一種主動安全防御的方法及裝置制造方法
【專利摘要】本發(fā)明提供了一種主動安全防御的方法和裝置。根據(jù)OpenFlow協(xié)議的特性，在接入的SDN交換機上探測到訪問事件時上報給SDN控制器，SDN控制器通過構造與該訪問事件對應的安全檢測報文，并要求SDN接入交換機發(fā)送給該服務器，根據(jù)SDN接入交換機上報的安全檢測結果，判定接入終端是否安全，如果判定檢測的結果是安全的，則允許接入終端繼續(xù)訪問。否則，則下發(fā)流策略阻斷接入終端訪問對應的業(yè)務，并通知網(wǎng)絡管理員對之進行安全處理。
【專利說明】一種主動安全防御的方法及裝置

【技術領域】
[0001] 本發(fā)明涉及數(shù)據(jù)通信領域，尤其涉及一種在SDN (Software Defined Network,軟 件定義網(wǎng)絡）網(wǎng)絡中主動安全防御的方法及裝置。

【背景技術】
[0002] 隨著網(wǎng)絡技術的發(fā)展，在當今現(xiàn)實的網(wǎng)絡中，存在著大量的服務器、客戶終端等網(wǎng) 絡節(jié)點?，F(xiàn)今運行的網(wǎng)絡經(jīng)常遭受著各種安全事件的影響。例如：當服務器的數(shù)據(jù)庫存在 弱口令，或者機器未打補丁而存在安全漏洞，容易被人破解；客戶終端未打補丁或機器登錄 口令弱等而成為"肉雞"。"肉雞"亦被稱為"傀儡機"，是指可以被黑客遠程控制的機器。它 們通常被黑客攻破或用戶自己不小心種植了木馬，黑客可以隨意操縱它并利用它進行各種 攻擊)，"肉雞"成為網(wǎng)絡攻擊的跳板等，會對網(wǎng)絡的安全造成嚴重的影響，例如會導致數(shù)據(jù) 庫數(shù)據(jù)泄漏，客戶信息被盜取。
[0003] 目前，為了應對這些網(wǎng)絡安全威脅，往往需要通過單獨控制某些服務的訪問權限， 客戶端需要安裝專門的客戶端軟件來提供安全保障。這些措施雖然可以實現(xiàn)相當?shù)陌踩?性，但其缺點是也是非常明顯的。其主要的缺點包括：靈活性非常差，對新增的網(wǎng)絡節(jié)點，或 者網(wǎng)絡節(jié)點發(fā)生了變化時經(jīng)常無法及時響應。


【發(fā)明內(nèi)容】

[0004] 有鑒于此，本發(fā)明提供一種主動安全防御的方法及裝置，以解決現(xiàn)有技術方案中 存在的問題與不足。
[0005] 本發(fā)明是通過如下技術方案實現(xiàn)的：
[0006] 一種主動安全防御的裝置，應用在SDN網(wǎng)絡中，所述SDN網(wǎng)絡中至少包括一個SDN 控制器、一個SDN接入交換機和一個服務器，其中所述裝置包括接收單元、報文構造單元、 安全判定單元以及流策略下發(fā)單元，其中，
[0007] 接收單元，用于接收來自SDN接入交換機探測到訪問服務器的事件，并在接收到 訪問事件后通知報文構造單元；
[0008] 報文構造單元，用于根據(jù)接收單元的通知構造該與訪問事件對應的安全檢測報文 并要求SDN接入交換機發(fā)送給服務器；
[0009] 安全判定單元，用于根據(jù)SDN接入交換機上報的安全檢測結果判定接入終端是否 滿足安全要求，并將判定結果通知流策略下發(fā)單元；
[0010] 流策略下發(fā)單元，用于根據(jù)安全判定單元通知的判定結果，允許或者阻斷接入終 端繼續(xù)訪問。
[0011] 本發(fā)明同時提供一種主動安全防御的方法，應用在SDN網(wǎng)絡中，所述SDN網(wǎng)絡中至 少包括一個SDN控制器、一個SDN接入交換機和一個服務器，其中所述方法包括如下步驟：
