[发明专利]一种基于SDN云安全功能服务树模型的流量攻击防御系统

说明书

本发明公开一种基于SDN云安全服务树模型的流量攻击防御系统，包括云安全资源管理模块、云安全资源调度模块、安全服务树策略定制模块、安全服务链路径定制模块、全局安全数据监控模块。本发明利用SDN网络数据平面和控制平面分离所带来的灵活性、虚拟化云环境所提供的易拓展性，搭建云安全服务树框架模型。将待检测流量引导进入云安全服务树入口处，在入口进行粗粒度的深度包解析，若流量为正常流量则将其快速转发至其目的接收方，若为异常流量则将其引入后续的各条树分支的安全服务链中进行细粒度的检测和处理。利用海量的云安全资源和灵活的资源调度，来实现对未知类型的网络流量攻击的多种粒度的检测和提供可灵活定制的攻击化解策略。

技术领域

本发明涉及网络技术领域，更具体地，涉及一种在SDN网络上实现云安全服务树模型的流量攻击防御系统。

背景技术

在云计算和虚拟化迅速发展的大趋势下，越来越多的政府和企业通过将其服务器部署到云中来降低成本和提高业务灵活性，然而这同时也带来了一系列新的问题和挑战。传统网络安全边界的瓦解，宿主机之间所承载的各种云服务之间的交互没有足够的安全保障，各种云服务之间的安全隔离也仍需得到重视。进一步说，各租户、各业务所需要的安全需求也不尽相同。更复杂的云计算环境的安全态势，迫切需要一个能够有能力去应对各种云安全问题挑战的整体解决方案。

发明内容

为了解决现有技术的不足，本发明提供了除了提供云计算资源、存储资源、网络资源之外，还利用网络功能虚拟化技术提供云安全资源；将SDN等多项技术无缝整合到云环境中，实现安全功能虚拟化、安全功能服务链编排，并进而整合多条安全功能服务链形成一个云安全服务树模型，实现可自由定制安全策略方案以抵御和化解不同类型不同强度的网络流量攻击。

为实现以上发明目的，采用的技术方案是：

一种基于SDN云安全功能服务树模型的流量攻击防御系统，包括云安全资源管理模块、云安全资源调度模块、安全功能服务树策略定制模块、安全功能服务链路径定制模块以及全局安全数据监控模块；

用户根据自身对当前网络态势的安全需求，通过调用安全功能服务链路径定制模块与安全功能服务树策略定制模块，完成符合自身安全需求的云安全服务树模型的定制，随后系统通过调用更底层的云安全资源管理模块和云安全资源调度模块完成对系统底层虚拟机的实现进行部署和调度，并将整个流量攻击防御系统的统计信息和实时安全态势通过全局安全数据监控模块所提供的用户界面反馈给用户，当有外部网络流量对用户服务器进行访问时，该系统会利用SDN技术将该网络流量引导进部署好的防御系统中，利用相关模块和组件进行网络流量的粗细粒度检测，并依据定制好的安全策略在各个服务链路径中进行特异性处理。

优选的，所述的云安全资源管理模块在云环境中利用KVM技术实现将通用服务器计算资源的虚拟化生成虚拟机资源池，利用NFV技术将防火墙、负载均衡器、深度包解析、入侵检测/防御、粗细粒度攻击检测等各种类型的网络安全功能运行在通用的VM上面，而在通用VM上面所实现的各种安全功能都能根据用户的需求自由组合与匹配，从而实现灵活的安全功能服务链编排策略。

优选的，所述的云安全资源调度模块包括虚拟机调度模块以及流量调度模块，所述的虚拟机调度模块实现对VM的跨数据中心的部署与调度，并解决热迁移问题；所述的流量调度模块利用SDN为云提供全局视野和全网范围的灵活可编程的集中安全控制，利用Overlay组网技术，将各个数据中心的虚拟机通过虚拟网络实现与位置无关的特性，实现跨数据中心的流量调度。

优选的，所述的安全功能服务链路径定制模块按需调用和编排各种虚拟安全功能，满足不同种类不同强度的网络流量攻击对不同安全等级和处理流程的需求，并且可以在新的安全需求下，迅速调整安全服务链，经过定制的安全服务链策略，可以应对高强度、分布式的、变向的网络攻击，保护租户业务网的安全。