1.一种基于伪装的网络空间安全防御方法,其特征在于,所述方法包括:
控制器接收交换机转发的包括网络地址信息的IP分组数据包;
在所述网络地址信息与预存的伪装目标的虚拟网络地址匹配时,控制器下发第一组流表至所述交换机,所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系;
所述交换机根据接收的第一组流表,将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址。
2.如权利要求1所述的方法,其特征在于,在所述控制器接收交换机转发的包括网络地址信息的IP分组数据包之前,包括:
交换机接收网络侧发送的网络资源协议数据包,并转发至控制器;
控制器接收所述网络资源协议数据包,并对所述网络资源协议数据包进行伪装处理;
所述伪装处理具体包括:控制器根据预设的虚拟网络资源信息生成与所述网络资源协议数据包相应的响应包,并下发至交换机;所述虚拟网络资源信息包括伪装目标的虚拟网络地址;
交换机接收并转发所述响应包;
控制器还根据所述虚拟网络资源和所在网络的网络资源信息生成相应的网络资源协议通告包,并下发至交换机;
交换机接收并转发所述通告包。
3.如权利要求1所述的方法,其特征在于,在所述网络地址信息与预存的真实目标的真实网络地址匹配时,控制器下发第二组流表至所述交换机,所述第二组流表存储真实目标的真实网络地址。
4.如权利要求3所述的方法,其特征在于,所述方法包括:
在所述网络地址信息与预存的真实目标的真实网络地址匹配时,判断所述网络地址信息对应的用户身份是否为违规用户;
在所述网络地址信息对应的用户身份为违规用户时,下发第三组流表至交换机,所述第三组流表存储真实目标的真实网络地址与伪装目标的真实网络地址的对应关系;
所述交换机根据接收的第三组流表,将所述网络地址信息从真实目标的真实网络地址转换为伪装目标的真实网络地址。
5.如权利要求1至4任一项所述的方法,其特征在于,所述交换机根据接收的第一组流表,将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址之前,包括:
控制器判断伪装目标的真实网络地址与伪装目标的虚拟网络地址是否不在同一子网;
在伪装目标的真实网络地址与伪装目标的虚拟网络地址不在同一子网时,交换机将所述伪装目标的虚拟网络地址中的MAC地址置为访问所述伪装目标的真实网络地址的网关的MAC地址。
6.一种网络空间安全防御系统,其特征在于,所述系统包括:
控制器和交换机;
所述控制器用于接收交换机转发的包括网络地址信息的IP分组数据包;
在所述网络地址信息与预存的伪装目标的虚拟网络地址匹配时,所述控制器下发第一组流表至所述交换机,所述第一组流表存储伪装目标的真实网络地址与伪装目标的虚拟网络地址的对应关系;
所述交换机根据接收的第一组流表,将所述网络地址信息从伪装目标的虚拟网络地址转换为伪装目标的真实网络地址。
7.如权利要求6所述的系统,其特征在于,
所述交换机还用于接收网络侧发送的网络资源协议数据包,并转发至控制器;
所述控制器还用于接收所述网络资源协议数据包,并对所述网络资源协议数据包进行伪装处理;
所述伪装处理具体包括:所述控制器根据伪装目标的虚拟网络资源生成与所述网络资源协议数据包相应的响应包,并下发至所述交换机;所述虚拟网络资源包括伪装目标的虚拟网络地址;
所述交换机接收并转发所述响应包;
所述控制器还用于根据伪装目标的虚拟网络资源信息和当前网络的网络资源信息生成相应网络资源协议的通告包,并下发至所述交换机;
所述交换机还用于接收并转发所述通告包。
8.如权利要求6所述的系统,其特征在于,在所述网络地址信息与预存的真实目标的真实网络地址匹配时,所述控制器还用于下发第二组流表至所述交换机,所述第二组流表存储真实目标的真实网络地址。
9.如权利要求8所述的系统,其特征在于,
在所述网络地址信息与预存的真实目标的真实网络地址匹配时,所述控制器判断所述网络地址信息对应的用户身份是否为违规用户;
在所述网络地址信息对应的用户身份为违规用户时,所述控制器还用于下发第三组流表至交换机,所述第三组流表存储真实目标的真实网络地址与伪装目标的真实网络地址的对应关系;
所述交换机根据接收的第三组流表,将所述网络地址信息从真实目标的真实网络地址转换为伪装目标的真实网络地址。
10.如权利要求6至9任一项所述的系统,其特征在于,
所述控制器判断伪装目标的真实网络地址与伪装目标的虚拟网络地址是否不在同一子网;在伪装目标的真实网络地址与伪装目标的虚拟网络地址不在同一子网时,所述交换机将所述伪装目标的虚拟网络地址中的MAC地址置为访问所述伪装目标的真实网络地址的网关的MAC地址。