本发明专利技术公开了一种SDN的网络安全防护方法及装置,该方法包括从SDN的控制器上获取租户当前的流表数据,对租户当前的流表数据进行分析,确定租户的当前网络行为,确定出的当前网络行为可以用来判断是否符合日常网络行为,若租户的当前网络行为不符合日常网络行为,则对租户的当前网络行标记为新的标签,并发出告警信息。通过判断租户的当前网络行为不符合日常网络行为,来将租户的当前网络行为进行告警,以使人工来识别该当前网络行为的安全性,从而提高了SDN的网络防护性能,精细化了网络安全防控。
【技术实现步骤摘要】
一种SDN的网络安全防护方法及装置
本专利技术涉及网络安全
,尤其涉及一种SDN(SoftwareDefinedNetwork,软件定义网络)的网络安全防护方法及装置。
技术介绍
SDN架构中当前最流行的技术即OpenFlow(开放流)技术,OpenFlow提供了一个开放的协议,用户可以通过该协议对不同的交换机中的流表进行控制。可以通过选择数据转发通路以及它们需要怎样的处理来轻松地控制数据流的走向。通过这种方式可以在网络中尝试创新型的路由协议、安全网络模型、新型网络服务、甚至可以用其替换现有的TCP/IP协议。在SDN架构中,流表(FlowTable)是OpenFlow交换机的关键组件,负责数据包的高速查询和转发。OpenFlow控制器负责控制OpenFlow交换机中的流表。包括对流表的添加、修改以及删除等基本操作。流表本身的生成、维护、下发完全由外置的控制器来实现。流表的下发可以是主动的,也可以是被动的。主动模式下,控制器将自己收集的流表信息主动下发给网络设备,随后网络设备可以直接根据流表进行转发;被动模式是指网络设备收到一个报文没有匹配的FlowTable记录时,将该报文转发给控制器,由后者进行决策该如何转发,控制器对网络中的流量、流向具有全局观,并能下发更新流表给交换机,指引交换机的数据流走向。如果控制器受到攻击或通过某手段篡改了控制器的流表,如篡改流表为可访问另一个租户的网络,租户下某二级租户子网用户篡改流表可访问另一个二级租户子网,就会导致另一个租户受到攻击,威胁到SDN网络的安全。
技术实现思路
本专利技术实施例提供一种SDN的网络安全防护方法及装置,用以实现SDN的网络安全防护,及时发现网络风险及网络内部攻击行为。本专利技术实施例提供的一种SDN的网络安全防护方法,包括:从SDN的控制器上获取租户当前的流表数据;对所述租户当前的流表数据进行分析,确定所述租户的当前网络行为;若所述租户的当前网络行为不符合日常网络行为,则对所述租户的当前网络行标记为新的标签,并发出告警信息,所述日常网络行为是根据所述租户的历史网络数据确定的。优选地,所述日常网络行为中包括多类别的日常网络行为,其中,每类日常网络行为通过以下方式获得:从所述控制器上获取所述租户的历史的流表数据;分析所述历史的流表数据,将具有相同属性的历史的流表数据中的访问行为标记为一类日常网络行为。优选地,还包括:获取所述租户创建子网时的子网网络访问策略;将每类子网访问策略标记为一类日常网络行为。优选地,所述租户当前的流表数据或所述租户的历史的流表数据是通过所述控制器的北向接口获取的。优选地,所述日常网络行为包括访问时间、访问的数据流量、访问的网络拓扑信息;所述租户的当前网络行为不符合日常网络行为,包括:根据所述租户的当前网络行为的网络拓扑信息,确定对应的日常网络行为的类别;若所述租户的当前网络行为中的任一项不符合对应的日常网络行为,则确定所述租户的当前网络行为不符合日常网络行为。相应地,本专利技术实施例还提供了一种SDN的网络安全防护装置,包括:获取单元,用于从SDN的控制器上获取租户当前的流表数据;确定单元,用于对所述获取单元获取的所述租户当前的流表数据进行分析,确定所述租户的当前网络行为;处理单元,用于若所述确定单元确定的租户的当前网络行为不符合日常网络行为,则对所述租户的当前网络行标记为新的标签,并发出告警信息,所述日常网络行为是根据所述租户的历史网络数据确定的。优选地,所述日常网络行为中包括多类别的日常网络行为,所述获取单元,还用于从所述控制器上获取所述租户的历史的流表数据;所述处理单元,还用于分析所述历史的流表数据,将具有相同属性的历史的流表数据中的访问行为标记为一类日常网络行为。优选地,所述获取单元,还用于获取所述租户创建子网时的子网网络访问策略;所述处理单元,还用于将每类子网访问策略标记为一类日常网络行为。优选地,所述租户当前的流表数据或所述租户的历史的流表数据是通过所述控制器的北向接口获取的。优选地,所述日常网络行为包括访问时间、访问的数据流量、访问的网络拓扑信息;所述处理单元具体用于:根据所述租户的当前网络行为的网络拓扑信息,确定对应的日常网络行为的类别;若所述租户的当前网络行为中的任一项不符合对应的日常网络行为,则确定所述租户的当前网络行为不符合日常网络行为。