本发明涉及一种用于检测和防御恶意数据流入侵网络,尤其是软件定义网络(software defined network,SDN)中的受保护区域或受保护业务的系统和方法。
背景技术:
入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)是构建安全性的主要构建块之一。这两个系统有许多相同之处,比如,都采用模式来检测攻击私网(受保护区域)的恶意企图,以及检测“低而慢”的高级持续性威胁(advanced persistent threat,APT)。在图7中可见,IDS通常不部署在一条直线上,而是在一条复制的数据流上工作。IDS分析所有的数据包,然后上报给可以相应地触发主动措施的所谓“专家系统”(如安全信息与事件管理(Security Information and Event Management,SIEM))。IPS可以像防火墙一样部署,且通常直接在网络数据路径上工作。IPS分析数据包、归类数据流并且拦截数据流或允许数据流通过。IPS也可以像IDS一样部署,可以占用重复的数据路径,之后可以和防火墙集成使用,以便拦截被归类为“恶意”的数据流。
为了处理需要检查的大量数据,IPS通常会增加一种“快速通道”机制(通常由基于硬件的转发元件来实现)。IPS能够将已经归类(归类为“允许”或“拦截”)的数据流分流到该“快速通道”。无论是否使用“快速通道”,当IPS在线部署时,其都会在组织网络中产生单点故障(Single Point of Failure,SPOF),这要求采用昂贵的高可用性方案,从而在如IPS出现故障时保证业务连续性。由于单个IPS设备的带宽有限,所以在其被过多数据流量覆盖时,通常将其配置为应急开放(即,允许所有数据流进入)。离线IPS部署减少了在线IPS的一些问题,代价是处理复制的网络业务(和典型IDS类似)以及与“强制”网元(如防火墙)紧密集成,从而可以将恶意攻击拦截在主数据路径上。此外,离线IPS对网络攻击的反应慢得多。
总之,一方面,离线IDS和IPS有一些局限性:检测和反应的时间长;其次,系统的噪声大,即,其产生大量需安全专家检查的数据;系统通常占用较多的资源;最后,为了提供主动保护,需要定制集成。
另一方面,在线IPS有其自身局限性:首先,难以规模化;其次,需要专门的硬件来处理已归类流量的“快速通道”。如上所述,在线IPS意味着SPOF,而SPOF需要昂贵的高可用性模型来解决。再次,其有限的带宽导致流量高峰时出现上述“应急开放”(即,允许所有数据流进入);最后,IPS通常使用的筒仓数据模型限制了其与其它IT资产的信息共享,从而阻碍了APT检测能力。
技术实现要素:
鉴于上述问题和缺点,本发明旨在改进传统IDS和IPS。从安全角度来说,本发明的目的在于提供一种能够在整个网络中即时拦截恶意流量的系统和方法。进而,可以提高检测和缓解APT的能力。本发明还旨在将SPOF从网络中移除。从效率角度来说,本发明的目的在于提供一种系统和方法,将入侵检测从数据路径上移除而不损害检测、检查和拦截恶意流量的能力。总目标旨在减少入侵检测和防御的工作量,如通过只监测可疑流量来实现。另外,不需要跨厂商集成,可以减少总成本。
本发明的上述目的通过所附独立权利要求中提供的方案来实现。本发明的有利实施方式在各个从属权利要求中进一步定义。
本发明的第一方面提供了一种用于在SDN中检测和防御恶意数据流入侵的系统,包括:至少一个数据存储或存储器,用于存储数据流的流状态,并在所述系统中共享和更新所述流状态;至少一个共享状态转发元件(forwarding element,FE),用于基于接收到的数据流的流状态和/或所述数据流与预定模式的对比来拦截、转发或复制所述数据流;至少一个检查元件(inspection element,IE),用于接收复制的数据流,并将所述数据流归类为恶意数据流或允许数据流,其中所述IE用于根据归类结果更改所述数据流的所述流状态。
