一種網(wǎng)絡(luò)協(xié)同防御系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于計算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的網(wǎng)絡(luò)流量控制體系和策略���,涉及到軟件定義網(wǎng) 絡(luò)(SDN)環(huán)境下的網(wǎng)絡(luò)流量安全體系和策略。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)安全是計算機(jī)學(xué)科中的一個很熱門的研究方向�����,尤其是在現(xiàn)如今的大數(shù)據(jù)時 代,網(wǎng)絡(luò)安全的重要性更是不言而喻����。在眾多的安全威脅當(dāng)中,DDoS毫無疑問是一種攻擊頻 率高����、門檻低、危害大的網(wǎng)絡(luò)攻擊方式��,也因為其采取的各種各樣的攻擊方式����,導(dǎo)致了這種 攻擊易檢測卻難以被防御。據(jù)網(wǎng)絡(luò)安全公司Arbor Networks去年的報告顯不���,2014年上半 年全球DDoS大型攻擊次數(shù)較過去更為頻繁��。根據(jù)Arbor Networks安全報告ATLAS的數(shù)據(jù)����, 2014年僅是第二季度共發(fā)生111次流量超過IOOGbps的攻擊,而整個上半年����,流量超過 20Gbps的攻擊次數(shù)更多達(dá)5733次,比2013年全年2573次的兩倍還多����。面對如此嚴(yán)峻的網(wǎng)絡(luò) 安全形勢,如何有效地防御DDoS流量對于重要服務(wù)器和網(wǎng)絡(luò)設(shè)備的攻擊成為了急需解決的 問題�����。
[0003] 軟件定義網(wǎng)絡(luò)(SDN)是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)��,其核心技術(shù)OpenFlow通過將網(wǎng)絡(luò) 設(shè)備控制面與數(shù)據(jù)面分離開來����,從而實現(xiàn)了網(wǎng)絡(luò)流量的靈活控制��,為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng) 新提供了良好的平臺���。利用這項新技術(shù)���,網(wǎng)絡(luò)的靈活性和耦合性可以極大地提高。
[0004] 在DDoS的攻擊中,往往擁有較強(qiáng)的負(fù)載能力和過濾能力的網(wǎng)絡(luò)設(shè)備無法有效地檢 測和定位攻擊流量�,比如網(wǎng)絡(luò)運營商,他們擁有強(qiáng)大的負(fù)載能力卻無法判斷經(jīng)過自身的流 量是否為正常流量����;而另一方面,網(wǎng)絡(luò)中的需要面向應(yīng)用的服務(wù)器端可以很好地判斷自己 是否受到了流量攻擊��,但是由于自身設(shè)備的局限性���,不能很好地隔斷攻擊�����。
[0005] 因此����,本領(lǐng)域的技術(shù)人員致力于開發(fā)一種基于軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)同防御系 統(tǒng)�����,利用SDN網(wǎng)絡(luò)的高耦合性��,采取協(xié)同防御的策略��,就可以充分發(fā)揮兩方的特點,最大化地 過濾或迀移DDoS攻擊流量��,從而更好地解決問題��。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明基于以上在網(wǎng)絡(luò)流量攻擊的防御問題和SDN網(wǎng)絡(luò)的優(yōu)越特性�����,解決的是網(wǎng) 絡(luò)中較強(qiáng)的負(fù)載能力和過濾能力的網(wǎng)絡(luò)設(shè)備無法有效地檢測和定位攻擊流量的問題��。
