技術領域

本發明涉及網絡安全領域，特別是涉及一種網絡安全防御系統及其工作方法。

背景技術

當前，互聯網規模的膨脹，國家計算機網絡應急技術處理協調中心最新發布的報告表明：DDOS攻擊事件呈大幅增長趨勢，國家、企業的網絡安全性面臨著嚴峻挑戰。

其中，分布式拒絕服務攻擊(Distributed Denial of Service，DDoS)仍然是影響互聯網運行安全最主要的威脅之一。在過去的幾年里，DDoS攻擊的數目、大小、類型都大幅上漲。

軟件定義網絡(Software Defined Network，SDN)具有可實時更新路由策略與規則、支持深層次的數據包分析等特性，因而可針對復雜網絡環境中的DDoS威脅提供更迅速準確的網絡監控及防御功能。

但是軟件定義網絡的技術方案在具體的實施過程中發現SDN控制器在處理攻擊時，對硬件要求很高，尤其在大規模DDOS攻擊時，容易造成SDN控制器無法響應。

發明內容

本發明的目的是提供一種網絡安全防御系統及工作方法,以解決在大量DDoS攻擊時，能有效的緩解SDN控制器的負擔，降低了硬件要求和維護成本。

為了解決上述技術問題，本發明提供了一種網絡安全防御系統，包括：SDN控制器、IDS決策服務器和IDS設備；所述IDS設備適于對報文進行抽檢，即當IDS設備檢測到具有DDoS攻擊特征的報文時，上報至IDS決策服務器；所述IDS決策服務器根據上報信息，制定出與具有DDoS攻擊特征的報文對應的處理策略，并將處理策略下發至SDN控制器以進行威脅處理。

優選的，為了在IDS設備中實現對DDoS攻擊的抽檢，所述IDS設備內包括：定時模塊，設定報文的抽檢間隔時間；欺騙報文檢測模塊，對鏈路層和網際層地址的欺騙行為進行檢測；破壞報文檢測模塊，對網際層和傳輸層標志位設置的異常行為進行檢測；異常報文檢測模塊，對應用層和傳輸層泛洪式攻擊行為進行檢測；在各間隔時間內通過所述欺騙報文檢測模塊、破壞報文檢測模塊、異常報文檢測模塊依次對報文進行檢測；且若任一檢測模塊檢測出報文存在上述相應行為時，則將該報文轉入IDS決策服務器。

優選的，所述IDS決策服務器適于當報文具有欺騙行為，且攻擊威脅在OpenFlow域中，則通過SDN控制器屏蔽攻擊主機；或當攻擊威脅不在OpenFlow域中，則通過SDN控制器將該報文所對應的OF交換機接入端口流量重定向至流量清洗中心進行過濾；所述IDS決策服務器還適于當報文具有異常行為，則通過SDN控制器對攻擊程序或攻擊主機的流量進行屏蔽；以及當報文具有泛洪式攻擊行為，則所述IDS決策服務器適于通過SDN控制器將該報文所對應的OF交換機接入端口流量重定向至流量清洗中心進行過濾。

優選的，建立主機“征信機制”，即所述SDN控制器內設一屏蔽計時模塊和屏蔽計數器；所述屏蔽計時模塊內設有屏蔽時間，該屏蔽時間適于限定屏蔽攻擊主機時間；所述屏蔽計數器設有一屏蔽閾值，適于當攻擊主機屏蔽次數超過該屏蔽閾值時，永久屏蔽該攻擊主機。

另一方面，本發明還提供了一種網絡安全防御系統的工作方法。

本網絡安全防御系統的工作方法，包括如下步驟：

步驟S100，初始化配置；步驟S200，使IDS設備根據預設的間隔時間進行DDoS威脅抽檢；以及步驟S300，根據威脅檢測制定相應處理策略下發至SDN控制器以進行威脅處理。

優選的，所述步驟S100中初始化配置的步驟如下：步驟S101，將所述網絡安全防御系統中的所述IDS決策服務器與IDS設備建立專用的SSL通信信道；步驟S102，所述SDN控制器構建網絡設備信息綁定表，并且將網絡設備信息綁定表實時更新到IDS設備中；步驟S104，所述SDN控制器下發鏡像策略的流表，即將OF交換機所有拖載有主機的端口流量鏡像轉發給網域內對應的IDS設備；以及步驟S105，所述SDN控制器下發DDoS威脅識別規則給每個網域中對應的IDS設備。

優選的，所述步驟S200中使IDS設備根據預設的間隔時間進行DDoS威脅抽檢的方法包括：在預設的間隔時間內依次對鏈路層和網際層地址的欺騙行為，網際層和傳輸層標志位設置異常行為，以及應用層和傳輸層的泛洪式攻擊行為進行抽檢；若上述過程中任一檢測判斷出報文存在相應行為時，則將該報文轉入步驟S300。