一种基于软件定义的网络安全防御系统及其工作方法
【技术领域】
[0001] 本发明涉及网络安全领域,特别是涉及一种网络安全防御系统及其工作方法。
【背景技术】
[0002] 当前,互联网规模的膨胀,国家计算机网络应急技术处理协调中心最新发布的报 告表明:DDOS攻击事件呈大幅增长趋势,国家、企业的网络安全性面临着严峻挑战。
[0003] 其中,分布式拒绝服务攻击(DistributedDenialofService,DDoS)仍然是影响 互联网运行安全最主要的威胁之一。在过去的几年里,DDoS攻击的数目、大小、类型都大幅 上涨。
[0004] 软件定义网络(SoftwareDefinedNetwork,SDN)具有可实时更新路由策略与规 贝1J、支持深层次的数据包分析等特性,因而可针对复杂网络环境中的DDoS威胁提供更迅速 准确的网络监控及防御功能。
[0005] 但是软件定义网络的技术方案在具体的实施过程中发现SDN控制器在处理攻击 时,对硬件要求很高,尤其在大规模DDOS攻击时,容易造成SDN控制器无法响应。
【发明内容】
[0006] 本发明的目的是提供一种网络安全防御系统及工作方法,以解决在大量DDoS攻 击时,能有效的缓解SDN控制器的负担,降低了硬件要求和维护成本。
[0007] 为了解决上述技术问题,本发明提供了一种网络安全防御系统,包括:SDN控制 器、IDS决策服务器和IDS设备;所述IDS设备适于对报文进行抽检,即当IDS设备检测到 具有DDoS攻击特征的报文时,上报至IDS决策服务器;所述IDS决策服务器根据上报信息, 制定出与具有DDoS攻击特征的报文对应的处理策略,并将处理策略下发至SDN控制器以进 行威胁处理。
[0008] 优选的,为了在IDS设备中实现对DDoS攻击的抽检,所述IDS设备内包括:定时模 块,设定报文的抽检间隔时间;欺骗报文检测模块,对链路层和网际层地址的欺骗行为进行 检测;破坏报文检测模块,对网际层和传输层标志位设置的异常行为进行检测;异常报文 检测模块,对应用层和传输层泛洪式攻击行为进行检测;在各间隔时间内通过所述欺骗报 文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测;且若任一检测模 块检测出报文存在上述相应行为时,则将该报文转入IDS决策服务器。
[0009] 优选的,所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在OpenFlow 域中,则通过SDN控制器屏蔽攻击主机;或当攻击威胁不在OpenFlow域中,则通过SDN控制 器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;所述IDS决 策服务器还适于当报文具有异常行为,则通过SDN控制器对攻击程序或攻击主机的流量进 行屏蔽;以及当报文具有泛洪式攻击行为,则所述IDS决策服务器适于通过SDN控制器将该 报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤。
[0010] 优选的,建立主机"征信机制",即所述SDN控制器内设一屏蔽计时模块和屏蔽计 数器;所述屏蔽计时模块内设有屏蔽时间,该屏蔽时间适于限定屏蔽攻击主机时间;所述 屏蔽计数器设有一屏蔽阈值,适于当攻击主机屏蔽次数超过该屏蔽阈值时,永久屏蔽该攻 击主机。
[0011] 另一方面,本发明还提供了一种网络安全防御系统的工作方法。
[0012] 本网络安全防御系统的工作方法,包括如下步骤:
[0013] 步骤S100,初始化配置;步骤S200,使IDS设备根据预设的间隔时间进行DDoS威 胁抽检;以及步骤S300,根据威胁检测制定相应处理策略下发至SDN控制器以进行威胁处 理。
