本发明专利技术公开了一种基于软件定义网络的协同防御策略和系统,涉及网络安全领域。所述防御系统骨架由多台网络节点控制器组成,各个控制器之间采用TCP/IP协议通信。控制器控制自己所管辖网络的安全防御规则和策略,同时将其中部分需要协同防御的策略传递到其他控制器,请求协同防御。控制器上搭载的系统构架分为4个模块:服务器模块负责接收用户所提交的安全防御请求;分析器模块负责将用户的安全请求转化为网络防御规则;数据库模块采用分布式存储技术,将分析器模块生成的规则存储起来并且分散到网络集群的各个地方,供控制器从中提取规则;POX模块则是网络的主要节点,从数据库提取规则并转换为流规则,发送到交换机来控制网络的主要行为。
【技术实现步骤摘要】
本专利技术属于计算机网络安全领域的网络流量控制体系和策略,涉及到软件定义网络(SDN)环境下的网络流量安全体系和策略。
技术介绍
网络安全是计算机学科中的一个很热门的研究方向,尤其是在现如今的大数据时代,网络安全的重要性更是不言而喻。在众多的安全威胁当中,DDoS毫无疑问是一种攻击频率高、门槛低、危害大的网络攻击方式,也因为其采取的各种各样的攻击方式,导致了这种攻击易检测却难以被防御。据网络安全公司ArborNetworks去年的报告显示,2014年上半年全球DDoS大型攻击次数较过去更为频繁。根据ArborNetworks安全报告ATLAS的数据,2014年仅是第二季度共发生111次流量超过100Gbps的攻击,而整个上半年,流量超过20Gbps的攻击次数更多达5733次,比2013年全年2573次的两倍还多。面对如此严峻的网络安全形势,如何有效地防御DDoS流量对于重要服务器和网络设备的攻击成为了急需解决的问题。软件定义网络(SDN)是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。利用这项新技术,网络的灵活性和耦合性可以极大地提高。在DDoS的攻击中,往往拥有较强的负载能力和过滤能力的网络设备无法有效地检测和定位攻击流量,比如网络运营商,他们拥有强大的负载能力却无法判断经过自身的流量是否为正常流量;而另一方面,网络中的需要面向应用的服务器端可以很好地判断自己是否受到了流量攻击,但是由于自身设备的局限性,不能很好地隔断攻击。因此,本领域的技术人员致力于开发一种基于软件定义网络的网络协同防御系统,利用SDN网络的高耦合性,采取协同防御的策略,就可以充分发挥两方的特点,最大化地过滤或迁移DDoS攻击流量,从而更好地解决问题。
技术实现思路
本专利技术基于以上在网络流量攻击的防御问题和SDN网络的优越特性,解决的是网络中较强的负载能力和过滤能力的网络设备无法有效地检测和定位攻击流量的问题。为了实现上述目的本专利技术提出了一种网络协同防御系统,所述网络协同防御系统是基于软件定义网络的,顶层采用骨干节点控制器,所述骨干节点控制器间形成一个网络;所述网络协同防御系统利用对等的所述骨干节点控制器对不同的网络进行控制,同时通过路由算法在不同的所述骨干节点控制器之间进行网络安全策略的协同和规则的远程部署。进一步地,每个所述骨干节点控制器下采用层级的控制器部署。进一步地,每个所述骨干节点控制器都不是网络中的主要流量节点,网络流量仍然通过原来的流量转发设备进行交换,大量的用户网络流量不需要经过骨干节点控制器。每个所述骨干节点控制器都管辖网络中部分的流量转发设备。骨干节点控制器只负责接收用户的请求,处理之后形成相对应的流量规则,并将规则部署到所管辖的流量转发设备。进一步地,所述骨干节点控制器之间采用安全协议的方式通信。进一步地,对于新增的用户(subscriber),通过认证机制,保证其与其上层的普通控制器之间可以相互信任,所述认证机制包括步骤如下:步骤(202.2)新用户发送给负责控制网络的所述普通控制器一个认证包,作为所述新节点加入网络的凭证,所述认证包包含所述新节点当前的地址信息;步骤(202.3)上层的普通控制器接收所述认证包并确认之后,将控制器公钥发送给所述新节点,同时发送一个随机的序列号K;步骤(202.4)所述新节点接收到所述普通控制器发送的公钥之后,再使用所述的普通控制器公钥来加密客户端的公钥,将所述客户端公钥发送回所述的普通控制器,同时返回K+1。