[发明专利]一种网络协同防御系统

说明书

本发明公开了一种基于软件定义网络的协同防御策略和系统，涉及网络安全领域。所述防御系统骨架由多台网络节点控制器组成，各个控制器之间采用TCP/IP协议通信。控制器控制自己所管辖网络的安全防御规则和策略，同时将其中部分需要协同防御的策略传递到其他控制器，请求协同防御。控制器上搭载的系统构架分为4个模块：服务器模块负责接收用户所提交的安全防御请求；分析器模块负责将用户的安全请求转化为网络防御规则；数据库模块采用分布式存储技术，将分析器模块生成的规则存储起来并且分散到网络集群的各个地方，供控制器从中提取规则；POX模块则是网络的主要节点，从数据库提取规则并转换为流规则，发送到交换机来控制网络的主要行为。

技术领域

本发明属于计算机网络安全领域的网络流量控制体系和策略，涉及到软件定义网络(SDN)环境下的网络流量安全体系和策略。

背景技术

网络安全是计算机学科中的一个很热门的研究方向，尤其是在现如今的大数据时代，网络安全的重要性更是不言而喻。在众多的安全威胁当中，DDoS毫无疑问是一种攻击频率高、门槛低、危害大的网络攻击方式，也因为其采取的各种各样的攻击方式，导致了这种攻击易检测却难以被防御。据网络安全公司Arbor Networks去年的报告显示，2014年上半年全球DDoS大型攻击次数较过去更为频繁。根据Arbor Networks安全报告ATLAS的数据，2014年仅是第二季度共发生111次流量超过100Gbps的攻击，而整个上半年，流量超过20Gbps的攻击次数更多达5733次，比2013年全年2573次的两倍还多。面对如此严峻的网络安全形势，如何有效地防御DDoS流量对于重要服务器和网络设备的攻击成为了急需解决的问题。

软件定义网络(SDN)是一种新型网络创新架构，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制，为核心网络及应用的创新提供了良好的平台。利用这项新技术，网络的灵活性和耦合性可以极大地提高。

在DDoS的攻击中，往往拥有较强的负载能力和过滤能力的网络设备无法有效地检测和定位攻击流量，比如网络运营商，他们拥有强大的负载能力却无法判断经过自身的流量是否为正常流量；而另一方面，网络中的需要面向应用的服务器端可以很好地判断自己是否受到了流量攻击，但是由于自身设备的局限性，不能很好地隔断攻击。

因此，本领域的技术人员致力于开发一种基于软件定义网络的网络协同防御系统，利用SDN网络的高耦合性，采取协同防御的策略，就可以充分发挥两方的特点，最大化地过滤或迁移DDoS攻击流量，从而更好地解决问题。

发明内容

本发明基于以上在网络流量攻击的防御问题和SDN网络的优越特性，解决的是网络中较强的负载能力和过滤能力的网络设备无法有效地检测和定位攻击流量的问题。

为了实现上述目的本发明提出了一种网络协同防御系统，所述网络协同防御系统是基于软件定义网络的，顶层采用骨干节点控制器，所述骨干节点控制器间形成一个网络；所述网络协同防御系统利用对等的所述骨干节点控制器对不同的网络进行控制，同时通过路由算法在不同的所述骨干节点控制器之间进行网络安全策略的协同和规则的远程部署。

进一步地，每个所述骨干节点控制器下采用层级的控制器部署。

进一步地，每个所述骨干节点控制器都不是网络中的主要流量节点，网络流量仍然通过原来的流量转发设备进行交换，大量的用户网络流量不需要经过骨干节点控制器。每个所述骨干节点控制器都管辖网络中部分的流量转发设备。骨干节点控制器只负责接收用户的请求，处理之后形成相对应的流量规则，并将规则部署到所管辖的流量转发设备。

进一步地，所述骨干节点控制器之间采用安全协议的方式通信。

进一步地，对于新增的用户(subscriber)，通过认证机制，保证其与其上层的普通控制器之间可以相互信任，所述认证机制包括步骤如下：