CN111147516A - 基于sdn的安全设备动态互联与智能选路决策系统及方法 - Google Patents

Abstract

本发明公开了一种基于SDN的安全设备动态互联与智能选路决策系统及方法，该系统中：安全事件检测与智能选路决策单元，用于实时采集专业安全设备池单元中各类安全设备的日志信息，并基于日志信息进行深度分析，对疑似攻击的数据流作出预判及发出告警；SDN交换机集群单元，用于实时接收下发的流表指令，通过匹配流表项完成动态调度与专业安全设备池单元中专业安全设备的互联路径，用以实现智能选路决策；专业安全设备池单元，域内设备与SDN交换机集群单元形成联动机制，动态处理不同类别的疑似攻击流数据，实现专业安全设备的安全侦测与防护。本发明可以对安全设备灵活地增加或减少，快速实现不同功能的安全设备在局域网中动态的互联与智能的选路决策。

Description

基于SDN的安全设备动态互联与智能选路决策系统及方法

技术领域

本发明涉及计算机网络及网络安全技术领域，尤其涉及一种基于SDN的安全设备动态互联与智能选路决策系统及方法。

背景技术

互联网中存在着复杂多样的恶意攻击行为，局域网时刻经受着内、外部的未知攻击。设法减小局域网内各类主机、服务器、数据库及应用系统等介质受到外部攻击带来的不利影响，保障局域网主干链路的稳定运行，是当前网络管理员、安全管理员、主体责任人重点关注的问题。

在传统的网络建设模式下，针对局域网的安全防护，多依赖于网络安全厂商的提供的安全设备。安全设备可以是多个独立工作的专用安全设备，例如WAF、IPS设备等，也可以是单个融合了多种安全防护功能的安全设备。安全设备以直连、串行的方式部署于主干网络中，实现对出、入的数据报文进行实时检测，根据匹配安全规则采取相应的处理措施完成防护。

然而，传统应用无论是采用多台安全设备，还是部署单台融合多种防护功能设备，均存在以下不足：

1、安全设备单点故障会造成严重的网络瘫痪。

2、部分节点或链路可能产生性能瓶颈，从而引发吞吐量的“木桶效应”。

3、管理灵活性差，且无法对混杂在正常请求里的攻击流量做针对性的处理。

在传统网络安全防护体系中，网络安全设备需要对出、入校园网的所有流量进行过滤筛查，因此安全设备一般会部署在核心域中；且为了使流量通过各级安全设备的检查，一般会选取在干路直连串行的部署方式，其中防火墙和其他安全设备串联部署在认证网关和边界交换之间，其网络拓扑图如图1，图1部署方式存在两个问题：

问题一：一旦单台安全设备出现故障，会导致严重的网络瘫痪。各节点位于同一条链路上，单节点故障影响整条链路的数据转发。如图2，防火墙在自身受到攻击或故障后停止响应，此时整个网络都会因防火墙停止工作而无法访问internet。

问题二：核心链路吞吐量受制于吞吐能力最差的安全设备。安全设备需要对经过的数据报文完成大量的拆包规则检测与封包传输，在核心链路中易形成“木桶短板”，进而影响整条链路的数据传输性能。

综上所述，实践上述部署方案，如发生设备故障(或链路故障)时，只能采用替换出现问题的安全设备(或更换线路)、重新部署上线的方式应对突发的故障，需耗费较长的时间和较大的人力，同时也会造成网络的中断。

针对上述方案，对传统网络的安全部署方法进行二次改进。通过部署可协同工作(指的是构建安全设备的水平虚拟化模式，或实现冷、热备份的方式)的安全设备，以链路聚合的方式解决上述问题。

具体部署情况如图3，在该部署模式下，虽然能在一定程度上弥补直连串行部署所带来的缺陷，但又会出现新的问题：

(1)受设备约束。要实现链路聚合，安全设备需要支持协同工作(一般需要多台同品牌、同类型、同系统版本的安全设备，且支持水平虚拟化相关协议标准)。但在实际建设过程中，受限于场地、经费、技术等资源情况，并非所有的安全设备都支持该类工作模式，换言之，能否采用这种架构，完全取决于设备本身。

