有:
[0044]
【主权项】
1. 一种网络安全防御系统,其特征在于包括;SDN控制器、IDS决策服务器和IDS设备; 所述IDS设备适于对报文进行抽检,即当IDS设备检测到具有DDoS攻击特征的报文 时,上报至IDS决策服务器; 所述IDS决策服务器根据上报信息W制定出与具有DDoS攻击特征的报文对应的处理 策略,并将该处理策略下发至SDN控制器W进行威胁处理。
2. 根据权利要求1所述的网络安全防御系统,其特征在于,所述IDS设备包括: 定时模块,设定报文的抽检间隔时间; 欺骗报文检测模块,对链路层和网际层地址的欺骗行为进行检测; 破坏报文检测模块,对网际层和传输层标志位设置的异常行为进行检测; 异常报文检测模块,对应用层和传输层泛洪式攻击行为进行检测; 在各间隔时间内通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块 依次对报文进行检测;且若任一检测模块检测出报文存在上述相应行为时,则将该报文转 入IDS决策服务器。
3. 根据权利要求2所述的网络安全防御系统,其特征在于, 所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在化enFlow域中,则通过 SDN控制器屏蔽攻击主机;或当攻击威胁不在化enFlow域中,则通过SDN控制器将该报文 所对应的OF交换机接入端口流量重定向至流量清洗中屯、进行过滤; 所述IDS决策服务器还适于当报文具有异常行为,则通过SDN控制器对攻击程序或攻 击主机的流量进行屏蔽;W及 当报文具有泛洪式攻击行为,则所述IDS决策服务器适于通过SDN控制器将该报文所 对应的OF交换机接入端口流量重定向至流量清洗中屯、进行过滤。
4. 根据权利要求3所述的网络安全防御系统,其特征在于,所述SDN控制器内设一屏蔽 计时模块和屏蔽计数器;所述屏蔽计时模块内设有屏蔽时间,该屏蔽时间适于限定屏蔽攻 击主机时间;所述屏蔽计数器设有一屏蔽阔值,适于当攻击主机屏蔽次数超过该屏蔽阔值 时,永久屏蔽该攻击主机。
5. -种网络安全防御系统的工作方法,包括如下步骤: 步骤S100,初始化配置; 步骤S200,使IDS设备根据预设的间隔时间进行DDoS威胁抽检;W及 步骤S300,根据威胁检测制定相应处理策略下发至SDN控制器W进行威胁处理。
6. 根据权利要求5所述的网络安全防御系统的工作方法,其特征在于, 所述步骤S100中初始化配置的步骤如下: 步骤S101,将所述网络安全防御系统中的IDS决策服务器与IDS设备建立专用的SSL 通信信道; 步骤S102,所述SDN控制器构建网络设备信息绑定表,并且将网络设备信息绑定表实 时更新到IDS设备中; 步骤S104,所述SDN控制器将OF交换机所有拖载有主机的端口流量镜像转发给网域内 对应的IDS设备;W及 步骤S105,所述SDN控制器下发孤oS威胁识别规则给IDS设备。
7. 根据权利要求6所述的网络安全防御系统的工作方法,其特征在于,所述步骤S200 中使IDS设备根据预设的间隔时间进行DDoS威胁抽检的方法包括: 在预设的间隔时间内依次对链路层和网际层地址的欺骗行为,网际层和传输层标志位 设置异常行为,W及应用层和传输层的泛洪式攻击行为进行抽检; 若上述过程中任一检测判断出报文存在相应行为时,则将该报文转入步骤S300。
