CN107770174A - 一种面向sdn网络的入侵防御系统和方法 - Google Patents

Abstract

本发明公开了一种面向SDN网络的入侵防御系统和方法，该系统中入侵检测服务器基于安全虚拟机，主机检测引擎验证硬件语义知识保证入侵检测系统本身的安全性；入侵检测管理模块部署在SDN网络中的控制器之上，并负责监控多台交换机，每台交换机可以被多个入侵检测管理模块监控。由一个主入侵防御系统控制多个从入侵防御系统来监控整个网络。本发明提高了对入侵检测服务器和SDN控制器安全保护，降低了将入侵检测系统部署在SDN控制器上的性能消耗；多个入侵防御系统协调工作，提高了入侵防御系统的整体利用率；准确和高效的检测方法，保证了网络的安全性，不会造成网络拥塞，具有广泛的技术和市场应用价值。

Description

一种面向SDN网络的入侵防御系统和方法

技术领域

本发明属于计算机网络与信息安全技术领域，尤其涉及到一种面向SDN网络的入侵防御系统和方法。

背景技术

计算网络面临的威胁计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。对网络设备的威胁主要包括对网络主机、服务器、数据交换器等硬件设备的威胁；对网络中信息的威胁除了包括对网络中数据的威胁外，还包括对处理这些数据的信息系统威胁。为了应对复杂危险的网络环境，各种安全产品应运而生。从早期功能单一到现在的种类繁多，网络安全产品的功能在不断完善。目前的网络安全产品的技术主要是基于防火墙技术和漏洞扫描技术，以及基于防火墙技术整合的网络安全设备。防火墙只是一个被动的静态防御系统，其自身的弱点使其对很多攻击无能为力，尤其是对于来自内部的攻击更是束手无策。而漏洞扫描技术主要是对系统漏洞进行攻击扫描，是系统修补和加固提供检测的一种安全辅助手段。

IDS(Intrusion Detection System)入侵检测管理平台系统就是一种基于主动策略的网络安全系统，可以识别防火墙不能识别的攻击，不仅可以检测来自外部网络的入侵行为，而且也可以监控内部的攻击操作行为。

入侵防御系统，是一种基于入侵检测系统的网络安全设备。它结合动态入侵检测与实时威胁阻止，具有较高的安全防护能力，但是也存在一定的缺点。第一：在传统网络中，为了保护内部网络免受威胁，入侵防御系统一般都采用“单点检测”的方式，即部署在网络环境的入/出口，部署位置固定，无法适应网络拓扑的快速扩展与变化；第二：不同网络位置以及不同的时段，需要处理的数据量都不同，互不相连的多个入侵防御系统无法实现有效的协同；第三：入侵防御设备价格较贵，如何有效合理部署也成为一个难题；第四：入侵检测系统和主动防御功能和联动防御功能会对网络的性能产生影响；第五：入侵检测系统同样也会成为攻击者的目标，实现以入侵检测系统自主防御为目标的攻击。随着软件定义网络(SDN)的发展，入侵防御系统在新型网络架构中的检测与防御能力面临更大的考验。

软件定义网络(Software Defined Network，SDN)作为一种新型的网络架构，旨在实现上层业务应用对底层网络资源的直接控制与使用，网络资源的利用率得到了大大的提高，网络方案的投入成本大大的降低，极大提高了网络的灵活性和可管控性。在这一新型网络环境中，集中控制带来方便的同时，也带来了大量的不安全因素。攻击者的攻击对象越来越集中使攻击难度降低，且一旦被入侵可能造成“单点失效”，从而使全网崩溃。而本发明能够很好地解决改善上面的问题。

