[发明专利]一种软件定义网络安全实施方法、系统及控制器

权利要求书

1.一种软件定义网络安全实施方法，其特征在于，该方法包括：

部署在控制器网络操作系统（NOS）中的安全核心模块实时检测网络状态信息；

安全应用根据网络状态信息，分析网络安全状态，检测到网络安全威胁时，生成相应的安全策略；

所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则，安装或更新至数据层交换机。

2.如权利要求1所述的方法，其特征在于，所述安全应用根据网络状态信息，分析网络安全状态，生成安全策略的过程包括：

各类安全应用分别针对不同类网络安全威胁执行各自的安全分析算法，分析网络安全状态，在该类网络安全威胁发生时，生成相应的安全策略。

3.如权利要求1所述的方法，其特征在于，该方法还包括：

当应用层接入的一般应用需要安装或更新流表规则时，所述安全核心模块检测策略一致性，若需要安装或更新的流表规则与现有网络全局策略产生冲突，则由相应的安全应用执行策略一致性算法解决冲突，其中，所述策略一致性算法中的权重采用应用优先级。

4.如权利要求3所述的方法，其特征在于，该方法还包括：

所述安全核心模块根据受信模型建立应用优先级，其中，安全应用具有最高应用优先等级，一般应用根据所属角色划分为若干应用优先级。

5.如权利要求1至4任一项所述的方法，其特征在于，

所述安全核心模块，具备认证和授权功能，执行一般应用软件接入访问认证和授权服务。

6.如权利要求5所述的方法，其特征在于，

所述安全核心模块，具备安全服务汇报功能，提供第三方安全异常汇报接口，兼容基于深层报文检测（DPI）的传统安全服务。

7.如权利要求6所述的方法，其特征在于，

当安全应用获取到第三方安全威胁汇报时，直接生成对应的安全策略。

8.一种软件定义网络安全实施系统，其特征在于，该系统包括部署在控制器NOS中的安全核心模块，部署在应用层的安全应用程序集，其中：

所述安全核心模块，实时检测网络状态信息，以及将所述安全应用程序集生成的安全策略转换成流表项规则，安装或更新至数据层交换机；

所述安全应用程序集，根据网络状态信息，分析网络安全状态，在检测到网络安全威胁时，生成安全策略。

9.如权利要求8所述的系统，其特征在于，

所述安全应用程序集包括多个安全应用单元，每个安全应用单元，针对一类网络安全威胁执行安全分析算法，分析网络安全状态，并在该类网络安全威胁产生时生成相应的安全策略，以消除该类网络安全威胁。

10.如权利要求9所述的系统，其特征在于，所述安全核心模块包括：

采集单元，实时检测网络状态信息；

流表项规则转换单元，将所述安全应用程序集生成的安全策略转换成流表项规则，安装或更新至数据层交换机。

11.如权利要求10所述的系统，其特征在于，所述安全核心模块还包括：

策略一致性检测单元，在一般应用需要安装或更新流表规则时，检测策略一致性并在需要安装或更新的流表规则与现有网络全局策略产生冲突时，控制相应的安全应用单元执行策略一致性算法解决冲突，其中，所述策略一致性算法中的权重采用应用优先级。

12.如权利要求11所述的系统，其特征在于，所述安全核心模块还包括：

应用优先级设置单元，根据受信模型建立应用优先级，其中，安全应用具有最高应用优先等级，一般应用根据所属角色划分为若干应用优先级。

13.如权利要求8至12任一项所述的系统，其特征在于，所述安全核心模块还包含：

认证和授权逻辑单元，执行一般应用软件接入访问认证和授权服务。

14.如权利要求13所述的系统，其特征在于，所述安全核心模块还包含：

安全服务汇报逻辑单元，提供第三方安全异常汇报接口，兼容基于DPI的传统安全服务。