8. 根据权利要求7所述的网络安全防御系统的工作方法,其特征在于, 对链路层和网际层地址的欺骗行为进行检测的方法包括: 通过欺骗报文检测模块对欺骗行为进行检测,即 首先,通过欺骗报文检测模块调用网络设备信息绑定表; 其次,通过欺骗报文检测模块将封装在化cket-In消息中报文的类型进行解析,W获 得相应的源、目的IP地址、MAC地址W及上传此化cket-In消息的OF交换机DPID号和端 口号,并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对; 若报文中的上述信息匹配,则将报文进行下一检测; 若报文中的上述信息不匹配,则将报文转入步骤S300 ; 所述网际层和传输层标志位设置异常行为进行检测的方法包括: 通过破坏报文检测模块对标志位设置异常行为进行检测,即 对报文的各标志位进行检测,W判断各标志位是否符合TCP/IP协议规范; 若报文的各标志位符合,则将报文转入进行下一检测; 若报文的各标志位不符合,则将报文转入步骤S300 ; 所述应用层和传输层的泛洪式攻击行为进行抽检的方法包括: 通过异常报文检测模块对泛洪式攻击行为进行检测,即 在异常报文检测模块构建用于识别泛洪式攻击报文的哈希表,并根据该哈希表中设定 的阀值判断报文是否具有泛洪式攻击行为,且将判断结果转入步骤S300。
9. 根据权利要求8所述的网络安全防御系统的工作方法,其特征在于,所述步骤S300 根据威胁检测制定相应处理策略下发至SDN控制器W进行威胁处理的方法包括: 若报文具有欺骗行为,且攻击威胁在化enFlow域中,则所述IDS决策服务器适于通过 SDN控制器屏蔽攻击主机;W及当攻击威胁不在化enFlow域中,则通过SDN控制器将该报 文所对应的OF交换机接入端口流量重定向至流量清洗中屯、进行过滤; 若报文具有异常行为,则所述IDS决策服务器通过SDN控制器对攻击程序或攻击主机 的流量进行屏蔽; 若报文具有泛洪式攻击行为,则所述IDS决策服务器通过SDN控制器将该报文所对应 的OF交换机接入端口流量重定向至流量清洗中屯、进行过滤; 在屏蔽攻击主机后,设定屏蔽时间和屏蔽阔值,该屏蔽时间适于限定屏蔽攻击主机时 间;W及当攻击主机屏蔽次数超过所述屏蔽阔值时,永久屏蔽该攻击主机; 和/或,根据链路负载系数计算出优化路径,即检测两相邻节点的链路剩余带宽,获得 该链路的负载系数,在根据该负载系数和初始化的网络拓扑图获得任意两点的最优路径, 所述SDN控制器根据该最优路径得出对应的转发流表并下发各OF交换机。
10. 根据权利要求9所述的网络安全防御系统的工作方法,其特征在于,所述IDS决策 服务器屏蔽发送报文的程序和/或攻击主机的方法包括: 首先,构建计数用的相应哈希表及设定相应阔值,即 单位时间内,所述IDS决策服务器中构建对欺骗行为进行计数的第一哈希表,标志位 设置异常行为进行计数的第二哈希表,W及对泛洪式攻击行为进行计数的第=哈希表; 同时设定第一、第二、第S哈希表中的第一、第二、第S阀值; 其次,屏蔽发送该报文的程序和/或攻击主机,即 针对转入IDS决策服务器的报文的行为,利用相应哈希表进行计数,当计数值超过相 应阀值时,屏蔽发送该报文的程序和/或攻击主机。
【专利摘要】本发明公开了一种基于软件定义网络的网络安全防御系统及其工作方法,本网络安全防御系统,包括:SDN控制器、IDS决策服务器和IDS设备;所述IDS设备适于对报文进行抽检,即当IDS设备检测到具有DDoS攻击特征的报文时,即上报至IDS决策服务器;所述IDS决策服务器根据上报信息,制定出与具有DDoS攻击特征的报文对应的处理策略,并将处理策略下发至SDN控制器以进行威胁处理;本发明通过对报文采用抽检的方式进行检测,极大的降低了SDN控制器的负担,并且通过检测与决策分离的方式,进一步降低了服务器的负担,更加适合大流量数据的网络传输。
【IPC分类】H04L29-06
【公开号】CN104539625
【申请号】CN201510011590
【发明人】韩红章, 严莉, 李忠, 张 杰
【申请人】江苏理工学院
【公开日】2015年4月22日
【申请日】2015年1月9日