CN109714338A - 一种面向sdn网络的入侵防御系统 - Google Patents
一种面向sdn网络的入侵防御系统 Download PDFInfo
- Publication number
- CN109714338A CN109714338A CN201811608868.4A CN201811608868A CN109714338A CN 109714338 A CN109714338 A CN 109714338A CN 201811608868 A CN201811608868 A CN 201811608868A CN 109714338 A CN109714338 A CN 109714338A
- Authority
- CN
- China
- Prior art keywords
- network
- node
- sdn
- intrusion prevention
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向SDN网络的入侵防御系统,属于网络安全技术领域,包括外网路由器、SDN交换机、采集器、控制器和执行节点,所述SDN交换机通过电缆分别连接所述外网路由器、所述采集器和所述控制器,所述执行节点通过电缆分别连接所述控制器和所述用户单元,所述用户单元包括应急响应系统、控制节点和网络管理员。通过将控制器连接SDN交换机,使得控制器可以直接控制SDN交换机丢弃病毒中的攻击流量,而执行节点可以直接控制连接在SDN交换机上的采集器,采集器采集正常流量,对病毒攻击流量进行过滤,提高了SDN网络的防御效果,并且该防御系统直接与SDN交换机连接,防御更加灵活。本发明具有SDN网络内病毒入侵防御效果好的特点。
Description
技术领域
本发明涉及一种入侵防御系统,具体为一种面向SDN网络的入侵防御系统,属于网络安全技术领域。
背景技术
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。具有保密性、完整性、可用性、可控性、可审查性的特性,计算网络面临的威胁计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。对网络设备的威胁主要包括对网络主机、服务器、数据交换器等硬件设备的威胁;对网络中信息的威胁除了包括对网络中数据的威胁外,还包括对处理这些数据的信息系统威胁。为了应对复杂危险的网络环境,各种安全产品应运而生。从早期功能单一到现在的种类繁多,网络安全产品的功能在不断完善。目前的网络安全产品的技术主要是基于防火墙技术和漏洞扫描技术,以及基于防火墙技术整合的网络安全设备。防火墙只是一个被动的静态防御系统,其自身的弱点使其对很多攻击无能为力,尤其是对于来自内部的攻击更是束手无策。而漏洞扫描技术主要是对系统漏洞进行攻击扫描,是系统修补和加固提供检测的一种安全辅助手段。
入侵防御系统,是一种基于入侵检测系统的网络安全设备。它结合动态入侵检测与实时威胁阻止,具有较高的安全防护能力,传统的入侵防御系统一般部署在网络的出入口,布置的数量一定,因此当需要保护的网络增多时,需要重新增加防御系统提高了网络保护的成本,并且经过SDN交换机的网络流量不是固定的,传统的入侵防御系统不与交换机直接联系,导致有时候防御系统负载,有时候防御系统空闲,不够灵活,长时间使用下来容易影响该防御系统的性能。
发明内容
本发明的目的就在于为了解决上述防御系统不与网络交换机直接联系,无法根据实时数据流量的情况来灵活的防御病毒,长时间使用后造成防御系统性能下降的问题而提供一种面向SDN网络的入侵防御系统,具有防御系统工作灵活,适应性强的优点。
本发明通过以下技术方案来实现上述目的,一种面向SDN网络的入侵防御系统,包括外网路由器、SDN交换机、采集器、控制器和执行节点,所述SDN交换机通过电缆分别连接所述外网路由器、所述采集器和所述控制器,所述执行节点通过电缆分别连接所述控制器和所述用户单元,所述用户单元包括应急响应系统、控制节点和网络管理员,所述执行节点包括信号接口和控制节点接口,所述信号接口通过导线连接响应控制模块,所述相应控制模块通过导线连接采集器通信模块,所述控制节点接口通过导线连接流表控制模块,所述流表控制模块通过导线连接控制器通信模块。
优选的,所述外网路由器用于连接各城市的主干网络,SDN交换机用于构建SDN网络,且所述SDN交换机串联在所述外网路由器的下行方向。
优选的,所述应急响应系统和网络管理员通过信号接口与执行节点相连接,控制节点通过控制节点接口与执行节点相连接。
优选的,所述应急响应系统会根据原病毒库内部的病毒攻击特征生成响应规则,通过信号接口输入给响应控制模块。
优选的,所述网络管理员用于响应用户需求,用户需求转化为规则通过信号接口输入给响应控制模块。
优选的,所述控制节点用于协调各个执行节点的运行状态,且控制节点对应若干个执行节点。
优选的,所述采集器用于采集SDN交换机接入的数据流量中响应控制模块可以识别的数据流量。
优选的,所述控制器用于控制SDN交换机丢弃流表控制模块内无法识别的流表数据。
与现有技术相比,本发明的有益效果是:本发明使用方便,结构紧凑,通过将控制器连接SDN交换机,使得控制器可以直接控制SDN交换机丢弃病毒中的攻击流量,而执行节点可以直接控制连接在SDN交换机上的采集器,采集器采集正常流量,对病毒攻击流量进行过滤,提高了SDN网络的防御效果,由于该防御系统直接与SDN交换机连接,因此该防御系统内部的执行节点的工作量可以根据实时接入SDN交换机的数据流量而改变,这样可以减少执行节点的压力,长时间使用防御系统不易降低该系统的性能,也可以减少执行节点的故障,使得防御系统工作变得更加灵活。
附图说明
图1为本发明整体系统结构示意图。
图2为本发明的执行节点内部系统图。