[0012] 步驟1、接收來自SDN接入交換機探測到訪問服務器的事件；
[0013] 步驟2、構造與訪問事件對應的安全檢測報文并要求SDN接入交換機發(fā)送給服務 器；
[0014] 步驟3、根據(jù)SDN接入交換機上報的安全檢測結果，判定接入終端是否安全，根據(jù) 判定結果允許或者阻斷接入終端繼續(xù)訪問。
[0015] 與現(xiàn)有的技術相比，本發(fā)明可以有效的解決網(wǎng)絡安全管理過程中部署復雜、靈活 性差的問題，能夠?qū)崿F(xiàn)精確、靈活的網(wǎng)絡安全檢測及控制。并且不需要接入終端安裝專用的 客戶端軟件，同時避免了使用傳統(tǒng)的安全掃描工具進行周期性的安全掃描，實時性差，消耗 較多網(wǎng)絡帶寬、不夠靈活等問題。

【專利附圖】

【附圖說明】
[0016] 圖1是本發(fā)明主動安全防御的裝置結構示示意圖；
[0017] 圖2是本發(fā)明主動安全防御的方法流程示意圖；
[0018] 圖3是某SDN網(wǎng)絡環(huán)境下依據(jù)本發(fā)明實現(xiàn)主動安全防御的示例圖。

【具體實施方式】
[0019] 根據(jù)OpenFlow協(xié)議的特性，在接入的SDN交換機上探測到訪問事件時上報給SDN 控制器，SDN控制器通過構造與該訪問事件對應的安全檢測報文，并要求SDN接入交換機發(fā) 送給該服務器，根據(jù)SDN接入交換機上報的安全檢測結果，判定接入終端是否安全，如果判 定檢測的結果是安全的，則允許接入終端繼續(xù)訪問。否則，則下發(fā)流策略阻斷接入終端訪問 對應的業(yè)務，并通知網(wǎng)絡管理員對之進行安全處理。
[0020] 以軟件實現(xiàn)為例，本發(fā)明提供一種主動安全防御的裝置，應用在SDN網(wǎng)絡中，所述 SDN網(wǎng)絡中至少包括一個SDN網(wǎng)絡控制器、一個SDN網(wǎng)絡交換機和一個服務器。其中該裝置 作為邏輯裝置通常運行在SDN控制器上，作為該邏輯裝置運行的載體，SDN控制器的硬件環(huán) 境通常至少都包括CPU、內(nèi)存以及非易失性存儲器來支持上述邏輯裝置的運行。當然，SDN 控制器可能還包括其他的業(yè)務硬件，由于這些并非為實現(xiàn)本發(fā)明目的的必需組件，在此不 贅述。如圖1所示，本發(fā)明裝置包括：配置單元、接收單元、報文構造單元、安全判定單元以 及流策略下發(fā)單元，其中所述裝置在SDN網(wǎng)絡中主動安全防御的過程如圖2所示：
[0021] 步驟1、接收單元接收來自SDN接入交換機探測到的服務器訪問事件，在接收到訪 問事件后通知報文構造單元。
[0022] 具體地，在SDN網(wǎng)絡環(huán)境下，接入層設備通常采用支持OpenFlow協(xié)議的SDN交換 機，因此可以實現(xiàn)SDN網(wǎng)絡環(huán)境下網(wǎng)絡設備間基本的互通互聯(lián)。在本發(fā)明中，為了實現(xiàn)本發(fā) 明目的，需要通過流策略下發(fā)單元在接入層SDN交換機上下發(fā)流策略規(guī)則，要求SDN交換機 對所有訪問目標服務器的訪問事件上報給接收單元。這樣，一旦用戶訪問目標服務器且得 到了服務器的回應時，接入層SDN交換機就可以根據(jù)其自身維護的流策略規(guī)則將探測到的 該訪問事件的訪問事件通過Packet_In方式上報給接收單元。其中，上報的該訪問事件的 具體內(nèi)容，可以為服務器響應用戶登錄請求的響應報文中攜帶的具體內(nèi)容，例如：服務器的 IP地址、使用的協(xié)議等。
