本发明专利技术公开了一种自动化预防和编排处理策略冲突的系统和方法,通过以下步骤解决策略冲突:1)当一个新的业务流的首包被发送到控制器后,控制器上的安全授权模块对数据包进行安全规则匹配,然后在网络 入口交换机上允许或拒绝所述新的业务流;2)采集网络流量信息建立流路径;3)检测策略冲突,并根据不同的策略冲突采用不同的处理方法。本发明专利技术的系统和方法,能够准确地探测到由网络状态和流变化引起的安全策略或应用策略冲突。同时,该系统能够根据冲突的具体状态,例如部分规则冲突,或者全冲突进行有效且及时的冲突解决。通过本发明专利技术的系统和方法,能够主动检测和解决策略冲突,实现网络安全高效运行。
【技术实现步骤摘要】
一种自动化预防和编排处理策略冲突的系统和方法
本专利技术属于网络策略冲突解决
,具体是一种云主机网络接口的动态管理方法。
技术介绍
软件定义网络SDN(SoftwareDefinedNetworking)是由美国斯坦福大学CleanSlate研究组提出的一种新型网络创新架构,其核心理念是数据转发和控制层面的分离。OpenFlow是一种软件定义网络SDN的解决方案,它使得网络的灵活性大大增加。一个基本的OpenFlow技术组网结构如图1所示,它包括OpenFlow交换机和控制器。当第一个数据包到达OpenFlow交换机后,由交换机使用OpenFlow协议通过安全通道将它转发至控制器,控制器上的软件进行转发决策,将策略下发到交换机的流表中,后续数据包按流表规则转发。由于SDN技术的开放可编程性,攻击者可以利用流表项的Set-Field操作构造一些恶意流绕过SDN控制器的安全策略。并且,网络中存在着许多网络策略,比如ACL(AccessControlList)和SFC(ServiceFunctionChain)。同时,网络中的策略往往是由不同人群制定的,他们可能是网络的管理员或用户,也可能是虚拟租户网的租户。不同网络使用者的决策是相互独立的,也是动态的,所以很多时候不同的策略之间会产生策略冲突。如图2所示,网络拓扑有4台主机、2台OpenFlow交换机和一台控制器。控制器上的安全应用定义了一条安全规则,阻止主机A和主机D进行通信。现在,另外的网络应用可以通过以下2个交换机的流表项,将A上的信息发送到D。具体实现过程如下:第一台交换机的流表项,把源地址为A且目的地址为C的数据包的源地址改为B,第二台交换机的流表项,把源地址为B,目的地址为C的数据包的目的地址改为D。这样,数据包就从主机A发送到D上。攻击者可以利用流表项的Set-Field操作构造一些恶意流绕过SDN控制器的安全策略。还有一种是应用程序之间的规则冲突,应用程序1,下发流表11至交换机1,把源地址为A的IPv4的数据包发送给端口1,应用程序2,也下发流表21至交换机1,把源地址为A的TCP的数据包发送给端口2,若两者优先级不同,则遵循优先级高的规则,若两者优先级相同,则会导致冲突,这是流规则依赖导致的问题。目前的策略冲突解决方案仅仅实现了运行态的冲突检测,即只有当策略被部署之后,网络在运行时发生故障,性能出现恶化时,安全漏洞等问题才暴露出来。而且这只是一种冲突检测,其无法实现策略冲突的预防,更不能实现策略的编排,解决策略冲突。
技术实现思路
本专利技术要解决的问题是提供一种自动化预防和编排处理策略冲突的系统和方法,该系统和方法能够自动检测感知策略规则冲突,并进行相关对比分析,主动解决该策略冲突,实现网络的安全有效运行。为实现上述专利技术目的,本专利技术的一种自动化预防和编排处理策略冲突的系统,包括:流量跟踪模块、冲突检测模块和冲突决议模块;所述流量跟踪模块用于采集网络流量信息并建立流路径;所述冲突检测模块用于分析冲突产生的原因;所述冲突决议模块用于解决被识别的冲突。一种自动化预防和编排处理策略冲突的方法,包括以下步骤:1)当一个新的业务流的首包被发送到控制器后,控制器上的安全授权模块对数据包进行安全规则匹配,然后在网络入口交换机上允许或拒绝所述新的业务流;2)采集网络流量信息建立流路径;3)检测策略冲突,并根据不同的策略冲突采用不同的处理方法:31)对于流规则依赖导致的冲突,采用流标记或者流重新路由来打破流规则依赖机制;32)对于流策略更新导致的整体冲突,以下情况选择更新拒绝:321)当增加一个新的流策略,相应的流路径被检测为与安全策略冲突,并且这种冲突是一个整体冲突;322)修改一个规则引起整体冲突;323)删除一个规则导致新的整体冲突;以下情况选择流移除:324)规则的改变和删除操作是允许的,即使他导致了整体冲突;33)对于安全策略更新导致的整体冲突,采用流移除的方式;34)对于部分违规,采用数据包阻塞。