一種網(wǎng)絡(luò)協(xié)同防御系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的網(wǎng)絡(luò)流量控制體系和策略,涉及到軟件定義網(wǎng) 絡(luò)(SDN)環(huán)境下的網(wǎng)絡(luò)流量安全體系和策略���。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)安全是計(jì)算機(jī)學(xué)科中的一個(gè)很熱門的研究方向���,尤其是在現(xiàn)如今的大數(shù)據(jù)時(shí) 代�����,網(wǎng)絡(luò)安全的重要性更是不言而喻���。在眾多的安全威脅當(dāng)中��,DDoS毫無疑問是一種攻擊頻 率高���、門檻低����、危害大的網(wǎng)絡(luò)攻擊方式�����,也因?yàn)槠洳扇〉母鞣N各樣的攻擊方式��,導(dǎo)致了這種 攻擊易檢測卻難以被防御���。據(jù)網(wǎng)絡(luò)安全公司Arbor Networks去年的報(bào)告顯不�����,2014年上半 年全球DDoS大型攻擊次數(shù)較過去更為頻繁�����。根據(jù)Arbor Networks安全報(bào)告ATLAS的數(shù)據(jù)��, 2014年僅是第二季度共發(fā)生111次流量超過IOOGbps的攻擊�����,而整個(gè)上半年���,流量超過 20Gbps的攻擊次數(shù)更多達(dá)5733次����,比2013年全年2573次的兩倍還多�����。面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò) 安全形勢��,如何有效地防御DDoS流量對(duì)于重要服務(wù)器和網(wǎng)絡(luò)設(shè)備的攻擊成為了急需解決的 問題���。
[0003] 軟件定義網(wǎng)絡(luò)(SDN)是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)���,其核心技術(shù)OpenFlow通過將網(wǎng)絡(luò) 設(shè)備控制面與數(shù)據(jù)面分離開來�����,從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制����,為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng) 新提供了良好的平臺(tái)�����。利用這項(xiàng)新技術(shù)���,網(wǎng)絡(luò)的靈活性和耦合性可以極大地提高。
[0004] 在DDoS的攻擊中���,往往擁有較強(qiáng)的負(fù)載能力和過濾能力的網(wǎng)絡(luò)設(shè)備無法有效地檢 測和定位攻擊流量�����,比如網(wǎng)絡(luò)運(yùn)營商�,他們擁有強(qiáng)大的負(fù)載能力卻無法判斷經(jīng)過自身的流 量是否為正常流量��;而另一方面,網(wǎng)絡(luò)中的需要面向應(yīng)用的服務(wù)器端可以很好地判斷自己 是否受到了流量攻擊�����,但是由于自身設(shè)備的局限性���,不能很好地隔斷攻擊���。
[0005] 因此,本領(lǐng)域的技術(shù)人員致力于開發(fā)一種基于軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)同防御系 統(tǒng)���,利用SDN網(wǎng)絡(luò)的高耦合性���,采取協(xié)同防御的策略,就可以充分發(fā)揮兩方的特點(diǎn)�,最大化地 過濾或迀移DDoS攻擊流量,從而更好地解決問題����。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明基于以上在網(wǎng)絡(luò)流量攻擊的防御問題和SDN網(wǎng)絡(luò)的優(yōu)越特性,解決的是網(wǎng) 絡(luò)中較強(qiáng)的負(fù)載能力和過濾能力的網(wǎng)絡(luò)設(shè)備無法有效地檢測和定位攻擊流量的問題�。
