[发明专利]一种支持地址空间扩展的SDN网络IP跳变方法

说明书

一种支持地址空间扩展的SDN网络IP跳变方法，涉及计算机技术领域，本发明设置主服务器、子服务器、内存空间管理器、交换机、IP随机生成器、虚拟IP处理器和空间扩展池配合，通过内存空间管理器处理空闲的系统空间资源，实现了系统的优化和充分利用，设置真实IP编码模块和虚拟IP编码模块，对全局IP进行编码，提高跳变的效率，利用跳变模块和编码捕获模块连接真实IP编码通道、虚拟IP编码通道和虚拟IP编码存储池，提高IP跳变的随机性和不确定性，设置管理空间扩展池对空间段、诱饵节点和虚拟IP进行分配和管理，地址空间扩展性好，且提高了系统的主动防御性能，为了进一步增加SDN网络的不确定性，减少被攻击面，提出一种动态地址解决方案。

技术领域

本发明涉及计算机技术领域，尤其涉及一种支持地址空间扩展的SDN网络IP跳变方法。

背景技术

针对当前网络固有的攻防不对称特性，为了平衡现有网络的攻防环境，美国网络安全与信息保障研发计划提出了应对新型网络攻击的新概念——移动目标防御技术(又称动目标防御，Moving Target Defense，MTD)。

MTD的核心思想是利用受攻击面的变化使网络系统动态化，通过“化静为动、反客为主”的机制策略，提供动态、主动的网络防御功能，使系统具有更少的确定性、静态性、同构性，利用随机化和多样化为攻击者造成困难和障碍，使攻击者难以完成攻击任务，以此减少攻击者攻击成功的可能性，从而让防守方取得有利局面。

随着MTD理论受关注程度的不断提高，越来越多的研究开始着重探讨MTD的实现路径。其中，SDN(软件定义网络)是一种基于开放标准的灵活架构，具备集中控制、灵活定制的独特优势，可以非常好的支持MTD技术实现以及防御效能发挥。因此，将MTD的动态变换与SDN的灵活编排相结合，已成为更具应用价值的研究热点。

在攻击者对OpenFlow交换机发起攻击之前，需要获得攻击目标确切的IP地址、端口号或转发路径。因此，上述参数的改变，能够有效抵御有针对性的侦查攻击。针对数据层的一系列攻击，当前面向SDN的移动目标防御技术主要包括以下3种技术：1)地址跳变；2)路由跳变；3)端口跳变。现有的IP跳变当局限于某一子网，导致变化空间不充分。因此，IP地址紧缺问题也就成为我国乃至世界网络发展的一个瓶颈。

发明内容

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种支持地址空间扩展的SDN网络IP跳变方法。本发明中设置主服务器、子服务器、内存空间管理器、交换机、IP随机生成器、虚拟IP处理器和空间扩展池配合，通过内存空间管理器处理空闲的系统空间资源，实现了系统的优化和充分利用，设置真实IP编码模块和虚拟IP编码模块，对全局IP进行编码，提高跳变的效率，利用跳变模块和编码捕获模块连接真实IP编码通道、虚拟IP编码通道和虚拟IP编码存储池，提高IP跳变的随机性和不确定性，设置管理空间扩展池对空间段、诱饵节点和虚拟IP进行分配和管理，地址空间扩展性好，且提高了系统的主动防御性能，为了进一步增加SDN网络的不确定性，减少被攻击面，提出一种动态地址解决方案，解决了当前地址跳变局限于某一子网，变化空间不充分的问题。

(二)技术方案

为解决上述问题，本发明提供了一种支持地址空间扩展的SDN网络IP跳变方法，包括主服务器、子服务器、内存空间管理器、交换机、IP随机生成器、虚拟IP处理器和空间扩展池；交换机上设置有真实IP编码通道、虚拟IP编码通道和虚拟IP编码存储池；主服务器连接真实IP编码通道；IP随机生成器连接虚拟IP编码通道；虚拟IP处理器连接虚拟IP编码存储池；子服务器连接子网、主服务器和空间扩展池；内存空间管理器连接主服务器和虚拟IP处理器；主服务器包括空间映射模块、控制模块、真实IP存储模块、真实IP查询模块和真实IP编码模块；内存空间管理器包括空间收集模块、空间合并模块和空间片选模块；子服务器包括IP请求模块和IP获取模块；交换机包括跳变模块和编码捕获模块；IP随机生成器包括虚拟IP存储模块、虚拟IP编码模块和第二接口模块；虚拟IP处理器包括编码读取模块、编码翻译模块和伪装模块。