[发明专利]一种基于NFV的智能蜜网系统

摘要

本发明公开了一种基于NFV的智能蜜网系统，将传统蜜网(Honeynet)架构与网络功能虚拟化(Network Function Virtualisation,NFV)技术相结合，构建基于NFV的智能蜜网系统。本发明智能蜜网将传统的蜜网系统解耦为功能清晰的硬件层，安全代理层，功能实体层，管理控制层。使得安全设备以纯软件的形式实现，具有更大的灵活性。统一的管理和控制机制，增加了网络的可监控性，降低了维护难度和成本。增加的数据中心使得不同的蜜网系统之间可以共享信息以实现共赢。同时增加了智能中心可以利用机器学习算法和模型，实现更智能的决策分析。与现有解决方案相比，本发明提出的智能蜜网系统具有四大优势：蜜网的自动和按需部署，资源的自适应调整，不同功能实体间的协同防御和实时的异常响应。

主权项

1.一种基于NFV的智能蜜网系统，其特征在于，该系统由基础设施层(Infrastructure Layer)、安全代理层(Security Agent Layer)、功能实体层(Function Entity Layer)、管理控制层(Management Control Layer)、数据中心(Data Center)和智能中心(Intelligence Center)组成。基础设施层的硬件采用商业通用设备；利用虚拟层将硬件资源抽象为虚拟资源，按照上层功能实体的需求，将虚拟资源进行逻辑分割后分配给相应的功能实体，当功能实体被卸载时，其占用的虚拟资源能够被释放回虚拟资源池。安全代理层用于实现具体的安全操作，不同的安全代理嵌入在受保护的主机或网络设备内，安全代理根据功能实体的命令，执行安全操作，所述安全操作包括监控、识别、转发、漏洞修复。功能实体层：从传统安全设备或软件的功能中抽象出来的不同功能实体在功能实体层以虚拟网络功能的形式实现；智能密网系统中的功能实体包括蜜网、入侵检测系统(Intrusion Detetion System，IDS)和防火墙(Fierwall)；蜜网由蜜墙(Honeywall)、转发引擎(Forwarding engine)和多个蜜罐(Honeypot)组成；Honeypot是一个陷阱，其通过模拟真实用户，吸引攻击者的攻击，通过信息捕获收集攻击数据；Honeypot可以根据网络需求采用不同版本的windows或者linux操作系统，也可以装载不同服务，开设多个端口；Honeywall是一个数据链路层代理，包括数据捕获、数据传输和数据控制三个功能，可以用于拦截所有入站和出站数据包；转发引擎接收智能中心的转发决策，实现转发操作。管理控制层负责整个智能蜜网系统的管理、协调和控制，具体包括：功能实体与数据中心之间的数据交换，将智能中心的决策下发给功能实体，功能实体运行状态的监控，对运行状态异常的Honeypot下发卸载，重装或者回滚等操作命令，管理控制蜜网、入侵检测系统以及防火墙之间的协同工作，对蜜罐未来一段时间攻击压力进行预测，根据预测结果进行资源的预分配。数据中心负责从下层功能实体层和外界广泛收集网络安全相关数据以不断丰富数据库。智能中心通过应用人工智能算法，利用模型库、工具库和算法库进行智能分析和决策，具体包括：从Honeypot的日志中提取新的特征，丰富IDS和Firewall的特征库，根据攻击者的请求类型、各Honeypot的系统类型、所覆盖的服务类别、Honeypot的交互等级、Honeypot的负载情况做出智能转发决策，并下发给转发引擎。