，企圖干擾正常的流規(guī)則發(fā)布，但是由于存在報(bào)文有效時(shí)間和報(bào)文 發(fā)布時(shí)間，這條報(bào)文被控制器判斷為無(wú)效報(bào)文，而不予接受。
[0071 ]規(guī)則(Rule)部分主要是這條流規(guī)則報(bào)文(flow packet)申請(qǐng)的流規(guī)則的基本信 息，操作碼(Control Mask)代表了操作類型，基本的操作類型有:設(shè)置單條規(guī)則、設(shè)置初始 規(guī)則，取消上條規(guī)則等。Destination IP等信息代表了需要操作的目標(biāo)網(wǎng)絡(luò)，若其中有一項(xiàng) 沒(méi)有設(shè)置則默認(rèn)設(shè)置為該屬性為任何值都匹配這條規(guī)則。Enable代表的是是否需要匹配規(guī) 則的流量通過(guò)，Priority是這條規(guī)則的優(yōu)先級(jí)，用于規(guī)則的沖突檢測(cè)，當(dāng)有多條規(guī)則發(fā)生沖 突時(shí)，優(yōu)先級(jí)高的流規(guī)則優(yōu)先生效。Rule Timeout是這條規(guī)則的有效時(shí)間，用來(lái)設(shè)置生成流 表的持續(xù)時(shí)間，因?yàn)橐粭l規(guī)則不可能永遠(yuǎn)有效，下發(fā)到交換機(jī)的流表在相應(yīng)的時(shí)間過(guò)去之 后會(huì)被刪除。而時(shí)間的設(shè)定可以通過(guò)流規(guī)則來(lái)指定。
[0072] 數(shù)字簽名(Digital Sign)部分包含一個(gè)整個(gè)流規(guī)則報(bào)文(flow packet)的摘要， 該摘要使用散列函數(shù)生成。
[0073] 為了保證報(bào)文的完整性和保密性，應(yīng)使用對(duì)話密鑰將整個(gè)報(bào)文進(jìn)行加密。如果在 控制器中找不到該客戶端的對(duì)應(yīng)的對(duì)話密鑰，或者對(duì)應(yīng)的對(duì)話密鑰無(wú)法正確解讀報(bào)文信 息，則證明該流規(guī)則不是可信節(jié)點(diǎn)發(fā)出的，應(yīng)該被丟棄。否則使用對(duì)應(yīng)的對(duì)稱密鑰來(lái)解密， 獲得流規(guī)則報(bào)文和摘要，將流規(guī)則報(bào)文的摘要進(jìn)行對(duì)比，驗(yàn)證報(bào)文的完整性，從而確定該流 規(guī)則報(bào)文沒(méi)有被篡改，此時(shí)控制器才會(huì)承認(rèn)并接收該報(bào)文。通過(guò)這種方式可以保證報(bào)文的 保密性和完整性，防止惡意的報(bào)文信息竊取和報(bào)文的偽造。
[0074] 進(jìn)一步講，對(duì)于這些請(qǐng)求我們可以在控制器端將規(guī)則進(jìn)行簡(jiǎn)化和整合，以減輕控 制器端的負(fù)載。
[0075] 規(guī)則整合的原則：
[0076] 1.相同目標(biāo)IP的規(guī)則保留優(yōu)先級(jí)(priority)高的一條，優(yōu)先級(jí)低的一條被刪除。
[0077] 2.兩條相同優(yōu)先級(jí)的規(guī)則，同時(shí)目標(biāo)IP域可以形成一個(gè)連續(xù)的IP域，可以合并兩 條規(guī)則。
[0078] 3.對(duì)于相互沖突的兩條規(guī)則（及對(duì)同一IP域有不同的處理方式，白名單和黑名單 同時(shí)存在），后一條規(guī)則插入時(shí)，前一條規(guī)則應(yīng)該被刪除。
[0079] 每一條規(guī)則在插入和刪除的時(shí)候都應(yīng)該對(duì)于以上的原則進(jìn)行比對(duì)，維護(hù)數(shù)據(jù)庫(kù)中 規(guī)則的完整性和非冗余性，以提高控制器的處理速度和負(fù)載能力。
[0080] 步驟(206)對(duì)于一個(gè)特定的客戶端來(lái)說(shuō)，他會(huì)將相應(yīng)的流規(guī)則報(bào)文傳輸?shù)阶约核?連接的控制器上。