(2)管理及维护成本大幅增加。协同工作增大了部署的复杂性，在出现复杂问题时，可能难以定位出现问题的位置，从而导致维护工作的时间延长，也无可避免地引入因人为错误所可能导致的隐患。

(3)灵活度降低。增删设备的难度较大，难以应付多变的网络形势，同时也使得安全设备的功能过于集中化，单台设备需要实现更多的功能，性能难以得到保证。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种基于SDN的安全设备动态互联与智能选路决策系统及方法。

本发明解决其技术问题所采用的技术方案是：

本发明提供一种基于SDN的安全设备动态互联与智能选路决策系统，该系统包括：安全事件检测与智能选路决策单元、SDN交换机集群单元、专业安全设备池单元；其中：

安全事件检测与智能选路决策单元，用于实时采集专业安全设备池单元中各类安全设备的日志信息，并基于日志信息进行深度分析，对疑似攻击的数据流作出预判及发出告警，并根据告警类型向SDN交换机集群单元下发Openflow流表指令；

SDN交换机集群单元，作为用户网络域、数据中心域、边界出口域互联的数据交换节点，用于实时接收下发的Openflow流表指令，通过匹配流表项完成动态调度与专业安全设备池单元中专业安全设备的互联路径，用以实现智能选路决策；

专业安全设备池单元，是局域网内各类专用检测与防护安全设备的部署域，域内设备与SDN交换机集群单元形成联动机制，动态处理不同类别的疑似攻击流数据，实现专业安全设备的安全侦测与防护。

进一步地，本发明的安全事件检测与智能选路决策单元包括：安全日志采集模块、安全事件分析与告警预判模块、SDN控制器集群管理模块、Web图形化服务模块及安全事件告警存储服务器；其中：

安全日志采集模块，用于采集专业安全设备池单元中各类安全设备所记录的安全日志信息，并对不同格式的安全日志文件解析为标准的JSON格式输出；

安全日志分析与告警预判模块，用于接收安全日志采集模块上报的JSON格式的安全日志信息，根据预置规则库，解析安全日志完成内容分析，并依据安全事件类型做出威胁数据流的预判，并向SDN控制器集群管理模块上报预判结果；

SDN控制器集群管理模块，用于管理局域网内的SDN交换机集群单元并完成Openflow流表的下发，根据安全日志分析与告警模块上报的安全事件预判结果，动态调度不同的SDN交换机集群单元与专业安全设备池单元中各类安全设备之间的数据流传输路径，实现智能选路选择与决策；

Web图形化服务模块，用于在后端采集安全告警事件，并通过Web UI实现用户端的安全事件告警图形化展示，支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址的条件进行查询；

安全事件告警存储服务器，用于存储安全事件告警预判结果，并为Web服务模块中的用户端Web UI图形化分类展示提供数据支撑。

进一步地，本发明的该系统还包括以下功能单元：用户网络域单元、数据中心域单元、边界出口域单元；其中：

用户网络域单元，用于部署用户终端、用户局域网、认证网关，承载用户数据报文交互的功能；

数据中心域单元，用于存放各类物理机、虚机、存储、计算资源，承载反向代理服务器集群、Web服务器集群、数据库服务器集群中的各类内网应用业务；

边界出口域单元，用于通过边界交换设备、多出口资源设备，构建内、外网数据交换的桥梁，并实现内、外网的有机分隔。

进一步地，本发明的该系统中SDN交换机集群单元包括SDN交换机集群S1、SDN交换机集群S2、SDN交换机集群S3；安全事件检测与智能选路决策单元实现SDN检测控制域；各个单元连接关系具体包括主干链路和安全检测环路，其中：

主干链路：用户网络域单元←→SDN交换机集群S1←→专业安全设备池单元←→SDN交换机集群S3←→数据中心域单元←→专业安全设备池单元←→SDN交换机集群S2←→边界出口域单元；

