本發(fā)明涉及計算機互聯網網絡安全技術領域，具體地講，是一種基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法。

背景技術：

現有的與互聯網相關的網絡安全技術當中，在網絡管理器上部署OSSEC，能發(fā)現針對業(yè)務的入侵行為，對于網站業(yè)務，OSSEC有網站攻擊檢測規(guī)則。OSSEC檢測到規(guī)則后，可以聯動IpTables，對攻擊源進行攔截。但是僅僅通過防火墻方式攔截，存在諸多如下缺。

1.雖然可以阻斷攻擊，但不能消滅攻擊。

2.防火墻不能抵抗最新的未設置策略的攻擊漏。

3.對服務器合法開放的端口的攻擊大多無法阻隔。

4.對待內部主動發(fā)起連接的攻擊一般無法阻隔。

5.防火墻本身也會出現問題和受到攻擊。

這些是現有技術中存在的不足。

蜜罐技術是設計用來給黑客入侵的，它必須提供一定的漏洞，借此收集證據，同時隱藏真實的服務器地址，因此一臺合格的蜜罐要求擁有這些功能:發(fā)現攻擊、產生警告、強大的記錄能力、欺騙、協助調查，最后，就是在必要時候根據蜜罐收集的證據來起訴入侵者。

技術實現要素：

鑒于現有技術中所存在的不足，本發(fā)明提供一種能將異常流引流到蜜罐、跟蹤記錄整個過程并追蹤攻擊路徑，通過蜜罐分析，發(fā)現系統本身業(yè)務漏洞的基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法。

一種基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法，包括如下步驟：

步驟一：

闡述Neutron網絡原理；

其中的扁平網絡：

OVS在把數據包轉發(fā)給虛擬機時會先增加Vlan標記；

OVS在把虛擬機的數據包從物理網卡發(fā)送去之前會刪除Vlan標記；

其中的Vlan網絡：

將從int-br-svc接口流入的數據包外部網絡的vlan_id修改為內部網絡的vlan_id；

將從phy-br-svc接口流入的數據包內部網絡的vlan_id修改為外部網絡 的vlan_id；

其中的GRE網絡：

br-int橋上的流表做正常轉發(fā)；

查看br-tun橋上的流表；

步驟二：

設定或結合蜜罐網絡：采用GRE的網絡模式，通過br-int橋上的流表就需要引流的數據包通過br-tun運到蜜罐虛擬機，采用隧道模式，能保證在不需要修改請求包的源地址的情況下，響應包能原路返回，在br-int通過對響應包進行修改，客戶端能正常收到響應包。

進一步地，所述基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法的步驟一中還包括如下方法：

1.數據庫設計；

2.邏輯結構設定；

3.部署結構設定；

4.處理程序設定；

5.接口定義；

6.蜜罐流表定義；

7.蜜罐規(guī)則更新。

進一步地，所述基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法的蜜罐流表定義還包括如下步驟：

步驟一：請求包流表，scr_ip從int_port_no端口流入，到b_p_seg，dst_ip,protocol,dst_ip的數據包轉發(fā)到蜜罐的物理橋在集成橋的接口，修改目標IP，目標MAC，目標的Vlanid

步驟二：應答包流表，從蜜罐接口流入，目標IP＝src_ip,源ip＝honey_ip，源mac＝honey_mac，vlan_id＝h_l_vlan，tp_src＝dst_port的數據包#修改原ip＝dst_ip，源mac＝dst_mac,vlan_id＝b_l_vlan

進一步地，所述基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法的蜜罐規(guī)則更新還包括如下步驟：

步驟一：獲取業(yè)務網的內部valnid，外部vlanid，物理網的名稱；

步驟二：獲取集成橋上連接蜜罐物理網的端口號；

步驟三：獲取集成橋上連接業(yè)務物理網的端口號；

步驟四：遍歷蜜罐規(guī)則的每一個實例：刪除請求流表；刪除響應流表；下發(fā)引流流表。

本發(fā)明的有益效果是：本發(fā)明能將異常流引流到蜜罐，跟蹤記錄整個過程并對追蹤攻擊路徑，通過蜜罐分析，發(fā)現系統本身業(yè)務漏洞而進行安全防護。能夠做到既阻斷網絡攻擊，又能消滅攻擊；能對最新的未設置策略的攻擊漏進行防護；對服務器合法開放的端口的攻擊能夠進行阻隔；對待內部主動發(fā)起連接的攻擊能夠進行阻隔。

附圖說明

下面結合附圖對本發(fā)明進行進一步詳述。

圖1為本發(fā)明扁平網絡示意圖。

圖2為本發(fā)明Vlan網絡示意圖。

圖3為本發(fā)明GRE網絡示意圖。

圖4為本發(fā)明br-tun橋上的流表示意圖。

圖5為本發(fā)明數據庫設計示意圖。

圖6為本發(fā)明邏輯結構示意圖。

圖7為本發(fā)明布署結構示意圖。

圖8為本發(fā)明流程示意圖。

具體實施方式

本發(fā)明公開的基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法，包括如下步驟：

步驟一：

闡述Neutron網絡原理；

其中的扁平網絡：

OVS在把數據包轉發(fā)給虛擬機時會先增加Vlan標記；

OVS在把虛擬機的數據包從物理網卡發(fā)送去之前會刪除Vlan標記；

其中的Vlan網絡：

將從int-br-svc接口流入的數據包外部網絡的vlan_id修改為內部網絡的vlan_id；

將從phy-br-svc接口流入的數據包內部網絡的vlan_id修改為外部網絡的vlan_id；

其中的GRE網絡：

br-int橋上的流表做正常轉發(fā)；

查看br-tun橋上的流表；

步驟二：

設定或結合蜜罐網絡：采用GRE的網絡模式，通過br-int橋上的流表就需要引流的數據包通過br-tun運到蜜罐虛擬機，采用隧道模式，能保證在不需要修改請求包的源地址的情況下，響應包能原路返回，在br-int通過對響應包進行修改，客戶端能正常收到響應包。