图中:1、外网路由器,2、SDN交换机,3、采集器,4、控制器,5、执行节点,6、用户单元,7、应急响应系统,8、控制节点,9、网络管理员,10、信号接口,11、响应控制模块,12、采集器通信模块,13、控制节点接口,14、流表控制模块,15、控制器通信模块。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1-2所示,一种面向SDN网络的入侵防御系统,包括外网路由器1、SDN交换机2、采集器3、控制器4和执行节点5,SDN交换机2通过电缆分别连接外网路由器1、采集器3和控制器4,执行节点5通过电缆分别连接控制器4和用户单元6,用户单元6包括应急响应系统7、控制节点8和网络管理员9,执行节点5包括信号接口10和控制节点接口13,信号接口10通过导线连接响应控制模块11,相应控制模块11通过导线连接采集器通信模块12,控制节点接口13通过导线连接流表控制模块14,流表控制模块14通过导线连接控制器通信模块15,用户单元6是用来进入该防御系统进行设计或者更改系统数据的指定对象,其中应急响应系统7可以对该防御系统发出最新病毒的攻击特征,该防御系统控制节点8只有一个,执行节点5的数量可以根据SDN交换机2连接的网络数量进行调整,网络管理员9为安全管理员,拥有进入该入侵防御系统的权限,执行节点5用来控制采集器3采集经过SDN交换机2的正常网络流量,过滤掉病毒流量,并且执行节点5也可以通过控制器4将SDN交换机2内部的病毒流量丢弃,从而完成入侵防御的工作,采集器通信模块12用来连接采集器3,控制器通信模块15用来连接控制器4。
实施例2
此外,参照图1-2所示,外网路由器1用于连接各城市的主干网络,SDN交换机2用于构建SDN网络,且SDN交换机2串联在外网路由器1的下行方向,SDN网络起源于当前交换机、路由器、网络协议以及分段工具不能满足对连通性的需求,SDN网络自定义数据流可以直接地在应用服务之间、应用和它们的数据源以及数据集之间、应用和终端用户之间传输,应急响应系统7和网络管理员9通过信号接口10与执行节点5相连接,控制节点8通过控制节点接口13与执行节点相连接,应急响应系统7会根据原病毒库内部的病毒攻击特征生成响应规则,通过信号接口10输入给响应控制模块11,网络管理员9用于响应用户需求,用户需求转化为规则通过信号接口10输入给响应控制模块11,控制节点8用于协调各个执行节点5的运行状态,且控制节点8对应若干个执行节点5,采集器3用于采集SDN交换机2接入的数据流量中响应控制模块11可以识别的数据流量,控制器4用于控制SDN交换机2丢弃流表控制模块14内无法识别的流表数据,应急响应系统7、控制节点8和网络管理员9发出的特征量均转化为可以被执行节点5识别的响应规则,利用响应规则筛选出带有攻击性的病毒流量。
本发明在使用时,首先,网络管理员9设置响应规则,网络管理员9与应急响应系统7配合响应用户需求,执行节点5内部的响应控制模块11用来识别网络管理员9制定的响应规则,根据响应规则选择SDN交换机2传输的网络流量,采集器3采集可以识别的网络流量,将无法识别的响应规则过滤,而控制节点8是用来协调各个执行节点5,控制节点8的将数据流量转化为规则,流表控制模块14选取病毒流量,通过控制器4控制流过SDN交换机2丢弃病毒流量,从而完成病毒流量的入侵防御。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (8)
1.一种面向SDN网络的入侵防御系统,其特征在于:包括外网路由器(1)、SDN交换机(2)、采集器(3)、控制器(4)和执行节点(5),所述SDN交换机(2)通过电缆分别连接所述外网路由器(1)、所述采集器(3)和所述控制器(4),所述执行节点(5)通过电缆分别连接所述控制器(4)和所述用户单元(6),所述用户单元(6)包括应急响应系统(7)、控制节点(8)和网络管理员(9),所述执行节点(5)包括信号接口(10)和控制节点接口(13),所述信号接口(10)通过导线连接响应控制模块(11),所述相应控制模块(11)通过导线连接采集器通信模块(12),所述控制节点接口(13)通过导线连接流表控制模块(14),所述流表控制模块(14)通过导线连接控制器通信模块(15)。
2.根据权利要求1所述的一种面向SDN网络的入侵防御系统,其特征在于:所述外网路由器(1)用于连接各城市的主干网络,SDN交换机(2)用于构建SDN网络,且所述SDN交换机(2)串联在所述外网路由器(1)的下行方向。
3.根据权利要求1所述的一种面向SDN网络的入侵防御系统,其特征在于:所述应急响应系统(7)和网络管理员(9)通过信号接口(10)与执行节点(5)相连接,控制节点(8)通过控制节点接口(13)与执行节点相连接。
4.根据权利要求3所述的一种面向SDN网络的入侵防御系统,其特征在于:所述应急响应系统(7)会根据原病毒库内部的病毒攻击特征生成响应规则,通过信号接口(10)输入给响应控制模块(11)。
5.根据权利要求3所述的一种面向SDN网络的入侵防御系统,其特征在于:所述网络管理员(9)用于响应用户需求,用户需求转化为规则通过信号接口(10)输入给响应控制模块(11)。
6.根据权利要求1所述的一种面向SDN网络的入侵防御系统,其特征在于:所述控制节点(8)用于协调各个执行节点(5)的运行状态,且控制节点(8)对应若干个执行节点(5)。
7.根据权利要求1所述的一种面向SDN网络的入侵防御系统,其特征在于:所述采集器(3)用于采集SDN交换机(2)接入的数据流量中响应控制模块(11)可以识别的数据流量。
8.根据权利要求5所述的一种面向SDN网络的入侵防御系统,其特征在于:所述控制器(4)用于控制SDN交换机(2)丢弃流表控制模块(14)内无法识别的流表数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811608868.4A CN109714338A (zh) | 2018-12-27 | 2018-12-27 | 一种面向sdn网络的入侵防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811608868.4A CN109714338A (zh) | 2018-12-27 | 2018-12-27 | 一种面向sdn网络的入侵防御系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109714338A true CN109714338A (zh) | 2019-05-03 |
Family