安全检测环路：SDN检测控制域←→SDN交换机集群S1；SDN检测控制域←→专业安全设备池单元；SDN检测控制域←→SDN交换机集群S2；SDN检测控制域←→SDN交换机集群S3；

其中，“←→”代表了单元间的互联关系，单元间数据满足双向传输。

本发明提供一种基于SDN的安全设备动态互联与智能选路决策方法，该方法包括以下步骤：

步骤1、专业安全设备池内安全设备日志存储：

在初始状态下，预置专业安全设备池中的防火墙设备作为默认路径下的安全防护与检测设备，负责对各类网络数据报文流进行分析，根据防火墙设备规则，配置域间安全策略、域内安全策略、接口包过滤策略，完成安全事件的预判，并记录安全日志；

在进行智能选路决策状态下，专业安全设备池中的专业安全设备作为专用安全防护与检测设备，负责对SDN交换机集群调度后的网络数据报文流进行分析，根据设备内置规则，完成安全事件的预判，并记录安全日志；

步骤2、安全日志采集：

安全日志采集模块部署logstash数据收集工具，每隔一定时间从安全设备上采集安全日志syslog信息，按照安全设备日志数据字典结构，通过字符串分割、匹配的操作，将不同品牌的安全设备存储的日志解析为JSON格式输出，并上报至安全事件分析与告警预判模块；

步骤3、安全事件分析与预判告警：

安全事件分析与告警预判模块接收上报的JSON格式日志，在系统中自定义一张安全事件预判映射表；根据安全事件的发生与持续状态，安全事件的分析与预判分为有状态和无状态两种情况；有状态的安全事件表现为持续性发生，对一段时间内的日志上下文进行分析，从而完成预判；无状态的安全事件表现为即发生即判定，安全规则库使用Suricata规则库作为异常攻击的匹配源，与安全规则库中规则匹配一致即完成预判；

步骤4、选路决策：

SDN控制器集群管理模块借助SDN交换机完成：根据上报的预判结果决策选择安全设备互联链路的路径，将流量导向指定的安全设备进行专业的二次分析与检测；实现选择路径时，SDN控制器集群管理模块根据安全事件预判映射表中的属性值，动态选择SDN交换机集群与专业安全设备池中的安全设备的互联链路；

步骤5、Web图形化服务：

Web图形化服务模块通过后端读取安全事件告警存储服务器中的告警事件数据表，通过Web UI实现用户端的安全事件告警图形化展示，并支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址的条件进行查询，对查询结果进行可视化展示。

进一步地，本发明的步骤2中的安全设备日志数据字典结构具体为：

安全设备日志字典结构包含8项属性：

{FROM_DEVICE_ID,FROM_DEVICE_PORT,SECURITY_LEVEL,ATTACK_TYPE_PRE,IP_SRC,IP_DEST,PROTOCOL,SRC_PORT,DEST_PORT,REQUEST_URL}；

其中，FROM_DEVICE_ID及FROM_DEVICE_PORT属性分别代表上一跳SDN交换机的设备编号及物理端口序号；SECURITY_LEVEL代表安全攻击事件的级别；ATTACK_TYPE_PRE代表该链路中的安全设备预判的攻击类型；IP_SRC、IP_DEST、PROTOCOL、SRC_PORT、DEST_PORT是数据报文的五元属性，分别代表源地址、目的地址、协议类型、源端口、目的端口；REQUEST_URL代表了用户请求的URL地址中User-Agent字段及HTTP状态码。

进一步地，本发明的步骤3中的安全事件预判映射表具体为：

安全事件预判映射表包含六元组：

{FROM_DEVICE_ID,FROM_DEVICE_PORT,ATTACK_TYPE,ROAD_SELECT_ID,ROAD_SELECT_PORT,STATE_TYPE}

其中，FROM_DEVICE_ID及FROM_DEVICE_PORT属性分别代表上一跳SDN交换机的设备编号及物理端口序号；ROAD_SELECT_ID和ROAD_SELECT_PORT分别代表选择的下一跳SDN交换机的设备编号及物理端口序号；ATTACK_TYPE代表经分析初步判定的攻击类型；STATE_TYPE代表攻击类型的状态。