[0081] 每一個(gè)客戶端都會(huì)維護(hù)兩個(gè)優(yōu)先級(jí)請(qǐng)求隊(duì)列，當(dāng)產(chǎn)生新的流規(guī)則報(bào)文請(qǐng)求時(shí)，一 般會(huì)將流規(guī)則存入低優(yōu)先級(jí)的請(qǐng)求隊(duì)列當(dāng)中，只有比較緊急的請(qǐng)求才會(huì)指定放入高優(yōu)先級(jí) 的隊(duì)列當(dāng)中，每次發(fā)送請(qǐng)求時(shí)，系統(tǒng)會(huì)優(yōu)先發(fā)送高優(yōu)先級(jí)隊(duì)列的請(qǐng)求，只有當(dāng)高優(yōu)先級(jí)請(qǐng)求 隊(duì)列為空時(shí)才會(huì)發(fā)送低優(yōu)先級(jí)的請(qǐng)求隊(duì)列中的請(qǐng)求。當(dāng)然，我們這里指定的請(qǐng)求隊(duì)列的優(yōu) 先級(jí)與流規(guī)則報(bào)文的優(yōu)先級(jí)是兩種不同的含義。相對(duì)應(yīng)的，每個(gè)控制器也有自己的兩個(gè)接 收請(qǐng)求的請(qǐng)求隊(duì)列，來(lái)自客戶端的對(duì)應(yīng)優(yōu)先級(jí)請(qǐng)求隊(duì)列的請(qǐng)求會(huì)發(fā)送到對(duì)應(yīng)的控制器上的 接收隊(duì)列。
[0082] 步驟(207)控制器接收到來(lái)自subscriber發(fā)來(lái)的流規(guī)則報(bào)文會(huì)進(jìn)行如下處理： [0083] (207.1)根據(jù)報(bào)文的摘要和報(bào)文的用戶信息進(jìn)行驗(yàn)證，確認(rèn)報(bào)文來(lái)自可行的用戶 或者下游控制器。同時(shí)驗(yàn)證報(bào)文的時(shí)間信息，確認(rèn)報(bào)文任在有效的時(shí)間內(nèi)。符合以上的標(biāo)準(zhǔn) 進(jìn)入下一步，否則舍棄。
[0084] (207.2)根據(jù)用戶的需求信息和控制器策略，合并部分重復(fù)和冗余的規(guī)則，生成最 為簡(jiǎn)潔的流規(guī)則報(bào)文。再將流規(guī)則報(bào)文發(fā)送到上游節(jié)點(diǎn)控制器(Upstream Controller)上。 [0085] (207.3)上游節(jié)點(diǎn)控制器(Upstream Controller)受到來(lái)自下部的請(qǐng)求，根據(jù)自身 策略和流規(guī)則報(bào)文請(qǐng)求的目標(biāo)網(wǎng)絡(luò)地址，根據(jù)提出的鄰接節(jié)點(diǎn)規(guī)則算法計(jì)算最合適部署防 御規(guī)則的網(wǎng)絡(luò)設(shè)備，并向管轄其的控制器轉(zhuǎn)發(fā)流規(guī)則報(bào)文。
[0086] (207.4)普通控制器受到來(lái)自上游控制器的請(qǐng)求指令，將收到的流規(guī)則和當(dāng)前控 制器上的規(guī)則進(jìn)行合并，更新流規(guī)則數(shù)據(jù)庫(kù)。并將規(guī)則更新到自己管轄的交換機(jī)上，完成防 御指令的布置。
[0087]以上詳細(xì)描述了本發(fā)明的較佳具體實(shí)施例。應(yīng)當(dāng)理解，本領(lǐng)域的普通技術(shù)無(wú)需創(chuàng) 造性勞動(dòng)就可以根據(jù)本發(fā)明的構(gòu)思作出諸多修改和變化。因此，凡本技術(shù)領(lǐng)域中技術(shù)人員 依本發(fā)明的構(gòu)思在現(xiàn)有技術(shù)的基礎(chǔ)上通過(guò)邏輯分析、推理或者有限的實(shí)驗(yàn)可以得到的技術(shù) 方案，皆應(yīng)在由權(quán)利要求書(shū)所確定的保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1. 一種網(wǎng)絡(luò)協(xié)同防御系統(tǒng)，其特征在于，所述網(wǎng)絡(luò)協(xié)同防御系統(tǒng)基于軟件定義網(wǎng)絡(luò)，頂 層采用骨干節(jié)點(diǎn)控制器，所述骨干節(jié)點(diǎn)控制器間形成一個(gè)網(wǎng)絡(luò);所述網(wǎng)絡(luò)協(xié)同防御系統(tǒng)利 用對(duì)等的所述骨干節(jié)點(diǎn)控制器對(duì)不同的網(wǎng)絡(luò)進(jìn)行控制，同時(shí)通過(guò)路由算法在不同的所述骨 干節(jié)點(diǎn)控制器之間進(jìn)行網(wǎng)絡(luò)安全策略的協(xié)同和規(guī)則的遠(yuǎn)程部署。2. 