一种基于蜜罐技术的网络安防系统的制作方法

技术特征：
1.一种基于蜜罐技术的网络安防系统，其特征在于，包括软件定义网络控制子系统和欺骗服务器；所述软件定义网络控制子系统包括虚拟网络拓扑模块和ip随机化模块；所述虚拟网络拓扑模块主要负责生成虚拟网络拓扑以及根据虚拟网络拓扑的规范分发流表；所述ip随机化模块负责协调网络中主机和诱饵节点的地址变换；所述欺骗服务器负责根据虚拟网络视图的规范制作响应来欺骗恶意扫描程序。2.根据权利要求1所述的系统，其特征在于，所述虚拟网络拓扑模块包括虚拟网络拓扑生成模块、诱饵节点生成模块和流表分发模块三个子模块；所述虚拟网络拓扑生成模块负责提供虚拟网络拓扑规范，即描述主机、诱饵节点的真实和虚拟的地址信息，以及它们之间的连接性，包括：目标主机的真实ip地址、虚拟ip地址、真实mac地址和交换机端口；内网主机的真实ip地址、虚拟ip地址、真实mac地址和交换机端口；诱饵节点的真实ip地址、虚拟ip地址、真实mac地址、虚拟mac地址和交换机端口；目标主机到内网主机和诱饵节点的虚拟路径信息。3.根据权利要求2所述的系统，其特征在于，所述诱饵节点生成模块负责根据虚拟网络拓扑规范生成大量的诱饵节点。4.根据权利要求3所述的系统，其特征在于，本系统采用一对多映射的方式生成诱饵节点，即在虚拟网络拓扑配置文件中为一个蜜罐主机分配多个虚拟ip，在响应扫描探测时，由软件定义网络控制子系统将虚拟ip反向映射到其母体蜜罐，由母体蜜罐响应具体的探测行为。5.根据权利要求2所述的系统，其特征在于，所述流表分发模块监听来自交换机的packin报文，根据虚拟网络拓扑的规范动态生成特定的流表，并将其推送到sdn交换机以控制网络传输；为了引导和控制网络传输，采取反应式流表生成方法，而不是主动式方法，即在到达sdn交换机中的数据包与存储在交换机中的任何流表都不匹配时，软件定义网络控制子系统动态生成流规则。6.根据权利要求1-5中任意一项所述的系统，其特征在于，所述ip随机化模块包括地址管理模块之一、变换决策模块和连接维持模块三个子模块，所述地址管理模块之一负责根据虚拟网络拓扑规范实时统计每个子网中的主机和诱饵节点、每个子网中的还未使用的ip地址以及为子网内的主机和诱饵节点分配ip地址，确保在ip地址分配中不会相互干扰；所述变换决策模块负责设置ip地址随机化的的周期以及虚拟网络拓扑的构造方法，根据实际网络系统状态设定ip地址随机化的周期；所述变换决策模块根据实际情况确定虚拟网络拓扑的大小、子网数、每个子网中诱饵节点的数量以及主机在网络中的位置。7.根据权利要求6所述的系统，其特征在于，所述欺骗服务器包括地址管理模块之二，消息处理模块，dhcp处理模块，arp处理模块，icmp处理模块，路由模拟模块；所述地址管理模块之二负责确保与软件定义网络控制子系统维护相同的虚拟网络拓扑规范；所述消息处理模块负责解析接收到的数据包，并根据据数据包的类型发往相应的模块处理；所述dhcp处理模块，arp处理模块，icmp处理模块和路由模拟模块负责对恶意扫描程序的请求做出欺骗性的响应。8.根据权利要求7所述的系统，其特征在于，所述路由模拟模块实现欺骗的步骤包括：s1.恶意扫描程序使用tarceroute向节点发送探测数据包，依次将数据包的ttl设置为
1，2，3，
…
，n；s2.虚拟网络拓扑模块将数据包转发到欺骗服务器，并由消息处理子模块发往路由模拟子模块处理；s3.虚拟网络拓扑规范中描述网络中两个主机之间的虚拟的路由信息，路由模拟模块首先根据虚拟路由信息向源主机发送icmp超时报文，证明数据包经过了虚拟路由；s4.路由模拟模块根据目的主机的虚拟ip生成icmp端口不可达报文，证明数据包已到达目的地。

技术总结
本发明公开了一种基于蜜罐技术的网络安防系统，包括软件定义网络控制子系统和欺骗服务器；所述软件定义网络控制子系统包括虚拟网络拓扑模块和IP随机化模块；所述虚拟网络拓扑模块主要负责生成虚拟网络拓扑以及根据虚拟网络拓扑的规范分发流表；所述IP随机化模块负责协调网络中主机和诱饵节点的地址变换；所述欺骗服务器负责根据虚拟网络视图的规范制作响应来欺骗恶意扫描程序。本发明通过增加系统的动态性、随机性和不确定性，使攻击者在虚假的资源上花费更多的时间，进一步提高了攻击者的攻击难度和攻击成本，有效增强了系统的防御效能和安全性，具有网络系统开发和管理的基础设施灵活有效、操作开销小，有效地抵抗持续性地网络侦查攻击。地网络侦查攻击。地网络侦查攻击。


技术研发人员：关泽武 杨航 刘家豪 蒙家晓 樊凯 黄国柱 刘欣 陈锋 付志博 黄劲斌 谢铭 戴涛 赖博宇 李攀登 徐培明 张宇南 徐传懋 杨祎巍 陈霖 匡晓云
受保护的技术使用者：南方电网科学研究院有限责任公司
技术研发日：2021.12.21
技术公布日：2022/4/1