本發明公開了一種基于SDN的設備安全接入方法及系統，用于在視頻監控網絡中實現接入設備的安全接入，所述接入設備通過SDN交換機接入到視頻監控網絡，通過將接入設備上報的接入信息與預設的白名單進行比較，發現異常后獲取異常設備的網絡信息；SDN控制器根據異常設備的網絡信息，生成控制表項；向SDN交換機發送控制表項，通知SDN交換機丟棄符合控制表項的發往異常設備及異常設備發出的報文。本發明的方法及系統，能夠以較低的成本監測到常見的黑客入侵，并配合SDN網絡對被入侵設備進行隔離，且對業務的影響最小。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種基于SDN的設備安全接入方法及系統。

背景技術

在嵌入式設備中，黑客入侵的風險已經越來越大。常規的殺毒軟件只能運行在Windows或者Linux上，罕見針對嵌入式系統的殺毒軟件。對于視頻監控系統中的嵌入式設備(IPC、NVR等)，如果采用殺毒軟件來實現，殺毒對系統的開銷也不容忽視。另外嵌入式系統升級不便，而傳統殺毒軟件需要頻繁的更新病毒庫才能達到良好的殺毒目的。

在視頻監控系統中，還可以采用專用的入侵防護設備，但是專用的入侵防護設備費用較高，在低成本的場合無法實現。

而在視頻監控系統中，大量的嵌入式設備(IPC、NVR等)分布在城市的各個角落，及其容易被黑客入侵。由于涉及到大眾的隱私和安全，近年來也不斷爆發黑客入侵事件，成為大眾關心的一個重要安全問題。因此對于嵌入式設備的安全防護工作，在視頻監控系統中顯得尤其重要。

發明內容

本發明的目的是提供一種基于SDN的設備安全接入方法及系統，為視頻監控系統的嵌入式設備提出了一種經濟有效的病毒檢測方法，使得系統能夠快速發現可能的入侵，并配合SDN設備，在盡量減少業務影響的前提下，減少入侵后的危害。

為了實現上述目的，本發明技術方案如下：

一種基于SDN的設備安全接入方法，用于在視頻監控網絡中實現接入設備的安全接入，所述接入設備通過SDN交換機接入到視頻監控網絡，所述基于SDN的設備安全接入方法，包括：

將接入設備上報的接入信息與預設的白名單進行比較，發現異常后獲取異常設備的網絡信息；

根據異常設備的網絡信息，生成控制表項；

向SDN交換機發送控制表項，通知SDN交換機丟棄符合控制表項的發往異常設備及異常設備發出的報文。

進一步地，所述視頻監控網絡中還包括相互連接的視頻管理服務器和SDN控制器，所述根據異常設備的網絡信息，生成控制表項，包括：

所述視頻管理服務器根據異常設備的網絡信息，生成控制指令，所述控制指令包括例外網絡信息列表和異常網絡信息列表；

所述視頻管理服務器將控制指令發送給SDN控制器，SDN控制器生成控制表項。

進一步地，所述向SDN交換機發送控制表項，通知SDN交換機丟棄符合控制表項的發往異常設備及異常設備發出的報文，包括：

將來自異常設備，或將發往異常設備的報文丟棄，允許源和目的地址在例外網絡信息列表中的報文通過。

本發明所述接入設備上報的接入信息包括設備的進程，或所述接入設備上報的接入信息包括設備的進程及進程加載的動態庫。

本發明還提出了一種基于SDN的設備安全接入系統，用于在視頻監控網絡中實現接入設備的安全接入，所述基于SDN的設備安全接入系統包括SDN控制器和將所述接入設備接入到視頻監控網絡的SDN交換機，所述SDN控制器與視頻監控網絡中的視頻管理服務器相連，其中：

所述視頻管理服務器，用于將獲取的異常設備的網路信息發送給SDN控制器，所述異常設備的網絡信息通過將接入設備上報的接入信息與預設的白名單進行比較獲得；