一种基于sdn实现网络蠕虫集中防控的方法和装置的制造方法
【专利摘要】本发明请求保护一种基于SDN实现网络蠕虫集中防控的方法和装置,防控包括用户界面模块、网络蠕虫预防控制中心和网络蠕虫免疫模块。其中,1)网络蠕虫预防控制中心负责实时的更新蠕虫特征数据库的数据,以及网络蠕虫特征数据的下发工作;2)网络蠕虫免疫模块根据下发的网络蠕虫特征数据,利用SDN思想,将进出局域网并符合网络蠕虫传播端口信息的流量重定向至网络蠕虫检测模块进行详细鉴别和处理。本发明意于利用SDN的思想对局域网中的蠕虫传播起到集中式免疫监视、防御和控制作用,在网络蠕虫蔓延之前,在局域网的网络流量进出的关键节点处进行网络流量的过滤和清洗,从而防止网络蠕虫在各局域网间的大规模传播,保证各局域网能够正常运转。
【专利说明】
一种基于SDN实现网络蠕虫集中防控的方法和装置
技术领域
[0001]本发明软件定义网络安全领域,尤其设计一种基于SDN实现网络蠕虫集中防控的方法和装置。
【背景技术】
[0002]随着计算机网络技术的快速发展,互联网已经融入人们的生活、学习和工作中,很多企业单位、住宅小区、教育中心等都拥有了自己的局域网,互联网所带来的各种业务服务为人们提供了极大的便利。但互联网是把双刃剑,它带来便利的同时,也为网络蠕虫的传播提供了很好的一个平台,极大的影响了网络环境的健康发展。所以针对局域网中网络蠕虫的防控研究愈发引起重视。
[0003]网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,不需要计算机使用者干预即可运行的攻击程序或代码,它会主动扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者互联网从一个节点传播到另外一个节点。相对病毒的传染能力主要是针对计算机内的文件系统而言,网络蠕虫一般的传播机制是复制自身在互联网环境下进行传播,网络蠕虫的传染目标是互联网内的所有计算机,局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径。互联网的普及和发展,使得网络蠕虫能够迅速的大范围的进行传播感染,其所带来的威胁是十分巨大的。
[0004]软件定义网络(SDN)是近几年被广泛提起的一种新型网络创新架构,SDN技术所做的事是将网络设备上的控制权分离出来,由集中的控制器管理,无须依赖底层网络设备(路由器、交换机、防火墙),屏蔽了来自底层网络设备的差异。而控制权是完全开放的,用户可以自定义任何想实现的网络路由和传输规则策略,从而更加灵活和智能。在局域网的网络蠕虫的预防与控制中,我们可以利用SDN思想自定义网络中流量的流向,将有关网络蠕虫的流量在进入或流出局域网之前就将其进行清除,从而更加有效、迅速的保护网络的安全。
[0005]有关局域网中网络蠕虫的防范是网络安全领域一个重要的研究课题。自从2001年code red网络蠕虫事件爆发后,人们就开始针对网络蠕虫的特征串字段和传播特性进行建模和分析。目前,对网络蠕虫的研究主要从两个方面,一个是从网络蠕虫的传播机制入手,通过在防火墙上对接收到的数据包进行网络连接特征分析来进行网络蠕虫的识别,实时检测网络蠕虫;一个是根据网络流量特征检测已知或未知蠕虫病毒传播的源头和传播所用网络协议和目标端口,以便于在病毒发作的初期就加以控制,防止病毒的大规模传播,从而保护网络的正常运转。
【发明内容】
[0006]根据调研,目前有关网络蠕虫防控研究主要有以下不足。I)研究重点是针对某一个系统的网络蠕虫发现和识别机制;2)有关将SDN思想应用于网络蠕虫预防和控制的研究相对缺乏;3)关于如何解决不同局域网间(例如:学校、企业等)网络蠕虫的蔓延和感染,没有提出一个很有效的方法。
