网络协同防御方法、装置和系统的制作方法
【技术领域】
[0001]本发明实施例涉及通信技术,尤其涉及一种网络协同防御方法、装置和系统。
【背景技术】
[0002]软件定义网络(Software Defined Network,以下简称:SDN)是一种将网络的控制平面和转发平面进行分离的网络架构,控制平面由控制器来部署高层策略,转发平面的网络设备在高层策略指导下进行数据流转发,从而减少原有网络设备承载的诸多复杂功能,提高网络的灵活性和整体性。
[0003]在现有的SDN中,控制器采用预设的网络防御策略对待进入各子网中的数据流进行防御,也就是,进入各子网的数据流要先经过控制器采用预设的网络防御策略进行数据流过滤,过滤之后的数据流才能通过各子网的交换机转发到各子网,以保证网络的安全性。
[0004]然而,采用现有技术的方法进行网络防御时,由于所有进入子网的数据流都要经过控制器进行数据流过滤,增加了控制器的负载,降低了控制器的处理性能。
【发明内容】
[0005]本发明实施例提供一种网络协同防御方法、装置和系统,以提高控制器的处理性倉泛。
[0006]本发明实施例第一方面提供一种网络协同防御方法,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
[0007]所述控制器接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为攻击信息的特征信息;
[0008]所述控制器根据所述攻击信息的特征信息生成流表信息;
[0009]所述控制器将所述流表信息转发给所述第一子网的交换设备和至少一个第二子网的交换设备,以使所述第一子网的交换设备和所述至少一个第二子网的交换设备根据所述流表信息对数据流进行过滤。
[0010]结合第一方面,在第一种可能的实现方式中,所述告警信息中还包含所述第一子网的安全设备根据攻击信息生成的第一防御规则,其中,所述第一防御规则为外部网络访问所述第一子网的访问规则;
[0011]所述控制器接收第一子网的安全设备发送的告警信息之后,还包括:
[0012]所述控制器将所述第一防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第一防御规则对访问所述第二子网的数据流进行过滤。
[0013]结合第一方面,在第二种可能的实现方式中,所述控制器接收第一子网的安全设备发送的告警信息之后,还包括:
[0014]所述控制器根据所述攻击信息的特征信息生成第二防御规则,所述第二防御规则为外部网络访问所述第一子网或所述第二子网的访问规则;
[0015]所述控制器将所述第二防御规则发送给所述第一子网的安全设备和至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第二防御规则对数据流进行过滤。
[0016]本发明实施例第二方面提供一种网络协同防御方法,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
[0017]第一子网的安全设备接收攻击信息;
[0018]所述第一子网的安全设备向控制器发送告警信息,所述告警信息为攻击信息的特征信息。
[0019]结合第二方面,在第一种可能的实现方式中,所述告警信息中还包含所述第一子网的安全设备根据所述攻击信息生成的第一防御规则,所述第一防御规则为外部网络访问所述第一子网的访问规则。
[0020]本发明实施例第三方面提供一种网络协同防御方法,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
[0021]所述控制器接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为根据攻击信息生成的防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
[0022]所述控制器将所述防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述防御规则对数据流进行过滤。
[0023]本发明实施例第四方面提供一种网络协同防御方法,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
[0024]所述第一子网的安全设备接收攻击信息;
[0025]所述第一子网的安全设备根据所述攻击信息生成防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
[0026]所述第一子网的安全设备向控制器发送所述防御规则,以使所述控制器向至少一个第二子网的安全设备发送所述防御规则。
[0027]本发明实施例第五方面提供一种网络协同防御装置,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
[0028]接收模块,用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为攻击信息的特征信息;
[0029]处理模块,用于根据所述攻击信息的特征信息生成流表信息;
[0030]发送模块,用于将所述流表信息转发给所述第一子网的交换设备和至少一个第二子网的交换设备,以使所述第一子网的交换设备和所述至少一个第二子网的交换设备根据所述流表信息对数据流进行过滤。
[0031]结合第五方面,在第一种可能的实现方式中,所述告警信息中还包含所述第一子网的安全设备根据攻击信息生成的第一防御规则,其中,所述第一防御规则为外部网络访问所述第一子网的访问规则;
[0032]所述发送模块,还用于在接收第一子网的安全设备发送的告警信息之后,将所述第一防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第一防御规则对访问所述第二子网的数据流进行过滤。
[0033]结合第五方面,在第二种可能的实现方式中,所述处理模块还用于,在所述接收模块接收第一子网的安全设备发送的告警信息之后,根据所述攻击信息的特征信息生成第二防御规则,所述第二防御规则为外部网络访问所述第一子网或所述第二子网的访问规则;
[0034]所述发送模块,还用于将所述第二防御规则发送给所述第一子网的安全设备和至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述第二防御规则对数据流进行过滤。
[0035]本发明实施例第六方面提供一种网络协同防御装置,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
[0036]接收模块,用于接收攻击信息;
[0037]发送模块,用于向控制器发送告警信息,所述告警信息为攻击信息的特征信息。
[0038]结合第六方面,在第一种可能的实现方式中,所述告警信息中还包含根据所述攻击信息生成的第一防御规则,所述第一防御规则为外部网络访问所述第一子网的访问规则。
[0039]本发明实施例第七方面提供一种网络协同防御系统包括:
[0040]如第五方面任一种可能的实现方式中的网络协同防御装置和如第六方面任一种可能的实现方式中的网络协同防御装置。
[0041]本发明实施例第八方面提供一种网络协同防御装置,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
[0042]接收模块,用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为根据攻击信息生成的防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
[0043]发送模块,用于将所述防御规则发送给所述至少一个第二子网的安全设备,以使所述至少一个第二子网的安全设备根据所述防御规则对数据流进行过滤。
[0044]本发明实施例第九方面提供一种网络协同防御装置,包括:所述网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;
[0045]接收模块,用于接收攻击信息;
[0046]处理模块,用于根据所述攻击信息生成防御规则,其中,所述防御规则为外部网络访问所述第一子网的访问规则;
[0047]发送模块,用于向控制器发送所述防御规则,以使所述控制器向至少一个第二子网的安全设备发送所述防御规则。
[0048]本发明实施例第十方面提供一种网络协同防御系统,包括:
[0049]如第八方面所述的网络协同防御装置和如第九方面所述的网络协同防御装置。
[0050]本发明实施例提供的网络协同防御方法、装置和系统,通过控制器接收被攻击的第一子网的安全设备发送的告警信息,上述告警信息为攻击信息的特征信息,控制器根据告警信息生成流表信息,将流表信息转发给第一子网的交换设备和至少一个第二子网的交换设备,相当于,一个子网的安全设备检测到攻击之后,生成告警信息,通过控制器将告警信息共享给该子网的交换设备和其他未受攻击的子网的交换设备,形成全网范围内的协同防御,提高网络的安全性,其中,控制器只进行告警信息的共享