[0023] 舉例如下：假設管理者關心某種類型數(shù)據(jù)庫的訪問安全性，該訪問該類型數(shù)據(jù) 庫的端口號是1433 ;此時其可以通過SDN控制器上流策略下發(fā)單元事先在某SDN接入交 換機上下發(fā)對應的流策略規(guī)則，要求該SDN交換機將目的端口號是1433的響應報文通過 Packet_In上報給接收單元。所述流策略規(guī)則建立后，該SDN交換機就會按照該流策略規(guī)則 對經(jīng)過其轉發(fā)的報文進行匹配，如果按照流策略規(guī)則匹配到了訪問1433端口的響應報文， 則就按照對應的規(guī)則上報給接收單元。
[0024] 步驟2、報文構造單元根據(jù)接收單元的通知，構造與該訪問事件對應的安全檢測報 文并要求SDN接入交換機發(fā)送給服務器。
[0025] 為實現(xiàn)本發(fā)明目的，在本發(fā)明中，網(wǎng)絡管理員需要事先通過配置單元在本發(fā)明裝 置內(nèi)配置好與不同的訪問事件對應的安全檢測報文。具體地，所述安全檢測報文在本發(fā)明 實施中，為網(wǎng)絡管理員事先配置好的與不同訪問事件對應的一些安全檢測的參數(shù)，例如：常 見的弱口令字典、或某種已知漏洞的構造方式等。這樣，當報文構造單元獲知接收單元接 收到訪問事件后，就可以根據(jù)該訪問事件構造與該訪問事件對應的安全檢測報文，并通過 Packet_0ut下發(fā)給對應的SDN接入交換機，并要求SDN交換機在接收到安全檢測報文后，將 該安全檢測報文發(fā)送給服務器。服務器在接收到該安全檢測報文后，根據(jù)該安全檢測報文 中攜帶的信息內(nèi)容回應響應報文。這樣，SDN接入交換機在獲取到安全檢測報文對應的安 全檢測結果后，就可以通過Packet_In上報給安全判定單元。
[0026] 舉例如下：假設管理者關心用戶訪問Sqlserver數(shù)據(jù)庫的安全情況，當本發(fā)明裝 置接收到SDN接入交換機上報的訪問Sqlserver數(shù)據(jù)庫的事件后，報文構造單元將構造相 應的TDS (Tabular Data Stream Protocol,表格數(shù)據(jù)流協(xié)議)請求報文用來發(fā)送給SDN接 入交換機來模擬用戶登錄，其中所述報文中攜帶了目標服務器的IP地址、對應的端口號、 使用的協(xié)議、根據(jù)弱口令字典構造的用戶登錄密碼等。目標服務器在接收到該模擬的TDS 請求報文后，將回復對應的安全檢測結果(登錄成功或者失敗)給SDN接入交換機，SDN接入 交換機在接收到來自服務器的安全檢測響應后，將通過Packet_In上報給安全判定單元。
[0027] 步驟3、安全判定單元根據(jù)SDN接入交換機上報的安全檢測結果，判定接入終端是 否安全，如果是，則進入步驟4,否則轉入步驟5。
[0028] 當安全判定單元接收到SDN接入交換機上報的安全檢測結果，就可以通過該SDN 接入交換機上報的安全檢測結果來判定接入終端是否安全。例如：還是以用戶登錄服務器 上的Sqlserver數(shù)據(jù)庫為例，假設步驟2通過報文構造單元構造的TDS請求報文用來實現(xiàn) 用戶模擬登錄，如果服務器返回的TDS響應報文表明登錄成功，則說明服務器存在弱口令， 這時，通過流策略下發(fā)單元阻斷接入終端繼續(xù)訪問。如果常見口令登錄失敗，說明服務器是 比較安全的，允許接入終端繼續(xù)訪問。