进一步地，本发明的步骤3中安全事件的有状态和无状态两种情况具体为：

(1)有状态的攻击类型包括：拒绝服务攻击类、ATP攻击类；拒绝服务攻击类包括：DoS、DDoS、DRDoS；

(2)无状态的攻击类型包括：IPS及IDS类、WAF类、内容或行为审计类。

进一步地，本发明的步骤3中分析与预判的具体方法为：

读取JSON文件，根据SECURITY_LEVEL、ATTACK_TYPE_PRE、STATE_TYPE属性进行分类处理：

a)对于无状态的攻击，分析安全设备日志数据字典结构表中特征属性，比对规则后根据攻击类型值向安全事件预判映射表写入记录并上报SDN控制器集群管理模块，同时将安全事件告警预判结果写入安全事件告警存储服务器数据库；

b)对于有状态的安全事件，分析一段时间内分析日志上下文中的源地址、目的地址、协议类型、源端口、目的端口、URL特征属性，运用随机森林攻击检测方法，通过计算特征属性信息熵值，根据特征属性熵值分类筛选的分析结果做出攻击预判，向安全事件预判映射表写入记录，通过SDN北向Restful接口向SDN控制器集群管理模块上报告警，同时将安全事件告警预判结果写入安全事件告警存储服务器数据库。

进一步地，本发明的步骤4中选路决策的具体方法为：

实现选择路径时，SDN控制器集群管理模块根据安全时间预判映射表中FROM_DEVICE_ID,FROM_DEVICE_PORT,ATTACK_TYPE,ROAD_SELECT_ID,ROAD_SELECT_PORT,STATE_TYPE属性值，动态选择SDN交换机集群与专业安全设备池中的安全设备的互联链路；

构造OpenFlow的flow-mod报文，根据安全事件预判映射表4类属性值填写匹配域，下发流表项至不同的SDN交换机集群组，动态控制SDN交换机不同的物理端口启用或关闭，并构建不同组别SDN交换机集群与专业安全设备池中相关专业安全设备之间的数据流传输路径，实现智能选路决策。

本发明产生的有益效果是：本发明的基于SDN的安全设备动态互联与智能选路决策系统及方法，在不改变局域网网络总体架构的同时，充分运用SDN部署灵活、扩展便利且能够将网络的控制平面和数据平面相分离的特点，可以实现最小影响现有网络的情况下，对安全设备灵活地增加或减少，快速实现不同功能的安全设备在局域网中动态的互联与智能的选路决策。

安全事件检测与智能选路决策单元在本方案中承担着“桥梁”的作用，负责实时采集专业安全设备池中各类安全设备日志信息，并基于日志进行深度分析，对疑似攻击的数据流作出预判，通过SDN北向Restful接口向SDN控制器集群管理模块发出告警。SDN控制器集群管理模块根据告警类型作出预判，并向SDN交换机集群组实时下发流表，改变可疑流量的流向，使不同类型的“攻击流”能够“对号入座”，实现动态控制流量在安全设备间的流动路径，从而选择专业的安全设备对已判定的“疑似攻击流”作出专业、准确地检测，以降低局域网内部攻击的漏报率与误报率，更好的局域网关键网络域中核心业务的安全。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的传统网络中安全设备的部署方式图；

图2是本发明实施例的传统网络中防火墙出现故障的网络结构图；

图3是本发明实施例的协同工作的安全设备拓扑图；

图4是本发明实施例的“海德拉方法”的工作原理；

图5是本发明实施例的“海德拉系统”的网络拓扑图；

图6是本发明实施例的“海德拉系统”由内至外工作原理图；

图7是本发明实施例的“海德拉系统”由外至内工作原理图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明实施例的基于SDN的安全设备动态互联与智能选路决策系统，将其命名为“海德拉系统”，实现局域网内各类安全设备的实时动态互联与智能选路决策。

