[发明专利]一种SDN网络动态目标防御系统及方法

摘要

本发明公开了一种SDN网络动态目标防御系统，该系统由动态目标防御模块和SDN控制器管理模块构成。动态目标防御模块包括流量分析模块、映射信息存储模块、目标转化模块、加密传输模块、负载平衡模块、安全认证模块和业务流记录数据库、映射信息记录数据库。SDN控制器管理模块包括流表生成模块、流表分发/同步模块、路由选择模块、DNS服务模块、负载平衡模块、分布式管理模块、安全通信模块、冗余备份模块、安全认证模块和流表数据库。此外，本发明还公开了一种SDN网络动态目标防御的方法。通过本发明更加增大了攻击者检测目标的难度，从而全面保护内网的安全。

主权项

一种SDN网络动态目标防御系统，其特征在于，该系统由动态目标防御模块和SDN控制器管理模块构成；动态目标保防御模块包括流量分析模块、映射信息存储模块、目标转化模块、加密传输模块、负载平衡模块、安全认证模块和业务流记录数据库、映射信息记录数据库；流量分析模块分析数据包，能够获取业务流标识、协议、目标MAC地址、目标IP地址、目标端口地址，源MAC地址、源IP地址、源端口地址信息，由此分析得出数据包所属业务的协议，所属的业务，待访问的目标的真实机器地址，最终判断此业务流的敏感程度，生成安全级别指标；映射信息存储模块负责将业务流记录数据库的存储管理，并且定期扫描数据库将失效时间超过设定值的流表从数据库中清除出去；目标转化模块能根据业务流的安全级别指标使用随机映射算法，将源MAC地址、源IP地址、源端口地址映射成虚拟的MAC地址、IPv6地址、端口地址；加密传输模块确保MTD服务器之间、MTD服务器与其他网元通信的安全；安全认证模块对访问MTD的对象进行认证，只允许有访问权限的内网网元的进入；负载平衡模块对当前MTD服务器的工作负载进行监控，当负载超过阈值时转移到其他MTD服务器进行处理或执行如简单丢包此类的安全措施；业务流记录数据库存放业务流记录表项，映射信息记录数据库存放映射信息记录表项；SDN控制器管理模块包括流表生成模块、流表分发/同步模块、路由选择模块、DNS服务模块、负载平衡模块、分布式管理模块、安全通信模块、冗余备份模块、安全认证模块和流表数据库；流表生成模块从MTD服务器处获取流量转发规则，并根据此流量转发规则生成待部署到SDN边界交换机的流表；流表分发/同步模块将流表推送到相关的SDN边界交换机，并且根据保持流表在控制器和交换机上的一致性，实现多控制器之间的流表的同步；路由选择模块负责路由的决策工作；负载平衡模块对当前SDN控制器的工作负载进行监控，当负载超过阈值时转移到其他SDN控制器进行处理或执行如简单丢包此类的安全措施；分布式管理模块对SDN控制器集群进行分布式管理；安全通信模块确保通信行为的安全进行；冗余备份模块为防止SDN控制器发生故障影响整个系统的正常工作；安全认证模块对访问SDN的对象进行认证，只允许有访问权限的内网网元的进入；流表数据库存储当前控制器所管理的SDN边界交换机相关的未过期的流表项；控制器集群控制模块通过交换机接口通信模块使用南向接口协议与支持SDN的交换机进行通信。