基于sdn的實(shí)現(xiàn)異常流量攔截的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種基于SDN的實(shí)現(xiàn)異常流量攔截的方 法。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)開放性、自由度越來越高,網(wǎng)絡(luò)安全的重要性也隨之 日趨凸顯,目前的安全解決方案多以安全防御技術(shù)(如防火墻系統(tǒng))和入侵檢測技術(shù)(如 入侵檢測系統(tǒng),入侵防御系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、惡意代碼監(jiān)測系統(tǒng)等)為 主,通過安全防御技術(shù)阻止非法用戶進(jìn)入網(wǎng)絡(luò),減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),通過檢測技術(shù)實(shí)施監(jiān) 控和檢測網(wǎng)絡(luò)異?;蚬粜袨?,然而現(xiàn)有的安全手段雖然在一定程度上解決了網(wǎng)絡(luò)和設(shè)備 的安全問題,但都存在一定的缺陷,比如傳統(tǒng)的防火墻部署于網(wǎng)絡(luò)邊緣,旨在拒絕那些明顯 可疑的外部網(wǎng)絡(luò)流量,但仍然允許某些偽裝成正常流量的入侵行為通過,況且并非所有威 脅都來自外部,因此,防火墻對(duì)于很多攻擊尤其內(nèi)部網(wǎng)絡(luò)間的攻擊仍然無計(jì)可施。
[0003] 旁路部署的檢測系統(tǒng)可以及時(shí)發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為,但無法實(shí)時(shí) 地對(duì)可疑報(bào)文進(jìn)行攔截或攔截效果不理想,絕大多數(shù)入侵檢測系統(tǒng)均為被動(dòng)的。
[0004] 因此,迫切需要一種有效的方案,在檢測到異常后,能快速有效的對(duì)異常流量或應(yīng) 用進(jìn)行攔截?cái)r截。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的實(shí)施例提供了一種基于SDN(SoftwareDefinedNetwork,軟件定義網(wǎng) 絡(luò))控制器的實(shí)現(xiàn)異常流量攔截的方法,以有效、靈活地對(duì)網(wǎng)絡(luò)異常流量或攻擊進(jìn)行攔截。
[0006] 根據(jù)本發(fā)明的一方面,提供了一種基于SDN的實(shí)現(xiàn)異常流量攔截的方法,包括:
[0007] 提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常流量特征信息制定出相應(yīng)的流量 攔截策略,將所述異常流量特征信息、流量攔截策略發(fā)送到SDN控制器;
[0008] 所述SDN控制器根據(jù)所述異常流量特征信息、流量攔截策略生成轉(zhuǎn)發(fā)設(shè)備的流量 攔截匹配表項(xiàng),將所述流量攔截匹配表項(xiàng)發(fā)送給所述SDN轉(zhuǎn)發(fā)設(shè)備;
[0009] 所述SDN轉(zhuǎn)發(fā)設(shè)備將接收到的待轉(zhuǎn)發(fā)數(shù)據(jù)包的特征信息和所述流量攔截匹配表 項(xiàng)進(jìn)行匹配,在匹配成功后,按照所述流量攔截匹配表項(xiàng)對(duì)所述待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行攔截處 理。
[0010] 優(yōu)選地,所述的將所述異常流量特征信息、流量攔截策略發(fā)送到SDN控制器之前, 還包括:
[0011] 在傳統(tǒng)網(wǎng)絡(luò)入口處設(shè)置SDN轉(zhuǎn)發(fā)設(shè)備,該SDN轉(zhuǎn)發(fā)設(shè)備通過0FP協(xié)議與所述SDN 控制器進(jìn)行通信;
[0012] 或者,
[0013] 在傳統(tǒng)網(wǎng)絡(luò)內(nèi)部的不同轉(zhuǎn)發(fā)設(shè)備之間的轉(zhuǎn)發(fā)路徑上設(shè)置SDN轉(zhuǎn)發(fā)設(shè)備,該SDN轉(zhuǎn) 發(fā)設(shè)備通過0FP協(xié)議與所述SDN控制器進(jìn)行通信;
[0014] 或者,
[0015] 利用現(xiàn)有SDN網(wǎng)絡(luò)中SDN控制器和SDN轉(zhuǎn)發(fā)設(shè)備,所述SDN轉(zhuǎn)發(fā)設(shè)備通過OFP協(xié) 議與所述SDN控制器進(jìn)行通信。
[0016] 優(yōu)選地,所述的提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常流量特征信息制 定出相應(yīng)的流量攔截策略,將所述異常流量特征信息、流量攔截策略發(fā)送到SDN控制器,包 括:
[0017] 在網(wǎng)絡(luò)中設(shè)置網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)和異常流量攔截系統(tǒng),所述異常流量攔截系統(tǒng)包 括:流量攔截接口模塊、所述SDN控制器和所述SDN轉(zhuǎn)發(fā)設(shè)備;
[0018] 網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)檢測到網(wǎng)絡(luò)中的流量傳輸出現(xiàn)異常情況后,將異常情況信息發(fā) 送給異常流量攔截系統(tǒng),所述異常流量攔截系統(tǒng)中的流量攔截接口模塊接收到所述異常情 況信息后,根據(jù)異常情況信息提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常流量特征信 息制定出相應(yīng)的流量攔截策略;
[0019] 所述流量攔截接口模塊通過應(yīng)用程序編程接口API將所述異常流量特征信息、流 量攔截策略傳輸給所述SDN控制器。
[0020] 優(yōu)選地,所述的SDN控制器根據(jù)所述異常流量特征信息、流量攔截策略生成轉(zhuǎn)發(fā) 設(shè)備的流量攔截匹配表項(xiàng),將所述流量攔截匹配表項(xiàng)發(fā)送給所述SDN轉(zhuǎn)發(fā)設(shè)備,包括:
[0021] SDN控制器根據(jù)接收到的異常流量特征、流量攔截策略和每個(gè)SDN轉(zhuǎn)發(fā)設(shè)備的配 置信息,生成每個(gè)SDN轉(zhuǎn)發(fā)設(shè)備對(duì)應(yīng)的流量攔截匹配表項(xiàng),所述流量攔截匹配表項(xiàng)中包括 需要攔截的數(shù)據(jù)包特征信息和流量攔截策略,通過0FP協(xié)議將攜帶所述流量攔截匹配表項(xiàng) 的0FP協(xié)議包發(fā)送至對(duì)應(yīng)的SDN轉(zhuǎn)發(fā)設(shè)備;
[0022] 所述SDN轉(zhuǎn)發(fā)設(shè)備接收到所述SDN控制器發(fā)送過來的攜帶所述流量攔截匹配表項(xiàng) 的0FP協(xié)議包后,驗(yàn)證所述0FP協(xié)議包中包含的設(shè)備標(biāo)識(shí)和SDN轉(zhuǎn)發(fā)設(shè)備自身的標(biāo)識(shí)一致 后,將所述流量攔截匹配表項(xiàng)進(jìn)行存儲(chǔ)。
[0023] 優(yōu)選地,所述的數(shù)據(jù)包特征信息包括但不限于端口,VLANID,源IP,目的IP,源 MAC,目的MAC,以太類型,TCP/UDP端口信息中的至少一項(xiàng),所述流量攔截策略包括丟棄或 者改變轉(zhuǎn)發(fā)路徑。
[0024] 優(yōu)選地,所述的SDN轉(zhuǎn)發(fā)設(shè)備將接收到的待轉(zhuǎn)發(fā)數(shù)據(jù)包的特征信息和所述流量攔 截匹配表項(xiàng)進(jìn)行匹配,在匹配成功后,按照所述流量攔截匹配表項(xiàng)對(duì)所述待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn) 行攔截處理,包括:
[0025] SDN轉(zhuǎn)發(fā)設(shè)備接收到待轉(zhuǎn)發(fā)的數(shù)據(jù)包后,提取所述數(shù)據(jù)包的數(shù)據(jù)包特征信息,將提 取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的各個(gè)數(shù)據(jù)包特征信息進(jìn)行一一進(jìn) 行匹配;
[0026] 當(dāng)提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的某個(gè)數(shù)據(jù)包特征信 息匹配后,根據(jù)所述流量攔截匹配表項(xiàng)中包括的所述某個(gè)數(shù)據(jù)包特征信息對(duì)應(yīng)的流量攔截 策略,對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行攔截處理;
[0027] 當(dāng)提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的所有數(shù)據(jù)包特征信 息的都不匹配后,按照原有轉(zhuǎn)發(fā)規(guī)則對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。
[0028] 根據(jù)本發(fā)明的另一方面,提供了一種基于SDN的實(shí)現(xiàn)異常流量攔截的系統(tǒng),包括: 流量攔截接口模塊、SDN控制器和SDN轉(zhuǎn)發(fā)設(shè)備;
[0029] 所述的流量攔截接口模塊,用于提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常 流量特征信息制定出相應(yīng)的流量攔截策略,將所述異常流量特征信息、流量攔截策略發(fā)送 到SDN控制器;