[0007] 為了實現(xiàn)上述目的本發(fā)明提出了一種網(wǎng)絡(luò)協(xié)同防御系統(tǒng)���,所述網(wǎng)絡(luò)協(xié)同防御系統(tǒng) 是基于軟件定義網(wǎng)絡(luò)的��,頂層采用骨干節(jié)點控制器,所述骨干節(jié)點控制器間形成一個網(wǎng)絡(luò)����; 所述網(wǎng)絡(luò)協(xié)同防御系統(tǒng)利用對等的所述骨干節(jié)點控制器對不同的網(wǎng)絡(luò)進(jìn)行控制,同時通過 路由算法在不同的所述骨干節(jié)點控制器之間進(jìn)行網(wǎng)絡(luò)安全策略的協(xié)同和規(guī)則的遠(yuǎn)程部署���。
[0008] 進(jìn)一步地�����,每個所述骨干節(jié)點控制器下采用層級的控制器部署��。
[0009] 進(jìn)一步地��,每個所述骨干節(jié)點控制器都不是網(wǎng)絡(luò)中的主要流量節(jié)點�,網(wǎng)絡(luò)流量仍 然通過原來的流量轉(zhuǎn)發(fā)設(shè)備進(jìn)行交換,大量的用戶網(wǎng)絡(luò)流量不需要經(jīng)過骨干節(jié)點控制器�����。 每個所述骨干節(jié)點控制器都管轄網(wǎng)絡(luò)中部分的流量轉(zhuǎn)發(fā)設(shè)備����。骨干節(jié)點控制器只負(fù)責(zé)接收 用戶的請求,處理之后形成相對應(yīng)的流量規(guī)則���,并將規(guī)則部署到所管轄的流量轉(zhuǎn)發(fā)設(shè)備�����。
[0010]進(jìn)一步地��,所述骨干節(jié)點控制器之間采用安全協(xié)議的方式通信�����。
[0011 ] 進(jìn)一步地��,對于新增的用戶(subscriber )��,通過認(rèn)證機(jī)制���,保證其與其上層的普通 控制器之間可以相互信任�,所述認(rèn)證機(jī)制包括步驟如下:
[0012] 步驟(202.2)新用戶發(fā)送給負(fù)責(zé)控制網(wǎng)絡(luò)的所述普通控制器一個認(rèn)證包�����,作為所 述新節(jié)點加入網(wǎng)絡(luò)的憑證��,所述認(rèn)證包包含所述新節(jié)點當(dāng)前的地址信息��;
[0013] 步驟(202.3)上層的普通控制器接收所述認(rèn)證包并確認(rèn)之后��,將控制器公鑰發(fā)送 給所述新節(jié)點���,同時發(fā)送一個隨機(jī)的序列號K;
[0014] 步驟(202.4)所述新節(jié)點接收到所述普通控制器發(fā)送的公鑰之后,再使用所述的 普通控制器公鑰來加密客戶端的公鑰����,將所述客戶端公鑰發(fā)送回所述的普通控制器��,同時 返回K+1�。
[0015] 進(jìn)一步地���,所述網(wǎng)絡(luò)安全策略的規(guī)則采用分布式存儲�。
[0016] 進(jìn)一步地��,所述路由算法利用鄰接關(guān)節(jié)點算法在軟件定義網(wǎng)絡(luò)中的尋找流量的關(guān) 鍵位置��。
[0017] 進(jìn)一步地����,所述所有控制器模塊包括:
[0018] 服務(wù)器模塊,被配置為接收客戶端所提交的安全防御請求��;
[0019] 分析器模塊��,被配置為將用戶的所述安全防御請求轉(zhuǎn)化為網(wǎng)絡(luò)防御規(guī)則����;
[0020] 數(shù)據(jù)庫模塊,被配置為采用分布式存儲技術(shù)�����,將所述分析器模塊生成的規(guī)則存儲 并且分散到網(wǎng)絡(luò)集群的各個地方;
[0021] POX模塊�����,被配置為網(wǎng)絡(luò)的主要節(jié)點��,負(fù)責(zé)從所述數(shù)據(jù)庫模塊提取規(guī)則并轉(zhuǎn)換為流 規(guī)則��,發(fā)送報文到交換機(jī)來控制網(wǎng)絡(luò)的主要行為���。
