本發明屬于網絡安全技術領域，公開了一種SDN網絡的安全防御系統及方法，身份認證模塊對用戶身份進行認證；用戶首次接入網絡，非安全協議處理模塊對用戶分配IP地址，并將用戶的MAC地址、IP地址以及關聯的交換機物理接口記錄在所述流量過濾模塊的所述標識符數據庫中；流量過濾模塊通過所述標識符數據庫對用戶的流量進行過濾；非安全協議處理模塊對用戶的非安全協議流量進行處理，將非安全協議流量發送給SDN控制器或授權的服務器進行處理，并過濾來自其他非授權設備的響應。本發明有效保證了SDN網絡的安全性。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種SDN網絡的安全防御系統及方法。

背景技術

目前，業內常用的現有技術是這樣的：隨著云計算服務的普及和虛擬化技術的進步，傳統網絡不再能提供足夠的靈活性，可用性和靈活性來構建云數據中心網絡。SDN，即軟件定義網絡，恰好填補了這一空缺，它是一種新穎的網絡架構，通過提供一個集中的可編程控制平面來管理一系列物理設備，同時提供了廣泛的應用程序和相應的開放接口，并將控制平面與數據平面解耦。OpenFlow是SDN的一種主流實現，已經部署在各種場景中，從園區網絡到云數據中心網絡。盡管SDN相對于傳統網絡具有更靈活、可擴展和可編程的優點，但是也面臨著一些與傳統網絡相同或不同的安全威脅，然而傳統網絡中的防御方法并不適用于SDN網絡，原因是SDN網絡中的大多數網絡設備只具備轉發能力，不像傳統網絡中的網絡設備足夠智能的部署一些防御方法，例如：動態ARP監控。并且由于它全局的控制平面，一些局限于局域網的攻擊可能影響整個SDN網絡。溫州市捷點信息技術有限公司申請的專利“一種網絡安全系統”(申請號CN201710982049.5公開號CN107566408A)公開了一種利用物理手段進行防御的方案，包括外網、防火墻設備、行為監管設備、接入控制設備、流量控制設備和內網計算機，其特征在于：所述外網與防火墻設備雙向電性連接，所述防火墻設備與行為監管設備雙向電性連接，所述行為監管設備分別與接入控制設備和流量控制設備雙向電性連接，所述接入控制設備和流量控制設備均與內網計算機雙向電性連接，所述內網計算機與存儲模塊雙向電性連接，所述行為監管設備的輸出端與異常評估模塊的輸入端單向電性連接，所述異常評估模塊的輸出端與斷電器的輸入端單向電性連接，所述斷電器的輸出端與存儲器電源的輸入端單向電性連接，所述存儲器電源包括鋰電池、數據庫模塊和數據對比器，所述存儲器電源的輸入端分別與指紋識別器和聲音傳感器的輸出端單向電性連接，所述存儲器電源的輸出端與存儲模塊的輸入端單向電性連接。該方法的不足之處在于：通過物理手段進行防御，這樣雖然可以一定程度上防御一些攻擊，但網絡的可用性不能得到保障，原因是通過物理手段將電源斷開，網絡也會隨之斷開，影響用戶的用戶體驗。南京理工學院申請的專利“基于SDN架構的DDOS攻擊防御網絡安全系統及方法”(申請號CN201710234826.8公開號CN107018084A)公開了一種基于SDN的DDOS防御方案，其特征在于，包括SDN交換機和清洗服務器，所述SDN交換機包括數據包信息提取模塊、決策處理模塊、報文轉發模塊和包信息數據庫、合法IP地址數據庫、非法IP地址數據庫，所述清洗服務器包括數據包解包模塊、特征匹配模塊、相似系數檢測模塊和全局流量統計模塊、數據包封包處理模塊。該方法的不足之處在于：只能針對性的防御DDOS攻擊，對其他攻擊沒有防御能力，原因是該方法是針對DDOS攻擊的防御方法。

綜上所述，現有技術存在的問題是：傳統網絡中的防御方法存在網絡的可用性不能得到保障；只能針對性的防御DDOS攻擊，對其他攻擊沒有防御能力。因此，現存的防御方案或不能提供完善的安全性，或不能提供較好的用戶體驗，或不適用于SDN網絡。

解決上述技術問題的難度和意義：提出了一種適用于SDN網絡，動態防御各種攻擊，并提供網絡的高可用性的安全方案以確保用戶的網絡安全和用戶體驗。

發明內容

針對現有技術存在的問題，本發明提供了一種SDN網絡的安全防御系統及方法。