本發(fā)明實施例提供了一種網(wǎng)絡安全防御方法，應用于軟件定義網(wǎng)絡(SDN)控制器，所述SDN控制器位于網(wǎng)絡拓撲中，所述方法包括：監(jiān)測第一網(wǎng)絡裝置和第二網(wǎng)絡裝置之間基于多路徑傳輸協(xié)議連接的至少兩個子流，其中第一子流沿包括有所述安全設備的第一傳輸路線進行數(shù)據(jù)傳輸，第二子流沿不包括所述安全設備第二傳輸路線進行數(shù)據(jù)傳輸；將第二子流鏡像到安全設備中，以確保每個子流均經(jīng)過安全設備檢測之后流入到第二網(wǎng)絡裝置中，以降低網(wǎng)絡安全隱患。

技術領域

本發(fā)明實施例涉及網(wǎng)絡安全領域，具體而言，涉及一種基于軟件定義網(wǎng)絡(Software Defined Network,SDN)之網(wǎng)絡安全防御方法及SDN控制器。

背景技術

當下，網(wǎng)絡安全事件頻發(fā)，且引發(fā)這些網(wǎng)絡安全事件的病毒信息常常以多媒體文件為載體，隨著多媒體文件的發(fā)行與流通而實現(xiàn)傳播與蔓延。

在多媒體文件傳輸技術中，多采用多路徑并行傳輸技術以提升傳輸速度。比如，基于多路徑傳輸控制協(xié)議(Multipath Transmission Control Protocol，簡稱：MPTCP)的多路徑并行傳輸技術，其核心思想是在應用層和傳輸層中間加入支持多路徑傳輸?shù)腗PTCP層，將待傳輸?shù)亩嗝襟w文件分為多個子流，不同子流沿不同路徑傳輸并最終匯聚于目的設備中。

然而，多媒體文件的多路徑并行傳輸所帶來的問題是：可能有些傳輸路線中沒有安全設備，從而使得該些傳輸路線中的子流在未經(jīng)安全設備檢查的情況下，直接進入目的設備中，從而帶來嚴重的網(wǎng)絡安全隱患。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明目的是提供一種基于軟件定義網(wǎng)絡(SDN)之網(wǎng)絡安全防御方法，以減低網(wǎng)絡安全隱患。

本發(fā)明目的還提供一種使SDN控制器，以減低網(wǎng)絡安全隱患。

本發(fā)明實施例提供的一種網(wǎng)絡安全防御方法，應用于軟件定義網(wǎng)絡(SDN)控制器，所述SDN控制器位于網(wǎng)絡拓撲中，所述網(wǎng)絡拓撲包括至少一個安全設備及多個轉(zhuǎn)發(fā)設備，所述SDN控制器包括所述網(wǎng)絡拓撲的拓撲信息，所述方法包括：

監(jiān)測第一網(wǎng)絡裝置和第二網(wǎng)絡裝置之間基于多路徑傳輸協(xié)議連接的至少兩個子流，其中第一子流沿包括有所述安全設備的第一傳輸路線進行數(shù)據(jù)傳輸，第二子流沿不包括所述安全設備的第二傳輸路線進行數(shù)據(jù)傳輸；

根據(jù)所述網(wǎng)絡拓撲的拓撲信息分析出所述第二傳輸路線中與所述安全設備連接的一個第一轉(zhuǎn)發(fā)設備，及分析出所述第一子流經(jīng)由所述安全設備流入的第二轉(zhuǎn)發(fā)設備；

生成第一流表并將該第一流表下發(fā)至所述第一轉(zhuǎn)發(fā)設備中，以控制所述第一轉(zhuǎn)發(fā)設備鏡像該第二子流以得到鏡像子流，并將該鏡像子流經(jīng)由所述安全設備轉(zhuǎn)發(fā)至所述第二轉(zhuǎn)發(fā)設備中；

生成第二流表并將該第二流表下發(fā)至第二轉(zhuǎn)發(fā)設備中，以使所述第二轉(zhuǎn)發(fā)設備監(jiān)測是否在預定時間內(nèi)經(jīng)由所述安全設備接收到所述鏡像子流；

若所述第二轉(zhuǎn)發(fā)設備在所述預定時間內(nèi)未經(jīng)由所述安全設備接收到所述鏡像子流，向所述第二傳輸路線中的一個或多個轉(zhuǎn)發(fā)設備下發(fā)攔截所述第二子流的第三流表。

本發(fā)明實施例還提供了一種SDN控制器，所述SDN控制器位于網(wǎng)絡拓撲中，所述SDN控制器位于網(wǎng)絡拓撲中，所述網(wǎng)絡拓撲包括至少一個安全設備及多個轉(zhuǎn)發(fā)設備，所述SDN控制器包括所述網(wǎng)絡拓撲的拓撲信息，所述SDN控制器包括包括監(jiān)測模塊、分析模塊、第一部署模塊、第二部署模塊和第三部署模塊。

所述監(jiān)測模塊，用于監(jiān)測第一網(wǎng)絡裝置和第二網(wǎng)絡裝置之間基于多路徑傳輸協(xié)議連接的至少兩個子流，其中第一子流沿包括有所述安全設備的第一傳輸路線進行數(shù)據(jù)傳輸，第二子流沿不包括所述安全設備的第二傳輸路線進行數(shù)據(jù)傳輸；

所述分析模塊，用于根據(jù)所述網(wǎng)絡拓撲的拓撲信息分析出所述第二傳輸路線中與所述安全設備連接的一個第一轉(zhuǎn)發(fā)設備，及分析出所述第一子流經(jīng)由所述安全設備流入的第二轉(zhuǎn)發(fā)設備；