该系统包括：

安全事件检测与智能选路决策单元、SDN交换机集群单元、专业安全设备池单元；其中：

一、安全事件检测与智能选路决策单元包含有安全日志采集模块、安全事件分析与告警预判模块、SDN控制器集群管理模块、Web图形化服务模块及安全事件告警存储服务器。

1、安全日志采集模块负责采集专业安全设备池中各类安全设备所记录的安全日志信息，并对不同格式的安全日志文件解析为标准的JSON格式输出；

2、安全日志分析与告警预判模块负责接收安全日志采集模块上报的JSON格式的安全日志信息，根据预置规则库，解析安全日志完成内容分析，并依据安全事件类型做出威胁数据流的预判，并向SDN控制器集群管理模块上报预判结果；

3、SDN控制器集群管理模块负责管理局域网内的SDN交换机集群并完成Openflow流表的下发，根据安全日志分析与告警模块上报的安全事件预判结果，动态调度不同的SDN交换机集群与专业安全设备池中各类安全设备之间的数据流传输路径，实现智能选路选择与决策。

4、Web图形化服务模块负责在后端采集安全告警事件，并通过Web UI实现用户端的安全事件告警图形化展示，支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址等条件进行查询。

5、安全事件告警存储服务器负责存储安全事件告警预判结果，并为Web服务模块中的用户端Web UI图形化分类展示提供数据支撑。

二、SDN交换机集群单元作为用户网络域、数据中心域、边界出口域互联的数据交换节点，用于实时接受SDN控制器集群管理模块下发的Openflow流表指令，通过匹配流表项完成动态调度与专业安全设备池中专业安全设备的互联路径，用以实现智能选路决策。

三、专业安全设备池单元是局域网内各类专用检测与防护安全设备的部署域，域内设备与SDN交换机集群单元形成联动机制，动态处理不同类别的“疑似攻击流”数据，实现“专业的安全设备做专业的安全侦测与防护”。

本发明实施例的提供的融合SDN技术的安全设备动态互联与智能管理方法，将其命名为“海德拉方法”。如图4所示，该方法主要分为5个步骤，按先后顺序依次为：专业安全设备池内安全设备日志存储、安全日志采集、安全事件分析与预判、选路决策、Web图形化服务，其具体流程如下：

步骤1：专业安全设备池内安全设备日志存储

在初始状态下，预置专业安全设备池中的防火墙设备作为默认路径下的安全防护与检测设备，负责对各类网络数据报文流进行分析，根据防火墙设备规则，配置域间安全策略、域内安全策略、接口包过滤策略，完成安全事件的预判，并记录安全日志。

在进行智能选路决策状态下，专业安全设备池中的其它专业安全设备(如：WAF设备、IDS检测设备、IPS检测设备、DDoS检测设备、APT检测设备等)作为专用安全防护与检测设备，负责对SDN交换机集群调度后的网络数据报文流进行分析，根据设备内置规则，完成安全事件的预判，并记录安全日志。

步骤2：安全日志采集

安全日志采集模块部署logstash数据收集工具，每隔5分钟从安全设备上采集安全日志syslog信息，按照表1所示的安全设备日志数据字典结构，通过字符串分割、匹配等操作，将不同品牌的安全设备存储的日志解析为JSON格式输出，并上报至安全事件分析与告警预判模块。

表1 安全设备日志数据字典结构表

安全设备日志表包含8项属性：

{FROM_DEVICE_ID,FROM_DEVICE_PORT,SECURITY_LEVEL,ATTACK_TYPE_PRE,IP_SRC,IP_DEST,PROTOCOL,SRC_PORT,DEST_PORT,REQUEST_URL}

其中，FROM_DEVICE_ID及FROM_DEVICE_PORT属性分别代表上一跳SDN交换机的设备编号及物理端口序号；SECURITY_LEVEL代表安全攻击事件的级别；ATTACK_TYPE_PRE代表该链路中的安全设备预判的攻击类型；IP_SRC、IP_DEST、PROTOCOL、SRC_PORT、DEST_PORT是数据报文的五元属性，分别代表源地址、目的地址、协议类型、源端口、目的端口；REQUEST_URL代表了用户请求的URL地址中User-Agent字段及HTTP状态码。