根据第一方面,本发明实现了一种在所述系统中,即,尤其是在单独的FE、IE和业务应用(可选)之间,共享数据流的流状态(优选地,共享附加元数据)的机制。因此,所述系统能够立即,即,至少能比传统系统快得多,对可疑或检测到的威胁作出反应。例如,当所述至少一个FE将可疑数据流归类为恶意数据流并相应地更新其流状态时,所述FE能够立即将其拦截。所述流状态的共享可以通过分布式连接跟踪(Distributed Connection Tracking,DCT)来有利地实现。DCT是一种在所述系统中共享网络状态和流状态等信息的特定SDN实施方式。
通过仅将可疑数据流的副本发送给所述至少一个IE,入侵检测从常规数据路径上移除而不会损害其检测、检查和拦截恶意流量的能力。通过仅将可疑数据流发送给所述IE,并且通过在所述FE处采用预定模式和共享流状态,显著降低了入侵检测和防御的工作量。
根据所述第一方面,在所述系统的第一实施形式中,所述FE用于:如果接收到的数据流的流状态是“允许”,和/或,如果所述流状态与允许流量的预定模式匹配,则转发所述数据流的数据包;如果接收到的数据流的流状态是“拦截”,和/或,如果所述流状态与恶意流量的预定模式匹配,则拦截所述数据流的数据包;如果接收到的数据流的流状态是“可疑”,和/或,如果所述流状态与可疑流量的预定模式匹配,则复制所述数据流的数据包。
所以,所述至少一个FE一方面能够基于共享流状态处理数据流,另一方面能够基于预定模式处理数据流。因此,增强了所述系统的整体效率,同时减少了所述IE的负载。所述系统能够快速对流状态的任何变化或更新作出反应,且具有良好的可扩展性。
根据如上所述第一方面或根据所述第一方面的所述第一实施形式,在所述系统的第二实施形式中,所述FE用于:确定接收到的数据流的流状态是否已经存储在所述至少一个数据存储或存储器中;如果所述接收到的数据流的所述流状态已存储,则基于所述数据流的所述流状态来拦截、转发或复制所述数据流;或如果所述接收到的数据流的所述流状态没有存储,则基于所述数据流与所述预定模式的对比来拦截、转发或复制所述数据流。
因此,当存在共享流状态时,不需要与所述预定模式进行对比,从而加快了流量处理速度。此外,在这种情况下,没有对所述IE产生负载。
根据如上所述第一方面或根据所述第一方面的上述任一实施形式,在所述系统的第三实施形式中,所述FE用于:当所述IE将数据流的流状态设置或更新为“拦截”时,立即拦截所述数据流的数据包。
因此,所述系统能够非常快速有效地对检测到的威胁作出反应,使得所述系统所在的网络更加安全。
根据如上所述第一方面或根据所述第一方面的上述任一实施形式,在所述系统的第四实施形式中,所述FE用于:当数据流与可疑流量的预定模式匹配时,将所述数据流的流状态设置或更新为“可疑”,并用于将所述数据流复制到所述IE,以便进行归类。
因此,只将可疑数据流发送到所述IE进行归类。这样显著降低了入侵检测和防御的工作量。
根据如上所述第一方面或根据所述第一方面的上述任一实施形式,在所述系统的第五实施形式中,所述FE用于将任意一个接收到的数据流的流状态更改为“可疑”。
因此,可以再次检查所述数据流。这显著提高了克服特定APT的能力,其中这些特定APT将自身的攻击矢量随机化。
根据所述第一方面的所述第四或第五实施形式,在所述系统的第六实施形式中,所述FE用于:停止转发与可疑流量的预定模式匹配的数据流的数据包,直到所述IE完成所述归类;然后,根据归类结果拦截或正常转发所述数据包。
该选项提高了网络中受保护区域或业务的安全性。
根据第一方面的所述第四或第五实施形式,在所述系统的第七实施形式中,所述FE用于:将与可疑流量的预定模式匹配的数据流的数据包复制到所述IE并正常转发所述数据包,直到所述IE完成所述归类;然后,根据所述归类结果拦截或继续正常转发所述数据包。
该选项提高了流量处理效率,即,通过保持业务流量的连续性来提高流量处理效率。
根据如上所述第一方面或根据所述第一方面的上述任一实施形式,在所述系统的第八实施形式中,所述FE用于:无论所述归类结果如何,在预定时间段内,将数据流的流状态保持为“可疑”。
这支持所述IE特别检测“低而慢”的攻击,即,提高了所述系统防御APT的安全性。
