国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于sdn的實(shí)現(xiàn)異常流量攔截的方法

      文檔序號(hào):8365452閱讀:1004來源:國知局
      基于sdn的實(shí)現(xiàn)異常流量攔截的方法
      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種基于SDN的實(shí)現(xiàn)異常流量攔截的方 法。
      【背景技術(shù)】
      [0002] 隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)開放性、自由度越來越高,網(wǎng)絡(luò)安全的重要性也隨之 日趨凸顯,目前的安全解決方案多以安全防御技術(shù)(如防火墻系統(tǒng))和入侵檢測技術(shù)(如 入侵檢測系統(tǒng),入侵防御系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、惡意代碼監(jiān)測系統(tǒng)等)為 主,通過安全防御技術(shù)阻止非法用戶進(jìn)入網(wǎng)絡(luò),減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),通過檢測技術(shù)實(shí)施監(jiān) 控和檢測網(wǎng)絡(luò)異?;蚬粜袨?,然而現(xiàn)有的安全手段雖然在一定程度上解決了網(wǎng)絡(luò)和設(shè)備 的安全問題,但都存在一定的缺陷,比如傳統(tǒng)的防火墻部署于網(wǎng)絡(luò)邊緣,旨在拒絕那些明顯 可疑的外部網(wǎng)絡(luò)流量,但仍然允許某些偽裝成正常流量的入侵行為通過,況且并非所有威 脅都來自外部,因此,防火墻對(duì)于很多攻擊尤其內(nèi)部網(wǎng)絡(luò)間的攻擊仍然無計(jì)可施。
      [0003] 旁路部署的檢測系統(tǒng)可以及時(shí)發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為,但無法實(shí)時(shí) 地對(duì)可疑報(bào)文進(jìn)行攔截或攔截效果不理想,絕大多數(shù)入侵檢測系統(tǒng)均為被動(dòng)的。
      [0004] 因此,迫切需要一種有效的方案,在檢測到異常后,能快速有效的對(duì)異常流量或應(yīng) 用進(jìn)行攔截?cái)r截。

      【發(fā)明內(nèi)容】

      [0005] 本發(fā)明的實(shí)施例提供了一種基于SDN(SoftwareDefinedNetwork,軟件定義網(wǎng) 絡(luò))控制器的實(shí)現(xiàn)異常流量攔截的方法,以有效、靈活地對(duì)網(wǎng)絡(luò)異常流量或攻擊進(jìn)行攔截。
      [0006] 根據(jù)本發(fā)明的一方面,提供了一種基于SDN的實(shí)現(xiàn)異常流量攔截的方法,包括:
      [0007] 提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常流量特征信息制定出相應(yīng)的流量 攔截策略,將所述異常流量特征信息、流量攔截策略發(fā)送到SDN控制器;
      [0008] 所述SDN控制器根據(jù)所述異常流量特征信息、流量攔截策略生成轉(zhuǎn)發(fā)設(shè)備的流量 攔截匹配表項(xiàng),將所述流量攔截匹配表項(xiàng)發(fā)送給所述SDN轉(zhuǎn)發(fā)設(shè)備;
      [0009] 所述SDN轉(zhuǎn)發(fā)設(shè)備將接收到的待轉(zhuǎn)發(fā)數(shù)據(jù)包的特征信息和所述流量攔截匹配表 項(xiàng)進(jìn)行匹配,在匹配成功后,按照所述流量攔截匹配表項(xiàng)對(duì)所述待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行攔截處 理。
      [0010] 優(yōu)選地,所述的將所述異常流量特征信息、流量攔截策略發(fā)送到SDN控制器之前, 還包括:
      [0011] 在傳統(tǒng)網(wǎng)絡(luò)入口處設(shè)置SDN轉(zhuǎn)發(fā)設(shè)備,該SDN轉(zhuǎn)發(fā)設(shè)備通過0FP協(xié)議與所述SDN 控制器進(jìn)行通信;
      [0012] 或者,
      [0013] 在傳統(tǒng)網(wǎng)絡(luò)內(nèi)部的不同轉(zhuǎn)發(fā)設(shè)備之間的轉(zhuǎn)發(fā)路徑上設(shè)置SDN轉(zhuǎn)發(fā)設(shè)備,該SDN轉(zhuǎn) 發(fā)設(shè)備通過0FP協(xié)議與所述SDN控制器進(jìn)行通信;
      [0014] 或者,
      [0015] 利用現(xiàn)有SDN網(wǎng)絡(luò)中SDN控制器和SDN轉(zhuǎn)發(fā)設(shè)備,所述SDN轉(zhuǎn)發(fā)設(shè)備通過OFP協(xié) 議與所述SDN控制器進(jìn)行通信。