[0007]针对以上现有技术的不足,提出了一种能够提前防范和有效阻止蠕虫在相关网络中的感染传播的基于SDN实现网络蠕虫集中防控方法和装置。本发明的技术方案如下:一种基于SDN实现网络蠕虫集中防控装置,其包括:用户界面模块、网络蠕虫预防控制中心和网络蠕虫免疫模块。
[0008]所述用户界面模块:用于提供一个可视化WEB界面,负责下发相关配置(包括:扩展监控的局域网范围、用于调取指定局域网的网络蠕虫处理情况的脚本文件),通过从行为信息数据库调取的信息以查看各局域网的网络运行情况;
[0009]所述网络蠕虫预防控制中心:用于根据各域网络蠕虫免疫模块中SDN控制模块的IP地址,直接建立物理连接,将封装成包的网络蠕虫预防疫苗下发至各域的网络蠕虫免疫模块;网络蠕虫预防控制中心还负责对各域的网络状况进行监视以及实时更新蠕虫特征数据库的数据。
[0010]所述网络蠕虫免疫模块:用于接收网络蠕虫预防控制中心下发的网络蠕虫预防疫苗并解析出网络蠕虫的特征数据,通过SDN网络将网络中符合网络蠕虫传播端口信息的流量重定向至网络蠕虫检测模块进行再次鉴别,清洗掉有网络蠕虫特征串字段的数据流量,并回注正常数据流量至网络;同时将网络蠕虫的处理信息包括网络蠕虫的类型、处理的网络蠕虫数目、感染主机的基本特征在内的信息进行记录,并上传至行为信息数据库进行存储;
[0011]进一步的,所述网络蠕虫预防控制中心包括:疫苗策略模块及监视模块,所述疫苗策略模块包括蠕虫特征数据库和疫苗下发模块,其中所述蠕虫特征数据库用于存储网络蠕虫的特征数据,所述疫苗下发模块负责将封装成包的网络蠕虫预防疫苗下发至各局域网的网络蠕虫免疫模块;监视模块负责对实时更新蠕虫特征数据库中网络蠕虫的特征数据,同时对各域网络蠕虫免疫模块上传的网络蠕虫的处理信息进行存储;
[0012]进一步的,所述更新蠕虫特征数据库的数据包括网络蠕虫传播常见的端口号和应用层协议中的特征串字段;
[0013]进一步的,所述网络蠕虫免疫模块包括SDN控制模块及网络蠕虫检测模块;
[0014]所述SDN控制模块包括:疫苗接收模块及域内流表项生成模块,所述疫苗接收模块用于负责接收来自网络蠕虫预防控制中心发来的网络蠕虫预防疫苗并进行解析,将解析出的网络蠕虫特征数据进行存储;所述域内流表项生成模块负责根据当前域内的网络拓扑、网络蠕虫的传播端口信息生成域内流表项,并将域内流表项下发至该局域网数据流量进出的边界SDN交换机,将符合网络蠕虫传播端口信息的数据流量重定向至网络蠕虫检测模块进行处理;
[0015]网络蠕虫检测模块用于对重定向的数据流量进行深度解析,获取数据流量的特征串字段,并与网络蠕虫特征数据进行匹配,对匹配符合的数据流量进行清洗,同时将正常的数据流量回注到正常的网络;
[0016]进一步的,所述疫苗接收模块包括两个模块,分别为:内容解析模块和蠕虫信息存储模块,内容解析模块负责接收来自网络蠕虫预防控制中心发来的网络蠕虫预防疫苗并进行解析,将解析出的网络蠕虫特征数据放于蠕虫信息存储模块;
[0017]进一步的,所述网络蠕虫检测模块包括特征匹配模块、策略执行模块及日志记录模块,所述策略执行模块对重定向的数据流量进行深度解析,用于对重定向的数据流量进行深度解析,获取数据流量的特征串字段,特征匹配模块用于特征串字段与网络蠕虫特征数据进行匹配,日志记录模块用于将处理情况包括:网络蠕虫的类型、处理的网络蠕虫数目、感染主机的基本特征信息进行记录并上传至用户界面的行为信息数据库。
