基于SDN和虚拟化技巧的动态蜜网体系近年来无论是在学术界照样在工业界,因为其灵活的实现方法,获得了大年夜家的一致承认。下面本节就选择几个典范的实现筹划进行具体的分析和比较。
参考文献[2]提出了一种SDN收集的蜜网安然防护体系,体系重要包含收集入侵检测模块、蜜网治理模块和SDN控制器集群治理模块。收集入侵检测模块对进入组织内部的流量进行入侵检测;蜜网治理则负责蜜网的创建、流量转发规矩以及蜜网数据库保护等。SDN控制器集群则半数个体系内的多个SDN控制器进行调和治理和通信保护。如下图所示就是全部体系的一个简单的架构图。
其工作流程主如果:起首在全部营业体系收集的边沿SDN交换机进行流量镜像的设备,经由过程端口镜像将所有拜访营业体系的流量传输至入侵检测体系。如不雅入侵检测体系剖断流量无异常,那么就将其进行正常的转发;如不雅发明异常,则根据安然威逼进行等级划分,并辨认进击类型,将进击类型、特点、以及安然威逼等级告诉蜜网治理模块。
参考文献[3]同样是结合枷⒚痖拟化和收集虚拟化技巧,实现了一种全虚拟化的蜜罐主机和一种可动态调剂和可扩大的动态虚拟蜜网体系,以及提出叠加虚拟蜜网的概念。
颇┞符体架构重要包含营业收集、基于OpenFlow交换机的蜜墙以及虚拟蜜罐体系。安营业网安排入侵检测和流量分析体系,当检测到进击流量时传递控制器;Floodlight控制器收到流量转发请求后生成流量控制敕令并经由过程控制器传输至OpenFlow交换机;OpenFlow交换机解析流量控制敕令,根据请求内容转发进击流量至虚拟蜜罐体系;虚拟蜜罐体系根据当前体系负载进行传誓┞菲握,将不合的办事流量导入不合的办事集群中;蜜网体系收集和分析进击流量,并记录进击行动、进击源和进击日记等信息,完成蜜网工作。大年夜这个整体思路来看,该项工作与参考文献[2]的思路其实是很像的。下面我们再看看其具体的工作流程。
具体工作流程如下图所示,当外部请求进入OpenFlow交换机后,交换机经由过程流信息(协定、端口等)辨认解析流。转发策略控制模块根据当前的办事安排情况创建转发规矩(如HTTP请求的流进入HTTP办事体系中),转发的同时修改流中数据包的目标MAC地址和目标IP地址,并将这些规矩推送到OpenFlow交换机中。办事流进入响应的办事体系中进行响应处理。办事体系响应的数据包达到OpenFlow交换机后根据流表规矩,修改源MAC和源IP,最终融合返回给进击者。至此完成虚拟蜜罐的实现流程。
作者在这里还提到了一个叠加虚拟蜜网的概念,所谓的叠加蜜网,就是经由过程对OpenFlow交换机进行规矩设定,实现收集的分片划分,达到叠加收集的效不雅,也就是展示为不合的蜜网体系。如许不合分片的蜜网体系也就实现了互相隔离的目标。
这种实现方法较参考文献[2]我们发明有以下几点不合:(1)本筹划在处理异常流量向蜜网体系调剂时,采取的是修改数据包目标IP和目标MAC的方法,而参考文献[2]则是直接经由过程设置流表output端话柄现。如许在进击者的角度来看,本筹划的蜜网体系更具有隐蔽性;(2)本筹划的虚拟蜜网体系在生成时,仅仅是推敲了应用协定这一方面,比如异常流量是HTTP请求,那么就将其调剂到一个虚拟的HTTP蜜罐办事;并未过多的┞峰酌到真实营业体系的交互逻辑,而参考文献[2]在这方面推敲的比拟较较周全。
参考文献[4]提出一种基于虚拟机的弹性防进击办法,重要应用在云计算体系的收集安然范畴。平日云计算体系的主机都是挂在一个虚拟的交换设备上,比如OVS(Open vSwitch),这个OVS的转发规矩由SDN控制器根据预先设置的白名单来进行制订。
3. 实现筹划
当进击者的数据包经由OVS交换机时,会向SDN控制器发出packet_in事宜请求。控制器萌芽拜访控制白名单,确认拜访是否合法;同时会对相符白名单的数据包进行异常分析,来肯定其是否为进击流量,如不雅是,那么删除其白名单中对应的规矩,并且克隆一台预先设备好的蜜网虚拟机。最后控制器生成一条将进击流量导向新生成的虚拟机的流表,并下发至响应的OVS交换机上。
我们发明,该筹划在设计实现上较前两种又不太一样。起首就是本筹划起首肯定一个早年提,就是在云计算体系中,因为云计算体系无论在收集架构上,照样在流量特点上,较传统的数据中间┞氛样有必定的区其余。然后就是基于如许的前提,本筹划并没有采取自力的入侵检测体系去对所有的拜访流量进行异常检测,而是将这个功能实如今了SDN的收集控制器里,仅仅是针对相符其预设白名单的流进行异常检测。最后就是本计整洁旦发明流量异常之后,再将其调剂到蜜网体系的同时,会在白名单中删除对应的规矩,也就是说,这个异常的源主机在后续提议的流建立请求都将被忽视掉落,实现了异常主机的隔离。
蜜网治理模块据此信息,参考蜜网模型数据库,计算出对应的蜜网收集架构,然后创建虚拟化名网;同时将响应的流量调剂策略传输给SDN 控制器,控制器下发流量匹配规矩到SDN交换机,完成全部异常流量的调剂工作。
参考文献[5]提出了一种应用虚拟化名网技巧,实现云平台的信息安然攻防体系架构。参考文献[6]同样是经由过程入侵检测体系和虚拟蜜罐体系的结合,实现了一种云计算体系的安然控制办法。
大年夜以上这几个筹划可以看出,基于SDN实现的虚拟化名网体系,在总体设计思路上,并没有太大年夜的差别,只是不合的筹划针对不合的应用处景,在实现细节上话苄些许的不合。
4. 总结
本文大年夜传统的蜜罐、蜜网、分布式蜜罐、分布式蜜网等概念着手,介绍了蜜罐和蜜网技巧在攻防博弈纰谬称的情况下,若何实现主动安然防御的一种思路。然后介绍了若何基于SDN收集,结合虚拟化技巧,实现SDN蜜网体系,并且介绍了几个典范的SDN蜜网体系实现筹划,比较了几种实现方法的异同。
推荐阅读
近日,刑事拘留监督平台在自贡市两级审查院正式上线运行。“不要小看这个平台,它对审查监监工作的助推感化可大年夜了。”自贡市审查院侦查监督处相干负责人边演示边介绍,打开>>>详细阅读
本文标题:基于SDN的蜜网技术概述
地址:http://www.17bianji.com/lsqh/37255.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示