发明内容

针对现有技术中的缺陷，本发明的目的在于解决入侵防御系统的非动态检测、“单点检测”整合系统效率低、成本高以及入侵检测系统本身的安全性问题，提出了一种面向SDN的入侵防御系统和方法。该方法结合SDN集中化控制的特征，将整个入侵检测系统分为两个部分，检测部分部署在安全虚拟机上，入侵检测管理部分部署在SDN控制器上。运用虚拟化技术，提高了对网络入侵的防范防御能力，在SDN环境中实现了一种灵活的入侵防御方案。

本发明是根据以下技术方案实现的：

一种面向SDN的入侵防御系统，使用基于安全虚拟机的入侵检测服务器，其特征在于，包括入侵检测引擎、入侵检测管理模块、SDN控制器、SDN交换机；所述入侵检测引擎包括分片器、主机入侵检测引擎和网络入侵检测引擎；所述入侵检测管理模块协调入侵防御系统内部网络入侵检测引擎、分片器和外部SDN控制器应用以及SDN交换机，所述入侵检测管理模块包含IDS安全策略库、入侵检测服务模块、决策器；

所述主机入侵检测引擎用于检测安全虚拟机内部的行为，获知当前虚拟机系统的安全状态；所述网络入侵检测引擎用于检测经过安全虚拟机的流量数据，获知当前网络的安全状态，并将检测结果发送到决策器；

所述分片器为所述SDN交换机与所述网络入侵检测引擎间的透明代理，通过将所述SDN交换机上的数据按照一定的分片规则细分成若干片，再进行检测分析，解决了海量数据与快速检测之间的矛盾；

所述网络入侵检测引擎产生与所述分片器产生的流量片数量一致的检测结点,每个所述检测结点都包括收集器和分析器；收集器收集流量信息，分析器对流量进行分析判断流量属性；

所述IDS安全策略库包括入侵检测引擎分析阶段所需要的攻击特征规则、正常特征规则的检测策略以及入侵检测引擎响应阶段产生的通知管理员、终端服务、关闭端口的策略；所述入侵检测服务模块分为流量分析子程序、规则制定子程序、规则下发子程序，所述决策器拥有修改交换机转发策略的权限；

所述SDN控制器根据管理平台传来的命令丢弃、重定向或正常转发、创建流表项插入到所述SDN交换机的流表中，从而操控流量的去向。

上述技术方案中，所述主机入侵检测引擎在数据采集阶段，利用使用硬件语义知识的虚拟机自省方法获取主机系统信息，之后对比IDS安全策略库中的入侵检测知识进行判断，若为异常行为，则在IDS安全策略库中进行相应记录；所述网络入侵检测引擎在数据采集阶段，利用SDN流量重定向方法获取流量信息，分片器根据一定的分片策略对流量进行分片，之后使用所述网络入侵检测引擎中根据分片结果产生对应的检测结点对流量进行检测，检测结点包括收集器和分析器，若出现异常，则在IDS安全策略库中进行记录。

上述技术方案中，所述收集器将接收到的数据包进行收集整理和记录，为进一步的分析做准备；所述分析器对数据包进行分析检测，判断数据包是否为恶意流量、可疑流量亦或者是正常流量，数据流量在分析器中被进行判断之后会将结果发送到所述决策器。

上述技术方案中，所述入侵检测服务模块通过修改流条目，使得经过每个所述SDN交换机上的数据包，都将被发送到所述入侵检测引擎进行检测；所述入侵检测引擎综合所述SDN交换机上数据流的带宽以及检测结点负载参数，制定相应的分片策略，控制分片器模块进行流量分片；当数据流被分成N片时，网络入侵检测引擎模块产生N个检测结点；入侵防御管理模块中决策器接收检测结点的分析结果，对不同类型的流量进行不同的操作。