[0014] 优选的,所述步骤S100中初始化配置的步骤如下:步骤S101,将所述网络安全防 御系统中的所述IDS决策服务器与IDS设备建立专用的SSL通信信道;步骤S102,所述SDN 控制器构建网络设备信息绑定表,并且将网络设备信息绑定表实时更新到IDS设备中;步 骤S104,所述SDN控制器下发镜像策略的流表,即将OF交换机所有拖载有主机的端口流量 镜像转发给网域内对应的IDS设备;以及步骤S105,所述SDN控制器下发DDoS威胁识别规 则给每个网域中对应的IDS设备。
[0015] 优选的,所述步骤S200中使IDS设备根据预设的间隔时间进行DDoS威胁抽检的 方法包括:在预设的间隔时间内依次对链路层和网际层地址的欺骗行为,网际层和传输层 标志位设置异常行为,以及应用层和传输层的泛洪式攻击行为进行抽检;若上述过程中任 一检测判断出报文存在相应行为时,则将该报文转入步骤S300。
[0016] 优选的,对链路层和网际层地址的欺骗行为进行检测的方法包括:通过欺骗报文 检测模块对欺骗行为进行检测,即首先,通过欺骗报文检测模块调用网络设备信息绑定表; 其次,通过欺骗报文检测模块将封装在Packet-In消息中报文的类型进行解析,以获得相 应的源、目的IP地址、MAC地址以及上传此Packet-In消息的OF交换机DPID号和端口号, 并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对;若报文中的上述信息 匹配,则将报文进行下一检测;若报文中的上述信息不匹配,则将报文转入步骤S300 ;所述 网际层和传输层标志位设置异常行为进行检测的方法包括:通过破坏报文检测模块对标志 位设置异常行为进行检测,即对报文的各标志位进行检测,以判断各标志位是否符合TCP/ IP协议规范;若报文的各标志位符合,则将报文转入进行下一检测;若报文的各标志位不 符合,则将报文转入步骤S300 ;所述应用层和传输层的泛洪式攻击行为进行抽检的方法包 括:通过异常报文检测模块对泛洪式攻击行为进行检测,即在异常报文检测模块构建用于 识别泛洪式攻击报文的哈希表,并根据该哈希表中设定的阀值判断报文是否具有泛洪式攻 击行为,且将判断结果转入步骤S300。
[0017] 优选的,所述步骤S300根据威胁检测制定相应处理策略下发至SDN控制器以进行 威胁处理的方法包括:若报文具有欺骗行为,且攻击威胁在OpenFlow域中,则所述IDS决 策服务器适于通过SDN控制器屏蔽攻击主机;以及当攻击威胁不在OpenFlow域中,则通过 SDN控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;若 报文具有异常行为,则所述IDS决策服务器通过SDN控制器对攻击程序或攻击主机的流量 进行屏蔽;若报文具有泛洪式攻击行为,则所述IDS决策服务器通过SDN控制器将该报文所 对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;在屏蔽攻击主机后,设定 屏蔽时间和屏蔽阈值,该屏蔽时间适于限定屏蔽攻击主机时间;以及当攻击主机屏蔽次数 超过所述屏蔽阈值时,永久屏蔽该攻击主机;和/或根据链路负载系数计算出优化路径,即 检测两相邻节点的链路剩余带宽,获得该链路的负载系数,在根据该负载系数和初始化的 网络拓扑图获得任意两点的最优路径,所述SDN控制器根据该最优路径得出对应的转发流 表并下发各OF交换机。
[0018] 优选的,所述IDS决策服务器屏蔽发送报文的程序和/或攻击主机的方法包括:首 先,构建计数用的相应哈希表及设定相应阈值,即单位时间内,所述IDS决策服务器中构建 对欺骗行为进行计数的第一哈希表,标志位设置异常行为进行计数的第二哈希表,以及对 泛洪式攻击行为进行计数的第三哈希表;同时设定第一、第二、第三哈希表中的第一、第二、 第三阀值;其次,屏蔽发送该报文的程序和/或攻击主机,即针对转入IDS决策服务器的报 文的行为,利用相