一種面向sdn的入侵防御系統(tǒng)和方法
【技術領域】
[0001]本發(fā)明涉及一種面向SDN的入侵防御系統(tǒng)和方法,屬于計算機網絡與信息安全技術領域。
技術背景
[0002]隨著計算機的飛速發(fā)展和網絡的普及,來自網絡外部和內部的威脅也日益增加,網絡安全問題成為計算機網絡領域不可忽視的關鍵點。為了保障計算機和互聯網的安全,在計算機網絡中引入了防火墻技術。防火墻對于已知的內外網絡行為具有較強的防護能力,但是其對未知攻擊的防范能力不足,存在無法有效進行動態(tài)防護等問題,入侵檢測系統(tǒng)作為防火墻的補充,能夠即時地識別異常網絡行為,實現快速動態(tài)的安全檢測。
[0003]入侵防御系統(tǒng),是一種基于入侵檢測系統(tǒng)的網絡安全設備。它結合動態(tài)入侵檢測與實時威脅阻止,具有較高的安全防護能力,但是也存在一定的缺點。第一:在傳統(tǒng)網絡中,為了保護內部網絡免受威脅,入侵防御系統(tǒng)一般都采用“單點檢測”的方式,即部署在網絡環(huán)境的入/出口,部署位置固定,無法適應網絡拓撲的快速擴展與變化;第二:不同網絡位置以及不同的時段,需要處理的數據量都不同,互不相連的多個入侵防御系統(tǒng)無法實現有效的協同;第三:入侵防御設備價格較貴,如何有效合理部署也成為一個難題。隨著軟件定義網絡(SDN)的發(fā)展,入侵防御系統(tǒng)在新型網絡架構中的檢測與防御能力面臨更大的考驗。
[0004]軟件定義網絡(Software Defined Network, SDN),是由美國斯坦福大學CleanSlate研究組提出的一種新型網絡創(chuàng)新架構。其核心是將網絡設備的控制面與數據面做分離,從而實現了對網絡流量的集中控制,為核心網絡及應用的創(chuàng)新提供了良好的平臺。在這一新型網絡環(huán)境中,集中控制帶來方便的同時,也帶來了大量的不安全因素。攻擊者的攻擊對象越來越集中使攻擊難度降低,且一旦被入侵可能造成“單點失效”,從而使全網崩潰。而本發(fā)明能夠很好地解決上面的問題。
【發(fā)明內容】
[0005]本發(fā)明目的在于解決入侵防御系統(tǒng)的非動態(tài)檢測、“單點檢測”整合系統(tǒng)效率低以及成本高等問題,提出了一種面向SDN的入侵防御系統(tǒng)和方法。該方法結合SDN集中化控制的特征,將入侵防御系統(tǒng)部署在SDN控制器之上,運用虛擬化技術,提高了對網絡入侵的防范防御能力,在SDN環(huán)境中實現了一種靈活的入侵防御方案。本發(fā)明模型對經過交換機上的所有信息,通過分片技術處理,動態(tài)的交給若干結點進行檢測,結合控制器策略,實現入侵防御功能。
[0006]本發(fā)明解決其技術問題所采取的技術方案是:本發(fā)明的系統(tǒng)包括三個模塊,分別是:分片器模塊、檢測模塊和入侵防御控制器模塊。
[0007]分片器模塊,相當于交換機與檢測模塊之間的透明代理,將交換機上大量的數據按照一定的分片規(guī)則細分成若干片,傳送給檢測模塊。
[0008]檢測模塊,會產生與分片器產生的流量片數量一致的檢測結點。每個檢測結點由三部分組成:收集器,分析器,決策器。收集器主要是對接收到的數據包進行收集整理和記錄。分析器主要工作是對數據包進行分析檢測。決策器根據分析器的結果,給出相應策略。
[0009]入侵防御控制器模塊,是用來協調入侵防御系統(tǒng)內部檢測模塊、分片器模塊和外部更高級別控制器應用以及交換機。
[0010]本發(fā)明還提供了一種面向SDN的入侵防御系統(tǒng)的實現方法,該方法包括如下步驟:
[0011]步驟1:流量到達交換機,入侵防御控制器控制所有流量(包括流表)轉發(fā)至入侵防御系統(tǒng);
