(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111573914.3 (22)申请日 2021.12.21 (71)申请人 南方电网科 学研究院有限责任公司 地址 510000 广东省广州市萝岗区科 学城 科翔路11号J1栋3、 4、 5楼及J3 栋3楼 (72)发明人 关泽武　杨航　刘家豪　蒙家晓　 樊凯　黄国柱　刘欣　陈锋　 付志博　黄劲斌　谢铭　戴涛　 赖博宇　李攀登　徐培明　张宇南　 徐传懋　杨祎巍　陈霖　匡晓云　 (74)专利代理 机构 深圳市中兴达专利代理有限 公司 44637 代理人 危祯 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于蜜罐技 术的网络安防系统 (57)摘要 本发明公开了一种基于蜜罐技术的网络安 防系统， 包括软件定义网络控制子系统和欺骗服 务器； 所述软件定义网络控制子系统包括虚拟网 络拓扑模块和IP随机化模块； 所述虚拟网络拓扑 模块主要负责生成虚拟网络拓扑以及根据虚拟 网络拓扑的规范分发流表； 所述IP随机化模块负 责协调网络中主机和诱饵节点的地址变换； 所述 欺骗服务器负责根据虚拟网络视图的规范制作 响应来欺骗恶意扫描程序。 本发 明通过增加系统 的动态性、 随机性和不确定性， 使攻击者在虚假 的资源上花费更多的时间， 进一步提高了攻击者 的攻击难度和攻击成本， 有效增强了系统的防御 效能和安全性， 具有网络系统开发和管理的基础 设施灵活有效、 操作开销小， 有效地抵抗持续性 地网络侦查 攻击。 权利要求书2页 说明书4页 附图1页 CN 114268491 A 2022.04.01 CN 114268491 A 1.一种基于蜜罐技术的网络安防系统， 其特征在于， 包括软件定义网络控制子系统和 欺骗服务器； 所述软件定义网络控制子系统包括虚拟网络拓扑模块和IP随机化模块； 所述 虚拟网络拓扑模块主要负责生成虚拟网络拓扑以及根据虚拟网络拓扑的规范分发流表； 所 述IP随机化模块负责协调网络中主机和诱饵节 点的地址变换； 所述欺骗服务器负责根据虚 拟网络视图的规范制作响应来欺骗恶意扫描程序。 2.根据权利要求1所述的系统， 其特征在于， 所述虚拟网络拓扑模块包括虚拟网络拓扑 生成模块、 诱饵节点生成模块和流表分发模块三个子模块； 所述虚拟网络拓扑生成模块负 责提供虚拟网络拓扑规范， 即描述主机、 诱饵节 点的真实和虚拟的地址信息， 以及它们之间 的连接性， 包括： 目标主机的真实IP地址、 虚拟IP地址、 真实MAC地址和交换机端口； 内网主机的真实IP地址、 虚拟IP地址、 真实MAC地址和交换机端口； 诱饵节点的真实IP地址、 虚拟IP地址、 真实MAC地址、 虚拟MAC地址和交换机端口； 目标主机 到内网主机和诱饵节点的虚拟路径信息 。 3.根据权利要求2所述的系统， 其特征在于， 所述诱饵节点生成模块负责根据虚拟网络 拓扑规范生成大量的诱饵节点。 4.根据权利要求3所述的系统， 其特征在于， 本系统采用一对多映射的方式生成诱饵节 点， 即在虚拟网络拓扑配置文件中为一个蜜 罐主机分配多个虚拟IP， 在响应扫描探测时， 由 软件定义网络控制子系统将虚拟IP反向 映射到其母体蜜罐， 由母体蜜 罐响应具体的探测行 为。 5.根据权利要求2所述的系统， 其特征在于， 所述流表分发模块监听来自交换机的 PackIn报文， 根据 虚拟网络拓扑的规范动态 生成特定的流表， 并将其推送到SDN交换机以控 制网络传输； 为了引导和控制网络传输， 采取反应式流表生成方法， 而不是主动式方法， 即 在到达SDN交换机中的数据包与存储在交换机中的任何流表都不匹配时， 软件定义网络控 制子系统动态生成流 规则。 6.根据权利要求1 ‑5中任意一项所述的系统， 其特征在于， 所述IP随机化模块包括地址 管理模块之一、 变换决策模块和连接维持模块三个子模块， 所述地址管理模块之一负责根 据虚拟网络拓扑规范实时统计每个子网中的主机和诱饵节点、 每个子网中的还未使用的IP 地址以及为子网内的主机和诱饵节点分配IP地址， 确保在IP地址分配中不会相互干扰； 所 述变换决策模块负责设置IP地址随机化的的周期以及虚拟网络拓扑的构 造方法， 根据实际 网络系统状态设定IP地址随机化的周期； 所述变换决策模块根据实际情况确定虚拟网络拓 扑的大小、 子网数、 每 个子网中诱饵节点的数量以及主机在网络中的位置 。 7.根据权利要求6所述的系统， 其特征在于， 所述欺骗服务器包括地址管理模块之二， 消息处理模块， DHCP处理模块， ARP处理模块， ICMP 处理模块， 路由模拟模块； 所述地址管理 模块之二负责确保与软件定义网络控制子系统维护相同的虚拟网络拓扑规范； 所述消息处 理模块负责解析接收到的数据包， 并根据据数据包的类型发往相应的模块处理； 所述DHCP 处理模块， ARP处理模块， ICMP处理模块和路由模拟模块负责对恶意扫描程序的请求做出欺 骗性的响应。 8.根据权利要求7 所述的系统， 其特 征在于， 所述路由模拟模块实现欺骗的步骤 包括： S1.恶意扫描程序使用tarceroute向节点发送探测数据包， 依次将数据包的TTL设置为权　利　要　求　书 1/2 页 2 CN 114268491 A 21， 2， 3，…， n； S2.虚拟网络拓扑模块将数据包转发到欺骗服务器， 并由消息处理子模块发往路由模 拟子模块处 理； S3.虚拟网络拓扑规范中描述网络中两个主机之间的虚拟的路由信息， 路由模拟模块 首先根据虚拟路由信息向源主机发送IC MP超时报文， 证明数据包经 过了虚拟路由； S4.路由模拟模块根据目的主机的虚拟IP生成ICMP端口不可达报文， 证明数据包已到 达目的地。权　利　要　求　书 2/2 页 3 CN 114268491 A 3