上述技术方案中，所述流量的判断依据分别为：

恶意流量：这类信息是已知的网络攻击流量；

可疑流量：是满足部分网络攻击流量的特征，但是不足以定性为恶意流量的数据流，特别的，对于间断性出现的数据包也被视为可疑流量并进行标注；

正常流量：正常流量是不满足网络攻击流量特征的数据流，正常转发。

上述技术方案中，所述决策器对不同类型流量的操作为：对于恶意流量，所述决策器会控制交换机不进行转发，直接丢弃；对于正常流量，所述决策器控制交换机直接转发；对于可疑流量，所述决策器查询IDS安全策略库，按查询结果进行处理。

本发明的一种面向SDN的入侵防御系统的实现方法，是根据上述的防御系统实现的，其特征在于，包括如下步骤：

步骤1：流量到达SDN交换机，入侵检测管理模块控制所有流量转发至入侵检测服务器；

步骤2：入侵检测引擎中分片器按照分片策略对收到数据进行分片，生成若干个片；

步骤3：网络入侵检测引擎产生相应数量N个检测结点；

步骤4：收集器记录下该检测结点接收到的数据包摘要信息；

步骤5：分析器进行检测，判断数据是否为可疑流量、恶意流量或者正常流量，并将结果告知入侵检测管理模块；

步骤6：分析器检测结果为正常流量，入侵检测管理模块中的决策器控制SDN交换机进行转发；

步骤7：分析器检测结果为恶意流量，入侵检测管理模块中的决策器控制SDN交换机将其丢弃；

步骤8：分析器检测结果为可疑流量，写入IDS安全策略库；

步骤9：分析器检测结果为可疑流量，主机入侵检测引擎获取入侵检测服务器的安全状态信息；

步骤10：将可疑流量和入侵检测服务器的安全状态信息发送给入侵检测管理模块中的入侵检测服务模块对数据进行分析处理，服务模块查询记录IDS安全策略库给出处理结果；

步骤11：若IDS安全策略库中没有对应处理策略，则在IDS安全策略库中进行记录，同时按可疑流量的默认策略进行处理；例如将其标记为可疑流量，对其标记数加一，并通知安全管理员；对于到达阈值的流量进行Qos等策略；

步骤12：交换机根据处理结果进行流量转发。

与现有技术相比，本发明具有如下的有益效果：

1、灵活的部署：本发明设计了入侵防御系统，不需要固定在网络的入/出接口，可放置在网络中的任一位置，通过SDN控制器控制流量方向，方便而又灵活。

2、低成本：本发明不需要像传统方案那样为每台交换机部署一个入侵防御系统，多台交换机可以共用一个入侵防御系统，降低了设备的部署成本。

3、抗干扰：本发明通过分片技术，提高了数据处理速度，对原有数据转发影响较小，保证了流量的正常转发。

4、高性能：将入侵检测引擎与控制器相分离，避免大流量涌向控制器影响控制器性能。避免了将整个入侵检测系统部署在控制器上所造成的对所有流量涌向控制器引起的性能问题。

5、安全性：采用基于硬件架构知识为语义知识的虚拟机自省技术来获取入侵检测数据源，保证入侵检测系统获取数据的有效性，避免外部流量对入侵检测系统本身的攻击，从而确保该系统本身的安全。

6、可靠性：通过提高所采集数据的真实性而提高入侵检测系统的可靠性。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明SDN环境中入侵防御的系统架构图；

图2为本发明的系统内部结构图；

图3为本发明的方法流程图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

如图1所示，本发明提出的入侵防御系统包括采用安全虚拟机的入侵检测服务器和部署在SDN控制器上的入侵防御系统管理模块。每台SDN交换机与多个SDN控制器相连，控制器与入侵检测系统相连。控制器控制交换机流量指向入侵检测系统。

具体地，如图2所示，本发明的一种面向SDN的入侵防御系统，使用基于安全虚拟机的入侵检测服务器，包括入侵检测引擎、入侵检测管理模块、SDN控制器、SDN交换机，入侵检测引擎包括分片器、主机入侵检测引擎和网络入侵检测引擎；入侵检测管理模块协调入侵防御系统内部网络入侵检测引擎、分片器和外部SDN控制器应用以及SDN交换机，入侵检测管理模块包含IDS安全策略库、入侵检测服务模块、决策器；