      [0016] 優(yōu)選地,所述的提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常流量特征信息制 定出相應(yīng)的流量攔截策略,將所述異常流量特征信息、流量攔截策略發(fā)送到SDN控制器,包 括:
      [0017] 在網(wǎng)絡(luò)中設(shè)置網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)和異常流量攔截系統(tǒng),所述異常流量攔截系統(tǒng)包 括:流量攔截接口模塊、所述SDN控制器和所述SDN轉(zhuǎn)發(fā)設(shè)備;
      [0018] 網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)檢測到網(wǎng)絡(luò)中的流量傳輸出現(xiàn)異常情況后,將異常情況信息發(fā) 送給異常流量攔截系統(tǒng),所述異常流量攔截系統(tǒng)中的流量攔截接口模塊接收到所述異常情 況信息后,根據(jù)異常情況信息提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常流量特征信 息制定出相應(yīng)的流量攔截策略;
      [0019] 所述流量攔截接口模塊通過應(yīng)用程序編程接口API將所述異常流量特征信息、流 量攔截策略傳輸給所述SDN控制器。
      [0020] 優(yōu)選地,所述的SDN控制器根據(jù)所述異常流量特征信息、流量攔截策略生成轉(zhuǎn)發(fā) 設(shè)備的流量攔截匹配表項(xiàng),將所述流量攔截匹配表項(xiàng)發(fā)送給所述SDN轉(zhuǎn)發(fā)設(shè)備,包括:
      [0021] SDN控制器根據(jù)接收到的異常流量特征、流量攔截策略和每個(gè)SDN轉(zhuǎn)發(fā)設(shè)備的配 置信息,生成每個(gè)SDN轉(zhuǎn)發(fā)設(shè)備對(duì)應(yīng)的流量攔截匹配表項(xiàng),所述流量攔截匹配表項(xiàng)中包括 需要攔截的數(shù)據(jù)包特征信息和流量攔截策略,通過0FP協(xié)議將攜帶所述流量攔截匹配表項(xiàng) 的0FP協(xié)議包發(fā)送至對(duì)應(yīng)的SDN轉(zhuǎn)發(fā)設(shè)備;
      [0022] 所述SDN轉(zhuǎn)發(fā)設(shè)備接收到所述SDN控制器發(fā)送過來的攜帶所述流量攔截匹配表項(xiàng) 的0FP協(xié)議包后,驗(yàn)證所述0FP協(xié)議包中包含的設(shè)備標(biāo)識(shí)和SDN轉(zhuǎn)發(fā)設(shè)備自身的標(biāo)識(shí)一致 后,將所述流量攔截匹配表項(xiàng)進(jìn)行存儲(chǔ)。
      [0023] 優(yōu)選地,所述的數(shù)據(jù)包特征信息包括但不限于端口,VLANID,源IP,目的IP,源 MAC,目的MAC,以太類型,TCP/UDP端口信息中的至少一項(xiàng),所述流量攔截策略包括丟棄或 者改變轉(zhuǎn)發(fā)路徑。
      [0024] 優(yōu)選地,所述的SDN轉(zhuǎn)發(fā)設(shè)備將接收到的待轉(zhuǎn)發(fā)數(shù)據(jù)包的特征信息和所述流量攔 截匹配表項(xiàng)進(jìn)行匹配,在匹配成功后,按照所述流量攔截匹配表項(xiàng)對(duì)所述待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn) 行攔截處理,包括:
      [0025] SDN轉(zhuǎn)發(fā)設(shè)備接收到待轉(zhuǎn)發(fā)的數(shù)據(jù)包后,提取所述數(shù)據(jù)包的數(shù)據(jù)包特征信息,將提 取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的各個(gè)數(shù)據(jù)包特征信息進(jìn)行一一進(jìn) 行匹配;
      [0026] 當(dāng)提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的某個(gè)數(shù)據(jù)包特征信 息匹配后,根據(jù)所述流量攔截匹配表項(xiàng)中包括的所述某個(gè)數(shù)據(jù)包特征信息對(duì)應(yīng)的流量攔截 策略,對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行攔截處理;
      [0027] 當(dāng)提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的所有數(shù)據(jù)包特征信 息的都不匹配后,按照原有轉(zhuǎn)發(fā)規(guī)則對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。
      [0028] 根據(jù)本發(fā)明的另一方面,提供了一種基于SDN的實(shí)現(xiàn)異常流量攔截的系統(tǒng),包括: 流量攔截接口模塊、SDN控制器和SDN轉(zhuǎn)發(fā)設(shè)備;
      [0029] 所述的流量攔截接口模塊,用于提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常 流量特征信息制定出相應(yīng)的流量攔截策略,將所述異常流量特征信息、流量攔截策略發(fā)送 到SDN控制器;