進一步地，所述基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法的步驟一中還包括如下方法：

1.數據庫設計；

2.邏輯結構設定；

3.部署結構設定；

4.處理程序設定；

5.接口定義；

6.蜜罐流表定義；

7.蜜罐規(guī)則更新。

進一步地，所述基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法的蜜罐流表定義還包括如下步驟：

步驟一：請求包流表，scr_ip從int_port_no端口流入，到b_p_seg，dst_ip,protocol,dst_ip的數據包轉發(fā)到蜜罐的物理橋在集成橋的接口，修改目標IP，目標MAC，目標的Vlanid

步驟二：應答包流表，從蜜罐接口流入，目標IP＝src_ip,源ip＝honey_ip，源mac＝honey_mac，vlan_id＝h_l_vlan，tp_src＝dst_port的數據包#修改原ip＝dst_ip，源mac＝dst_mac,vlan_id＝b_l_vlan

進一步地，所述基于GRE網絡結合SDN技術和蜜罐技術的網絡安全防護方法的蜜罐規(guī)則更新還包括如下步驟：

步驟一：獲取業(yè)務網的內部valnid，外部vlanid，物理網的名稱；

步驟二：獲取集成橋上連接蜜罐物理網的端口號；

步驟三：獲取集成橋上連接業(yè)務物理網的端口號；

步驟四：遍歷蜜罐規(guī)則的每一個實例：刪除請求流表；刪除響應流表；下發(fā)引流流表。

如圖1到圖8所示本發(fā)明的具體實施例：東城通過應急快速恢復平臺將業(yè)務已經遷移到平臺管理的虛擬機上，并通過網絡管控器上的Haproxy實現了業(yè)務的負載均衡。在網絡管理器上部署OSSEC，能發(fā)現針對業(yè)務的入侵行為，東城主要是網站業(yè)務，OSSEC有網站攻擊檢測規(guī)則。OSSEC檢測到規(guī)則后，可以聯動IpTables，對源進行攔截。

通過防火墻方式攔截，很難發(fā)現攻擊路徑，利用SDN技術，將異常流引流到蜜罐，跟蹤記錄整個過程，便于追蹤攻擊路徑，發(fā)現業(yè)務漏洞。

目前東城的二期項目需要實現蜜罐分析的功能。

基本原理

Neutron網絡的原理

扁平網絡

蜜罐網絡

蜜罐網絡采用GRE的網絡模式，通過br-int橋上的流表就需要引流的數據包通過br-tun運到蜜罐虛擬機，采用隧道模式，能保證在不需要修改請求包的源地址的情況下，響應包能原路返回，在br-int通過對響應包進行修改，客戶端能正常收到響應包。

響應一級變化

部署結構

處理流程

實現

數據庫設計

表：honey

描述：蜜罐引流規(guī)則定義

表：honeyalias

描述：蜜罐引流實例

邏輯結構

Neutron-server代碼

通過擴展插件實現Honey的接口定義，Honey配置的存儲，與openvswitch-agent之間的交付

擴展接口定義

neutron_honey\extensions\honey.py

資源屬性定義

資源的屬性定義表格式如下，定義了Rest接口提供了配置的資源類型，對資源進行操作的屬性要求；RESOURCE_ATTRIBUTE_MAP的key為每一種資源名的復數形式，Value為該資源的scheme描述。

代理端代碼

1.被動接受引流的配置

2.每次重啟自動加載所有引流的配置(未實現)

3.端口刪除(業(yè)務虛擬機)，在集成橋上刪除原IP或目標IP＝虛擬機，vlan_ip＝端口的tagid的流表

4.業(yè)務網絡刪除：

ovs_neutron_agent.reclaim_local_vlan會刪除從物理網絡橋到集成橋的流表

刪除集成橋上，從蜜罐接口流入，目標IP在業(yè)務網中的流表

蜜罐流表

1.請求包流表

scr_ip從int_port_no端口流入，到b_p_seg，dst_ip,protocol,dst_ip的數據包轉發(fā)到蜜罐的物理橋在集成橋的接口，修改目標IP，目標MAC，目標的Vlanid

2.應答包流表

從蜜罐接口流入，目標IP＝src_ip,源ip＝honey_ip，源mac＝honey_mac，

vlan_id＝h_l_vlan，tp_src＝dst_port的數據包

#修改原ip＝dst_ip，源mac＝dst_mac,vlan_id＝b_l_vlan

蜜罐規(guī)則更新

1.獲取業(yè)務網的內部valnid，外部vlanid，物理網的名稱

2.獲取集成橋上連接蜜罐物理網的端口號

3.獲取集成橋上連接業(yè)務物理網的端口號

4.遍歷蜜罐規(guī)則的每一個實例

a)刪除請求流表

b)刪除響應流表

下發(fā)引流流表 。