本发明网络协同防御方法实施例三的流程示意图,图3的应用场景与图2所示应用场景相同,与图2的技术方案不同的是,图2所示实施例中的第一防御规则是第一子网的安全设备生成的,图3所示实施例中的第二防御规则是控制器根据第一子网的安全设备上报的攻击信息的特征信息生成的,其中,第一防御规则与第二防御规则可以相同,如图3所示,本实施例的方法包括:
[0100]S301:控制器接收第一子网的安全设备发送的告警信息,上述告警信息为攻击信息的特征信息。
[0101]本步骤与图1中的SlOl类似,参考SlOl的详细描述,在此不再赘述。
[0102]S302:控制器根据上述攻击信息的特征信息生成流表信息。
[0103]本步骤与图1中的S102类似,参考S102的详细描述,在此不再赘述。
[0104]S303:控制器将上述流表信息转发给第一子网的交换设备和至少一个第二子网的交换设备。
[0105]本步骤与图1中的S103类似,参考S103的详细描述,在此不再赘述。
[0106]S304:控制器根据上述攻击信息的特征信息生成第二防御规则。
[0107]其中,第二防御规则是指外部网络访问所述第一子网或所述第二子网的访问规贝U,第二防御规则与第一防御规则相同,此处只是为了区分生成防御规则的执行主体不同而用第一、第二进行区分。
[0108]S305:控制器将第二防御规则发送给第一子网的安全设备和至少一个第二子网的安全设备。
[0109]第一子网的安全设备和第二子网的安全设备根据第二防御规则对数据流进行进一步过滤,以提高网络的安全性。
[0110]其中,S304?S305的步骤,在S301之后即可,与其他步骤没有时序限制。
[0111]本实施例的技术效果与图2所示实施例的技术效果类似,在此不再赘述。
[0112]图4为本发明网络协同防御方法实施例四的流程示意图,图4所示实施例的中,第一子网和第二子网中都必须部署有DPI设备,其中,DPI设备可以为IDS或者IPS等网络安全设备,本实施例的执行主体是控制器,如图4所示,本实施例的方法如下:
[0113]S401:控制器接收第一子网的安全设备发送的告警信息,所述告警信息为根据攻击信息生成的防御规则。
[0114]其中,防御规则是指外部网络访问所述第一子网的访问规则。
[0115]S402:控制器将防御规则发送给至少一个第二子网的安全设备。
[0116]至少一个第二子网的安全设备根据上述防御规则对数据流进行过滤。
[0117]本实施例中,由于安全设备采用防御规则即可对数据流进行精确的过滤,因此,在子网中都部署有安全设备的场景下,可以通过控制器将防御规则共享给控制器连接的其他子网的安全设备即可,同样可以实现全网范围内的网络设备协同防御,提高网络的安全性,减小控制器的负载,提高控制器的处理性能。
[0118]可以理解的是,一种可替代的方案是,控制器接收第一子网的安全设备发送的攻击信息的特征信息,控制器根据攻击信息的特征信息生成防御规则,共享给第一子网的安全设备和至少一个第二子网的安全设备,其实现原理和技术效果与图4所示实施例类似,在此不再赘述。
[0119]图5为本发明网络协同防御方法实施例五的流程示意图,图5所示实施例的应用场景与图1所示实施例相同,与图1所示实施例不同的是,图1所示实施例的执行主体是控制器,图5所示实施例的执行主体是第一子网的安全设备,即被攻击网络的安全设备,如图5所示,本实施例的方法包括:
[0120]S501:第一子网的安全设备接收攻击信息。
[0121]S502:第一子网的安全设备向控制器发送告警信息,上述告警信息为攻击信息的特征信息。
[0122]第一子网的安全设备通过DPI分析确定收到的数据流为攻击信息,则生成告警信息,告警信息中包含上述攻击信息的特征信息,将上述告警信息发送给控制器,以使控制器将上述告警信息生成流表信息,将流表信息转发给其他子网(第二子网)的交换设备,以实现全网范围内的网络设备协同防御。
[0123]本实施例中,通过第一子网的安全设备向控制器发送告警信息,上述告警信息为攻击信息的特征信息,以使控制器将上述告警信息生成流表信息,将流表信息转发给其他子网(第二子网)的交换设备,以实现全网范围内的网络设备协同防御。相当于,一个子网的安全设备检测到攻击之后,生成告警信息,通过控制器将告警信息共享给该子网的交换设备和其他未受攻击的子网的交换设备,形成全网范围内的协同防御,提高网络的安全性,其中,控制器只进行告警信息的共享,而无需对进入网络的数据流进行处理,提高了控制器的处理性能。
