一种面向sdn的入侵防御系统和方法
【技术领域】
[0001]本发明涉及一种面向SDN的入侵防御系统和方法,属于计算机网络与信息安全技术领域。
技术背景
[0002]随着计算机的飞速发展和网络的普及,来自网络外部和内部的威胁也日益增加,网络安全问题成为计算机网络领域不可忽视的关键点。为了保障计算机和互联网的安全,在计算机网络中引入了防火墙技术。防火墙对于已知的内外网络行为具有较强的防护能力,但是其对未知攻击的防范能力不足,存在无法有效进行动态防护等问题,入侵检测系统作为防火墙的补充,能够即时地识别异常网络行为,实现快速动态的安全检测。
[0003]入侵防御系统,是一种基于入侵检测系统的网络安全设备。它结合动态入侵检测与实时威胁阻止,具有较高的安全防护能力,但是也存在一定的缺点。第一:在传统网络中,为了保护内部网络免受威胁,入侵防御系统一般都采用“单点检测”的方式,即部署在网络环境的入/出口,部署位置固定,无法适应网络拓扑的快速扩展与变化;第二:不同网络位置以及不同的时段,需要处理的数据量都不同,互不相连的多个入侵防御系统无法实现有效的协同;第三:入侵防御设备价格较贵,如何有效合理部署也成为一个难题。随着软件定义网络(SDN)的发展,入侵防御系统在新型网络架构中的检测与防御能力面临更大的考验。
[0004]软件定义网络(Software Defined Network, SDN),是由美国斯坦福大学CleanSlate研究组提出的一种新型网络创新架构。其核心是将网络设备的控制面与数据面做分离,从而实现了对网络流量的集中控制,为核心网络及应用的创新提供了良好的平台。在这一新型网络环境中,集中控制带来方便的同时,也带来了大量的不安全因素。攻击者的攻击对象越来越集中使攻击难度降低,且一旦被入侵可能造成“单点失效”,从而使全网崩溃。而本发明能够很好地解决上面的问题。
【发明内容】
[0005]本发明目的在于解决入侵防御系统的非动态检测、“单点检测”整合系统效率低以及成本高等问题,提出了一种面向SDN的入侵防御系统和方法。该方法结合SDN集中化控制的特征,将入侵防御系统部署在SDN控制器之上,运用虚拟化技术,提高了对网络入侵的防范防御能力,在SDN环境中实现了一种灵活的入侵防御方案。本发明模型对经过交换机上的所有信息,通过分片技术处理,动态的交给若干结点进行检测,结合控制器策略,实现入侵防御功能。
[0006]本发明解决其技术问题所采取的技术方案是:本发明的系统包括三个模块,分别是:分片器模块、检测模块和入侵防御控制器模块。
[0007]分片器模块,相当于交换机与检测模块之间的透明代理,将交换机上大量的数据按照一定的分片规则细分成若干片,传送给检测模块。
[0008]检测模块,会产生与分片器产生的流量片数量一致的检测结点。每个检测结点由三部分组成:收集器,分析器,决策器。收集器主要是对接收到的数据包进行收集整理和记录。分析器主要工作是对数据包进行分析检测。决策器根据分析器的结果,给出相应策略。
[0009]入侵防御控制器模块,是用来协调入侵防御系统内部检测模块、分片器模块和外部更高级别控制器应用以及交换机。
[0010]本发明还提供了一种面向SDN的入侵防御系统的实现方法,该方法包括如下步骤:
[0011]步骤1:流量到达交换机,入侵防御控制器控制所有流量(包括流表)转发至入侵防御系统;
[0012]步骤2:分片器按照分片策略对收到数据进行分片,生成若干个片(即N个);
[0013]步骤3:入侵防御控制器控制检测模块产生相应数量N个检测结点;
[0014]步骤4:收集器记录下该检测结点接收到的数据包摘要信息;
[0015]步骤5:分析器进行检测,判断数据是否为可疑流量、恶意流量或者正常流量,并将结果告知决策器;
[0016]步骤6:分析器检测结果为正常流量,则决策器将数据包交由高级别控制器进行下一步处理;
[0017]步骤7:分析器检测结果为恶意流量,则决策器通知入侵防御控制器将其丢弃;
[0018]步骤8:分析器检测结果为非恶意流量,则决策器将其标记为可疑流量,对其标记数加一;
[0019]步骤9:决策器判断标记数未达到阀值,则将数据包转发至高级别控制器;
[0020]步骤10:决策器判断标记数已经达到阀值,则将数据包转发至高级别控制器;
[0021]步骤11:决策器通知入侵防御控制器对标记数已经达阀值的流量进行QoS ;
[0022]步骤12:高级别控制器处理非恶意流量;
[0023]步骤13:交换机根据处理结果进行流量转发。
[0024]有益效果:
[0025]1、灵活的部署;本发明设计了入侵防御系统,不需要固定在网络的入/出接口,只需部署在控制器之上,方便而又灵活。
[0026]2、低成本;本发明不需要像传统方案那样为每台交换机部署一个入侵防御系统,多台交换机可以共用一个入侵防御系统,降低了设备的部署成本。
[0027]3、抗干扰;本发明通过分片技术,提高了数据处理速度,对原有数据转发影响较小,保证了流量的正常转发。
[0028]4、准确性;本发明利用DPI等检测技术和完整的恶意流量特征表,保障了入侵防御系统的准确性。
【附图说明】
[0029]图1为本发明SDN环境中入侵防御的系统架构图。
[0030]图2为本发明的系统内部结构图。
[0031]图3为本发明的方法流程图。
【具体实施方式】
[0032]下面结合说明书附图对本发明创造作进一步的详细说明。
[0033]如图1所示,本发明提出的入侵防御系统是部署在SDN环境中的控制器之上。由于每台交换机与多个控制器相连,所以在一个控制器之上的入侵防御系统负责监控多台交换机,每台交换机可以被多个入侵防御系统监控。同一时刻,存在一个主入侵防御系统和多个从入侵防御系统。初始时,在主控制器上的入侵防御系统是主入侵检测系统,从控制器上的入侵防御系统是从入侵防御系统。
[0034]如图2所示,本发明的系统内部包括三个模块,分别是:分片器模块、检测模块和入侵防御控制器模块。
[0035]分片器模块相当于交换机与检测模块之间的透明代理。通过将交换机上大量的数据按照一定的分片规则细分成若干片,再进行检测分析,解决了海量数据与快速检测之间的矛盾。本发明可以将分片规则定义为(交换机端口,源目IP地址,IP协议,源目UDP或TCP 端口)((switch port, src/dst IP address, IP protocol, src/dst UDP/TCP port)) 0
[0036]检测模块的功能是通过大量的检测节点对流量进行检测。检测模块会产生与分片器产生的流量片数量一致的检测结点。每个检测结点由三部分组成:收集器,分析器,决策器。
[0037]收集器主要是接收到的数据包进行收集整理,为进一步的分析做准备;