[0030] 所述的SDN控制器,用于根據(jù)所述異常流量特征信息、流量攔截策略生成轉(zhuǎn)發(fā)設(shè) 備的流量攔截匹配表項(xiàng),將所述流量攔截匹配表項(xiàng)發(fā)送給所述SDN轉(zhuǎn)發(fā)設(shè)備;
[0031] 所述SDN轉(zhuǎn)發(fā)設(shè)備,用于將接收到的待轉(zhuǎn)發(fā)數(shù)據(jù)包的特征信息和所述流量攔截匹 配表項(xiàng)進(jìn)行匹配,在匹配成功后,按照所述流量攔截匹配表項(xiàng)對(duì)所述待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行攔 截處理。
[0032] 優(yōu)選地,所述SDN轉(zhuǎn)發(fā)設(shè)備設(shè)置在傳統(tǒng)網(wǎng)絡(luò)的入口處,該SDN轉(zhuǎn)發(fā)設(shè)備通過OFP協(xié) 議與所述SDN控制器進(jìn)行通信;或者,所述SDN轉(zhuǎn)發(fā)設(shè)備設(shè)置在傳統(tǒng)網(wǎng)絡(luò)內(nèi)部的不同轉(zhuǎn)發(fā)設(shè) 備之間,該SDN轉(zhuǎn)發(fā)設(shè)備通過OFP協(xié)議與所述SDN控制器進(jìn)行通信;或者,利用現(xiàn)有SDN網(wǎng) 絡(luò)中的SDN控制器和SDN轉(zhuǎn)發(fā)設(shè)備,所述SDN轉(zhuǎn)發(fā)設(shè)備通過OFP協(xié)議與所述SDN控制器進(jìn) 行通信。
[0033] 優(yōu)選地,所述的系統(tǒng)還包括:網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),所述流量攔截接口模塊、SDN控 制器和SDN轉(zhuǎn)發(fā)設(shè)備組成異常流量攔截系統(tǒng);
[0034] 所述的網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),用于檢測到網(wǎng)絡(luò)中的流量傳輸出現(xiàn)異常情況后,將異 常情況信息發(fā)送給異常流量攔截系統(tǒng);
[0035] 所述的流量攔截接口模塊,用于和所述SDN控制器連接,接收到所述異常情況信 息后,根據(jù)異常情況信息提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常流量特征信息制 定出相應(yīng)的流量攔截策略,通過應(yīng)用程序編程接口API將所述異常流量特征信息、流量攔 截策略傳輸給所述SDN控制器。
[0036] 優(yōu)選地,所述的SDN控制器,用于根據(jù)接收到的異常流量特征、流量攔截策略和每 個(gè)SDN轉(zhuǎn)發(fā)設(shè)備的配置信息,生成每個(gè)SDN轉(zhuǎn)發(fā)設(shè)備對(duì)應(yīng)的流量攔截匹配表項(xiàng),所述流量攔 截匹配表項(xiàng)中包括需要攔截的數(shù)據(jù)包特征信息和流量攔截策略,通過OFP協(xié)議將攜帶所述 流量攔截匹配表項(xiàng)的OFP協(xié)議包發(fā)送至對(duì)應(yīng)的SDN轉(zhuǎn)發(fā)設(shè)備;
[0037] 所述的SDN轉(zhuǎn)發(fā)設(shè)備,用于接收到所述SDN控制器發(fā)送過來的攜帶所述流量攔截 匹配表項(xiàng)的OFP協(xié)議包后,驗(yàn)證所述OFP協(xié)議包中包含的設(shè)備標(biāo)識(shí)和SDN轉(zhuǎn)發(fā)設(shè)備自身的 標(biāo)識(shí)一致后,將所述流量攔截匹配表項(xiàng)進(jìn)行存儲(chǔ)。
[0038] 優(yōu)選地,所述的SDN轉(zhuǎn)發(fā)設(shè)備,用于接收到待轉(zhuǎn)發(fā)的數(shù)據(jù)包后,提取所述數(shù)據(jù)包的 數(shù)據(jù)包特征信息,將提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的各個(gè)數(shù)據(jù)包 特征信息進(jìn)行一一進(jìn)行匹配;
[0039] 當(dāng)提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的某個(gè)數(shù)據(jù)包特征信 息匹配后,根據(jù)所述流量攔截匹配表項(xiàng)中包括的所述某個(gè)數(shù)據(jù)包特征信息對(duì)應(yīng)的流量攔截 策略,對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行攔截處理;
[0040] 當(dāng)提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的所有數(shù)據(jù)包特征信 息的都不匹配后,