根据如上所述第一方面或根据所述第一方面的上述任一实施形式,在所述系统的第九实施形式中,所述IE用于将复制的数据流的流状态更改为“结束”;所述FE用于:当所述IE将所述流状态更改为“结束”时,停止将所述数据流复制到所述IE。
因此,可以立即停止复制可疑数据流,从而避免不必要的资源浪费。
根据如上所述第一方面或根据所述第一方面的上述任一实施形式,在所述系统的第十实施形式中,所述FE用于将数据流的数据包绕过所述IE,其中,所述数据流先前已被归类为允许数据流。
相应地,可以显著减少入侵检测和防御的工作量。
根据如上所述第一方面或根据所述第一方面的上述任一实施形式,在所述系统的第十一实施形式中,所述至少一个数据存储或存储器用于存储数据流的元数据,并在所述系统中共享和更新所述元数据;所述FE用于基于接收到的数据流的流状态和元数据来拦截、转发或复制所述数据流。
当共享附加元数据时,所述系统中的入侵检测和防御更准确且更高效
根据如上所述第一方面或根据所述第一方面的上述任一实施形式,在所述系统的第十二实施形式中,所述FE与SDN控制器相连接;所述SDN控制器用于向所述FE提供所述预定模式。
本实施形式支持简单灵活地配置所述至少一个FE。因此,所述系统可经定制且具有良好的可扩展性。
本发明的第二方面提供了一种用于在软件定义网络(software defined network,SDN)中检测和防御恶意数据流入侵的方法,包括:存储数据流的流状态,并在所述SDN中共享和更新所述流状态;基于接收到的数据流的流状态和/或所述数据流与预定模式的对比来拦截、转发或复制所述数据流;将复制的数据流归类为恶意数据流或允许数据流;以及根据归类结果更改所述数据流的流状态。
根据所述第二方面,在所述方法的第一实施形式中,所述FE用于:如果接收到的数据流的流状态是“允许”,和/或,如果所述流状态与允许流量的预定模式匹配,则转发所述数据流的数据包;如果接收到的数据流的流状态是“拦截”,和/或,如果所述流状态与恶意流量的预定模式匹配,则拦截所述数据流的数据包;如果接收到的数据流的流状态是“可疑”,和/或,如果所述流状态与可疑流量的预定模式匹配,则复制所述数据流的数据包。
根据如上所述第二方面或根据所述第二方面的第一实施形式,在所述方法的第二实施形式中,所述FE用于:确定接收到的数据流的流状态是否已经存储在所述至少一个数据存储或存储器中;如果所述接收到的数据流的所述流状态已存储,则基于所述数据流的所述流状态来拦截、转发或复制所述数据流;或如果所述接收到的数据流的所述流状态没有存储,则基于所述数据流与所述预定模式的对比来拦截、转发或复制所述数据流。
根据如上所述第二方面或根据所述第二方面的上述任一实施形式,在所述方法的第三实施形式中,所述FE用于:当所述IE将数据流的流状态设置或更新为“拦截”时,立即拦截所述数据流的数据包。
根据如上所述第二方面或根据所述第二方面的上述任一实施形式,在所述方法的第四实施形式中,所述FE用于:当数据流与可疑流量的预定模式匹配时,将所述数据流的流状态设置或更新为“可疑”,并用于将所述数据流复制到所述IE,以便进行归类。
根据如上所述第二方面或根据所述第二方面的上述任一实施形式,在所述方法的第五实施形式中,所述FE用于将任意一个接收到的数据流的流状态更改为“可疑”。
根据所述第二方面的所述第四或第五实施形式,在所述方法的第六实施形式中,所述FE用于:停止转发与可疑流量的预定模式匹配的数据流的数据包,直到所述IE完成所述归类;然后,根据归类结果拦截或正常转发所述数据包。
根据所述第二方面的第四或第五实施形式,在所述方法的第七实施形式中,所述FE用于:将与可疑流量的预定模式匹配的数据流的数据包复制到所述IE并正常转发所述数据包,直到所述IE完成所述归类;然后,根据归类结果拦截或继续正常转发所述数据包。
根据如上所述第二方面或根据所述第二方面的上述任一实施形式,在所述方法的第八实施形式中,所述FE用于:无论所述归类结果如何,在预定时间段内,将数据流的流状态保持为“可疑”。
