[发明专利]一种基于软件定义的网络安全防御系统及其工作方法

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种网络安全防御系统及其工作方法。

背景技术

当前，互联网规模的膨胀，国家计算机网络应急技术处理协调中心最新发布的报告表明：DDOS攻击事件呈大幅增长趋势，国家、企业的网络安全性面临着严峻挑战。

其中，分布式拒绝服务攻击(Distributed Denial of Service，DDoS)仍然是影响互联网运行安全最主要的威胁之一。在过去的几年里，DDoS攻击的数目、大小、类型都大幅上涨。

软件定义网络(Software Defined Network，SDN)具有可实时更新路由策略与规则、支持深层次的数据包分析等特性，因而可针对复杂网络环境中的DDoS威胁提供更迅速准确的网络监控及防御功能。

但是软件定义网络的技术方案在具体的实施过程中发现SDN控制器在处理攻击时，对硬件要求很高，尤其在大规模DDOS攻击时，容易造成SDN控制器无法响应。

发明内容

本发明的目的是提供一种网络安全防御系统及工作方法,以解决在大量DDoS攻击时，能有效的缓解SDN控制器的负担，降低了硬件要求和维护成本。

为了解决上述技术问题，本发明提供了一种网络安全防御系统，包括：SDN控制器、IDS决策服务器和IDS设备；所述IDS设备适于对报文进行抽检，即当IDS设备检测到具有DDoS攻击特征的报文时，上报至IDS决策服务器；所述IDS决策服务器根据上报信息，制定出与具有DDoS攻击特征的报文对应的处理策略，并将处理策略下发至SDN控制器以进行威胁处理。

优选的，为了在IDS设备中实现对DDoS攻击的抽检，所述IDS设备内包括：定时模块，设定报文的抽检间隔时间；欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；在各间隔时间内通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入IDS决策服务器。

优选的，所述IDS决策服务器适于当报文具有欺骗行为，且攻击威胁在OpenFlow域中，则通过SDN控制器屏蔽攻击主机；或当攻击威胁不在OpenFlow域中，则通过SDN控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤；所述IDS决策服务器还适于当报文具有异常行为，则通过SDN控制器对攻击程序或攻击主机的流量进行屏蔽；以及当报文具有泛洪式攻击行为，则所述IDS决策服务器适于通过SDN控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤。

优选的，建立主机“征信机制”，即所述SDN控制器内设一屏蔽计时模块和屏蔽计数器；所述屏蔽计时模块内设有屏蔽时间，该屏蔽时间适于限定屏蔽攻击主机时间；所述屏蔽计数器设有一屏蔽阈值，适于当攻击主机屏蔽次数超过该屏蔽阈值时，永久屏蔽该攻击主机。

另一方面，本发明还提供了一种网络安全防御系统的工作方法。

本网络安全防御系统的工作方法，包括如下步骤：

步骤S100，初始化配置；步骤S200，使IDS设备根据预设的间隔时间进行DDoS威胁抽检；以及步骤S300，根据威胁检测制定相应处理策略下发至SDN控制器以进行威胁处理。

优选的，所述步骤S100中初始化配置的步骤如下：步骤S101，将所述网络安全防御系统中的所述IDS决策服务器与IDS设备建立专用的SSL通信信道；步骤S102，所述SDN控制器构建网络设备信息绑定表，并且将网络设备信息绑定表实时更新到IDS设备中；步骤S104，所述SDN控制器下发镜像策略的流表，即将OF交换机所有拖载有主机的端口流量镜像转发给网域内对应的IDS设备；以及步骤S105，所述SDN控制器下发DDoS威胁识别规则给每个网域中对应的IDS设备。

优选的，所述步骤S200中使IDS设备根据预设的间隔时间进行DDoS威胁抽检的方法包括：在预设的间隔时间内依次对链路层和网际层地址的欺骗行为，网际层和传输层标志位设置异常行为，以及应用层和传输层的泛洪式攻击行为进行抽检；若上述过程中任一检测判断出报文存在相应行为时，则将该报文转入步骤S300。