本专利技术实施例表明,通过从SDN的控制器上获取租户当前的流表数据,对租户当前的流表数据进行分析,确定租户的当前网络行为,确定出的当前网络行为可以用来判断是否符合日常网络行为,若租户的当前网络行为不符合日常网络行为,则对租户的当前网络行标记为新的标签,并发出告警信息。通过判断租户的当前网络行为不符合日常网络行为,来将租户的当前网络行为进行告警,以使人工来识别该当前网络行为的安全性,从而提高了SDN的网络防护性能,精细化了网络安全防控。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种SDN的网络安全防护方法的流程示意图;图2为本专利技术实施例提供的一种SDN的网络安全防护方法的流程示意图;图3为本专利技术实施例提供的一种SDN的网络安全防护装置的结构示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。SDN是一种创新的数据网络体系架构。在SDN架构中,一方面将网络中的控制平面从设备上分离出来集中管理,同时提供向应用程序标准的API;另一方面对驻留在设备上的转发平面,进行统一的转发模型化,使得网络基础设施抽象化,可以把网络当成一个逻辑或虚拟实体。由于网络控制平面集中,企业和运营商可以通过规范的编程环境进行可编程化、自动化的网络管理。SDN的开放可编程性将推动运营商开放网络能力的实现,根据业务需求动态调整网络策略。在SDN架构中,流表(FlowTable)是OpenFlow交换机的关键组件,负责数据包的高速查询和转发。如果流表被租户下的子网用户篡改,使得该租户可以访问另一个租户的子网,会导致另一个租户受到攻击,威胁到SDN的安全。基于上述描述,图1示出了本专利技术实施例提供的一种SDN的网络安全防护方法的流程,该流程可以由SDN的网络安全防护装置执行。如图1所示,该流程的具体步骤包括:步骤101,从SDN的控制器上获取租户当前的流表数据。步骤102,对租户当前的流表数据进行分析,确定租户的当前网络行为。步骤103,判断租户的当前网络行为是否符合日常网络行为,若是,则转入步骤102,若否,则转入步骤104。步骤104,对租户的当前网络行标记为新的标签,并发出告警信息。在本专利技术实施例中,租户当前的流表数据或租户的历史的流表数据都是通过上述控制器的北向接口获取的。上述日常网络行为是根据租户的历史网络数据确定的。该日常网络行为中包括多类别本文档来自技高网...
【技术保护点】
一种SDN软件定义网络的网络安全防护方法,其特征在于,包括:从SDN的控制器上获取租户当前的流表数据;对所述租户当前的流表数据进行分析,确定所述租户的当前网络行为;若所述租户的当前网络行为不符合日常网络行为,则对所述租户的当前网络行标记为新的标签,并发出告警信息,所述日常网络行为是根据所述租户的历史网络数据确定的。
【技术特征摘要】
1.一种SDN软件定义网络的网络安全防护方法,其特征在于,包括:从SDN的控制器上获取租户当前的流表数据;对所述租户当前的流表数据进行分析,确定所述租户的当前网络行为;若所述租户的当前网络行为不符合日常网络行为,则对所述租户的当前网络行标记为新的标签,并发出告警信息,所述日常网络行为是根据所述租户的历史网络数据确定的。2.如权利要求1所述的方法,其特征在于,所述日常网络行为中包括多类别的日常网络行为,其中,每类日常网络行为通过以下方式获得:从所述控制器上获取所述租户的历史的流表数据;分析所述历史的流表数据,将具有相同属性的历史的流表数据中的访问行为标记为一类日常网络行为。3.如权利要求2所述的方法,其特征在于,还包括:获取所述租户创建子网时的子网网络访问策略;将每类子网访问策略标记为一类日常网络行为。4.如权利要求1所述的方法,其特征在于,所述租户当前的流表数据或所述租户的历史的流表数据是通过所述控制器的北向接口获取的。5.如权利要求1至4任一项所述的方法,其特征在于,所述日常网络行为包括访问时间、访问的数据流量、访问的网络拓扑信息;所述租户的当前网络行为不符合日常网络行为,包括:根据所述租户的当前网络行为的网络拓扑信息,确定对应的日常网络行为的类别;若所述租户的当前网络行为中的任一项不符合对应的日常网络行为,则确定所述租户的当前网络行为不符合日常网络行为。6.一种SDN软件定义网络的网络安全防护...
【专利技术属性】
技术研发人员:陆蓓,李晨,
申请(专利权)人:中国移动通信集团上海有限公司,中国移动通信有限公司研究院,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。