置欺骗服务器；欺骗服务器依据SDN交换机转发的真实主机节点动态主机配置协议报文获取真实主机节点的网络地址信息，其中，网络地址信息包含IP地址、网关地址及DNS服务器地址；网络视图生成器依据该网络地址信息为真实主机节点生成虚假网络拓扑，并将虚假网络拓扑发送给欺骗服务器和SDN控制器。

3.根据权利要求1所述的基于虚假拓扑生成的网络防护方法，其特征在于，调整应答报文延时及链路带宽时，SDN交换机为目的主机节点发送的数据包添加基于VLAN的标签并转发；通过流量排队识别标签并进行延迟传输。

4.根据权利要求1所述的基于虚假拓扑生成的网络防护方法，其特征在于，SDN控制器依据SDN交换机请求的转发流表来判断目的主机节点是否为蜜罐，若目的主机节点为蜜罐，则判定数据包为恶意流量。

5.根据权利要求1或4所述的基于虚假拓扑生成的网络防护方法，其特征在于，针对恶意流量来源主机，SDN控制器请求SDN交换机的流统计数据，通过统计被传输到蜜罐的数据包数量来识别恶意流量来源主机并进行隔离。

6.根据权利要求5所述的基于虚假拓扑生成的网络防护方法，其特征在于，设置发送请求间隔时间段，SDN控制器定期请求SDN交换机的流统计数据，以统计相关数据包数量。

7.根据权利要求5所述的基于虚假拓扑生成的网络防护方法，其特征在于，通过设置数量阈值，当统计到的数据包数量超过该设置的数量阈值时，则判定来源主机为内部攻击者，SDN控制器通过删除SDN交换机上关于该来源主机的流表进行主机隔离。

8.一种基于虚假拓扑生成的网络防护系统，用于欺骗内部攻击者以提升网络安全，其特征在于，包含：构建模块、调整模块和识别模块，其中，

构建模块，用于依据网络相关信息为网络中不同真实主机节点分别构建不同的虚假网络拓扑，其中，网络相关信息至少包含蜜罐信息、子网数及真实主机节点信息；

调整模块，用于根据目的主机节点在虚假网络拓扑中位置来调整目的主机节点应答报文时延及链路带宽；

识别模块，用于结合传输至蜜罐的相关数据包并利用SDN控制器对SDN交换机的流规则流量统计来识别恶意流量来源主机，将识别到的主机进行隔离。

9.一种软件定义网络防护系统架构，其特征在于，包含：设置于SDN交换机和SDN控制器之间的欺骗服务器，设置于欺骗服务器与SDN控制器之间的网络视图生成器及与SDN交换机连接的蜜罐服务器；网络视图生成器依据欺骗服务器获取到的真实网络节点相关网络地址信息为真实网络节点构建用于模拟一致性网络特性的虚假网络拓扑，以实现利用SDN控制器统计与蜜罐有数据包传输的真实网络节点的SDN流规则流量来识别恶意流量来源主机并隔断。

10.一种网络设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的系统或执行权利要求1～7任一项所述的方法。