主机入侵检测引擎用于检测安全虚拟机内部的行为，获知当前虚拟机系统的安全状态；所述网络入侵检测引擎用于检测经过安全虚拟机的流量数据，获知当前网络的安全状态，并将检测结果发送至决策器；

分片器为所述SDN交换机与所述网络入侵检测结点之间的透明代理，通过将SDN交换机上的数据按照一定的分片规则细分成若干片，再进行检测分析，解决了海量数据与快速检测之间的矛盾；本发明可以将分片规则定义为交换机端口，源目IP地址，IP协议，源目UDP或TCP端口。

网络入侵检测引擎产生与分片器产生的流量片数量一致的检测结点,每个所述检测结点都包括收集器和分析器。收集器将接收到的数据包进行收集整理和记录，为进一步的分析做准备；所述分析器对数据包进行分析检测，判断数据包是否为恶意流量、可疑流量亦或者是正常流量，数据流量在分析器中被进行判断之后会将结果发送到决策器。

决策器拥有修改交换机转发策略的权限。对于恶意流量，决策器会控制交换机不进行转发，直接丢弃；正常流量直接转发，可疑流量发送给IDS安全策略库，安全策略库给出响应策略，按照IDS安全策略库中的响应策略作出响应；若IDS安全策略库中没有相关流信息，则按照提前设置好的默认策略对其处理。

IDS安全策略库包括入侵检测引擎分析阶段所需要的攻击特征规则、正常特征规则的检测策略以及入侵检测引擎响应阶段产生的通知管理员、终端服务、关闭端口的策略；所述入侵检测服务模块分为流量分析子程序、规则制定子程序、规则下发子程序。流量分析子程序：SDN控制器接收到由交换机发送过来的流量时，会对该流量进行分析，记录下该交换机的ID以及发送数据包的主机对应在交换机上的网卡号。规则制定子程序：制定一条流量控制规则，使获得的流量先转发到网络入侵检测引擎的流量数据采集模块中。规则下发子程序：将制定的规则发送到SDN控制器。

SDN控制器根据管理平台传来的命令丢弃、重定向或正常转发、创建流表项插入到所述SDN交换机的流表中，从而操控流量的去向。

主机入侵检测引擎在数据采集阶段，利用使用硬件语义知识的虚拟机自省方法获取主机系统信息，之后对比IDS安全策略库中的入侵检测知识进行判断，若为异常行为，则在IDS安全策略库中进行相应记录；所述网络入侵检测引擎在数据采集阶段，利用SDN流量重定向方法获取虚拟机流量信息，之后使用所述网络入侵检测引擎中检测结点对该流量进行检测，若出现异常，则在IDS安全策略库中进行记录。

入侵检测服务模块通过修改流条目，使得经过每个所述SDN交换机上的数据包，都将被发送到所述入侵检测引擎进行检测；入侵检测引擎综合所述SDN交换机上数据流的带宽以及检测结点负载参数，制定相应的分片策略，控制分片器模块进行流量分片；当数据流被分成N片时，入侵检测引擎产生N个检测结点；入侵防御管理模块中决策器接收检测结点的分析结果，对不同类型的流量进行不同的操作。

所述流量的判断依据分别为：

恶意流量：这类信息是已知的网络攻击流量；

可疑流量：是满足部分网络攻击流量的特征，但是不足以定性为恶意流量的数据流，特别的，对于间断性出现的数据包也被视为可疑流量并进行标注；

正常流量：正常流量是不满足网络攻击流量特征的数据流，正常转发。

所述决策器对不同类型流量的操作行为：对于恶意流量，所述决策器会控制交换机不进行转发，直接丢弃；对于正常流量，所述决策器控制交换机直接转发；对于可疑流量，所述决策器查询IDS安全策略库，对查询结果进行处理。