进一步地,所述网络安全策略的规则采用分布式存储。进一步地,所述路由算法利用邻接关节点算法在软件定义网络中的寻找流量的关键位置。进一步地,所述所有控制器模块包括:服务器模块,被配置为接收客户端所提交的安全防御请求;分析器模块,被配置为将用户的所述安全防御请求转化为网络防御规则;数据库模块,被配置为采用分布式存储技术,将所述分析器模块生成的规则存储并且分散到网络集群的各个地方;POX模块,被配置为网络的主要节点,负责从所述数据库模块提取规则并转换为流规则,发送报文到交换机来控制网络的主要行为。进一步地,POX模块所发送的报文包括身份验证部分、规则部分和数字签名部分;进一步地,使用对话密钥将整个所述报文加密。本专利技术所述的一种基于SDN的分布式防御体系以及一系列策略,系统流程简图如图6所示,包括以下步骤:步骤(101)在所需要防御的全网范围内中的布置一定的主机作为网络节点控制器(TrafficController),这些节点控制器将全网划分成不同的管辖区域,每个区域对应一个节点控制器。节点控制器之间通过路由协议进行交互通信。如图1。步骤(102)在不同的管辖区域内布置任意数量的控制器(controller),形成层级网络系统,控制器的具体数量视网络的大小和负载布置,这些控制器负责和用户(subscriber)进行交互。步骤(103)用户(subscriber)是从属于Controller网络的一个普通的客户端,即用户。如图2所示,当用户(subscriber)检测到了攻击,将相应的信息和规则上传给自己所属于的控制器,即普通控制器,其并非一个骨干节点控制器(TrafficController),没有权限发动整个网络来协同防御,但是普通控制器的上游网络控制器,我们称为上游控制器(UpstreamController),相对于普通控制器来说UpstreamController的控制范围更大,而且对于这个普通控制器来说它们之间是相互可信的,因此,普通控制器将相应的规则和策略上传到UpstreamController,由UpstreamController来协同更大范围的网络抵抗流量的攻击。进一步讲,网络防御的策略和规则需要在不同的控制器和网络转发设备之间传输,为此我们设计了一个通用的流规则报文以及报文传输的协议形式,如图3。进一步讲,由于一个控制器端可能下属有多个交换机或者是服务器端,这些交换机和服务器会产生大量的流规则请求,对于这些请求我们可以在控制器端将规则进行简化和整合,以减轻控制器端的负载。步骤(104)对于一个特定的客户端来说,他会将相应的流规则报文传输到自己所连接的普通控制器上。每一个客户端都会维护两个优先级请求队列(queue),当产生新的流规则报文请求时,一般会将流规则存本文档来自技高网...
【技术保护点】
一种网络协同防御系统,其特征在于,所述网络协同防御系统基于软件定义网络,顶层采用骨干节点控制器,所述骨干节点控制器间形成一个网络;所述网络协同防御系统利用对等的所述骨干节点控制器对不同的网络进行控制,同时通过路由算法在不同的所述骨干节点控制器之间进行网络安全策略的协同和规则的远程部署。
【技术特征摘要】
1.一种网络协同防御系统,其特征在于,所述网络协同防御系统基于软件定义网
络,顶层采用骨干节点控制器,所述骨干节点控制器间形成一个网络;所述网络协同
防御系统利用对等的所述骨干节点控制器对不同的网络进行控制,同时通过路由算法
在不同的所述骨干节点控制器之间进行网络安全策略的协同和规则的远程部署。
2.如权利要求1所述的网络协同防御系统,其特征在于,每个所述骨干节点控制
器下采用层级的控制器部署。
3.如权利要求1所述的网络协同防御系统,其特征在于,每个所述骨干节点控制
器都管辖网络中部分的流量转发设备;大量的用户网络流量不需要经过骨干节点控制
器;骨干节点控制器只负责接收用户的请求,处理之后形成相对应的流量规则,并将
规则部署到流量转发设备。
4.如权利要求1所述的网络协同防御系统,其特征在于,所述骨干节点控制器之
间采用安全协议的方式通信。
5.如权利要求1所述的...
【专利技术属性】
技术研发人员:邹福泰,张舒翼,谢伟,童瑶,王佳慧,李建华,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。