[发明专利]一种基于SDN的设备安全接入方法及系统

说明书

本发明公开了一种基于SDN的设备安全接入方法及系统，用于在视频监控网络中实现接入设备的安全接入，所述接入设备通过SDN交换机接入到视频监控网络，通过将接入设备上报的接入信息与预设的白名单进行比较，发现异常后获取异常设备的网络信息；SDN控制器根据异常设备的网络信息，生成控制表项；向SDN交换机发送控制表项，通知SDN交换机丢弃符合控制表项的发往异常设备及异常设备发出的报文。本发明的方法及系统，能够以较低的成本监测到常见的黑客入侵，并配合SDN网络对被入侵设备进行隔离，且对业务的影响最小。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于SDN的设备安全接入方法及系统。

背景技术

在嵌入式设备中，黑客入侵的风险已经越来越大。常规的杀毒软件只能运行在Windows或者Linux上，罕见针对嵌入式系统的杀毒软件。对于视频监控系统中的嵌入式设备(IPC、NVR等)，如果采用杀毒软件来实现，杀毒对系统的开销也不容忽视。另外嵌入式系统升级不便，而传统杀毒软件需要频繁的更新病毒库才能达到良好的杀毒目的。

在视频监控系统中，还可以采用专用的入侵防护设备，但是专用的入侵防护设备费用较高，在低成本的场合无法实现。

而在视频监控系统中，大量的嵌入式设备(IPC、NVR等)分布在城市的各个角落，及其容易被黑客入侵。由于涉及到大众的隐私和安全，近年来也不断爆发黑客入侵事件，成为大众关心的一个重要安全问题。因此对于嵌入式设备的安全防护工作，在视频监控系统中显得尤其重要。

发明内容

本发明的目的是提供一种基于SDN的设备安全接入方法及系统，为视频监控系统的嵌入式设备提出了一种经济有效的病毒检测方法，使得系统能够快速发现可能的入侵，并配合SDN设备，在尽量减少业务影响的前提下，减少入侵后的危害。

为了实现上述目的，本发明技术方案如下：

一种基于SDN的设备安全接入方法，用于在视频监控网络中实现接入设备的安全接入，所述接入设备通过SDN交换机接入到视频监控网络，所述基于SDN的设备安全接入方法，包括：

将接入设备上报的接入信息与预设的白名单进行比较，发现异常后获取异常设备的网络信息；

根据异常设备的网络信息，生成控制表项；

向SDN交换机发送控制表项，通知SDN交换机丢弃符合控制表项的发往异常设备及异常设备发出的报文。

进一步地，所述视频监控网络中还包括相互连接的视频管理服务器和SDN控制器，所述根据异常设备的网络信息，生成控制表项，包括：

所述视频管理服务器根据异常设备的网络信息，生成控制指令，所述控制指令包括例外网络信息列表和异常网络信息列表；

所述视频管理服务器将控制指令发送给SDN控制器，SDN控制器生成控制表项。

进一步地，所述向SDN交换机发送控制表项，通知SDN交换机丢弃符合控制表项的发往异常设备及异常设备发出的报文，包括：

将来自异常设备，或将发往异常设备的报文丢弃，允许源和目的地址在例外网络信息列表中的报文通过。

本发明所述接入设备上报的接入信息包括设备的进程，或所述接入设备上报的接入信息包括设备的进程及进程加载的动态库。

本发明还提出了一种基于SDN的设备安全接入系统，用于在视频监控网络中实现接入设备的安全接入，所述基于SDN的设备安全接入系统包括SDN控制器和将所述接入设备接入到视频监控网络的SDN交换机，所述SDN控制器与视频监控网络中的视频管理服务器相连，其中：

所述视频管理服务器，用于将获取的异常设备的网路信息发送给SDN控制器，所述异常设备的网络信息通过将接入设备上报的接入信息与预设的白名单进行比较获得；