[0029] 步驟4、流策略下發(fā)單元允許接入終端繼續(xù)訪問。
[0030] 如果經(jīng)安全判定單元判定SDN接入交換機上報的安全檢測的結果是滿足安全要 求的，則此時流策略下發(fā)單元允許接入終端訪問服務器上的數(shù)據(jù)庫或者與服務器正常通 信。當然，在本發(fā)明中，也可以根據(jù)預設的安全策略，通過流策略下發(fā)單元進一步下發(fā)規(guī)則 將接入終端訪問的權限限定在預設的資源范圍內(nèi)，但對本領域技術人員應理解，這種限定 并不是必須的，不應對本發(fā)明思想作任何限制。
[0031] 步驟5、流策略下發(fā)單元阻斷接入終端繼續(xù)訪問。
[0032] 如果經(jīng)安全判定單元判定SDN接入交換機上報的安全檢測結果是不滿足安全要 求的，則流策略下發(fā)單元下發(fā)阻斷相關業(yè)務的流規(guī)則給該SDN接入交換機，要求SDN接入交 換機收到終端的此類訪問事件后直接丟棄此類報文(例如下發(fā)的流規(guī)則是：當報文的目的 端口號是1433,則要求SDN接入交換機對應收到此報文的動作是丟棄此報文)。這樣，接入 終端就不再能夠訪問服務器數(shù)據(jù)庫或者與服務器正常通信。同時還將此不滿足安全要求的 訪問事件通知管理員進行相應的安全處理。
[0033] 為了使本領域技術人員更加清楚和明白，以下結合圖3所示的某應用場景下示 例，詳細描述在SDN網(wǎng)絡中依據(jù)本發(fā)明主動安全防御的實現(xiàn)過程。
[0034] 假設在圖3所示的某SDN網(wǎng)絡中，包括有一個SDN控制器（OpenFlow Controller)』個接入層SDN交換機、1個匯聚層SDN交換機以及2個接入終端、兩臺服務 器。進一步假設某臺服務器運行Sqlserver數(shù)據(jù)庫服務，SDN接入交換機監(jiān)聽該服務器1433 端口上數(shù)據(jù)庫連接請求。當沒有人連接該數(shù)據(jù)庫時，系統(tǒng)不做任何限制。一旦有用戶嘗試 連接此服務器的1433端口，并得到了服務器的回應時，SDN接入交換機則會將此連接訪問 事件上報給本發(fā)明裝置接收單元。本發(fā)明接收單元接收到此安全事件后，會通知報文構造 單元構造一個與該訪問事件對應的安全檢測報文，并通過Packet_0ut發(fā)送一個模擬的數(shù) 據(jù)庫連接請求到SDN接入交換機向該服務器請求連接。SDN接入交換機接收到該安全檢測 報文后，將該安全檢測報文發(fā)送給服務器，并根據(jù)服務器返回的響應報文獲取對應的檢測 結果，并通過Packet_In的方式將該檢測結果上報給安全判定單元，如果經(jīng)安全判定單元 判定該服務器數(shù)據(jù)庫存在弱口令等情況，則通知流策略下發(fā)單元將向服務器下發(fā)流策略， 以中斷接入終端對此服務器1433端口的訪問，并通知管理員進行相應的安全處理。
[0035] 與現(xiàn)有的技術相比較，本發(fā)明對于新接入的終端，或新開啟服務的終端，不需專門 配置即可及時檢測并處理，靈活性非常高。并且可以有效的解決網(wǎng)絡安全管理部署復雜，靈 活性差的問題，實現(xiàn)精確、靈活的網(wǎng)絡安全檢測及控制。并且不需要接入終端安裝客戶端軟 件。同時避免了使用傳統(tǒng)的安全掃描工具進行周期性的安全掃描，實時性差，消耗較多網(wǎng)絡 帶寬、不夠靈活等問題。