[0124]在上述实施例的基础上,进一步地,告警信息中还包含根据上述攻击信息生成的第一防御规则,以使控制器将上述告警信息生成流表信息,将流表信息转发给其他子网(第二子网)的交换设备,并将上述第一防御规则发送给第二子网的安全设备,使第二子网的安全设备根据第一防御规则进一步地对数据流进行过滤,进一步提高网络的安全性,本实施例的应用场景与图2所示实施例的应用场景相同。
[0125]图6为本发明网络协同防御方法实施例六的流程示意图,图6所示实施例与图4所示实施例不同的是,图4所示实施例的执行主体是控制器,图6所示实施例的的执行主体是第一子网的安全设备,如图6所示,本实施例的方法包括:
[0126]S601:第一子网的安全设备接收攻击信息。
[0127]S602:第一子网的安全设备根据攻击信息生成防御规则。
[0128]其中,防御规则是指外部网络访问所述第一子网的访问规则。
[0129]S603:第一子网的安全设备向控制器发送上述防御规则。
[0130]控制器接收到防御规则后,将防御规则发送给至少一个第二子网的安全设备,以使至少一个第二子网的安全设备根据上述防御规则对数据流进行过滤。
[0131]本实施例中,由于安全设备采用防御规则即可对数据流进行精确的过滤,因此,在子网中都部署有安全设备的场景下,可以通过控制器将防御规则共享给控制器连接的其他子网的安全设备即可,同样可以实现全网范围内的网络设备协同防御,提高网络的安全性,减小控制器的负载,提高控制器的处理性能。
[0132]在上述各实施例中,在第一子网的安全设备与控制器,控制器与第二子网的安全设备或第一子网的安全设备通信之前,还包括:第一子网的安全设备与控制器之间建立连接的过程,以及第二子网的安全设备与控制器之间建立连接的过程,两个过程相同,因此,下面不限定安全设备是第一子网的安全设备还是第二子网的安全设备,统称为安全设备与控制器之间建立连接的过程,具体如图7所示,图7为本发明本发明网络协同防御方法实施例建立连接的信令图。
[0133]S701:安全设备向控制器发起传输控制协议(Transmiss1n Control Protocol,以下简称TCP)连接请求。
[0134]S702:安全设备向控制器发送安全设备的开放流协议(Openflow,以下简称0F)版本。
[0135]S703:控制器从自身的OF版本和安全设备的OF版本中选择较低版本作为通信版本。
[0136]S704:控制器向安全设备发送控制器的OF版本。
[0137]S705:安全设备从自身的OF版本和控制器的OF版本中选择较低版本作为通信版本。
[0138]S706:控制器向安全设备发送询问设备支持特性请求。
[0139]S707:安全设备向控制器上报设备支持特征。
[0140]通过上述S701?S707的步骤,完成控制器与安全设备之间的通信连接。
[0141]值得说明的是,在上述各实施例中,SDN网络是基于Openflow协议进行的,其中的交换设备具体可以是指基于Openflow协议的交换机,其中的控制器具体可以是基于Openflow协议的控制器。当然,可以理解的是,本实施例的技术方案也可以应用于基于其他协议的SDN网络中,其实现原理和技术效果类似,本发明对此不再赘述。
[0142]图8为本发明网络协同防御装置实施例一的结构示意图,本实施例的装置可以部署在控制器中,本实施例的网络包括一个控制器、第一子网和至少一个第二子网,所述控制器控制所述第一子网和至少一个第二子网;本实施例的装置包括接收模块801、处理模块802和发送模块803,其中,接收模块801用于接收第一子网的安全设备发送的告警信息,所述第一子网为被攻击的子网,所述告警信息为攻击信息的特征信息;处理模块802用于根据所述攻击信息的特征信息生成流表信息;发送模块803用于将所述流表信息转发给所述第一子网的交换设备和至少一个第二子网的交换设备,以使所述第一子网的交换设备和所述至少一个第二子网的交换设备根据所述流表信息对数据流进行过滤。
[0143]本实施例的装置可用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
[0144]在上述实施例中,所述告警信息中还包含所述第一子网的安全设备根据攻击信息生成的第一防御规则,其中,所述第一防御规则为外部网络访问所述第一子网的访问规则;所述