标识,a表示该一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的 地址;
[0049] 相应地,所述第H生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的 每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻 击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序 对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
[0050] 结合第二方面的第四种可能的实现方式,在第五种可能的实现方式中,还包括:
[0051] 第二信息采集模块,用于在对所述攻击源进行排序之前,确定每一个子网的受害 信息,所述受害信息包括:攻击一个子网的攻击源的数量、该一个子网被攻击的端口数量、 该一个子网被攻击的持续时间和该一个子网接收到的来自各个攻击源的数据量之和;
[0052] 子网评估模块,用于根据每一个子网的受害信息获取脆弱程度值;
[0053] 相应地,所述第H生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的 每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述 子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按 照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述 子网的黑名单。
[0054] 结合第二方面的各种可能的实现方式,在第六种可能的实现方式中,所述报警信 息接收模块,具体用于从所述子网发送的化enflow异步消息中获取所述报警信息。
[00巧]本发明实施例提供的提高网络安全性的方法及装置,能够对网络系统中的各个子 网被攻击后上报的报警信息,并根据各个子网上报的报警信息确定威胁较大的攻击源,并 可W根据攻击源的威胁程度生成黑名单,再将黑名单发送至网络系统中的子网,W便子网 可W利用黑名单采取相应的防御措施,W防范黑名单中记载的攻击源。相对于现有技术中 只有受到攻击的子网会执行相应的安全策略且不会通报尚未被攻击的子网的情况,本发明 实施例可W实现;在一个或多个子网受到攻击时就将对此次攻击的攻击源发布给对网络系 统的其他尚未被攻击的子网,并W黑名单的形式发出预警,W便网络系统的尚未被攻击的 子网可W针对此次攻击的攻击源做好防御准备,使得同一攻击源在攻击了一个子网后即使 对尚未被攻击的子网进行攻击,由于其他的子网可W做好防御准备,则降低被攻破的可能 性,从而提高了整个网络系统的安全性。
【附图说明】
[0056] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的 附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领 域普通技术人员来讲,在不付出创造性劳动的前提下,还可W根据该些附图获得其它的附 图。
[0057] 图1为本发明实施例提供的提高网络安全性的方法的流程示意图;
[0058] 图la为本发明实施例提供的一种网络架构实例的示意图;
[0059] 图2a为本发明实施例提供的提高网络安全性的方法的一种【具体实施方式】的流程 示意图;
[0060] 图化为本发明实施例提供的提高网络安全性的方法的另一种【具体实施方式】的流 程7]^意图;
[0061] 图2c为本发明实施例提供的提高网络安全性的方法的再一种【具体实施方式】的流 程7]^意图;
[0062] 图3a为本发明实施例提供的提高网络安全性的方法的一种信息交互流程的示意 图;
[0063] 图3b为本发明实施例提供的提高网络安全性的方法的另一种信息交互流程的示 意图;
[0064] 图4为本发明实施例提供的提高网络安全性的装置的结构示意图;
[0065] 图5、6、7、8、9为本发明实施例提供的提高网络安全性的装置的【具体实施方式】的 结构示意图;
[0066] 图10本发明实施例提供的一种用于实施本发明技术方案的设备的结构示意图。
【具体实施方式】
[0067] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它 实施例,都属于本发明保护的范围。
[0068] 本发明实施例可W用于一种网络系统,在网络系统包括了控制节点和至少二个与 所述控制节点相连的子网。
[0069] 本发明实施例提供了一种提高网络安全性的方法,如图1所示,包括:
[0070] 101,所述控制节点获取报警信息。
[0071] 其中,所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址 信息和所述至少两个子网中受到攻击的子网的识别信息。具体的,控制节点可W从子网发 送的化enflow异步消息中获取报警信息。
[0072] 在本实施例中,控制节点可W是网络系统中的控制器、服务器等设备,并且控制节 点可W与网络系统中各个子网的交换机进行通信,例如:如图la所示,在网络系统中作为 控制节点的OpenflowController可W与各个子网1、2、3的OpenflowSwitch进行数据交 互。并且在网络系统中还可W包括诸如IDS(IntrusionDetectionSystem,入侵检测系 统)、网关等实现网络系统的防御功能所需的网元设备。当一个子网的入侵检测防护设备比 如IDS,检测到该一个子网受到攻击时,则入侵检测防护设备可W通知该一个子网的交换机 比如化enflowSwitch。子网的交换机在收到了入侵检测防护设备的通知后,可W收集攻击 源的地址信息比如IP地址、受到攻击的子网的地址信息、子网中受到攻击的各个端口的端 口信息等信息。之后子网的交换机可W将所收集到的信息打包成报警信息发送至网络系统 中的控制器,比如:子网的化enflowSwitch可W将所收集到的攻击源的地址信息比如IP 地址、受到攻击的子网的地址信息、子网中受到攻击的各个端口的端口信息等信息添加进 Openflow异步消息,并将Openflow异步消息发送至网络系统中的OpenflowController。 需要说明的是,子网的交换机可W通过IDS采取DDoS攻击IP追踪及攻击源定位技术等技 术手段获取攻击源的地址信息。
[007引102,所述控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述 攻击源进行排序,并将排序结果作为黑名单。
[0074] 在本实施例中,控制节点可W对子网的交换机发送的报警信息进行分析,并根据 分析结果确定各个攻击源的威胁程度,再对各个攻击源按照威胁程度的由高到低的顺序进 行排序,并将排序结果作为黑名单。
[007引例如庙网络系统中,各个子网重要程度往往并不相同,控制节点可W将指定时间 段内攻击源针对重要子网的攻击次数作为评判威胁程度的一种评判标准,控制节点可W由 各个子网的交换机所上报的报警信息,统计出在一定的时间段内,某一个攻击源针对重要 子网的攻击次数,比如:网络系统是一个运营商的数据中也网络,在数据中也网络中包括了 子网1、子网2和子网3该H个子网。其中子网3提供了肥B服务、Email服务等业务,涉 及运营商的商业利益的,而子网1和子网2则主要用来测试,并不涉及太多运营商的商业利 益。因此子网3的重要程度高于子网1和子网2。在1个小时内,子网1的交换机向控制节 点上报了 10次报警信息,并且在其中的9个报警信息包括了攻击源A的地址信息,其中的 4个报警信息包括了攻击源B的地址信息,其中的1个报警信息包括了攻击源C的地址信 息;子网2的交换机向控制节点上报了 5次报警信息,并且在其中的5个报警信息包括了攻 击源A的地址信息,其中的3个报警信息包括了攻击源B的地址信息,其中的2个报警信息 包括了攻击源C的地址信息;子网3的交换机向控制节点上报了 2次报警信息,并且在其中 的1个报警信息包括了攻击源A的地址信息,其中的2个报警信息包括了攻击源B的地址 信息,其中的没有报警信息包括攻击源C的地址信息;控制节点可W统计出在1个小时内, 攻击源A针对子网3总共实施了攻击了 16次攻击,攻击源B对网络系统中的各个子网总共 实施了攻击了 8次攻击,攻击源C对网络系统中的各个子网总共实施了攻击了 3次攻击,因 此可W得到如表一所示的黑名单
[0076]
【主权项】
1. 一种提高网络安全性的方法,其特征在于,所述网络包括控制节点和与所述控制节 点具有通信连接的至少两个子网,所述方法包括: 所述控制节点获取报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻 击的攻击源的地址信息和所述至