步骤3：安全事件分析与预判告警

安全事件分析与告警预判模块接收上报的JSON格式日志，在海德拉系统中自定义一张安全事件预判映射表，映射表的数据结构如表2所示：

表2 安全事件预判映射表数据结构表

安全事件预判映射表包含六元组：

{FROM_DEVICE_ID,FROM_DEVICE_PORT,ATTACK_TYPE,ROAD_SELECT_ID,ROAD_SELECT_PORT,STATE_TYPE}

其中，FROM_DEVICE_ID及FROM_DEVICE_PORT属性分别代表上一跳SDN交换机的设备编号及物理端口序号；ROAD_SELECT_ID和ROAD_SELECT_PORT分别代表选择的下一跳SDN交换机的设备编号及物理端口序号；ATTACK_TYPE代表经分析初步判定的攻击类型；STATE_TYPE代表攻击类型的状态。

根据安全事件的发生与持续状态，安全事件的分析与预判分为有状态和无状态两种情况。有状态的安全事件主要表现为持续性发生，需要对一段时间内的日志上下文进行分析，从而完成预判；无状态的安全事件主要表现为即发生即判定，安全规则库使用Suricata规则库作为异常攻击的匹配源，与安全规则库中规则匹配一致即完成预判。

(1)有状态的攻击类型包括(不限于)：拒绝服务攻击类(DoS、DDoS、DRDoS等)、ATP攻击类等；

(2)无状态的攻击类型包括(不限于)：IPS及IDS类、WAF类、内容或行为审计类等。

分析与预判方式如下：

读取JSON文件，根据SECURITY_LEVEL、ATTACK_TYPE_PRE、STATE_TYPE属性进行分类处理。

a)对于无状态的攻击，分析表1中特征属性，比对规则后根据攻击类型值向安全事件预判映射表写入记录并上报SDN控制器集群管理模块，同时将安全事件告警预判结果写入安全事件告警存储服务器数据库；

b)对于有状态的安全事件，分析一段时间内分析日志上下文中的源地址、目的地址、协议类型、源端口、目的端口、URL特征属性，运用随机森林攻击检测方法，通过计算特征属性信息熵值，根据特征属性熵值分类筛选的分析结果做出攻击预判，向安全事件预判映射表写入记录，通过SDN北向Restful接口向SDN控制器集群管理模块上报告警，同时将安全事件告警预判结果写入安全事件告警存储服务器数据库。

步骤4：选路决策

对于SDN控制器集群管理模块，它借助SDN交换机完成：根据上报的预判结果决策选择安全设备互联链路的路径，将流量导向指定的安全设备进行专业的二次分析与检测。实现选择路径时，SDN控制器集群管理模块根据表2中的FROM_DEVICE_ID,FROM_DEVICE_PORT,ATTACK_TYPE,ROAD_SELECT_ID,ROAD_SELECT_PORT,STATE_TYPE属性值，动态选择SDN交换机集群与专业安全设备池中的安全设备的互联链路。

具体方法为：

构造OpenFlow的flow-mod报文，根据安全事件预判映射表4类属性值填写匹配域，下发流表项至不同的SDN交换机集群组，动态控制SDN交换机不同的物理端口启用或关闭，并构建不同组别SDN交换机集群与专业安全设备池中相关专业安全设备之间的数据流传输路径，实现智能选路决策。

返回到步骤1，形成海德拉系统工作的闭环模式。

步骤5：Web图形化服务

Web图形化服务模块通过后端读取安全事件告警存储服务器中的告警事件数据表，通过Web UI实现用户端的安全事件告警图形化展示，并支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址等条件进行查询，对查询结果进行可视化展示。

在本发明的另一个具体实施例中：

一、“海德拉系统”总体框架

用户网络域单元、数据中心域单元、3组SDN交换机集群单元、专业安全设备池单元、SDN检测控制域单元、边界出口域单元。

如图4所示，海德拉系统在传统的局域网架构中，引入支持Openflow v1.3版本协议的SDN交换机若干，部署3组SDN交换机集群；创建Oracle Linux服务器用以部署SDN检测控制域单元；部署专业安全设备池单元，用以侦测并防护不同类别的安全攻击事件。本发明中所涉及的功能单元具体描述如下：