      [0030] 所述的SDN控制器,用于根據(jù)所述異常流量特征信息、流量攔截策略生成轉(zhuǎn)發(fā)設(shè) 備的流量攔截匹配表項(xiàng),將所述流量攔截匹配表項(xiàng)發(fā)送給所述SDN轉(zhuǎn)發(fā)設(shè)備;
      [0031] 所述SDN轉(zhuǎn)發(fā)設(shè)備,用于將接收到的待轉(zhuǎn)發(fā)數(shù)據(jù)包的特征信息和所述流量攔截匹 配表項(xiàng)進(jìn)行匹配,在匹配成功后,按照所述流量攔截匹配表項(xiàng)對(duì)所述待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行攔 截處理。
      [0032] 優(yōu)選地,所述SDN轉(zhuǎn)發(fā)設(shè)備設(shè)置在傳統(tǒng)網(wǎng)絡(luò)的入口處,該SDN轉(zhuǎn)發(fā)設(shè)備通過OFP協(xié) 議與所述SDN控制器進(jìn)行通信;或者,所述SDN轉(zhuǎn)發(fā)設(shè)備設(shè)置在傳統(tǒng)網(wǎng)絡(luò)內(nèi)部的不同轉(zhuǎn)發(fā)設(shè) 備之間,該SDN轉(zhuǎn)發(fā)設(shè)備通過OFP協(xié)議與所述SDN控制器進(jìn)行通信;或者,利用現(xiàn)有SDN網(wǎng) 絡(luò)中的SDN控制器和SDN轉(zhuǎn)發(fā)設(shè)備,所述SDN轉(zhuǎn)發(fā)設(shè)備通過OFP協(xié)議與所述SDN控制器進(jìn) 行通信。
      [0033] 優(yōu)選地,所述的系統(tǒng)還包括:網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),所述流量攔截接口模塊、SDN控 制器和SDN轉(zhuǎn)發(fā)設(shè)備組成異常流量攔截系統(tǒng);
      [0034] 所述的網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),用于檢測到網(wǎng)絡(luò)中的流量傳輸出現(xiàn)異常情況后,將異 常情況信息發(fā)送給異常流量攔截系統(tǒng);
      [0035] 所述的流量攔截接口模塊,用于和所述SDN控制器連接,接收到所述異常情況信 息后,根據(jù)異常情況信息提取網(wǎng)絡(luò)中的異常流量特征信息,根據(jù)所述異常流量特征信息制 定出相應(yīng)的流量攔截策略,通過應(yīng)用程序編程接口API將所述異常流量特征信息、流量攔 截策略傳輸給所述SDN控制器。
      [0036] 優(yōu)選地,所述的SDN控制器,用于根據(jù)接收到的異常流量特征、流量攔截策略和每 個(gè)SDN轉(zhuǎn)發(fā)設(shè)備的配置信息,生成每個(gè)SDN轉(zhuǎn)發(fā)設(shè)備對(duì)應(yīng)的流量攔截匹配表項(xiàng),所述流量攔 截匹配表項(xiàng)中包括需要攔截的數(shù)據(jù)包特征信息和流量攔截策略,通過OFP協(xié)議將攜帶所述 流量攔截匹配表項(xiàng)的OFP協(xié)議包發(fā)送至對(duì)應(yīng)的SDN轉(zhuǎn)發(fā)設(shè)備;
      [0037] 所述的SDN轉(zhuǎn)發(fā)設(shè)備,用于接收到所述SDN控制器發(fā)送過來的攜帶所述流量攔截 匹配表項(xiàng)的OFP協(xié)議包后,驗(yàn)證所述OFP協(xié)議包中包含的設(shè)備標(biāo)識(shí)和SDN轉(zhuǎn)發(fā)設(shè)備自身的 標(biāo)識(shí)一致后,將所述流量攔截匹配表項(xiàng)進(jìn)行存儲(chǔ)。
      [0038] 優(yōu)選地,所述的SDN轉(zhuǎn)發(fā)設(shè)備,用于接收到待轉(zhuǎn)發(fā)的數(shù)據(jù)包后,提取所述數(shù)據(jù)包的 數(shù)據(jù)包特征信息,將提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的各個(gè)數(shù)據(jù)包 特征信息進(jìn)行一一進(jìn)行匹配;
      [0039] 當(dāng)提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的某個(gè)數(shù)據(jù)包特征信 息匹配后,根據(jù)所述流量攔截匹配表項(xiàng)中包括的所述某個(gè)數(shù)據(jù)包特征信息對(duì)應(yīng)的流量攔截 策略,對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行攔截處理;
      [0040] 當(dāng)提取的數(shù)據(jù)包特征信息和所述流量攔截匹配表項(xiàng)中包括的所有數(shù)據(jù)包特征信 息的都不匹配后,
      當(dāng)前第1頁1 2 3 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1