本發明提供了一種防DDOS攻擊的網絡系統，包括：視頻服務器，用于通過P4交換機將視頻流量數據發送至NAT服務器；防火墻，用于根據預設的攻擊識別策略對P4交換機發送的流量數據進行識別并輸出流量識別結果；SDN控制器，用于根據防火墻的流量識別結果生成流量攔截指令并發送至P4交換機，以使P4交換機對異常流量數據進行攔截；P4交換機，用于將接收到的所有流量數據進行復制并發送至防火墻，同時，根據SDN控制器發送的流量攔截指令進行異常流量攔截，并將安全流量數據轉發至NAT服務器。本發明實現了數據轉發平面的可編程能力，能夠有效防止網絡攻擊。

技術領域

本發明涉及網絡安全技術領域，尤其是涉及一種防DDOS攻擊的網絡系統。

背景技術

SDN解決方案實現了網絡控制平面與轉發平面的分離，增強了控制平面的集中可編程能力。但是，SDN解決方案只是為用戶開放了控制平面編程能力，并不包含數據轉發平面。轉發設備必須通過轉發芯片的能力實現數據轉發功能，不同廠商都有自己不同的實現方式，且需要專用芯片，開發周期長。因此，目前的網絡系統未能有效防止網絡攻擊。

發明內容

本發明實施例提供一種防DDOS攻擊的網絡系統，以解決上述技術問題，從而實現數據轉發平面的可編程能力，能夠有效防止網絡攻擊。

為了解決上述技術問題，本發明實施例提供了一種防DDOS攻擊的網絡系統，包括視頻服務器、NAT服務器、P4交換機、防火墻、SDN控制器；

所述視頻服務器，用于通過所述P4交換機將視頻流量數據發送至所述NAT服務器；

所述防火墻，用于根據預設的攻擊識別策略對所述P4交換機發送的流量數據進行識別并輸出流量識別結果；

所述SDN控制器，用于根據所述防火墻的流量識別結果生成流量攔截指令并發送至所述P4交換機，以使所述P4交換機對異常流量數據進行攔截；

所述P4交換機，用于將接收到的所有流量數據進行復制并發送至所述防火墻，同時，根據所述SDN控制器發送的流量攔截指令進行異常流量攔截，并將安全流量數據轉發至所述NAT服務器。

進一步地，所述防火墻，用于根據預設的攻擊識別策略對所述P4交換機發送的流量數據進行識別并輸出流量識別結果，具體包括：

所述防火墻，用于對接收到的流量數據進行實時流量監測，若監測到某一鏈路的流量傳輸速率連續S秒大于預設的速率閾值，則判定該鏈路為攻擊鏈路，將該鏈路的IP地址和端口號輸出至所述SDN控制器，以使所述SDN控制器根據所述IP地址和所述端口號生成針對該鏈路的流量攔截指令。

進一步地，所述P4交換機，還用于在已確認安全的IP地址相對應的流量數據中插入安全辨識幀。

進一步地，所述防火墻，用于根據預設的攻擊識別策略對所述P4交換機發送的流量數據進行識別并輸出流量識別結果，具體包括：

所述防火墻，用于對接收到的流量數據進行實時流量監測，若監測到某一鏈路的流量數據不存在所述安全辨識幀時，則判定該鏈路為攻擊鏈路，將該鏈路的IP地址和端口號輸出至所述SDN控制器，以使所述SDN控制器根據所述IP地址和所述端口號生成針對該鏈路的流量攔截指令。

與現有技術相比，本發明具有如下有益效果：

本發明實施例提供了一種防DDOS攻擊的網絡系統，包括：視頻服務器，用于通過P4交換機將視頻流量數據發送至NAT服務器；防火墻，用于根據預設的攻擊識別策略對P4交換機發送的流量數據進行識別并輸出流量識別結果；SDN控制器，用于根據防火墻的流量識別結果生成流量攔截指令并發送至P4交換機，以使P4交換機對異常流量數據進行攔截；P4交換機，用于將接收到的所有流量數據進行復制并發送至防火墻，同時，根據SDN控制器發送的流量攔截指令進行異常流量攔截，并將安全流量數據轉發至NAT服務器。本發明實現了數據轉發平面的可編程能力，能夠有效防止網絡攻擊。