[发明专利]一种基于软件定义的网络安全防御系统及其工作方法有效
| 申请号: | 201510011590.2 | 申请日: | 2015-01-09 |
| 公开(公告)号: | CN104539625B | 公开(公告)日: | 2017-11-14 |
| 发明(设计)人: | 韩红章;严莉;李忠;张杰 | 申请(专利权)人: | 江苏理工学院 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京三聚阳光知识产权代理有限公司11250 | 代理人: | 张建纲 |
| 地址: | 213001 江苏*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于软件定义网络的网络安全防御系统及其工作方法,本网络安全防御系统,包括SDN控制器、IDS决策服务器和IDS设备;所述IDS设备适于对报文进行抽检,即当IDS设备检测到具有DDoS攻击特征的报文时,即上报至IDS决策服务器;所述IDS决策服务器根据上报信息,制定出与具有DDoS攻击特征的报文对应的处理策略,并将处理策略下发至SDN控制器以进行威胁处理;本发明通过对报文采用抽检的方式进行检测,极大的降低了SDN控制器的负担,并且通过检测与决策分离的方式,进一步降低了服务器的负担,更加适合大流量数据的网络传输。 | ||
| 搜索关键词: | 一种 基于 软件 定义 网络安全 防御 系统 及其 工作 方法 | ||
【主权项】:
一种网络安全防御系统,其特征在于包括:SDN控制器、IDS决策服务器和IDS设备;所述IDS设备适于对报文进行抽检,即当IDS设备检测到具有DDoS攻击特征的报文时,上报至IDS决策服务器;所述IDS决策服务器根据上报信息以制定出与具有DDoS攻击特征的报文对应的处理策略,并将该处理策略下发至SDN控制器以进行威胁处理;所述IDS设备包括:定时模块,设定报文的抽检间隔时间;欺骗报文检测模块,对链路层和网际层地址的欺骗行为进行检测;破坏报文检测模块,对网际层和传输层标志位设置的异常行为进行检测;异常报文检测模块,对应用层和传输层泛洪式攻击行为进行检测;在各间隔时间内通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测;且若任一检测模块检测出报文存在上述相应行为时,则将该报文转入IDS决策服务器;所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在OpenFlow域中,则通过SDN控制器屏蔽攻击主机;或当攻击威胁不在OpenFlow域中,则通过SDN控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;所述IDS决策服务器还适于当报文具有异常行为,则通过SDN控制器对攻击程序或攻击主机的流量进行屏蔽;以及当报文具有泛洪式攻击行为,则所述IDS决策服务器适于通过SDN控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;所述SDN控制器内设一屏蔽计时模块和屏蔽计数器;所述屏蔽计时模块内设有屏蔽时间,该屏蔽时间适于限定屏蔽攻击主机时间;所述屏蔽计数器设有一屏蔽阈值,适于当攻击主机屏蔽次数超过该屏蔽阈值时,永久屏蔽该攻击主机。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于江苏理工学院,未经江苏理工学院许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510011590.2/,转载请声明来源钻瓜专利网。