如權(quán)利要求1所述的網(wǎng)絡(luò)協(xié)同防御系統(tǒng)，其特征在于，每個(gè)所述骨干節(jié)點(diǎn)控制器下采 用層級(jí)的控制器部署。3. 如權(quán)利要求1所述的網(wǎng)絡(luò)協(xié)同防御系統(tǒng)，其特征在于，每個(gè)所述骨干節(jié)點(diǎn)控制器都管 轄網(wǎng)絡(luò)中部分的流量轉(zhuǎn)發(fā)設(shè)備;大量的用戶網(wǎng)絡(luò)流量不需要經(jīng)過(guò)骨干節(jié)點(diǎn)控制器;骨干節(jié) 點(diǎn)控制器只負(fù)責(zé)接收用戶的請(qǐng)求，處理之后形成相對(duì)應(yīng)的流量規(guī)則，并將規(guī)則部署到流量 轉(zhuǎn)發(fā)設(shè)備。4. 如權(quán)利要求1所述的網(wǎng)絡(luò)協(xié)同防御系統(tǒng)，其特征在于，所述骨干節(jié)點(diǎn)控制器之間采用 安全協(xié)議的方式通信。5. 如權(quán)利要求1所述的網(wǎng)絡(luò)協(xié)同防御系統(tǒng)，其特征在于，新增的用戶通過(guò)認(rèn)證機(jī)制保證 新增的用戶和其上層的普通控制器之間可以相互信任。6. 如權(quán)利要求1所述的網(wǎng)絡(luò)協(xié)同防御系統(tǒng)，其特征在于，所述網(wǎng)絡(luò)安全策略的規(guī)則采用 分布式存儲(chǔ)。7. 如權(quán)利要求1所述的網(wǎng)絡(luò)協(xié)同防御系統(tǒng)，其特征在于，所述路由算法利用鄰接關(guān)節(jié)點(diǎn) 算法在軟件定義網(wǎng)絡(luò)中的尋找流量的關(guān)鍵位置。8. 如權(quán)利要求1所述的網(wǎng)絡(luò)協(xié)同防御系統(tǒng)，其特征在于，所述骨干節(jié)點(diǎn)控制器上搭載的 豐吳塊包括： 服務(wù)器模塊，被配置為接收客戶端所提交的安全防御請(qǐng)求； 分析器模塊，被配置為將用戶的所述安全防御請(qǐng)求轉(zhuǎn)化為網(wǎng)絡(luò)防御規(guī)則； 數(shù)據(jù)庫(kù)模塊，被配置為采用分布式存儲(chǔ)技術(shù)，將所述分析器模塊生成的規(guī)則存儲(chǔ)并且 分散到網(wǎng)絡(luò)集群的各個(gè)地方； POX模塊，被配置為網(wǎng)絡(luò)的主要節(jié)點(diǎn)，負(fù)責(zé)從所述數(shù)據(jù)庫(kù)模塊提取規(guī)則并轉(zhuǎn)換為流規(guī) 貝1J，發(fā)送報(bào)文到交換機(jī)來(lái)控制網(wǎng)絡(luò)的主要行為。
【專利摘要】本發(fā)明公開(kāi)了一種基于軟件定義網(wǎng)絡(luò)的協(xié)同防御策略和系統(tǒng)，涉及網(wǎng)絡(luò)安全領(lǐng)域。所述防御系統(tǒng)骨架由多臺(tái)網(wǎng)絡(luò)節(jié)點(diǎn)控制器組成，各個(gè)控制器之間采用TCP/IP協(xié)議通信?？刂破骺刂谱约核茌牼W(wǎng)絡(luò)的安全防御規(guī)則和策略，同時(shí)將其中部分需要協(xié)同防御的策略傳遞到其他控制器，請(qǐng)求協(xié)同防御。控制器上搭載的系統(tǒng)構(gòu)架分為4個(gè)模塊：服務(wù)器模塊負(fù)責(zé)接收用戶所提交的安全防御請(qǐng)求；分析器模塊負(fù)責(zé)將用戶的安全請(qǐng)求轉(zhuǎn)化為網(wǎng)絡(luò)防御規(guī)則；數(shù)據(jù)庫(kù)模塊采用分布式存儲(chǔ)技術(shù)，將分析器模塊生成的規(guī)則存儲(chǔ)起來(lái)并且分散到網(wǎng)絡(luò)集群的各個(gè)地方，供控制器從中提取規(guī)則；POX模塊則是網(wǎng)絡(luò)的主要節(jié)點(diǎn)，從數(shù)據(jù)庫(kù)提取規(guī)則并轉(zhuǎn)換為流規(guī)則，發(fā)送到交換機(jī)來(lái)控制網(wǎng)絡(luò)的主要行為。
【IPC分類】H04L29/06
【公開(kāi)號(hào)】CN105610854
【申請(qǐng)?zhí)枴緾N201610032111
【發(fā)明人】鄒福泰, 張舒翼, 謝偉, 童瑤, 王佳慧, 李建華
【申請(qǐng)人】上海交通大學(xué)
【公開(kāi)日】2016年5月25日
【申請(qǐng)日】2016年1月18日