[发明专利]一种SDN网络防护方法及装置

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种SDN(Software Defined Network，软件定义网络)网络防护方法及装置。

背景技术

在虚拟化网络中，可以通过SDN技术将网络资源以资源池的方式进行整合，并能根据用户的需求，利用控制器进行集中统一的管理、配置和部署网络，为用户提供网络服务。虚拟化网络：就是在一个物理网络上模拟出多个逻辑网络，其网络配置不受物理设备位置的限制，该网络内的每个物理设备能够互联互通，并且用户在逻辑网络的体验与在物理网络的体验一样。

SDN(Software Defined Network，软件定义网络)：它是一种新兴的网络架构，实现控制与转发相分离，并且用户可直接对网络编程。

SDN网络架构可以被分为三个主要部分：控制器(controller)、SDN交换机(SDN switch)、网络应用。控制器可以作为网络的一种操作系统(OS，Operating System)，负责网络中流量的控制，能自动管理网络，并且向上层应用提供用于实现网络服务的可编程接口(API，Application Programming Interface)，网络人员能够灵活地编写多种网络应用，通过该接口管理整个网络。SDN交换机进行数据层的转发。流表是SDN交换机的关键组件，负责数据包的高速查询和转发。SDN交换机中的流表包含多组流表项，每组流表项就是一个转发规则。进入SDN交换机的数据包通过查询流表来获得转发的目的端口。控制器可通过安全通道控制和管理SDN交换机，同时控制器接收来自SDN交换机的事件并向SDN交换机发送数据包。OpenFlow(协议)用来描述控制器和SDN交换机之间交互所用信息的标准。SDN交换机和控制器通过安全通道进行通信的信息必须按照OpenFlow协议规定的格式来执行。

SDN技术为网络的配置和部署带来极大灵活性和便捷性的同时，也引入了新的网络安全威胁，例如：SDN网络的逻辑结构太容易被改变，而通常物理网络在构建网络环境时，一般用户的业务系统都会在构建好网络后，再经过充分的测试后才会正式运行，但是SDN通过流表可以在用户业务系统运行中随意地改变网络的拓扑，这样就产生了很大的风险。由于每次更改后都没有进行足够的测试，例如规定访问某服务器之前必须要先经过某防火墙，而用户或恶意攻击控制SDN控制器下发非法规则，直接跳过该防火墙直接访问服务器，会给服务器带来威胁。作为控制中心的SDN控制器一旦被攻击或发生异常，将可能导致整个网络的故障；另外，还有非法链接请求、洪泛攻击等威胁。

其中，SYN攻击：是洪泛攻击的一种。它利用传输控制协议(TCP，Transmission Control Protocol)的三次握手机制的漏洞，通过伪造的IP地址向被攻击端持续发出SYN请求，而被攻击端发出的响应报文SYN-ACK就无法得到再确认ACK包，一段时间后被攻击端会重发SYN-ACK，等待再确认，直到超过其设定的最大等待时间该连接请求才会被关闭。如此，被攻击端在等待关闭这个连接的过程中被消耗了资源，如果这样的连接数量非常多，主机资源将被耗尽，从而达到攻击的目的。

目前的SDN网络安全监控方案大多是通过扩展SDN网络设备的功能来实现安全防御，通常和防火墙、入侵检测及防御系统等配合，或直接通过第三方安全检测产品检测。然而，这些方案多是单方面的注重检测或阻止攻击进入SDN网络内部，忽略了对SDN网络内部设备和用户操作的监控和处理。SDN网络仍旧会遇到以下问题：1)没有有效地发现被攻击的SDN控制器下发的恶意策略和用户错误操作下发的非法策略，而只监测发现不完善处理机制，并不能保证网络服务的可靠性和可用性；2)没有针对SDN网络受到洪泛攻击、非法链接请求等攻击时的高效可靠防护机制。

发明内容：

本发明提供一种SDN网络防护方法及装置，能够使SDN网络更加安全和高效。

为解决上述技术问题，本发明实施例提供一种软件定义网络SDN网络防护方法，所述方法包括：

当SDN控制器下发流表后，判断所述SDN控制器下发的流表的合法性；

在所述SDN控制器下发的流表合法时，通过客户端代理和服务器端代理向SDN交换机下发所述流表；

其中，所述SDN控制器下发的流表包括针对所述SDN交换机转发的请求数据包下发的流表，和/或，针对更改网络部署下发的流表。

可选地，所述方法还包括：

当服务端代理接收到所述SDN交换机转发的请求数据包后，查询服务端代理的缓存中是否有匹配的流表；