[0007] 為了實(shí)現(xiàn)上述目的本發(fā)明提出了一種網(wǎng)絡(luò)協(xié)同防御系統(tǒng),所述網(wǎng)絡(luò)協(xié)同防御系統(tǒng) 是基于軟件定義網(wǎng)絡(luò)的����,頂層采用骨干節(jié)點(diǎn)控制器�,所述骨干節(jié)點(diǎn)控制器間形成一個(gè)網(wǎng)絡(luò)����; 所述網(wǎng)絡(luò)協(xié)同防御系統(tǒng)利用對(duì)等的所述骨干節(jié)點(diǎn)控制器對(duì)不同的網(wǎng)絡(luò)進(jìn)行控制,同時(shí)通過 路由算法在不同的所述骨干節(jié)點(diǎn)控制器之間進(jìn)行網(wǎng)絡(luò)安全策略的協(xié)同和規(guī)則的遠(yuǎn)程部署�����。
[0008] 進(jìn)一步地��,每個(gè)所述骨干節(jié)點(diǎn)控制器下采用層級(jí)的控制器部署����。
[0009] 進(jìn)一步地���,每個(gè)所述骨干節(jié)點(diǎn)控制器都不是網(wǎng)絡(luò)中的主要流量節(jié)點(diǎn)��,網(wǎng)絡(luò)流量仍 然通過原來的流量轉(zhuǎn)發(fā)設(shè)備進(jìn)行交換�,大量的用戶網(wǎng)絡(luò)流量不需要經(jīng)過骨干節(jié)點(diǎn)控制器�。 每個(gè)所述骨干節(jié)點(diǎn)控制器都管轄網(wǎng)絡(luò)中部分的流量轉(zhuǎn)發(fā)設(shè)備。骨干節(jié)點(diǎn)控制器只負(fù)責(zé)接收 用戶的請(qǐng)求����,處理之后形成相對(duì)應(yīng)的流量規(guī)則�,并將規(guī)則部署到所管轄的流量轉(zhuǎn)發(fā)設(shè)備��。
[0010]進(jìn)一步地�����,所述骨干節(jié)點(diǎn)控制器之間采用安全協(xié)議的方式通信��。
[0011 ] 進(jìn)一步地���,對(duì)于新增的用戶(subscriber )����,通過認(rèn)證機(jī)制����,保證其與其上層的普通 控制器之間可以相互信任,所述認(rèn)證機(jī)制包括步驟如下:
[0012] 步驟(202.2)新用戶發(fā)送給負(fù)責(zé)控制網(wǎng)絡(luò)的所述普通控制器一個(gè)認(rèn)證包����,作為所 述新節(jié)點(diǎn)加入網(wǎng)絡(luò)的憑證,所述認(rèn)證包包含所述新節(jié)點(diǎn)當(dāng)前的地址信息;
[0013] 步驟(202.3)上層的普通控制器接收所述認(rèn)證包并確認(rèn)之后����,將控制器公鑰發(fā)送 給所述新節(jié)點(diǎn),同時(shí)發(fā)送一個(gè)隨機(jī)的序列號(hào)K;
[0014] 步驟(202.4)所述新節(jié)點(diǎn)接收到所述普通控制器發(fā)送的公鑰之后�����,再使用所述的 普通控制器公鑰來加密客戶端的公鑰����,將所述客戶端公鑰發(fā)送回所述的普通控制器,同時(shí) 返回K+1�����。
[0015] 進(jìn)一步地��,所述網(wǎng)絡(luò)安全策略的規(guī)則采用分布式存儲(chǔ)�。
[0016] 進(jìn)一步地�,所述路由算法利用鄰接關(guān)節(jié)點(diǎn)算法在軟件定義網(wǎng)絡(luò)中的尋找流量的關(guān) 鍵位置。
[0017] 進(jìn)一步地����,所述所有控制器模塊包括:
[0018] 服務(wù)器模塊,被配置為接收客戶端所提交的安全防御請(qǐng)求;
[0019] 分析器模塊��,被配置為將用戶的所述安全防御請(qǐng)求轉(zhuǎn)化為網(wǎng)絡(luò)防御規(guī)則����;
[0020] 數(shù)據(jù)庫模塊,被配置為采用分布式存儲(chǔ)技術(shù)�,將所述分析器模塊生成的規(guī)則存儲(chǔ) 并且分散到網(wǎng)絡(luò)集群的各個(gè)地方;
[0021] POX模塊�,被配置為網(wǎng)絡(luò)的主要節(jié)點(diǎn),負(fù)責(zé)從所述數(shù)據(jù)庫模塊提取規(guī)則并轉(zhuǎn)換為流 規(guī)則����,發(fā)送報(bào)文到交換機(jī)來控制網(wǎng)絡(luò)的主要行為。
[0022]進(jìn)一步地�,POX模塊所發(fā)送的報(bào)文包括身份驗(yàn)證部分、規(guī)則部分和數(shù)字簽名部分����;
[0023]進(jìn)一步地,使用對(duì)話密鑰將整個(gè)所述報(bào)文加密�����。