[0018]一种基于所述装置的基于SDN实现网络蠕虫集中防控方法,其包括以下三个步骤:I)网络蠕虫预防控制中心中的疫苗策略模块根据当前各局域网的SDN控制模块的地址特征信息,将封装成包的网络蠕虫预防疫苗下发至各局域网的网络蠕虫免疫模块;2)各局域网的网络蠕虫免疫模块在SDN控制模块接收网络蠕虫预防疫苗,并进行解析获取网络蠕虫特征数据;3)局域网内的SDN控制模块根据当前域内的网络拓扑、网络蠕虫的传播端口信息生成域内流表项,并下发至各域网络流量进出的边界SDN交换机处,将流量中符合网络蠕虫传播端口信息的流量重定向至网络蠕虫检测模块进行再次鉴别,清洗有网络蠕虫特征串字段的数据流量,同时将正常网络流量回注到网络中,并将处理信息进行记录并上传至行为信息数据库。
[0019]本发明的优点及有益效果如下:
[0020]本发明基于SDN实现网络蠕虫集中防控的方法和装置,提供了一种在不影响正常通信的情况下,阻止局域网内网络蠕虫感染和阻断各局域网间网络蠕虫传播途径的装置。根据网络蠕虫的传播特性,在网络蠕虫预防控制中心下发封装成包的网络蠕虫预防疫苗至各局域网的网络蠕虫免疫模块,各局域网内通过利用SDN技术,下发域内流表项至域内网络流量进出的边界SDN交换机,将进出的网络流量中符合网络蠕虫传播端口信息的数据流量重定向至网络蠕虫检测模块,进行更详细的网络蠕虫的鉴别和清洗,同时将正常数据流量回注到网络中。
[0021]本发明基于SDN实现网络蠕虫集中防控的方法和装置能够有效地对各局域网的网络蠕虫感染情况起到很好的免疫监视、防御和调控作用。利用SDN技术,下发路由表项至关键的节点处,在网络流量进出局域网之前,就对网络蠕虫流量进行过滤清洗,不仅能避免自身网络受到网络蠕虫的干扰,而且在各局域网之间对网络蠕虫的蔓延传播起到了很好的阻断作用。此外本发明采用集中式对网络蠕虫的预防控制,由网络蠕虫预防控制中心统一下发网络蠕虫特征数据至各局域网的网络蠕虫免疫模块,能够有效地减少各局域网在网络安全上的投入成本,同时该系统提供了一个可视化的界面终端,方便操作人员进行更加快捷的操作。所设计方法和装置可应用于多种类型的网络域或局域网,类似人体注射疫苗一样,能够提前防范和有效阻止蠕虫在相关网络中的感染传播。
【附图说明】
[0022]图1是本发明提供优选实施例网络蠕虫防控装置模块框图;
[0023]图2是本发明的网络蠕虫防控装置部署示意图;
[0024]图3是本发明的应用场景一不意图;
[0025]图4是本发明的应用场景二不意图。
【具体实施方式】
[0026]以下结合附图,对本发明作进一步说明:
[0027]如图1所示,实施例1
[0028]—种基于SDN实现网络蠕虫集中防控的方法和装置,其结构模块包括:用户界面模块(1)、网络蠕虫预防控制中心(2)、网络蠕虫免疫模块(8),其实际的位置部署如图2所示:
[0029]所述用户界面模块(I),操作人员可以在上面通过HTTP协议访问用户界面模块(I)提供的WEB页面,进行关键参数配置,以及查看当前各局域网的网络运行状态。
[0030]网络蠕虫预防控制中心(2)与各局域网的网络蠕虫免疫模块(8)建立连接,通过疫苗策略模块(3)下发封装成包的网络蠕虫预防疫苗至网络蠕虫免疫模块(8),同时各局域网的网络蠕虫免疫模块(8)上传网络蠕虫的处理信息至监视模块(4)。
[0031]网络蠕虫免疫模块(8)部署在各局域网的网络安全机制中。利用SDN思想来部署整个局域网的网络,其中SDN控制模块(12)部署在网络蠕虫免疫模块(8)中,用于接收网络蠕虫预防中心(2)下发的封装成包的网络蠕虫预防疫苗,并解析其内容获取网络蠕虫特征数据。SDN控制模块(12)根据网络中的拓扑信息和网络蠕虫传播端口信息生成域内流表项,将域内流表项下发至局域网内控制网络流量进出的SDN交换机(I 9 ),将其中符合网络蠕虫传播端口信息的数据流量重定向至网络蠕虫检测模块(15)。在网络蠕虫检测模块(15)对数据进行深度解析获取数据的特征串字段,并在特征匹配模块(17)进行匹配,将匹配符合的数据流量进行清洗,正常的数据流量通过SDN交换机(21)回注到正常网络中。对处理信息进行记录并上传至监视模块(4)。