[0022]進(jìn)一步地���,POX模塊所發(fā)送的報文包括身份驗證部分、規(guī)則部分和數(shù)字簽名部分���;
[0023]進(jìn)一步地���,使用對話密鑰將整個所述報文加密。
[0024]本發(fā)明所述的一種基于SDN的分布式防御體系以及一系列策略����,系統(tǒng)流程簡圖如 圖6所示�,包括以下步驟:
[0025]步驟(101)在所需要防御的全網(wǎng)范圍內(nèi)中的布置一定的主機(jī)作為網(wǎng)絡(luò)節(jié)點控制器 (Traffic Controller)���,這些節(jié)點控制器將全網(wǎng)劃分成不同的管轄區(qū)域,每個區(qū)域?qū)?yīng)一 個節(jié)點控制器����。節(jié)點控制器之間通過路由協(xié)議進(jìn)行交互通信。如圖1�����。
[0026]步驟(102)在不同的管轄區(qū)域內(nèi)布置任意數(shù)量的控制器(controller)����,形成層級 網(wǎng)絡(luò)系統(tǒng),控制器的具體數(shù)量視網(wǎng)絡(luò)的大小和負(fù)載布置�����,這些控制器負(fù)責(zé)和用戶 (subscriber)進(jìn)行交互�。
[0027] 步驟(103)用戶(subscriber)是從屬于Contro Iler網(wǎng)絡(luò)的一個普通的客戶端,即 用戶��。如圖2所示����,當(dāng)用戶(subscriber)檢測到了攻擊�,將相應(yīng)的信息和規(guī)則上傳給自己所 屬于的控制器�,即普通控制器,其并非一個骨干節(jié)點控制器(Traffic Controller)����,沒有權(quán) 限發(fā)動整個網(wǎng)絡(luò)來協(xié)同防御,但是普通控制器的上游網(wǎng)絡(luò)控制器�����,我們稱為上游控制器 (Upstream Controller)����,相對于普通控制器來說Upstream ControIler的控制范圍更大, 而且對于這個普通控制器來說它們之間是相互可信的�,因此,普通控制器將相應(yīng)的規(guī)則和 策略上傳到Upstream Controller�,由Upstream Controller來協(xié)同更大范圍的網(wǎng)絡(luò)抵抗流 量的攻擊。
[0028] 進(jìn)一步講�,網(wǎng)絡(luò)防御的策略和規(guī)則需要在不同的控制器和網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備之間傳 輸,為此我們設(shè)計了一個通用的流規(guī)則報文以及報文傳輸?shù)膮f(xié)議形式����,如圖3。
[0029] 進(jìn)一步講,由于一個控制器端可能下屬有多個交換機(jī)或者是服務(wù)器端�,這些交換 機(jī)和服務(wù)器會產(chǎn)生大量的流規(guī)則請求�,對于這些請求我們可以在控制器端將規(guī)則進(jìn)行簡化 和整合,以減輕控制器端的負(fù)載�。
[0030] 步驟(104)對于一個特定的客戶端來說,他會將相應(yīng)的流規(guī)則報文傳輸?shù)阶约核?連接的普通控制器上�����。
[0031] 每一個客戶端都會維護(hù)兩個優(yōu)先級請求隊列(queue)��,當(dāng)產(chǎn)生新的流規(guī)則報文請 求時�����,一般會將流規(guī)則存入低優(yōu)先級的請求隊列當(dāng)中����,只有比較緊急的請求才會指定放入 高優(yōu)先級的隊列當(dāng)中,每次發(fā)送請求時��,系統(tǒng)會優(yōu)先發(fā)送高優(yōu)先級隊列的請求�,只有當(dāng)高優(yōu) 先級請求隊列為空時才會發(fā)送低優(yōu)先級的請求隊列中的請求。
[0032] 步驟(105)普通控制器接收到來自用戶(subscrib