应哈希表进行计数,当计数值超过相应阀值时,屏蔽发送该报文的程序和 /或攻击主机。
[0019] 本发明的有益效果:(1)本发明通过对报文采用抽检的方式进行检测,极大的降 低了SDN控制器的负担,并且通过检测与决策分离的方式,进一步降低了服务器的负担;并 且通过欺骗报文检测模块、破坏报文检测模块和异常报文检测模块提高了检测的效率;因 此,本发明通过组合的方式,在有效的减轻了SDN控制器负担的同时,提高了检测效率,更 加适合大流量数据的网络传输。(2)本发明使得传统网络体系架构下无法对地址伪造DDoS 攻击进行识别与溯源的难题从根本上得到了解决;在网络中存在DDoS攻击或正常大流量 业务的情况下,SDN控制器可基于对链路剩余带宽等网络参数的实时感知,实现对正常流量 的路由优化,大幅提升用户的体验;(3)本发明的处理架构采用可扩展的模块化设计,实现 了对DDoS威胁的高效检测和灵活处理;欺骗报文检测模块、破坏报文检测模块和获取数据 包信息采用独立的接口设计,降低了模块间的耦合关联性;各模块使用优化的程序数据结 构,细致分割各处理子流程,提升了模块的高内聚特性。
【附图说明】
[0020] 下面结合附图和实施例对本发明进一步说明。
[0021] 图1示出了本发明的网络安全防御系统的结构框图;
[0022] 图2示出了网络安全防御系统的原理框图;
[0023] 图3示出了本发明的网络安全防御系统的工作方法的流程;
[0024] 图4示出了预设间隔时间进行DDoS威胁检测的方法的流程框图。
【具体实施方式】
[0025] 现在结合附图对本发明作进一步详细的说明。这些附图均为简化的示意图,仅以 示意方式说明本发明的基本结构,因此其仅显示与本发明有关的构成。
[0026] 实施例1
[0027] 图1示出了本发明的网络安全防御系统的结构框图。
[0028] 如图1所示,一种网络安全防御系统,包括:SDN控制器、IDS决策服务器、分布式的 IDS设备;所述IDS设备适于对报文进行抽检,即当IDS设备(即入侵检测设备)检测到具 有DDoS攻击特征的报文时,上报至IDS决策服务器(也可以通过SSL通信信道上报至IDS 决策服务器);所述IDS决策服务器根据上报信息,制定出与具有DDoS攻击特征的报文对 应的处理策略,并将处理策略下发至SDN控制器以进行威胁处理。关于处理策略将在下列 实施例中进行说明。
[0029] 其中,DDoS攻击特征定义为:对链路层和网际层地址的欺骗行为、对网际层和传 输层标志位设置的异常行为,以及对应用层和传输层泛洪式攻击行为。
[0030] 抽检时间的间隔为预设间隔时间,可以根据需要进行设定,例如2秒抽检一次,或 3秒,或5秒抽检一次;也可以采用随机时间进行抽检,例如随机时间设定在1-10S内随机 进行抽检。
[0031] 本发明通过抽检的方式极大的降低了 SDN控制器的负担,特别适合大流量数据的 网络传输。
[0032] 图2示出了网络安全防御系统的原理框图。
[0033] 如图2所示,进一步,所述IDS设备内包括:
[0034] 定时模块,设定报文的抽检间隔时间(图2中未画出,定时模块可以通过IDS内部 时钟来实现。);该定时模块可以采用时钟模块来实现;欺骗报文检测模块,对链路层和网 际层地址的欺骗行为进行检测;破坏报文检测模块,对网际层和传输层标志位设置的异常 行为进行检测;异常报文检测模块,对应用层和传输层泛洪式攻击行为进行检测;在各间 隔时间内通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文 进行检测;且若任一检测模块检测出报文存在上述相应行为时,则将该报文转入IDS决策 服务器。
[0035] 进一步,所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在OpenFlow 域中,则通过SDN控制器屏蔽攻击主机;或当攻击威胁不在OpenFlow域中,则通过SDN控制 器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;所述IDS决 策服务器还适于当报文具有异常行为,则通过SDN控制器对攻击程序或攻击主机的流量进 行屏蔽;以及当报文具有泛洪式攻击行为,则所述IDS决策服务器适于通过SDN控制器将该 报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤。
[0036] 本发明采用从欺骗报文检测模块到破坏报文检测模块,再到异常报文检测模块依 次检测的顺序,其中,各模块获取数据包信息采用独立的接口设计,降低了模块间的耦合关 联性;并且各模块使用优化的程序数据结构,细致分割各处理子流程,提升了模块的高内聚 特性。这种检测顺序与抽检的方式在有效的降低了 SDN控制器的负担的同时,提高了对报 文数据的检测效率,以及降低了漏检率。
[0037] 通过所述欺骗报文检测模块调用网络设备信息绑定表,并在所述IDS决策服务器 中构建单位时间内的适于对报文欺骗行为进行计数的第一哈希表,以及设定该第一哈希表 中的第一阀值;所述欺骗报文检测模块,将封装在Packet-In消息中的报文的类型进行解 析,以获得相应的源、目的IP地址、MAC地址以及上传Packet-In消息的OF交换机DPID号 和端口号信息,并将各信息分别与网络设备信息绑定表中的相应信息进行比对;若报文中 的上述信息匹配,则将报文转入破坏报文检测模块;若报文中的上述信息不匹配,则转入所 述IDS决策服务器,对报文进行丢弃,并同时对欺骗行为进行计数,当该计数值超过第一阀 值时,屏蔽发送该报文的程序和/或攻击主机。
[0038] 具体的,所述欺骗报文检测模块用于对报文进行第一次判断,即判断报文是否是 IP欺骗攻击报文、端口欺骗攻击报文或MAC欺骗攻击报文。
[0039] 具体步骤包括:首先在以太网帧中解析出源、目的MAC地址和OF交换机入口,然后 根据不同的报文类型解析出不同的报文。当报文类型为IP、ARP、RARP时,则解析出相应的 源、目的IP地址然后将这些信息对网络设备信息绑定表中的信息进行查表匹配,如果匹配 到相应的信息,则交给破坏报文检测模块处理。若不匹配,则将该报文转入IDS决策服务器 处理;并同时对欺骗行为进行累加计数,当该计数值超过第一阀值时,屏蔽发送该报文的程 序和/或攻击主机。
[0040] Floodlight中有一个设备管理器模块DeviceManagerlmpl,当一个设备在网络中 移动设备的时候跟踪设备,并且根据新流定义设备。
[0041] 设备管理器从Packetln请求中得知设备,并从Packetln报文中获取设备网络参 数信息(源、目的IP、MAC、VLAN等信息),通过实体分类器将设备进行区分为OF交换机或 攻击主机。默认情况下实体分类器使用MAC地址和/或VLAN表示一个设备,这两个属性可 以唯一的标识一个设备。另外一个重要的信息是设备的安装点(OF交换机的DPID号和端 口号)(,在一个openflow区域中,一个设备只能有一个安装点,在这里openflow区域指的 是和同一个Floodlight实例相连的多个OF交换机的集合。设备管理器也为IP地址、安装 点、设备设置了过期时间,最后一次时间戳作为判断它们是否过期的依据。)
[0042] 故网络设备信息绑定表模块里面只需调用DeviceManagerlmpl模块提供的 IDeviceService即可,同时向该服务添加IDeviceListener的监听接口即可。
[0043] 其中IDeviceListener提供的监听接口