(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210543006.8 (22)申请日 2022.05.18 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 董书琴　刘小虎　张玉臣　李福林　 袁霖　陈康　付秋兴　王世豪　 赵子辰　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 专利代理师 刘莹莹 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01)G06F 21/60(2013.01) (54)发明名称 基于SDN的APT攻击动态防御方法及系统 (57)摘要 本发明提供一种基于SDN的APT攻击动态防 御方法及系统。 该方法设置有三层防御层， 从浅 层到深层依次分别为： IPS与蜜罐协同防御层、 欺 骗空间防御层和动态防御层； 在所述IPS与蜜罐 协同防御层中， IPS通过攻击特征匹配过滤掉攻 击数据， 并将攻击数据引诱至蜜罐主机以供所述 蜜罐主机采集攻击特征并发送至数据处理中心 进行分析和学习， 所述数据处理中心将分析和学 习的结果再反馈至IPS； 在所述欺骗空间防御层 中， 利用复杂拓扑结构和欺骗主机空间对绕过所 述IPS与蜜罐协同防御层的攻击数据进行二次阻 挡与预警； 在所述动态防御层中， 基于SDN的动态 IP跳变策略对内部网络的IP地址进行动态分配 使得绕过所述欺骗空间防御层后进入内部网络 的攻击者无法找到目标服 务器。 权利要求书4页 说明书12页 附图5页 CN 115051836 A 2022.09.13 CN 115051836 A 1.基于SDN的APT攻击动态防御方法， 其特征在于， 设置有三层防御层， 从浅层到深层依 次分别为： IP S与蜜罐协同 防御层、 欺骗空间防御层和动态防御层； 在所述IPS与蜜罐协同防御层中， IPS通过攻击特征匹配过滤掉攻击数据， 并将攻击数 据引诱至蜜罐主机以供所述蜜罐主机采集攻击特征并发送至数据处理中心进行分析和学 习， 所述数据处 理中心将分析和学习的结果再反馈 至IPS； 在所述欺骗空间防御层中， 利用复杂拓扑结构和欺骗主机空间对绕过所述IPS与蜜罐 协同防御层的攻击数据进行二次阻挡与预警； 在所述动态防御层中， 基于SDN的动态IP跳变策略对内部网络的IP地址进行动态分配 使得绕过 所述欺骗空间防御层后进入内部网络的攻击者无法找到目标服 务器。 2.根据权利要求1所述的基于SDN的APT攻击动态防御方法， 其特征在于， 还包括： 在所 述动态防御层中， 若攻击者找到目标服务器， 则利用基于状态迁移的动态平台策略对所述 目标服务器的软硬件平台进行重构使得攻击者无法进行目标窃取操作。 3.根据权利要求2所述的基于SDN的APT攻击动态防御方法， 其特征在于， 还包括： 在所 述动态防御层中， 若攻击者绕过所述基于SDN的动态IP跳变策 略和所述基于状态迁移的动 态平台策略， 则利用基于加密 存储的动态数据策略对所述目标服务器中的重要数据进 行加 密存储， 并动态更新数据加密密钥使得攻击者在窃取到目标数据后无法解密得到真实数据 信息。 4.根据权利要求3所述的基于SDN的APT攻击动态防御方法， 其特征在于， 还包括： 利用 基于SDN的控制中心对攻击者的攻击等级进行判断， 然后利用基于滑动窗口的自适应防御 策略， 实现所述基于SDN的动态IP 跳变策略、 所述基于状态迁移的动态平台策略和所述基于 加密存储的动态数据策略三种策略之间的自适应跳变。 5.