1、用户网络域单元

用户终端、用户局域网、认证网关部署在该域，承载用户数据报文交互。

2、数据中心域单元

各类物理机、虚机、存储、计算资源的存放域，承载反向代理服务器集群、Web服务器集群、数据库服务器集群等各类内网应用业务。

3、SDN交换机集群单元

三组SDN交换机集群分别定义为S1、S2和S3，S1、S2和S3通过光纤与专业安全设备池内的各类安全设备一一互联，分别前置于用户网络域、数据中心域、边界出口域，构成用户网络域、数据中心域、边界出口域之间的安全关卡。

4、安全事件检测与智能选路决策单元

安全日志采集模块：用于采集专业安全设备池中各类安全设备记录的安全日志信息，并对不同格式的日志文件进行格式化输出；

安全日志分析与告警模块：用于接收安全日志采集模块上报的安全日志信息，对安全日志进行分析和预判，并依据告警类型做出威胁数据流的预判，通过SDN北向Restful接口向SDN控制器集群管理模块上报安全事件结果；

SDN控制集群管理模块：用于管理和下发Openflow流表，根据上报的安全事件结果，动态调度不同SDN交换机集群与专业安全设备池中各类安全设备之间的数据传输路径，实现智能选路选择与决策。

5、专业安全设备池单元

完成各类专业的安全设备(防火墙设备、WAF设备)池化管理，并构建安全应用防护关卡，将内网用户网络域、数据中心域、边界出口域进行逻辑隔离，并运用专业安全设备实现针对性的安全侦测，实现内网不同应用域的可靠安全防护。

6、边界出口域单元

通过边界交换设备、多出口(移动网出口、电信网出口、联通网出口、其它运营商出口)资源，构建内、外网数据交换的桥梁，并实现内、外网的有机分隔。

二、“海德拉系统”单元连接关系

1、主干链路：用户网络域←→SDN交换机集群S1←→专业安全设备池←→SDN交换机集群S3←→数据中心域←→专业安全设备池←→SDN交换机集群S2←→边界出口域；

2、安全检测环路(旁路)：SDN检测控制域←→SDN交换机集群S1；SDN检测控制域←→专业安全设备池；SDN检测控制域←→SDN交换机集群S2；SDN检测控制域←→SDN交换机集群S3。

其中，“←→”代表了单元间的互联关系，单元间数据满足双向传输。

三、“海德拉系统”工作机制

1、由内至外工作机制

图6详细描述“海德拉系统”工作原理，由内至外的工作机制包括步骤：

步骤a：默认情况下，用户网络域内“用户终端”发出的数据报文经图示线路(1)，经运营商出口向互联网发送应用请求报文，中间节点“防火墙设备”实时记录用户上网日志信息；或用户网络域内“用户终端”发出的数据报文经图示线路(2)，向“数据中心服务器集群”发送应用请求报文，“防火墙设备”节点配置域间安全策略、域内安全策略、接口包过滤策略，对经过的请求报文进行预分析与检测，并实时记录安全日志信息。

步骤B：安全日志采集模块通过logstash工具每隔5分钟向防火墙设备采集所记录的用户syslog安全日志，将防火墙记录的syslog安全日志文本按照“安全设备日志数据字典”的字段属性解析为JSON格式输出，上报至安全事件分析与告警预判模块。

步骤C：安全事件分析与告警预判模块读取JSON文件，根据自定义的安全事件预判映射表规则，结合攻击的状态属性(无状态或有状态)，完成攻击的预判；通过SDN北向Restful接口向SDN控制器集群管理模块上报告警，同时将安全事件告警预判结果写入安全事件告警存储服务器数据库。