根据如上所述第二方面或根据所述第二方面的上述任一实施形式,在所述方法的第九实施形式中,所述IE用于将复制的数据流的流状态更改为“结束”;所述FE用于:当所述IE将所述流状态更改为“结束”时,停止将所述数据流复制到所述IE。
根据如上所述第二方面或根据所述第二方面的上述任一实施形式,在所述方法的第十实施形式中,所述FE用于将数据流的数据包绕过所述IE,其中,所述数据流先前已被归类为允许数据流。
根据如上所述第二方面或根据所述第二方面的上述任一实施形式,在所述方法的第十一实施形式中,所所述至少一个数据存储或存储器用于存储数据流的元数据,并在所述系统中共享和更新所述元数据;所述FE用于基于接收到的数据流的流状态和元数据来拦截、转发或复制所述数据流。
根据如上所述第二方面或根据所述第二方面的上述任一实施形式,在所述方法的第十二实施形式中,所述FE与SDN控制器相连接;所述SDN控制器用于向所述FE提供所述预定模式。
如上所述第二方面的所述方法及其实施形式分别实现了与如上所述第一方面的所述系统及其实施形式同样的优点。
本发明的第三方面提供了一种计算机程序产品,当在计算设备上执行时,所述计算机程序产品用于实施根据如上所述第二方面或根据所述第二方面的任一实施形式的用于在软件定义网络(software defined network,SDN)中检测和防御恶意数据流网络入侵的方法。
所述第三方面的所述计算机程序产品实现了所述第二方面及其实施形式中的方法的所有优点。
须注意,本申请中描述的所有设备、元件、单元和装置都可以以软件或硬件元件或其任何形式的组合来实现。本申请中描述的各种实体执行的所有步骤和所描述的将由各种实体执行的功能旨在表明各个实体适于或用于执行各自的步骤和功能。即使在下文描述或特定实施例中,由永恒实体形成的具体功能或步骤没有体现在执行该具体步骤或功能的那个实体的具体详细元件的描述中,技术人员也应清楚,这些方法和功能可以在各个软件或硬件元件或其任意类型的组合中实施。
附图说明
结合所附附图,下面具体实施例的描述将阐述上述本发明的各方面及其实施形式,其中:
图1所示为根据本发明一实施例的系统;
图2所示为根据本发明一实施例的系统;
图3所示为根据本发明一实施例的系统的组件;
图4所示为根据本发明一实施例的系统;
图5所示为根据本发明一实施例的系统;
图6所示为根据本发明一实施例的方法;
图7所示为根据现有技术的IPS/IDS系统。
具体实施方式
图1所示为根据本发明一实施例的系统100。系统100能够在SDN中检测和防御恶意数据流入侵。具体而言,系统100支持防御恶意数据流入侵该网络中的受保护区域或业务。
系统100包括至少一个数据存储或存储器101,以便存储数据流的流状态,并在系统100中共享和更新这些流状态。优选地,数据存储或存储器101为高速低时延分布式存储器(如分布式存储数据库或类似技术)。可以将流状态写入到该高速低时延分布式存储器中,也可以从该高速低时延分布式存储器中读取流状态,优选地,由该系统的实体进行写入和读取,以在系统100中共享这些流状态。因此,在系统100中提供共享的流状态,从而使系统100能更快地对威胁作出反应。优选地,数据存储或存储器101还用于存储数据流的元数据,并采用与流状态同样的方式在系统100中共享和更新元数据。
系统100还包括至少一个共享状态FE 102,用于基于接收到的数据流103的流状态和/或该数据流与预定模式的对比来拦截、转发或复制该数据流。优选地,预定模式可存储在FE102中,或者也可以存储在数据存储或存储器101中。优选地,FE 102可以连接到能够向FE102提供预定模式的SDN控制器。
FE 102可以从数据存储或存储器101中获得该接收到的数据流103的流状态。例如,FE102可以在数据存储或存储器101中查询对应的流状态。然而,优选地,数据存储或存储器101主动将数据流最新的流状态分配给所有FE 102。在元数据也在系统100中共享的情况下,至少一个FE 102可特定用于基于接收到的数据流103的流状态和附加元数据来拦截、转发或复制该数据流.
