[发明专利]基于SDN的安全设备动态互联与智能选路决策系统及方法

权利要求书

1.一种基于SDN的安全设备动态互联与智能选路决策方法，其特征在于，通过基于SDN的安全设备动态互联与智能选路决策系统实现，该系统包括：安全事件检测与智能选路决策单元、SDN交换机集群单元、专业安全设备池单元；其中：

安全事件检测与智能选路决策单元，用于实时采集专业安全设备池单元中各类安全设备的日志信息，并基于日志信息进行深度分析，对疑似攻击的数据流作出预判及发出告警，并根据告警类型向SDN交换机集群单元下发Openflow流表指令；

SDN交换机集群单元，作为用户网络域、数据中心域、边界出口域互联的数据交换节点，用于实时接收下发的Openflow流表指令，通过匹配流表项完成动态调度与专业安全设备池单元中专业安全设备的互联路径，用以实现智能选路决策；

专业安全设备池单元，是局域网内各类专用检测与防护安全设备的部署域，域内设备与SDN交换机集群单元形成联动机制，动态处理不同类别的疑似攻击流数据，实现专业安全设备的安全侦测与防护；

安全事件检测与智能选路决策单元包括：安全日志采集模块、安全事件分析与告警预判模块、SDN控制器集群管理模块、Web图形化服务模块及安全事件告警存储服务器；其中：

安全日志采集模块，用于采集专业安全设备池单元中各类安全设备所记录的安全日志信息，并对不同格式的安全日志文件解析为标准的JSON格式输出；

安全日志分析与告警预判模块，用于接收安全日志采集模块上报的JSON格式的安全日志信息，根据预置规则库，解析安全日志完成内容分析，并依据安全事件类型做出威胁数据流的预判，并向SDN控制器集群管理模块上报预判结果；

SDN控制器集群管理模块，用于管理局域网内的SDN交换机集群单元并完成Openflow流表的下发，根据安全日志分析与告警模块上报的安全事件预判结果，动态调度不同的SDN交换机集群单元与专业安全设备池单元中各类安全设备之间的数据流传输路径，实现智能选路选择与决策；

Web图形化服务模块，用于在后端采集安全告警事件，并通过Web UI实现用户端的安全事件告警图形化展示，支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址的条件进行查询；

安全事件告警存储服务器，用于存储安全事件告警预判结果，并为Web服务模块中的用户端Web UI图形化分类展示提供数据支撑；

该方法包括以下步骤：

步骤1、专业安全设备池内安全设备日志存储：

在初始状态下，预置专业安全设备池中的防火墙设备作为默认路径下的安全防护与检测设备，负责对各类网络数据报文流进行分析，根据防火墙设备规则，配置域间安全策略、域内安全策略、接口包过滤策略，完成安全事件的预判，并记录安全日志；

在进行智能选路决策状态下，专业安全设备池中的专业安全设备作为专用安全防护与检测设备，负责对SDN交换机集群调度后的网络数据报文流进行分析，根据设备内置规则，完成安全事件的预判，并记录安全日志；

步骤2、安全日志采集：

安全日志采集模块部署logstash数据收集工具，每隔一定时间从安全设备上采集安全日志syslog信息，按照安全设备日志数据字典结构，通过字符串分割、匹配的操作，将不同品牌的安全设备存储的日志解析为JSON格式输出，并上报至安全事件分析与告警预判模块；

步骤3、安全事件分析与预判告警：

安全事件分析与告警预判模块接收上报的JSON格式日志，在系统中自定义一张安全事件预判映射表；根据安全事件的发生与持续状态，安全事件的分析与预判分为有状态和无状态两种情况；有状态的安全事件表现为持续性发生，对一段时间内的日志上下文进行分析，从而完成预判；无状态的安全事件表现为即发生即判定，安全规则库使用Suricata规则库作为异常攻击的匹配源，与安全规则库中规则匹配一致即完成预判；

步骤4、选路决策：

SDN控制器集群管理模块借助SDN交换机完成：根据上报的预判结果决策选择安全设备互联链路的路径，将流量导向指定的安全设备进行专业的二次分析与检测；实现选择路径时，SDN控制器集群管理模块根据安全事件预判映射表中的属性值，动态选择SDN交换机集群与专业安全设备池中的安全设备的互联链路；

步骤5、Web图形化服务：

Web图形化服务模块通过后端读取安全事件告警存储服务器中的告警事件数据表，通过Web UI实现用户端的安全事件告警图形化展示，并支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址的条件进行查询，对查询结果进行可视化展示；

步骤2中的安全设备日志数据字典结构具体为：

安全设备日志字典结构包含8项属性：

{FROM_DEVICE_ID,FROM_DEVICE_PORT,SECURITY_LEVEL,ATTACK_TYPE_PRE,IP_SRC,IP_DEST,PROTOCOL,SRC_PORT,DEST_PORT,REQUEST_URL}；

其中，FROM_DEVICE_ID及FROM_DEVICE_PORT属性分别代表上一跳SDN交换机的设备编号及物理端口序号；SECURITY_LEVEL代表安全攻击事件的级别；ATTACK_TYPE_PRE代表该链路中的安全设备预判的攻击类型；IP_SRC、IP_DEST、PROTOCOL、SRC_PORT、DEST_PORT是数据报文的五元属性，分别代表源地址、目的地址、协议类型、源端口、目的端口；REQUEST_URL代表了用户请求的URL地址中User-Agent字段及HTTP状态码；

步骤3中安全事件的有状态和无状态两种情况具体为：

(1)有状态的攻击类型包括：拒绝服务攻击类、ATP攻击类；拒绝服务攻击类包括：DoS、DDoS、DRDoS；

(2)无状态的攻击类型包括：IPS及IDS类、WAF类、内容或行为审计类。