[發明專利]一種面向SDN網絡的入侵防御系統和方法在審
| 申請號: | 201710993294.6 | 申請日: | 2017-10-23 |
| 公開(公告)號: | CN107770174A | 公開(公告)日: | 2018-03-06 |
| 發明(設計)人: | 焦蒙蒙;李求根;鄭家翔;周明園 | 申請(專利權)人: | 上海微波技術研究所(中國電子科技集團公司第五十研究所) |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/801 |
| 代理公司: | 上海漢聲知識產權代理有限公司31236 | 代理人: | 郭國中 |
| 地址: | 200063 *** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 面向 sdn 網絡 入侵 防御 系統 方法 | ||
1.一種面向SDN的入侵防御系統,使用基于安全虛擬機的入侵檢測服務器,其特征在于,包括入侵檢測引擎、入侵檢測管理模塊、SDN控制器、SDN交換機;所述入侵檢測引擎包括分片器、主機入侵檢測引擎和網絡入侵檢測引擎;所述入侵檢測管理模塊協調入侵防御系統內部網絡入侵檢測引擎、分片器和外部SDN控制器應用以及SDN交換機,所述入侵檢測管理模塊包含IDS安全策略庫、入侵檢測服務模塊、決策器;
所述主機入侵檢測引擎用于檢測安全虛擬機內部的行為,獲知當前虛擬機系統的安全狀態;所述網絡入侵檢測引擎用于檢測經過安全虛擬機的流量數據,獲知當前網絡的安全狀態,并將檢測結果發送到決策器;
所述分片器為所述SDN交換機與所述網絡入侵檢測引擎間的透明代理,通過將所述SDN交換機上的數據按照一定的分片規則細分成若干片,再進行檢測分析,解決了海量數據與快速檢測之間的矛盾;
所述網絡入侵檢測引擎產生與所述分片器產生的流量片數量一致的檢測結點,每個所述檢測結點都包括收集器和分析器;收集器收集流量信息,分析器對流量進行分析判斷流量屬性;
所述IDS安全策略庫包括入侵檢測引擎分析階段所需要的攻擊特征規則、正常特征規則的檢測策略以及入侵檢測引擎響應階段產生的通知管理員、終端服務、關閉端口的策略;所述入侵檢測服務模塊分為流量分析子程序、規則制定子程序、規則下發子程序,所述決策器擁有修改交換機轉發策略的權限;
所述SDN控制器根據管理平臺傳來的命令丟棄、重定向或正常轉發、創建流表項插入到所述SDN交換機的流表中,從而操控流量的去向。
2.根據權利要求1所述的一種面向SDN的入侵防御系統,其特征在于,所述主機入侵檢測引擎在數據采集階段,利用使用硬件語義知識的虛擬機自省方法獲取主機系統信息,之后對比IDS安全策略庫中的入侵檢測知識進行判斷,若為異常行為,則在IDS安全策略庫中進行相應記錄;所述網絡入侵檢測引擎在數據采集階段,利用SDN流量重定向方法獲取網絡流量信息,之后使用所述檢測結點中分析器對該流量進行檢測,若出現異常,則在IDS安全策略庫中進行記錄。
3.根據權利要求1所述的一種面向SDN的入侵防御系統,其特征在于,所述收集器將接收到的數據包進行收集整理和記錄,為進一步的分析做準備;所述分析器對數據包進行分析檢測,判斷數據包是否為惡意流量、可疑流量亦或者是正常流量,數據流量在分析器中被進行判斷之后會將結果發送到所述決策器或IDS安全策略庫。
4.根據權利要求1所述的一種面向SDN的入侵防御系統,其特征在于,所述入侵檢測服務模塊通過修改流條目,使得經過每個所述SDN交換機上的數據包,都將被發送到所述入侵檢測引擎進行檢測;所述入侵檢測引擎綜合所述SDN交換機上數據流的帶寬以及檢測結點負載參數,制定相應的分片策略,控制分片器模塊進行流量分片;當數據流被分成N片時,入侵檢測引擎模塊將產生N個檢測結點;入侵防御管理模塊中決策器接收檢測結點的分析結果,對不同類型的流量進行不同的操作。
5.根據權利要求1所述的一種面向SDN的入侵防御系統,其特征在于,所述流量的判斷依據分別為:
惡意流量:這類信息是已知的網絡攻擊流量;
可疑流量:是滿足部分網絡攻擊流量的特征,但是不足以定性為惡意流量的數據流,特別的,對于間斷性出現的數據包也被視為可疑流量并進行標注;
正常流量:正常流量是不滿足網絡攻擊流量特征的數據流,正常轉發。
6.根據權利要求4所述的一種面向SDN的入侵防御系統,其特征在于,所述決策器對不同類型流量的操作為:對于惡意流量,所述決策器會控制交換機不進行轉發,直接丟棄;對于正常流量,所述決策器控制交換機直接轉發;對于可疑流量,所述決策器查詢IDS安全策略庫,對查詢結果進行處理。
7.一種面向SDN的入侵防御系統的實現方法,是根據權利要求1-6任一項所述的防御系統實現的,其特征在于,包括如下步驟:
步驟1:流量到達SDN交換機,入侵檢測管理模塊控制所有流量轉發至入侵檢測服務器;
步驟2:入侵檢測引擎中分片器按照分片策略對收到數據進行分片,生成若干個片;
步驟3:網絡入侵檢測引擎產生相應數量N個檢測結點;
步驟4:收集器記錄下該檢測結點接收到的數據包摘要信息;
步驟5:分析器進行檢測,判斷數據是否為可疑流量、惡意流量或者正常流量,并將結果告知入侵檢測管理模塊;
步驟6:分析器檢測結果為正常流量,入侵檢測管理模塊中的決策器控制SDN交換機進行轉發;
步驟7:分析器檢測結果為惡意流量,入侵檢測管理模塊中的決策器控制SDN交換機將其丟棄;
步驟8:分析器檢測結果為可疑流量,寫入IDS安全策略庫;
步驟9:分析器檢測結果為可疑流量,主機入侵檢測引擎獲取入侵檢測服務器的安全狀態信息;
步驟10:將可疑流量和入侵檢測服務器的安全狀態信息發送給入侵檢測管理模塊中的入侵檢測服務模塊對數據進行分析處理,服務模塊查詢記錄IDS安全策略庫給出處理結果;
步驟11:若IDS安全策略庫中沒有對應處理策略,則在IDS安全策略庫中進行記錄,同時按可疑流量的默認策略進行處理;例如將其標記為可疑流量,對其標記數加一,并通知安全管理員;對于到達閾值的流量進行Qos等策略;
步驟12:交換機根據處理結果進行流量轉發。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海微波技術研究所(中國電子科技集團公司第五十研究所),未經上海微波技術研究所(中國電子科技集團公司第五十研究所)許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710993294.6/1.html,轉載請聲明來源鉆瓜專利網。