[0024]本發(fā)明所述的一種基于SDN的分布式防御體系以及一系列策略�����,系統(tǒng)流程簡圖如 圖6所示,包括以下步驟:
[0025]步驟(101)在所需要防御的全網(wǎng)范圍內(nèi)中的布置一定的主機(jī)作為網(wǎng)絡(luò)節(jié)點(diǎn)控制器 (Traffic Controller)���,這些節(jié)點(diǎn)控制器將全網(wǎng)劃分成不同的管轄區(qū)域����,每個(gè)區(qū)域?qū)?yīng)一 個(gè)節(jié)點(diǎn)控制器��。節(jié)點(diǎn)控制器之間通過路由協(xié)議進(jìn)行交互通信�。如圖1。
[0026]步驟(102)在不同的管轄區(qū)域內(nèi)布置任意數(shù)量的控制器(controller)����,形成層級(jí) 網(wǎng)絡(luò)系統(tǒng),控制器的具體數(shù)量視網(wǎng)絡(luò)的大小和負(fù)載布置����,這些控制器負(fù)責(zé)和用戶 (subscriber)進(jìn)行交互。
[0027] 步驟(103)用戶(subscriber)是從屬于Contro Iler網(wǎng)絡(luò)的一個(gè)普通的客戶端��,即 用戶���。如圖2所示,當(dāng)用戶(subscriber)檢測到了攻擊,將相應(yīng)的信息和規(guī)則上傳給自己所 屬于的控制器����,即普通控制器,其并非一個(gè)骨干節(jié)點(diǎn)控制器(Traffic Controller)���,沒有權(quán) 限發(fā)動(dòng)整個(gè)網(wǎng)絡(luò)來協(xié)同防御�����,但是普通控制器的上游網(wǎng)絡(luò)控制器����,我們稱為上游控制器 (Upstream Controller)����,相對(duì)于普通控制器來說Upstream ControIler的控制范圍更大, 而且對(duì)于這個(gè)普通控制器來說它們之間是相互可信的���,因此�,普通控制器將相應(yīng)的規(guī)則和 策略上傳到Upstream Controller����,由Upstream Controller來協(xié)同更大范圍的網(wǎng)絡(luò)抵抗流 量的攻擊��。
[0028] 進(jìn)一步講���,網(wǎng)絡(luò)防御的策略和規(guī)則需要在不同的控制器和網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備之間傳 輸,為此我們?cè)O(shè)計(jì)了一個(gè)通用的流規(guī)則報(bào)文以及報(bào)文傳輸?shù)膮f(xié)議形式��,如圖3����。
[0029] 進(jìn)一步講,由于一個(gè)控制器端可能下屬有多個(gè)交換機(jī)或者是服務(wù)器端��,這些交換 機(jī)和服務(wù)器會(huì)產(chǎn)生大量的流規(guī)則請(qǐng)求��,對(duì)于這些請(qǐng)求我們可以在控制器端將規(guī)則進(jìn)行簡化 和整合�����,以減輕控制器端的負(fù)載�����。
[0030] 步驟(104)對(duì)于一個(gè)特定的客戶端來說�����,他會(huì)將相應(yīng)的流規(guī)則報(bào)文傳輸?shù)阶约核?連接的普通控制器上。
[0031] 每一個(gè)客戶端都會(huì)維護(hù)兩個(gè)優(yōu)先級(jí)請(qǐng)求隊(duì)列(queue)�����,當(dāng)產(chǎn)生新的流規(guī)則報(bào)文請(qǐng) 求時(shí)�,一般會(huì)將流規(guī)則存入低優(yōu)先級(jí)的請(qǐng)求隊(duì)列當(dāng)中��,只有比較緊急的請(qǐng)求才會(huì)指定放入 高優(yōu)先級(jí)的隊(duì)列當(dāng)中�����,每次發(fā)送請(qǐng)求時(shí)�,系統(tǒng)會(huì)優(yōu)先發(fā)送高優(yōu)先級(jí)隊(duì)列的請(qǐng)求,只有當(dāng)高優(yōu) 先級(jí)請(qǐng)求隊(duì)列為空時(shí)才會(huì)發(fā)送低優(yōu)先級(jí)的請(qǐng)求隊(duì)列中的請(qǐng)求��。
[0032] 步驟(105)普通控制器接收到來自用戶(subscrib