论文部分内容阅读
近年来,以云计算为代表的新兴互联网技术飞速发展,网络安全所处的环境也随之经历着巨大的变化。在传统的网络攻防博弈中,防御方总是处于被动地位,十分不利于安全研究人员和所保护的节点或系统。主动防御技术是一种可以让防御方占据主动地位的防御技术,蜜网技术和移动目标防御技术则是其中重要的关键技术。蜜网技术通过构造诱捕系统,主动诱骗攻击者,对其主动捕获。移动目标防御技术则将保护节点随时间进行移动,从而实现主动防御,增加攻击难度。然而基于传统网络设备设计的网络安全技术无法适应新兴网络环境和新型网络攻击手段,传统主动防御技术在流量控制上出现瓶颈。传统网络设备的设计基于封闭性的结构,安全研究人员无法更改其运行方式,也无法修改网络中运行的协议,从而导致在安全研究过程中不得不使用诸如对网络设备实施ARP欺骗、伪造路由路径等替代方案绕过封闭性的设备和协议达到安全目的。这种方式在简单网络环境中所需要的开发成本和硬件成本可以控制在较低的程度,然而网络环境的分布性和灵活性已经成为当今网络的重要特性,基于传统网络的安全方案无论从功能上还是从成本上,都无法满足要求。软件定义网络是一种新型的网络结构,可以提供网络可编程性,实现网络的灵活管理和控制,这一特性符合网络发展的新方向。本文的研究立足于通过利用软件定义网络技术为主动防御技术提供新的发展方向,摆脱传统网络设备和通信协议对于网络安全技术发展的限制,实现网络流量的标记、隔离和转发等细粒度网络控制。因此,本文基于Openflow协议设计动态虚拟蜜网模型,同时提出网络层移动目标防御方案,最终实现基于Openflow的全面的网络安全主动防御体系。具体来说,本文的主要研究成果包括:(1)基于Openflow的动态虚拟蜜网的研究。不同于以往构建于传统网络设备的蜜网,本文提出了一种基于Openflow的蜜网模型,实现一种基于Openflow的动态虚拟蜜网系统。这种蜜网替代了基于网络欺骗的网络流量重定向技术和基于半软件半硬件的蜜墙数据管理方案,解决了传统网络设备对于网络流量利用和控制的限制,提高了网络流量控制能力。结合网络虚拟化技术和服务虚拟化技术,本文设计了一种全虚拟化蜜罐,这种蜜罐可以虚拟运行任意服务任意主机节点,并且可以动态调整蜜罐结构。综合上述研究成果,本文提出了叠加虚拟蜜网的概念,即可以在同一个蜜网物理实体上同时叠加运行多个具有不同结构的虚拟蜜网,各个蜜网互不干扰,提高了蜜网系统的资源利用率,并且实现了原型系统。通过对所设计蜜网模型的原型系统进行实验分析,验证了本文设计蜜网系统具有较低的数据处理时延,同时验证了蜜网系统的动态性和叠加虚拟蜜网系统的有效性。(2)基于Openflow的蠕虫捕获模型的研究。利用本文已提出的基于Openflow的动态虚拟蜜网技术,结合精心设计的用于控制蠕虫防御系统中流量迁移的流表项,本文提出了一种基于Openflow的蠕虫捕获模型,同时设计和部署了原型系统Worm-Hunter。蠕虫捕获模型包括并行检测分析功能和蠕虫培育方案。其原型系统不同于现有虚拟蜜罐系统,蠕虫捕获系统利用服务器虚拟技术构建虚拟蜜罐节省开发成本。并将蜜罐通过基于Openflow的软件定义网络技术连接构建形成“蜜罐工厂”,从而提高蜜网部署效率和提高资源利用率。对比传统蠕虫捕获技术,本文提出基于Openflow蠕虫捕获技术提供对于蠕虫全部生命周期的跟踪和保护。在蠕虫进入内部网络后,首先通过入侵检测技术识别蠕虫,然后蠕虫捕获系统自动构建具有业务网网络特征的培育环境,并将蠕虫流量引导进入其中。蠕虫的所有行为和变种样本均被记录在蠕虫捕获系统中。研究人员可以根据实验需求自定义配置蜜网网络拓扑和蜜罐节点,构建自定义的蠕虫培育环境,进而观察蠕虫在不同网络环境中的行为。对于入侵检测过程,将针对已知蠕虫的特征匹配检测和针对未知蠕虫的异常检测分离,使用实时流量进行高效率的匹配检测,使用Openflow提供的流量特征并行实现耗时的异常检测,从而提高检测效率。同时,本文所提出的蠕虫捕获系统可以在同一个物理实体上同时将多个蠕虫捕获进入互相隔离的蜜网中,这些蜜网之间互不影响。最后部署原型系统,验证模型的有效性。(3)基于Openflow的网络层移动目标防御方案的研究。不同于大多数网络防御手段发生在攻击发生过程中和攻击发生后,本文提出了一种基于Openflow的网络层移动目标防御方案,这种防御方案在攻击发生前即可迷惑攻击者,提高攻击者的攻击难度。本文所提移动目标防御方案基于Openflow在网络层进行保护,对于保护区域节点之间的通信进行针对通信地址的伪随机变换映射,实现域内的节点隐藏。对于跨保护区域的域间通信过程进行通信端口的伪随机变换,实现域间的节点逻辑移动和隐藏。在这样的防御结构下,可以将恶意人员的攻击遏制在攻击过程的第一步(节点嗅探),从而实现对受保护节点的主动防御。同时这种基于Openflow的网络层移动目标防御方案相比于现有移动目标防御方案具有易部署、兼容性好的特点,并且实现了全网的通信保护。