[0012]步驟2:分片器按照分片策略對收到數據進行分片,生成若干個片(即N個);
[0013]步驟3:入侵防御控制器控制檢測模塊產生相應數量N個檢測結點;
[0014]步驟4:收集器記錄下該檢測結點接收到的數據包摘要信息;
[0015]步驟5:分析器進行檢測,判斷數據是否為可疑流量、惡意流量或者正常流量,并將結果告知決策器;
[0016]步驟6:分析器檢測結果為正常流量,則決策器將數據包交由高級別控制器進行下一步處理;
[0017]步驟7:分析器檢測結果為惡意流量,則決策器通知入侵防御控制器將其丟棄;
[0018]步驟8:分析器檢測結果為非惡意流量,則決策器將其標記為可疑流量,對其標記數加一;
[0019]步驟9:決策器判斷標記數未達到閥值,則將數據包轉發(fā)至高級別控制器;
[0020]步驟10:決策器判斷標記數已經達到閥值,則將數據包轉發(fā)至高級別控制器;
[0021]步驟11:決策器通知入侵防御控制器對標記數已經達閥值的流量進行QoS ;
[0022]步驟12:高級別控制器處理非惡意流量;
[0023]步驟13:交換機根據處理結果進行流量轉發(fā)。
[0024]有益效果:
[0025]1、靈活的部署;本發(fā)明設計了入侵防御系統(tǒng),不需要固定在網絡的入/出接口,只需部署在控制器之上,方便而又靈活。
[0026]2、低成本;本發(fā)明不需要像傳統(tǒng)方案那樣為每臺交換機部署一個入侵防御系統(tǒng),多臺交換機可以共用一個入侵防御系統(tǒng),降低了設備的部署成本。
[0027]3、抗干擾;本發(fā)明通過分片技術,提高了數據處理速度,對原有數據轉發(fā)影響較小,保證了流量的正常轉發(fā)。
[0028]4、準確性;本發(fā)明利用DPI等檢測技術和完整的惡意流量特征表,保障了入侵防御系統(tǒng)的準確性。
【附圖說明】
[0029]圖1為本發(fā)明SDN環(huán)境中入侵防御的系統(tǒng)架構圖。
[0030]圖2為本發(fā)明的系統(tǒng)內部結構圖。
[0031]圖3為本發(fā)明的方法流程圖。
【具體實施方式】
[0032]下面結合說明書附圖對本發(fā)明創(chuàng)造作進一步的詳細說明。
[0033]如圖1所示,本發(fā)明提出的入侵防御系統(tǒng)是部署在SDN環(huán)境中的控制器之上。由于每臺交換機與多個控制器相連,所以在一個控制器之上的入侵防御系統(tǒng)負責監(jiān)控多臺交換機,每臺交換機可以被多個入侵防御系統(tǒng)監(jiān)控。同一時刻,存在一個主入侵防御系統(tǒng)和多個從入侵防御系統(tǒng)。初始時,在主控制器上的入侵防御系統(tǒng)是主入侵檢測系統(tǒng),從控制器上的入侵防御系統(tǒng)是從入侵防御系統(tǒng)。
[0034]如圖2所示,本發(fā)明的系統(tǒng)內部包括三個模塊,分別是:分片器模塊、檢測模塊和入侵防御控制器模塊。
[0035]分片器模塊相當于交換機與檢測模塊之間的透明代理。通過將交換機上大量的數據按照一定的分片規(guī)則細分成若干片,再進行檢測分析,解決了海量數據與快速檢測之間的矛盾。本發(fā)明可以將分片規(guī)則定義為(交換機端口,源目IP地址,IP協議,源目UDP或TCP 端口)((switch port, src/dst IP address, IP protocol, src/dst UDP/TCP port)) 0
[0036]檢測模塊的功能是通過大量的檢測節(jié)點對流量進行檢測。檢測模塊會產生與分片器產生的流量片數量一致的檢測結點。每個檢測結點由三部分組成:收集器,分析器,決策器。
[0037]收集器主要是接收到的數據包進行收集整理,為進一步的分析做準備;