[0036] 以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精 神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應包含在本發(fā)明保護的范圍之內(nèi)。
【權利要求】
1. 一種主動安全防御的裝置，應用在SDN網(wǎng)絡中，所述SDN網(wǎng)絡中至少包括一個SDN控 制器、一個SDN接入交換機和一個服務器，其中所述裝置包括：接收單元、報文構造單元、安 全判定單元以及流策略下發(fā)單元，其特征在于， 接收單元，用于接收來自SDN接入交換機探測到訪問服務器的事件，并在接收到訪問 事件后通知報文構造單元； 報文構造單元，用于根據(jù)接收單元的通知構造該與訪問事件對應的安全檢測報文并要 求SDN接入交換機發(fā)送給該服務器； 安全判定單元，用于根據(jù)SDN接入交換機上報的安全檢測結果判定接入終端是否滿足 安全要求，并將判定結果通知流策略下發(fā)單元； 流策略下發(fā)單元，用于根據(jù)安全判定單元通知的判定結果，允許或者阻斷接入終端繼 續(xù)訪問。
2. 如權利要求1所述的裝置，其特征在于，所述流策略下發(fā)單元進一步用于事先向SDN 接入交換機下發(fā)安全流策略規(guī)則以要求SDN接入交換機對訪問該服務器的事件上報給接 收單元。
3. 如權利要求1或2所述的裝置，其特征在于，在安全判定單元判定接入終端滿足安全 要求時，所述流策略下發(fā)單元根據(jù)預設的策略，進一步向SDN交換機下發(fā)流策略規(guī)則以將 接入終端訪問的權限限定在預設的資源范圍內(nèi)。
4. 如權利要求1所述的裝置，其特征在于，所述裝置進一步包括有配置單元，所述報文 構造單元根據(jù)不同訪問事件構造對應的安全檢測報文，具體是通過網(wǎng)絡管理員在配置單元 事先配置好需要檢測的安全參數(shù)來實現(xiàn)的。
5. -種主動安全防御的方法，應用在SDN網(wǎng)絡中，所述SDN網(wǎng)絡中至少包括一個SDN控 制器、一個SDN接入交換機和一個服務器，其特征在于，所述方法包括如下步驟： 步驟1、接收來自SDN接入交換機探測到訪問服務器的事件； 步驟2、構造與訪問事件對應的安全檢測報文并要求SDN接入交換機發(fā)送給服務器； 步驟3、根據(jù)SDN接入交換機上報的安全檢測結果，判定接入終端是否安全，根據(jù)判定 結果允許或者阻斷接入終端繼續(xù)訪問。
6. 如權利要求5所述的方法，其特征在于，在所述步驟1之前，所述SDN控制器需要事 先向SDN接入交換機下發(fā)流策略規(guī)則，要求SDN接入交換機對訪問服務器的事件上報。
7. 如權利要求5或6所述的方法，其特征在于，在所述步驟3中當判定接入終端滿足安 全要求時，所述SDN控制器根據(jù)預定的策略，進一步下發(fā)規(guī)則將接入終端訪問的權限限定 在預設的資源范圍內(nèi)。
8. 如權利要求5所述的方法，其特征在于，所述步驟2根據(jù)不同訪問事件構造對應的 安全檢測報文，具體是通過網(wǎng)絡管理員在配置單元事先配置好需要檢測的安全參數(shù)來實現(xiàn) 的。
【文檔編號】H04L29/06GK104219218SQ201310222656
【公開日】2014年12月17日 申請日期:2013年6月4日 優(yōu)先權日:2013年6月4日
【發(fā)明者】計光 申請人:杭州華三通信技術有限公司