[0032]实施例2
[0033]如图3所示,一种基于SDN实现网络蠕虫集中防控的方法和装置在实际应用场景一中的部署。装置结构包括:用户界面模块(I)、网络蠕虫预防控制中心(2)、网络蠕虫免疫模块(8) ο
[0034]局域网中的PC机因为外接设备(U盘、移动硬盘等)的缘故感染网络蠕虫,准备通过SDN交换机(51)进入网络中进行传播感染。参考图2,此时网络蠕虫免疫模块(8)中的SDN控制模块(12)根据网络中的拓扑、网络蠕虫的传播端口信息生成域内流表项并下发至SDN交换机(51),将网络中符合条件的数据流量重定向至网络蠕虫检测模块(15),进行深度包解析获取其特征串字段,并于网络蠕虫的特征数据进行匹配,将匹配符合的数据流量进行清洗,同时将正常的网络流量回注到网络中。最后上传网络蠕虫的处理信息(网络蠕虫的类型、处理的网络蠕虫数目、感染主机的基本特征信息)至网络蠕虫预防控制中心(2)。
[0035]实施例3
[0036]如图4所示,一种基于SDN实现网络蠕虫集中防控的方法和装置在实际应用场景二中的部署。装置结构包括:用户界面模块(I)、网络蠕虫预防控制中心(2)、网络蠕虫免疫模块(8) ο
[0037]场景二中局域网N为网络蠕虫携带者,网络蠕虫通过交换机(41)对外进行传播感染。如图4所示,局域网N想通过局域网2间接的去感染局域网I。参考图2,当携带网络蠕虫的数据流经交换机(31)进入局域网2时,SDN交换机(31)根据SDN控制模块(12)下发的域内流表项,将网络中符合网络蠕虫传播端口信息的数据流量重定向至网络蠕虫检测模块(15),然后进行深度的数据包解析获取数据的特征串字段,并于网络蠕虫特征数据进行匹配,将匹配符合的数据流进行清洗,同时将正常的流量回注到网络中。在这里局域网N中的网络蠕虫在通过局域网2去感染局域网I之前,就在局域网2中被清洗掉,避免了网络蠕虫进一步的去传播感染其他网络。
[0038]进一步说明,在不影响正常通信的情况下,当携带网络蠕虫的数据流量进入任何部署过本装置的网络中时,即使其目的网络的IP不是该网络,但是只要其符合网络蠕虫的传播端口信息就会被重定向到网络蠕虫检测模块(15)进行更加详细的鉴别,经过深度的数据包解析获取其特征串字段,并于网络蠕虫特征数据进行匹配,清洗掉匹配符合的数据流量,同时将正常的数据流量回注到网络中。
[0039]以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。
【主权项】
1.一种基于SDN实现网络蠕虫集中防控装置,其特征在于,包括:用户界面模块(I)、网络蠕虫预防控制中心(2)和网络蠕虫免疫模块(8); 所述用户界面模块(I):用于提供一个可视化WEB界面,负责下发相关配置,包括:扩展监控的局域网范围、用于调取指定局域网的网络蠕虫处理情况的脚本文件,通过从行为信息数据库调取的信息以查看各局域网的网络运行情况; 所述网络蠕虫预防控制中心(2):用于根据各域网络蠕虫免疫模块(8)中SDN控制模块的IP地址,直接建立物理连接,将封装成包的网络蠕虫预防疫苗下发至各域的网络蠕虫免疫模块(8);网络蠕虫预防控制中心(2)还负责对各域的网络状况进行监视以及实时更新蠕虫特征数据库(5)的数据; 所述网络蠕虫免疫模块(8):用于接收网络蠕虫预防控制中心(2)下发的网络蠕虫预防疫苗并解析出网络蠕虫的特征数据,通过SDN网络将网络中符合网络蠕虫传播端口信息的流量重定向至网络蠕虫检测模块(15)进行再次鉴别,清洗掉有网络蠕虫特征串字段的数据流量,并回注正常数据流量至网络,同时将网络蠕虫的处理信息包括网络蠕虫的类型、处理的网络蠕虫数目、感染主机的基本特征在内的信息进行记录,并上传至行为信息数据库(7)进行存储。2.