根据权利要求1所述的基于SDN的APT攻击动态防御方法， 其特征在于， 所述基于SDN 的动态IP跳变策略具体包括： 外网用户进入防火墙后， 通过转发层中的OF交换机将外网访问数据发给控制层中的控 制主机； 控制主机按照南向接口OpenFl ow协议对OF交换机转发来的外网访问数据进行转 化； 利用控制层中的流处理模块对转化后数据流内容进行处理分析， 具体包括： 根据数据 流内容对所述外网访问数据的源IP地址和目的IP地址进 行查询， 并基于动态主机配置协 议 对控制层中的动态处 理模块进行访问； 利用动态 处理模块对所述外网访问数据的源IP地址和目的IP地址进行查询与修改， 具 体包括： 将外网访问数据的源IP和目的IP地址， 变成被访问系统所在内网中的源IP地址和 目的IP地址， 并将修改内容存储于控制层中的信息存储模块中； 在内网中查询是否存在对 应源IP地址和目的IP地址的目标主机， 若存在， 则 执行后续步骤； 反之， 则从地址池SA 中选 出未被分配或占用的两个虚拟IP地址， 并分配给内网主机后执 行后续步骤； SDN控制中心将数据包发回被访问系统， OF交换机会根据配置好的路径进行流转， 并抵 达目标主机中； 在执行上述步骤的过程中， 利用 动态处理模块持续检查liveList中Data组的时间戳， 若所述时间戳与当前时刻的时间差大于等于 设定的跳变周期间隔， 则为所述Data组对应的 主机的IP地址进行动态跳变； 其中， 所述liveList中存储有若干个Data组； 所述Data组是在权　利　要　求　书 1/4 页 2 CN 115051836 A 2主机与服务器首次建立通信连接后建立的， 用于采用Data＝(RIPsrc,RIPdst,T)形式存储通 信双方信息； RIPsrc表示源路由信息， RIPdst表示目的路由信息， T表示时间戳； 以及， 利用动态处理模块检查流表中 “idle_timeout ”选项中的规定时长， 若所述流表 最近一次被参照的时刻与当前时刻的时间差大于等于所述规定时长， 则删除所述流表， 并 终止主机与服 务器间的通信， 同时从l iveList中移除对应的Data组。 6.根据权利 要求2所述的基于SDN的APT攻击动态防御方法， 其特征在于， 所述基于状态 迁移的动态 平台策略具体包括： 构建平台池， 所述平台池中的任意两个平台之间在至少一个平台属性上是不同的， 所 述平台属性包括操作系统及其版本、 CPU架构、 平台数据格式； 若检测到当前在线的平台A存在攻击风险， 则使所述平台A进入离线状态， 离线状态 的 平台仅处 理完成平台上现有的任务而不再接收新的任务请求； 从平台池中选择不同于平台A的平台B进行 上线以接收新的任务请求； 当处于离线状态的平台A完成现有的任务之后， 对平台A进行重 置处理。 7.根据权利 要求3所述的基于SDN的APT攻击动态防御方法， 其特征在于， 所述基于加密 存储的动态数据策略具体包括： 在文件存储服务器中， 通过动态密钥生成算法生成加密密钥， 使用所述加密密钥通过 SM4算法加密文件M生成密文C， 然后将所述加密 密钥存入密钥管理服 务器中； 文件访问者向文件存储服务器发送下载文件M的请求时， 文件存储服务器将对应的密 文C与采用SM2算法加密后的所述加密 密钥一起发送给文件访问者； 文件访问者需先对加密后的加密密钥进行解密， 然后采用所述加密密钥对密文C进行 解密才可获得文件M 。 8.根据权利 要求4所述的基于SDN的APT攻击动态防御方法， 其特征在于， 所述基于滑动 窗口的自适应防御策略具体包括： 步骤A1： 采用公式(1)计算得到时间窗口m中的任一时间点 i的攻击强度预测值yi； 其中， w1,w2,…,wm分别表示对应时间点下攻击强度预测值yi‑1,yi‑2,…,yi‑m的加权权 值； 步骤A2： 计算时间点i的攻击强度真实值与预测值之间的差值， 并将所述差值与预设阈 值进行比较； 步骤A3： 若所述差值大于预设阈值， 则发出警报以提升防御等级， 并根据防御等级动态 更新防御策略； 否则， 防御等级保持不变； 步骤A4： 更新时间窗口， 然后在新的时间窗口中执 行上述的步骤A1至步骤A3 。 9.根据权利要求1至8任一所述的基于SDN的APT攻击动态防御方法， 其特征在于， 还包 括： 正常用户通过客户端按照基于SM3和SM4的局域网安全通信协议来访问服务器； 所述基 于SM3和SM4的局域网安全通信协议具体包括： 步骤B1： 客户端生成第一随机数， 采用SM3算法对所述第一随机数进行杂凑 处理后得到 随机数A， 接着使用第一共享密钥加密所述 随机数A后发送至服务器， 以供服务器在接 收到 加密后的所述随机数A后采用第一共享密钥对其进行解密；权　利　要　求　书 2/4 页 3 CN 115051836 A 3