如图3所示，本发明的一种面向SDN的入侵防御系统的实现方法，是根据上述的防御系统实现的，其特征在于，包括如下步骤：

步骤1：流量到达SDN交换机，入侵检测管理模块控制所有流量转发至入侵检测服务器；

步骤2：入侵检测引擎中分片器按照分片策略对收到数据进行分片，生成若干个片；

步骤3：网络入侵检测引擎产生相应数量N个检测结点；

步骤4：收集器记录下该检测结点接收到的数据包摘要信息；

步骤5：分析器进行检测，判断数据是否为可疑流量、恶意流量或者正常流量，并将结果告知入侵检测管理模块；

步骤6：分析器检测结果为正常流量，入侵检测管理模块中的决策器控制SDN交换机进行转发；

步骤7：分析器检测结果为恶意流量，入侵检测管理模块中的决策器控制SDN交换机将其丢弃；

步骤8：分析器检测结果为可疑流量，写入IDS安全策略库；

步骤9：分析器检测结果为可疑流量，主机入侵检测引擎获取入侵检测服务器的安全状态信息；

步骤10：将可疑流量和入侵检测服务器的安全状态信息发送给入侵检测管理模块中的入侵检测服务模块对数据进行分析处理，服务模块查询记录IDS安全策略库给出处理结果；

步骤11：若IDS安全策略库中没有对应处理策略，则在IDS安全策略库中进行记录，同时按可疑流量的默认策略进行处理；例如将其标记为可疑流量，对其标记数加一，并通知安全管理员；对于到达阈值的流量进行Qos等策略；

步骤12：交换机根据处理结果进行流量转发。

本发明提高了对入侵检测服务器和SDN控制器安全保护，降低了将入侵检测系统部署在SDN控制器上的性能消耗；多个入侵防御系统协调工作，提高了入侵防御系统的整体利用率；准确和高效的检测方法，保证了网络的安全性，不会造成网络拥塞，具有广泛的技术和市场应用价值。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

Claims (7)

1.一种面向SDN的入侵防御系统，使用基于安全虚拟机的入侵检测服务器，其特征在于，包括入侵检测引擎、入侵检测管理模块、SDN控制器、SDN交换机；所述入侵检测引擎包括分片器、主机入侵检测引擎和网络入侵检测引擎；所述入侵检测管理模块协调入侵防御系统内部网络入侵检测引擎、分片器和外部SDN控制器应用以及SDN交换机，所述入侵检测管理模块包含IDS安全策略库、入侵检测服务模块、决策器；

所述主机入侵检测引擎用于检测安全虚拟机内部的行为，获知当前虚拟机系统的安全状态；所述网络入侵检测引擎用于检测经过安全虚拟机的流量数据，获知当前网络的安全状态，并将检测结果发送到决策器；

所述分片器为所述SDN交换机与所述网络入侵检测引擎间的透明代理，通过将所述SDN交换机上的数据按照一定的分片规则细分成若干片，再进行检测分析，解决了海量数据与快速检测之间的矛盾；

所述网络入侵检测引擎产生与所述分片器产生的流量片数量一致的检测结点,每个所述检测结点都包括收集器和分析器；收集器收集流量信息，分析器对流量进行分析判断流量属性；

所述IDS安全策略库包括入侵检测引擎分析阶段所需要的攻击特征规则、正常特征规则的检测策略以及入侵检测引擎响应阶段产生的通知管理员、终端服务、关闭端口的策略；所述入侵检测服务模块分为流量分析子程序、规则制定子程序、规则下发子程序，所述决策器拥有修改交换机转发策略的权限；