根据权利要求1所述的基于SDN实现网络蠕虫集中防控装置,其特征在于,所述网络蠕虫预防控制中心(2)包括:疫苗策略模块(3)及监视模块(4); 所述疫苗策略模块(3)包括蠕虫特征数据库(5)和疫苗下发模块(6),其中所述蠕虫特征数据库(5)用于存储网络蠕虫的特征数据,所述疫苗下发模块(6)负责将封装成包的网络蠕虫预防疫苗下发至各局域网的网络蠕虫免疫模块(8); 所述监视模块(4)负责对实时更新蠕虫特征数据库(5)中网络蠕虫的特征数据,同时对各域网络蠕虫免疫模块(8)上传的网络蠕虫的处理信息进行存储。3.根据权利要求1或2所述的基于SDN实现网络蠕虫集中防控装置,其特征在于,所述蠕虫特征数据库(5)更新的数据包括网络蠕虫传播常见的端口号和应用层协议中的特征串字段。4.根据权利要求3所述的基于SDN实现网络蠕虫集中防控装置,其特征在于,所述网络蠕虫免疫模块(8)包括SDN控制模块(I 2)及网络蠕虫检测模块(15);所述SDN控制模块(12)包括:疫苗接收模块(9)及域内流表项生成模块(13),所述疫苗接收模块(9)用于负责接收来自网络蠕虫预防控制中心(2)发来的网络蠕虫预防疫苗并进行解析,将解析出的网络蠕虫特征数据进行存储;所述域内流表项生成模块(13)负责根据当前域内的网络拓扑、网络蠕虫的传播端口信息生成域内流表项,并将域内流表项下发至该局域网数据流量进出的边界SDN交换机,将符合网络蠕虫传播端口信息的数据流量重定向至网络蠕虫检测模块(15)进行处理;网络蠕虫检测模块(I5)用于对重定向的数据流量进行深度解析,获取数据流量的特征串字段,并与网络蠕虫特征数据进行匹配,对匹配符合的数据流量进行清洗,同时将正常的数据流量回注到正常的网络。5.根据权利要求4所述的基于SDN实现网络蠕虫集中防控装置,其特征在于,所述疫苗接收模块(9)包括两个模块,分别为:内容解析模块(10)和蠕虫信息存储模块(II),内容解析模块(10)负责接收来自网络蠕虫预防控制中心(2)发来的网络蠕虫预防疫苗并进行解析,将解析出的网络蠕虫特征数据存放于蠕虫信息存储模块(11)。6.根据权利要求4所述的基于SDN实现网络蠕虫集中防控装置,其特征在于,所述网络蠕虫检测模块(15)包括特征匹配模块(17)、策略执行模块(18)及日志记录模块(16),所述策略执行模块(18)对重定向的数据流量进行深度解析,用于对重定向的数据流量进行深度解析,获取数据流量的特征串字段,特征匹配模块(17)用于将特征串字段与解析出的网络蠕虫特征数据进行匹配,日志记录模块(16)用于将处理情况包括:网络蠕虫的类型、处理的网络蠕虫数目、感染主机的基本特征信息进行记录并上传至用户界面的行为信息数据库。7.—种基于权利要求6所述装置的基于SDN实现网络蠕虫集中防控方法,其特征在于,包括以下三个步骤:1)网络蠕虫预防控制中心(2)中的疫苗策略模块(3)根据当前各局域网的SDN控制模块(12)的地址特征信息,将封装成包的网络蠕虫预防疫苗下发至各局域网的网络蠕虫免疫模块(8); 2)各局域网的网络蠕虫免疫模块(8)在SDN控制模块(12)接收网络蠕虫预防疫苗,并进行解析获取网络蠕虫特征数据;3)局域网内的SDN控制模块(12)根据当前域内的网络拓扑、网络蠕虫的传播端口信息生成域内流表项,并下发至各域网络流量进出的边界SDN交换机处,将流量中符合网络蠕虫传播端口信息的流量重定向至网络蠕虫检测模块(15)进行再次鉴别,清洗掉匹配符合网络蠕虫特征串字段的数据流量,同时将正常网络流量回注到网络中,将处理信息进行记录并上传至行为信息数据库(7)。
【文档编号】H04L29/08GK105933301SQ201610230001
【公开日】2016年9月7日
【申请日】2016年4月13日
【发明人】曾帅, 姚永安, 刘流, 刘一流, 苗玉良, 赵国锋, 唐红
【申请人】重庆邮电大学