系统100还包括至少一个IE 104,用于从至少一个FE 102接收复制的数据流105,并将该数据流归类为恶意数据流或允许数据流。此外,IE 104用于根据归类结果更改该数据流的流状态。即,IE 104可以访问数据存储或存储器101,以便更新已归类数据流的流状态。然后,可以在系统100中共享已更新的流状态,从而确保在至少一个FE 102中的每一个都能获得最新的流状态。这样,系统100可以立即对检测到的威胁作出反应。
图2所示为根据本发明的一实施例,其基于图1所示的实施例。和图1一样,系统100包括至少一个FE 102、至少一个数据存储或存储器101以及至少一个IE 104。此处以FE 102是核心路由器为例。此外,图2示出了两个网络端点,即客户端201和网络中的受保护业务202(或受保护区域)。
如图2中的表格所示,网络端点201可产生和/或接收网络数据流,并可将其作为数据流103,通过常规数据路径转发到至少一个FE 102。至少一个FE 102相应地设置在从客户端201到受保护业务202的数据路径上。如图2所示,FE可实施“共享_状态_转发_元件”功能,即,其能够转发数据流并能与其它网元和/或业务应用共享这些数据流的流状态。至少一个IE104可实施“共享_状态_业务_应用”功能和“状态_共享”功能,即,其可用作与其它网元和业务应用共享网络状态和流状态的业务应用。至少一个数据存储或存储器101也可实施“状态_共享”功能,即,其可与其它网元和业务应用共享网络状态和流状态。
在图2中,当网络数据包到达客户端201(如网关路由器或防火墙等)时,可将这些网络数据包作为数据流103,转发到至少一个FE 102。数据流103的一个网络数据包可以与如下分组之一相关联。“新且允许”,即,到达的网络数据包是一条与允许流量的预定模式匹配的新数据流103的第一数据包。“新且恶意”,即,到达的网络数据包是一条与拦截流量的预定模式匹配的新数据流103的第一数据包。“新且可疑”,即,到达的网络数据包是一条无匹配预定模式或与可疑流量的预定模式匹配的新数据流103的第一数据包。“临时且可疑”,即,到达的网络数据包是一条可疑数据流103的高级数据包。“临时且允许”,即,到达的网络数据包是一条允许数据流103的高级数据包。“临时且恶意”,即,到达的网络数据包是一条恶意数据流103的高级数据包。至少一个FE 102可以例如通过对比数据流103与预定模式来确定到达的网络数据包属于哪个分组。
然而,数据流的共享流状态也由至少一个数据存储或存储器101提供给FE 102,甚至由IE 104通过“共享状态”功能直接提供给FE 102。即,FE 102也可以基于共享流状态来确定到达的网络数据包的类型。优选地,FE 102用于确定接收到的数据流103的流状态是否已经存储在至少一个数据存储或存储器101中,并且如果该接收到的数据流的流状态已存储,则仅基于该数据流的流状态来拦截、转发或复制该数据流。或者,优选地,FE 102用于:如果该接收到的数据流103的流状态没有存储,则仅基于该数据流与预定模式的对比来拦截、转发或复制该数据流103。
优选地,FE 102用于:如果接收到的数据流103的共享流状态是“允许”和/或如果该数据流与允许流量的预定模式匹配,则转发该数据流的网络数据包(至受保护业务202)。或者,FE 102用于:如果数据流的共享流状态是“拦截”和/或如果该数据流与恶意流量的预定模式匹配,则拦截该数据流的数据包。或者,FE 102用于:如果数据流的流状态是“可疑”和/或如果该数据流与可疑流量的预定模式匹配或无匹配的预定模式,则复制该数据流的数据包(至IE 104)。因此,FE 102用于:将可疑数据流的数据包引导至一个IE 104;将属于允许数据流103的数据包绕过该IE 104;以及完全拦截恶意数据流103的数据包。这样,IE 104的负载能够保持最低。
只有可疑数据流103的复制数据包被转发到IE 104进行进一步的检查。具体地,可由实施“共享_状态_业务_应用”功能的至少一个IE 104检查可疑流量。IE 104还可以采用一种DCT机制来更改至少一个数据存储或存储器101中的数据流的流状态(如,从“允许”改为“拦截”)。然后,共享更改后的流状态。然后,由FE 102来处理该数据流的数据包,FE 102用于应对数据存储或存储器101中的数据流的流状态变更(如,变为“拦截”)。
