[发明专利]一种基于SDN的反病毒系统

摘要

本发明涉及一种基于SDN的反病毒系统，包含以下几个部分：基础设施层、安全控制器、流表转发规则模块、日志生成器、接口抽象模块、南向接口、北向接口、用户APP。上述一种基于SDN的反病毒系统，其实施流程包含以下步骤：(1)动态注入代码识别与封装；(2)安全控制器策略初始化；(3)匹配算法模块进行检测；(4)虚拟机检测模块分析；(5)日志生成器模块生成日志数据；(6)接口抽象模块与应用层通信；(7)日志报告模块生成可视化表格给用户。采用本反病毒系统，通过对嵌入式设备所执行的动态注入进程的代码进行二级检测，可以在既保证效率的同时又能够准确检测出一些蠕虫病毒的攻击行为。

主权项

一种基于SDN的反病毒系统，其特征在于：包含以下几个部分：基础设施层、安全控制器、流表转发规则模块、日志生成器、接口抽象模块、南向接口、北向接口、用户APP，其中：所述基础设施层包含网络设备以及可池化的网络安全设备，网络设备负责接受流表转发规则模块的控制进行数据包的转发、可池化的网络安全设备包括但不限于入侵检测系统、访问控制系统等传统安全设备；可池化之后将统一向上提供API接口供用户APP调用并实施特定的行为；所述安全控制器包含匹配算法模块与反病毒虚拟机模块，网络设备将动态注入进程的代码封装后输入安全控制器，首先由匹配算法模块进行检测，若发现异常，则要求流表转发规则对网络设备下不予执行的命令，否则继续向上输入给反病毒虚拟机模块；反病毒虚拟机模块予以测试后若发现异常，同样要求流表转发规则对网络设备下不予执行的命令，否则要求网络设备予以执行；所述匹配算法模块通过算法返回值判断注入代码是否为恶意；以蠕虫中较常利用的缓冲区溢出为例，匹配算法的检测思路为：正常注入进程的代码应当只具有“读”与“执行”的属性，而恶意代码会额外具有“写”属性；除此之外，正常注入进程的代码一般能找到其在可执行文件上的映射，而恶意代码则不会有这样的特性；事实上，匹配算法模块可以对SQL注入等其他web攻击手段予以检测，从而形成检测队列；这也是该系统具有一定的可拓展性的原因；所述反病毒虚拟机模块，通过软件模拟一个真实的CPU并支撑一个检测系统；模拟CPU所虚拟的包括但不限于真实环境下CPU的物理端口、内存空间以及寄存器等要素，其将作为输入数据的注入代码模拟执行后，将执行结果予以记录并实时传递给检测系统，检测系统负责判断执行过程中是否存在代码的自我复制、异常调用系统函数、异常跳转、异常中断等情形，如果有，认定为恶意代码；所述流表转发规则模块接受安全控制器的控制，若安全控制器认定注入进程的该段代码为恶意，则命令基础设施层的网络设备不予执行，否则放行；所述日志生成器在安全控制器判断存在恶意注入的代码后，接受安全控制器的输入数据，包括但不限于动态注入的代码段、注入时间、认定时间、认定模块代号、认定的恶意类型、注入主机IP与MAC信息；接受数据后，日志生成器将数据以一定规范进行封装，输出给接口抽象模块，并最终传输给用户APP；所述接口抽象模块，负责将日志生成器封装的数据进行解封装，并重新根据客户端的操作系统类型进行二次封装，以传输给不同操作系统下的用户APP；所述南向接口根据OpenFlow协议，将动态注入网络设备的代码进行封装，传递给安全控制器中的匹配算法模块；OpenFlow不是唯一选择，能根据需要修改；所述北向接口根据XML协议，将接口抽象模块的输出数据传递给用户APP的日志报告模块；XML不是唯一选择，能根据情况修改；所述用户APP包含一个日志报告模块，负责将接口抽象模块的数据进行解释，并重新组织为用户可读的数据；数据包括但不限于：是否发现动态注入的恶意代码，注入时间，攻击类型，注入主机，具体代码；用户APP能通过一键防护对注入代码的主机进行访问控制；所述一键防护，由用户APP调用可池化的基础实施层的网络安全设备API，如IDS，ACL，从而及时防护可能正在遭受攻击的网络设备。