>[0038]分析器主要工作是对数据包进行分析检测,通过高速DPI和流层级检测等技术,判断数据包是否为恶意流量、可疑流量亦或者是正常流量;数据流量在分析器中被进行判断之后会将结果发送到决策器。
[0039]决策器拥有修改交换机转发策略的权限。对于恶意流量,决策器会控制交换机不进行转发,直接丢弃;可疑流量和正常流量将在做记录之后,转发给更高级控制器应用做进一步处理。当可疑流量计数次数达到一定阀值时,将会执行相应的QoS策略对其进行速率限制。
[0040]入侵防御控制器模块的功能主要是用来协调入侵防御系统内部检测模块、分片器模块和外部更高级别控制器应用以及交换机等。包括:入侵防御控制器通过修改流条目,使得经过每个交换机上的数据包,都将被发送到入侵防御系统进行检测。入侵防御控制器会综合交换机上数据流的带宽以及检测模块负载等参数,制定相应的分片策略,控制分片器模块进行流量分片。当数据流被分成N片时,入侵防御控制器将控制检测模块产生N个检测结点。入侵防御控制器接收检测模块的分析结果,对不同类型的流量进行不同的操作。针对非恶意流量,入侵防御控制器会将其转发给更高级别控制器应用,进行正常的转发。
[0041]如图3所示,本发明还提供了一种面向SDN的入侵防御系统的实现方法,该方法包括如下步骤:
[0042]步骤1:流量到达交换机,入侵防御控制器控制所有流量(包括流表)转发至入侵防御系统;
[0043]步骤2:分片器按照分片策略对收到数据进行分片,生成若干个片(即N个);
[0044]步骤3:入侵防御控制器控制检测模块产生相应数量N个检测结点;
[0045]步骤4:收集器记录下该检测结点接收到的数据包摘要信息;
[0046]步骤5:分析器进行检测,判断数据是否为可疑流量、恶意流量或者正常流量,并将结果告知决策器;
[0047]步骤6:分析器检测结果为正常流量,则决策器将数据包交由高级别控制器进行下一步处理;
[0048]步骤7:分析器检测结果为恶意流量,则决策器通知入侵防御控制器将其丢弃;
[0049]步骤8:分析器检测结果为非恶意流量,则决策器将其标记为可疑流量,对其标记数加一;
[0050]步骤9:决策器判断标记数未达到阀值,则将数据包转发至高级别控制器;
[0051]步骤10:决策器判断标记数已经达到阀值,则将数据包转发至高级别控制器;
[0052]步骤11:决策器通知入侵防御控制器对标记数已经达阀值的流量进行QoS ;
[0053]步骤12:高级别控制器处理非恶意流量;
[0054]步骤13:交换机根据处理结果进行流量转发。
【主权项】
1.一种面向SDN的入侵防御系统,其特征在于,所述系统包括分片器模块、检测模块和入侵防御控制器模块; 分片器模块为交换机与检测模块之间的透明代理,通过将交换机上大量的数据按照一定的分片规则细分成若干片,再进行检测分析,解决了海量数据与快速检测之间的矛盾;检测模块会产生与分片器产生的流量片数量一致的检测结点,每个检测结点由三部分组成:收集器,分析器,决策器; 所述的收集器将接收到的数据包进行收集整理和记录,为进一步的分析做准备;分析器工作是对数据包进行分析检测,通过高速DPI和流层级检测技术,判断数据包是否为恶意流量、可疑流量亦或者是正常流量,数据流量在分析器中被进行判断之后会将结果发送到决策器;决策器拥有修改交换机转发策略的权限; 入侵防御控制器模块的功能是协调入侵防御系统内部检测模块、分片器模块和外部更高级别控制器应用以及交换机,其工作包括:入侵防御控制器通过修改流条目,使得经过每个交换机上的数据包,都将被发送到入侵防御系统进行检测;入侵防御控制器会综合交换机上数据流的带宽以及检测模块负载参数,制定相应的分片策略,控制分片器模块进行流量分片;当数据流被分成N片时,入侵防御控制器将控制检测模块产生N个检测结点;入侵防御控制器接收检测模块的分析结果,对不同类型的流量进行不同的操作。2.根据权利要求1所述的一种面向SDN的入侵防御系统,其特征在于,所述防御系统中,3种类流量的判断依据分别为: 恶意流量:这类信息是已知的网络攻击流量; 可疑流量:是满足部分网络攻击流量的特征,但是不足以定性为恶意流量的数据流,特别的,对于间断性出现的数据包也被视为可疑流量并进行标注; 正常流量:正常流量是不满足网络攻击流量特征的数据流,这样的流量会在被记录之后做正常的转发。3.根据权利要求1所述的一种面向SDN的入侵防御系统,其特征在于,所述系统对不同类型流量的操作为:对于恶意流量,决策器会控制交换机不进行转发,直接丢弃;可疑流量和正常流量将在做记录之后,转发给更高级控制器应用做进一步处理,当可疑流量计数次数达到一定阀值时,将会执行相应的QoS策略对其进行处理;相应的QoS策略为速率限制。4.一种面向SDN的入侵防御系统的实现方法,其特征在于,所述方法包括如下步骤: 步骤1:流量到达交换机,入侵防御控制器控制所有流量(包括流表)转发至入侵防御系统; 步骤2:分片器按照分片策略对收到数据进行分片,生成若干个片(即N个); 步骤3:入侵防御控制器控制检测模块产生相应数量N个检测结点; 步骤4:收集器记录下该检测结点接收到的数据包摘要信息; 步骤5:分析器进行检测,判断数据是否为可疑流量、恶意流量或者正常流量,并将结果告知决策器; 步骤6:分析器检测结果为正常流量,则决策器将数据包交由高级别控制器进行下一步处理; 步骤7:分析器检测结果为恶意流量,则决策器通知入侵防御控制器将其丢弃; 步骤8:分析器检测结果为非恶意流量,则决策器将其标记为可疑流量,对其标记数加 ,步骤9:决策器判断标记数未达到阀值,则将数据包转发至高级别控制器;步骤10:决策器判断标记数已经达到阀值,则将数据包转发至高级别控制器;步骤11:决策器通知入侵防御控制器对标记数已经达阀值的流量进行QoS ;步骤12:高级别控制器处理非恶意流量;步骤13:交换机根据处理结果进行流量转发。
【专利摘要】本发明公开了一种面向SDN的入侵防御系统和方法,该系统部署在SDN网络中的控制器之上,并负责监控多台交换机,每台交换机可以被多个入侵防御系统监控。由一个主入侵防御系统控制多个从入侵防御系统来监控整个网络。本发明系统包括入侵防御控制器模块、检测模块和分片器模块。入侵防御控制器配合检测模块中的决策器实现细粒度的入侵防御功能。本发明可以实现入侵防御系统不固定位置的灵活部署,降低部署成本;多个入侵防御系统协调工作,提高了入侵防御系统的整体利用率;准确和高效的检测方法,保证了网络的安全性,不会造成网络拥塞,具有广泛的技术和市场应用价值。
【IPC分类】H04L12/933, H04L29/06
【公开号】CN105429974
【申请号】CN201510763337
【发明人】杨一涛, 贾雪松, 李华康, 孙国梓, 任丹妮
【申请人】南京邮电大学
【公开日】2016年3月23日
【申请日】2015年11月10日