ID=66258582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811608868.4A Pending CN109714338A (zh) | 2018-12-27 | 2018-12-27 | 一种面向sdn网络的入侵防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109714338A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110536180A (zh) * | 2019-07-10 | 2019-12-03 | 国网山东省电力公司临沂供电公司 | 一种sdn交换机用网络安全控制装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378380A (zh) * | 2014-11-26 | 2015-02-25 | 南京晓庄学院 | 一种基于SDN架构的识别与防护DDoS攻击的系统及方法 |
| CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
| CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
-
2018
- 2018-12-27 CN CN201811608868.4A patent/CN109714338A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378380A (zh) * | 2014-11-26 | 2015-02-25 | 南京晓庄学院 | 一种基于SDN架构的识别与防护DDoS攻击的系统及方法 |
| CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
| CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 金磊: "基于SDN技术的网络入侵阻断系统HYDRA的设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑(2017)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110536180A (zh) * | 2019-07-10 | 2019-12-03 | 国网山东省电力公司临沂供电公司 | 一种sdn交换机用网络安全控制装置 |
| CN110536180B (zh) * | 2019-07-10 | 2021-10-26 | 国网山东省电力公司临沂供电公司 | 一种sdn交换机用网络安全控制装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9716690B2 (en) | Integrated security switch | |
| US9548961B2 (en) | Detecting adverse network conditions for a third-party network site | |
| CN104219218B (zh) | 一种主动安全防御的方法及装置 | |
| CN104272656A (zh) | 软件定义网络中的网络反馈 | |
| CN108574698B (zh) | 一种对物联网系统进行网络安全防护的方法 | |
| CN105610813B (zh) | 一种移动通信网间蜜罐系统及方法 | |
| CN109450841A (zh) | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御系统及防御方法 | |
| JP6495050B2 (ja) | コンピュータ実装システム、及び、ネットワーク評価を利用したセキュアパスの選択方法 | |
| CN111181850B (zh) | 数据包泛洪抑制方法、装置和设备及计算机存储介质 | |
| CN106453434A (zh) | 一种网络流量的监测方法及监测系统 | |
| CN104735071A (zh) | 一种虚拟机之间的网络访问控制实现方法 | |
| CN106411863A (zh) | 一种实时处理虚拟交换机网络流量的虚拟化平台 | |
| CN109714338A (zh) | 一种面向sdn网络的入侵防御系统 | |
| CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
| CN110247893A (zh) | 一种数据传输方法和sdn控制器 | |
| CN110505243A (zh) | 网络攻击的处理方法及装置、存储介质、电子装置 | |
| US20140323095A1 (en) | Method and device for monitoring a mobile radio interface on mobile terminals | |
| CN111262815A (zh) | 一种虚拟主机管理系统 | |
| JP2008219149A (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| CN104869116B (zh) | 电信网信令安全主动防护方法 | |
| CN103166868B (zh) | 用于防邻居震荡的方法和装置 | |
| CN2781655Y (zh) | 数字图像网络与局域网安全连接的装置 | |
| KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
| CN114978604A (zh) | 一种用于软件定义业务感知的安全网关系统 | |
| US20090222904A1 (en) | Network access node computer for a communication network, communication system and method for operating a communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190503 |