本發明公開了一種基于軟件定義網絡的協同防御策略和系統，涉及網絡安全領域。所述防御系統骨架由多臺網絡節點控制器組成，各個控制器之間采用TCP/IP協議通信。控制器控制自己所管轄網絡的安全防御規則和策略，同時將其中部分需要協同防御的策略傳遞到其他控制器，請求協同防御。控制器上搭載的系統構架分為4個模塊：服務器模塊負責接收用戶所提交的安全防御請求；分析器模塊負責將用戶的安全請求轉化為網絡防御規則；數據庫模塊采用分布式存儲技術，將分析器模塊生成的規則存儲起來并且分散到網絡集群的各個地方，供控制器從中提取規則；POX模塊則是網絡的主要節點，從數據庫提取規則并轉換為流規則，發送到交換機來控制網絡的主要行為。

技術領域

本發明屬于計算機網絡安全領域的網絡流量控制體系和策略，涉及到軟件定義網絡(SDN)環境下的網絡流量安全體系和策略。

背景技術

網絡安全是計算機學科中的一個很熱門的研究方向，尤其是在現如今的大數據時代，網絡安全的重要性更是不言而喻。在眾多的安全威脅當中，DDoS毫無疑問是一種攻擊頻率高、門檻低、危害大的網絡攻擊方式，也因為其采取的各種各樣的攻擊方式，導致了這種攻擊易檢測卻難以被防御。據網絡安全公司Arbor Networks去年的報告顯示，2014年上半年全球DDoS大型攻擊次數較過去更為頻繁。根據Arbor Networks安全報告ATLAS的數據，2014年僅是第二季度共發生111次流量超過100Gbps的攻擊，而整個上半年，流量超過20Gbps的攻擊次數更多達5733次，比2013年全年2573次的兩倍還多。面對如此嚴峻的網絡安全形勢，如何有效地防御DDoS流量對于重要服務器和網絡設備的攻擊成為了急需解決的問題。

軟件定義網絡(SDN)是一種新型網絡創新架構，其核心技術OpenFlow通過將網絡設備控制面與數據面分離開來，從而實現了網絡流量的靈活控制，為核心網絡及應用的創新提供了良好的平臺。利用這項新技術，網絡的靈活性和耦合性可以極大地提高。

在DDoS的攻擊中，往往擁有較強的負載能力和過濾能力的網絡設備無法有效地檢測和定位攻擊流量，比如網絡運營商，他們擁有強大的負載能力卻無法判斷經過自身的流量是否為正常流量；而另一方面，網絡中的需要面向應用的服務器端可以很好地判斷自己是否受到了流量攻擊，但是由于自身設備的局限性，不能很好地隔斷攻擊。

因此，本領域的技術人員致力于開發一種基于軟件定義網絡的網絡協同防御系統，利用SDN網絡的高耦合性，采取協同防御的策略，就可以充分發揮兩方的特點，最大化地過濾或遷移DDoS攻擊流量，從而更好地解決問題。

發明內容

本發明基于以上在網絡流量攻擊的防御問題和SDN網絡的優越特性，解決的是網絡中較強的負載能力和過濾能力的網絡設備無法有效地檢測和定位攻擊流量的問題。

為了實現上述目的本發明提出了一種網絡協同防御系統，所述網絡協同防御系統是基于軟件定義網絡的，頂層采用骨干節點控制器，所述骨干節點控制器間形成一個網絡；所述網絡協同防御系統利用對等的所述骨干節點控制器對不同的網絡進行控制，同時通過路由算法在不同的所述骨干節點控制器之間進行網絡安全策略的協同和規則的遠程部署。

進一步地，每個所述骨干節點控制器下采用層級的控制器部署。

進一步地，每個所述骨干節點控制器都不是網絡中的主要流量節點，網絡流量仍然通過原來的流量轉發設備進行交換，大量的用戶網絡流量不需要經過骨干節點控制器。每個所述骨干節點控制器都管轄網絡中部分的流量轉發設備。骨干節點控制器只負責接收用戶的請求，處理之后形成相對應的流量規則，并將規則部署到所管轄的流量轉發設備。

進一步地，所述骨干節點控制器之間采用安全協議的方式通信。

進一步地，對于新增的用戶(subscriber)，通過認證機制，保證其與其上層的普通控制器之間可以相互信任，所述認證機制包括步驟如下：