图3所示为使用DCT机制的一实施例的可能性组件。FE 102可包括在第一网络节点(节点A)中。节点A也可以包括设有连接跟踪模块302的内核301,连接跟踪模块302用于对属于接收到的数据流的至少一个网络数据包进行连接跟踪。至少一个数据存储和存储器101也可以设置在节点A中,可以用于存储至少一个连接跟踪模块302获得的连接跟踪数据。具体而言,流状态可以是连接跟踪数据的一部分。优选地,连接跟踪数据也可以包括元数据。存储的连接跟踪数据在系统100中共享。IE 104的“共享_状态_业务_应用”功能可以包含在另一个网络节点(节点B)中。IE 104用于基于对可疑数据流的归类结果,更新存储在数据存储或存储器101中的连接跟踪数据,尤其是流状态。专利申请PCT/EP2015/070160和PCT/EP2015/079117提供了DCT机制的更多详情。具体而言,PCT/EP2015/070160解释了DCT,此处DCT可以用于在FE 102与IE 104之间共享流状态和元数据。此外,PCT/EP2015/079117解释了“使用DCT的通用应用层”,此处“使用DCT的通用应用层”可以用于将可疑数据包流引导至IE 104。
图4所示为本发明一实施例,该实施例基于前述图1和图2的实施例,且同样适用于DCT实施方式。网络数据包(1)的到达数据流103可包含如前所述的新数据包和临时数据包。至少一个FE 102基于共享流状态和/或预定模式,(2)拦截数据流、允许数据流(正常转发至受保护区域202),或允许并复制数据流至IE 104。FE 102丢弃那些经过匹配(3)而被拦截的数据流。那些经过匹配而被允许通过的数据流被正常转发(4)至受保护区域202或业务。可疑数据流被复制(5)到IE 104,以便进行归类。在此情况下,FE 102可用于停止转发可疑数据流的数据包,直到IE 104完成归类。或者,FE 102可以用于将可疑数据流的数据包正常转发至受保护区域2β03,直到IE 104完成归类。
IE 104接收(6)复制的数据流105,以便进一步归类。一旦确定该数据流是否为恶意数据流,IE 104就更新数据存储和/或存储器101中该数据流的流状态,具体而言,通过DCT机制(如PCT/EP2015/070160和PCT/EP2015/079117所实施的,仍然参见图3)进行更新。另外,优选地,IE 104去除了复制该数据流的动作。即,优选地,IE 104用于将复制的数据流105的流状态更改为“结束”;然后,优选地,FE 102用于停止将该数据流复制到IE 104。
一旦该数据流的流状态被更改,至少一个FE 102也相应地进行更新,并且,设为“拦截”的数据流遭到拦截。优选地,FE 102用于:当IE 104将数据流的流状态设为或更新为“拦截”时,立即(即,该数据流的下一个数据包已经开始遭到拦截)拦截该数据流的数据包。
图5所示为本发明一实施例,该实施例基于图1和图2的实施例,且示出了一些重点。与图1和图2中所示一样,系统100包括至少一个FE 102、至少一个数据存储或存储器101以及至少一个IE 104。和图2中所示一样,系统100可包括客户端201和受保护业务202或区域。
从客户端201到受保护业务202的流量(即,数据流)到达FE 102。FE 102可以创造一条新的数据流(在图5的表格中名为“F1”),例如,该数据流的流状态在数据存储或存储器101中为“新”(例如,通过DCT实施)。IE 104可以主动怀疑数据流“F1”是恶意数据流,并且可以将数据存储或存储器101中“F1”的状态更新为带有“复制”动作的“可疑”状态。随着数据存储或存储器101中数据流“F1”的流状态更新为“可疑”,FE 102相应地进行更新,从而执行复制动作,以便重新产生名为“F1R”的复制数据流,即,客户端201与受保护业务202之间的数据包流的一个副本,该副本被发送到至少一个IE 104。同时,至少一个FE 102可继续将数据流“F1”正常转发至受保护业务202。