进一步的,所述流重新路由过程为:当一个新的业务流到达网络中,安全授权模块(具体工作的是其中的安全授权应用)检测到控制器针对所述新的业务流产生的流路径导致了一个基于规则依赖的冲突,安全授权模块要求控制器为所述新的业务流寻找另一条路由路径以避免这些依赖;在此过程中,安全授权模块程序维护了一个交换机规避名单列表,包含了所有导致冲突的与规则依赖相关的交换机;安全授权模块程序提供所述交换机规避名单列表给控制器,然后,控制器计算一个新的路由路径来规避所述交换机规避名单列表上的交换机。这样的重新路由过程可能需要递归地执行直到控制器找到一条不会引入冲突的路径。进一步的,所述流标记过程为:新的流策略通过添加标签的预处理来区分与其他策略的匹配模式;在入口交换机的策略规则通过对新的业务流(数据包)添加相同标签的附加动作来标记新的业务流;当数据包离开网络时,在出口交换机,策略相应的规则将除去数据包上的标签。进一步的,所述数据包阻塞的过程为:341)如果流是一个新流,安全授权模块只需要在流的入口交换机阻塞所述流;342)如果流是一个旧流,安全授权模块需要在交换机的入口和出口都阻塞所述流(数据包)。进一步的,所述步骤1)中网络入口交换机上拒绝有安全威胁的新的业务流,比如DDOS攻击或者病毒等等。目前,一些系统如VeriFlow、Pyretic、FortNOX都实现了策略冲突的检测和解决,但是他们都有各自的局限。VeriFlow缺乏自动,有效和实时的冲突解决。Pyretic无法发现和解决间接的安全违规。FortNOX只能进行两两冲突分析,没有考虑流表和安全策略的规则依赖。本专利技术的一种自动化预防和编排处理策略冲突的系统和方法,能够准确地探测到由网络状态及流变化引起的安全策略或应用策略冲突。同时,该系统能够根据冲突的具体状态,例如部分规则冲突,或者全冲突进行有效且及时的冲突解决。通过本专利技术的系统和方法,能够主动检测和解决策略冲突,实现网络安全高效运行。附图说明图1为OpenFlow技术组网结构图;图2为覆写操作导致策略冲突的示意图;图3为本专利技术的自动化预防和编排处理策略冲突的系统的框架图;图4为本专利技术的自动化预防和编排处理策略冲突的系统的方法的流程图。具体实施方式下面结合附图对本专利技术的一种自动化预防和编排处理策略冲突的系统和方法作进一步更详细的描述。如图1所示,本专利技术的一种自动化预防和编排处理策略冲突的系统,包括:流量跟踪模块、冲突检测模块和冲突决议模块;所述流量跟踪模块用于:采集网络流量信息并建立流路径。所述冲突检测模块用于:如果追踪的流路径空间与拒绝授权空间重叠,分析冲突产生的原因。所述冲突决议模块用于解决被识别的冲突。系统还会及时更新流规则和网络拓扑信息,以便系统能够在任何相关的交换机上重新传播包头对象来更新流路径。目前,现有的流策略若与安全策略发生冲突,则流策略直接在网络设备上被移除。然而,这样的解决方案有几个缺点。首先,一个流策略可能只是部分违反了安全策略。在这种情况下,拒绝/移除流策略可能会影响到网络服务的效用。其次,在一个流策略中的规则可能与其他的流策略规则有依赖关系。在一个有冲突的策略中删除一个规则可能影响到其他的流策略,甚至造成新的冲突。显然,有必要寻求一种本文档来自技高网...
【技术保护点】
一种自动化预防和编排处理策略冲突的系统 ,其特征在于,包括:流量跟踪模块、冲突检测模块和冲突决议模块;所述流量跟踪模块用于采集网络流量信息并建立流路径;所述冲突检测模块用于分析冲突产生的原因;所述冲突决议模块用于解决被识别的冲突。
【技术特征摘要】
1.一种自动化预防和编排处理策略冲突的系统,其特征在于,包括:流量跟踪模块、冲突检测模块和冲突决议模块;所述流量跟踪模块用于采集网络流量信息并建立流路径;所述冲突检测模块用于分析冲突产生的原因;所述冲突决议模块用于解决被识别的冲突。2.一种自动化预防和编排处理策略冲突的方法,其特征在于,包括以下步骤:1)当一个新的业务流的首包被发送到控制器后,控制器上的安全授权模块对数据包进行安全规则匹配,然后在网络入口交换机上允许或拒绝所述新的业务流;2)采集网络流量信息建立流路径;3)检测策略冲突,并根据不同的策略冲突采用不同的处理方法:31)对于流规则依赖导致的冲突,采用流标记或者流重新路由来打破流规则依赖机制;32)对于流策略更新导致的整体冲突,以下情况选择更新拒绝:321)当增加一个新的流策略,相应的流路径被检测为与安全策略冲突,并且这种冲突是一个整体冲突;322)修改一个规则引起整体冲突;323)删除一个规则导致新的整体冲突;以下情况选择流移除:324)规则的改变和删除操作是允许的,即使他导致了整体冲突;33)对于安全策略更新导致的整体冲突,采用流移除的方式;34)对于部分违规,采用数据包阻塞。3.根据权利要求2所述的自动化预防和编排处理策略冲突的方法,其特征在于,所述步骤31)中的所述流重新路由过程为:当一个新的...
【专利技术属性】
技术研发人员:黄韬,魏亮,周洪利,檀朝红,尚为进,
申请(专利权)人:江苏省未来网络创新研究院,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。