所述SDN控制器根据管理平台传来的命令丢弃、重定向或正常转发、创建流表项插入到所述SDN交换机的流表中，从而操控流量的去向。

2.根据权利要求1所述的一种面向SDN的入侵防御系统，其特征在于，所述主机入侵检测引擎在数据采集阶段，利用使用硬件语义知识的虚拟机自省方法获取主机系统信息，之后对比IDS安全策略库中的入侵检测知识进行判断，若为异常行为，则在IDS安全策略库中进行相应记录；所述网络入侵检测引擎在数据采集阶段，利用SDN流量重定向方法获取网络流量信息，之后使用所述检测结点中分析器对该流量进行检测，若出现异常，则在IDS安全策略库中进行记录。

3.根据权利要求1所述的一种面向SDN的入侵防御系统，其特征在于，所述收集器将接收到的数据包进行收集整理和记录，为进一步的分析做准备；所述分析器对数据包进行分析检测，判断数据包是否为恶意流量、可疑流量亦或者是正常流量，数据流量在分析器中被进行判断之后会将结果发送到所述决策器或IDS安全策略库。

4.根据权利要求1所述的一种面向SDN的入侵防御系统，其特征在于，所述入侵检测服务模块通过修改流条目，使得经过每个所述SDN交换机上的数据包，都将被发送到所述入侵检测引擎进行检测；所述入侵检测引擎综合所述SDN交换机上数据流的带宽以及检测结点负载参数，制定相应的分片策略，控制分片器模块进行流量分片；当数据流被分成N片时，入侵检测引擎模块将产生N个检测结点；入侵防御管理模块中决策器接收检测结点的分析结果，对不同类型的流量进行不同的操作。

5.根据权利要求1所述的一种面向SDN的入侵防御系统，其特征在于，所述流量的判断依据分别为：

恶意流量：这类信息是已知的网络攻击流量；

可疑流量：是满足部分网络攻击流量的特征，但是不足以定性为恶意流量的数据流，特别的，对于间断性出现的数据包也被视为可疑流量并进行标注；

正常流量：正常流量是不满足网络攻击流量特征的数据流，正常转发。

6.根据权利要求4所述的一种面向SDN的入侵防御系统，其特征在于，所述决策器对不同类型流量的操作为：对于恶意流量，所述决策器会控制交换机不进行转发，直接丢弃；对于正常流量，所述决策器控制交换机直接转发；对于可疑流量，所述决策器查询IDS安全策略库，对查询结果进行处理。

7.一种面向SDN的入侵防御系统的实现方法，是根据权利要求1-6任一项所述的防御系统实现的，其特征在于，包括如下步骤：

步骤1：流量到达SDN交换机，入侵检测管理模块控制所有流量转发至入侵检测服务器；

步骤2：入侵检测引擎中分片器按照分片策略对收到数据进行分片，生成若干个片；

步骤3：网络入侵检测引擎产生相应数量N个检测结点；

步骤4：收集器记录下该检测结点接收到的数据包摘要信息；

步骤5：分析器进行检测，判断数据是否为可疑流量、恶意流量或者正常流量，并将结果告知入侵检测管理模块；

步骤6：分析器检测结果为正常流量，入侵检测管理模块中的决策器控制SDN交换机进行转发；

步骤7：分析器检测结果为恶意流量，入侵检测管理模块中的决策器控制SDN交换机将其丢弃；

步骤8：分析器检测结果为可疑流量，写入IDS安全策略库；

步骤9：分析器检测结果为可疑流量，主机入侵检测引擎获取入侵检测服务器的安全状态信息；

步骤10：将可疑流量和入侵检测服务器的安全状态信息发送给入侵检测管理模块中的入侵检测服务模块对数据进行分析处理，服务模块查询记录IDS安全策略库给出处理结果；

步骤11：若IDS安全策略库中没有对应处理策略，则在IDS安全策略库中进行记录，同时按可疑流量的默认策略进行处理；例如将其标记为可疑流量，对其标记数加一，并通知安全管理员；对于到达阈值的流量进行Qos等策略；

步骤12：交换机根据处理结果进行流量转发。