IE 104接收该复制数据流105,并且例如在接收到若干个数据包后,可以对数据流进行归类。然后,IE 104更新数据存储或存储器101中“F1”的流状态,比如,更新为带有“拦截”动作的“恶意”状态。然后,IE 104也可以将数据存储或存储器101中“F1R”的流状态更新为“结束”,从而停止复制。随着数据存储或存储器101中数据流“F1”的流状态更新为“拦截”,FE 102相应地进行更新并立即将其拦截,并且数据流“F1R”的流状态更新为“移除”,FE 102立即停止复制该数据流。
在图5描述的场景中,恶意数据流一旦被归类为“拦截”就会立即被拦截,不得进入组织,即,受保护业务202。该数据流归类及时而适时,无需在网络数据路径上设置附加元件。
由于流状态具有共享状态性质,例如通过DCT机制进行共享,所以在IE 104更新数据流的时刻,例如,在需要拦截某个数据流的时刻,系统100的所有FE 102都立即实施拦截,即,在系统100所在的网络(交换机、路由器、负载平衡器等)中实施拦截。由于IE 104并不位于通往受保护区域202的关键数据路径上,所以处理简便,可用性高且容易扩展。
上述图1至图5所示的实施例可以有附加特征。例如,可以将已归类的数据流绕过IE 104,从而可以优化允许数据流和拦截数据流的处理。具体而言,FE 102可用于将数据流的数据包绕过IE 104,其中,该数据流先前已被归类为允许数据流。
此外,为了实施“允许”、“拦截”和“复制”动作,FE 102可与SDN控制器相连接。SDN控制器可用于安装OpenFlow规则(或者OpFlex等)作为与网络数据流进行匹配的预定模式。换言之,SDN控制器用于向FE 102提供预定模式。
FE 102也可用于将可疑流量的数据流引导至IE 104,暂时将其在线放置,直至该数据流被归类。然后,该数据流被拦截或引导至其目的地,从而绕过IE 104。或者,FE 102可复制可疑数据流并将副本引导至IE 104,而该流量也被正常转发至其目的地,直到该流量被归类。然后,该网络数据包流被拦截或保持为允许数据流,并且不用复制到IE 104。即,FE 102用于停止转发与可疑流量的预定模式匹配的数据流的数据包,或将与可疑流量的预定模式匹配的数据流的数据包复制到IE 104并正常转发这些数据包,直至IE 104完成归类。
可以通过将疑为APT的数据流长时间保持在“可疑”状态来处理这些数据流,以使得IE104检测到“低而慢”的攻击。为此,FE 102可用于:无论归类结果如何,在预定时间段内,将数据流的流状态保持为“可疑”。
为了进行重新检查和克服一些将自身攻击矢量随机化的APT等目的,也有可能随机地(或周期性地)将允许数据流移入“可疑”流状态。为此,至少一个FE 102可以用于将任意一个接收到的数据流的流状态更改为“可疑”。
图6所示为根据本发明一实施例的方法600。执行方法600可以检测和防御SDN中的恶意数据流入侵。在第一步骤601中,存储数据流的流状态,并在SDN中共享和更新这些流状态。在第二步骤602中,基于接收到的数据流的流状态和/或该数据流与预定模式的对比来拦截、转发或复制该数据流。然后,在第三步骤603中,将复制的数据流归类为恶意数据流或允许数据流。最后,在第四步骤604中,根据归类结果,更改该数据流的流状态。当然,方法600可以根据上文中系统100的特征描述来扩展其它特定方法步骤。
总而言之,根据本发明的实施例,从数据路径上移除了IPS而不会损害其检测、检查和拦截恶意流量的能力。此外,IPS被当做SPOF从网络中移除,IPS的负载减少到只包括相关的可疑数据流,而所有已分类的数据流不再转发到IPS。对恶意数据流的拦截在系统中是即时发生的,因此在系统所在的网络中也是即时发生的。另外,无需跨厂商集成,就能实现IPS拦截和数据流复制机制。
已经结合作为实例的不同实施例以及实施方案描述了本发明。但本领域技术人员通过实践所请发明,研究附图、本公开以及独立权项,能够理解并获得其它变体。在权利要求以及描述中,术语“包括”不排除其它元件或步骤,且“一个”并不排除复数可能。单个元件或其它单元可满足权利要求书中所叙述的若干实体或项目的功能。在仅凭某些措施被记载在相互不同的从属权利要求书中这个单纯的事实并不意味着这些措施的组合不能在有利的实施方式中使用。