步骤D：SDN控制器集群管理模块将上报的安全事件与海德拉系统预置安全事件预判映射表进行对比，根据FROM_DEVICE_ID,FROM_DEVICE_PORT,ATTACK_TYPE,ROAD_SELECT_ID,ROAD_SELECT_PORT,STATE_TYPE属性值，SDN控制器集群管理模块向SDN交换机集群S1与SDN交换机集群S2(或SDN交换机集群S1与SDN交换机集群S3)动态下发流表项，智能决策SDN交换机集群S1与S2(或S1与S3)中的SDN交换机不同的物理端口开启或关闭与专业安全设备池中所对应的安全设备的互联链路，完成“用户终端”所发送的疑似有攻击的数据报文通过专业安全设备的二次分析与检测，以提高局域网内安全检测与防护的准确率。

步骤E：安全设备地址池中的其他安全设备所在链路一旦启用，亦实时记录安全日志信息。海德拉系统的日志采集模块依然通过logstash工具每隔5分钟采集相关设备所记录的用户syslog安全日志，重复上述B至D步骤，形成海德拉系统工作的闭环模式，不断“矫正”攻击类型，实现动态智能选路的决策。

步骤F：Web图形化服务模块通过后端读取安全事件告警存储服务器中的告警事件数据表，通过Web UI实现用户端的安全事件告警图形化展示，并支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址等条件进行查询，对查询结果进行可视化展示。

2、由外至内工作机制

图7详细描述“海德拉系统”工作原理，由内至外的工作机制包括步骤：

步骤a：默认情况下，互联网用户(即边界出口域外部)发出的数据报文经图示线路(3)，经运营商出口向局域网内部发送请求报文，中间节点“防火墙设备”实时记录用户上网日志信息；或互联网用户(即边界出口域外部)发出的数据报文经图示线路(4)，向“数据中心服务器集群”发送应用请求报文，“防火墙设备”节点配置域间安全策略、域内安全策略、接口包过滤策略，对经过的请求报文进行预分析与检测，并实时记录安全日志信息。

步骤b：安全日志采集模块通过logstash工具每隔5分钟向防火墙设备采集所记录的用户syslog安全日志，将防火墙记录的syslog安全日志文本按照“安全设备日志数据字典”的字段属性解析为JSON格式输出，上报至安全事件分析与告警预判模块。

步骤c：安全事件分析与告警预判模块读取JSON文件，根据自定义的安全事件预判映射表规则，结合攻击的状态属性(无状态或有状态)，完成攻击的预判；通过SDN北向Restful接口向SDN控制器集群管理模块上报告警，同时将安全事件告警预判结果写入安全事件告警存储服务器数据库。

步骤d：SDN控制器集群管理模块将上报的安全事件与海德拉系统预置安全事件预判映射表进行对比，根据FROM_DEVICE_ID,FROM_DEVICE_PORT,ATTACK_TYPE,ROAD_SELECT_ID,ROAD_SELECT_PORT,STATE_TYPE属性值，SDN控制器集群管理模块向SDN交换机集群S1与SDN交换机集群S2(或SDN交换机集群S1与SDN交换机集群S3)动态下发流表项，智能决策SDN交换机集群S1与S2(或S1与S3)中的SDN交换机不同的物理端口开启或关闭与专业安全设备池中所对应的安全设备的互联链路，完成“用户终端”所发送的疑似有攻击的数据报文通过专业安全设备的二次分析与检测，以提高局域网内安全检测与防护的准确率。

步骤e：安全设备地址池中的其他安全设备所在链路一旦启用，亦实时记录安全日志信息。海德拉系统的日志采集模块依然通过logstash工具每隔5分钟采集相关设备所记录的用户syslog安全日志，重复上述b至d步骤，形成海德拉系统工作的闭环模式，不断“矫正”攻击类型，实现动态智能选路的决策。

步骤f：Web图形化服务模块通过后端读取安全事件告警存储服务器中的告警事件数据表，通过Web UI实现用户端的安全事件告警图形化展示，并支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址等条件进行查询，对查询结果进行可视化展示。

本发明的技术方案与传统网络方案相比，具有以下优势：

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (10)

1.一种基于SDN的安全设备动态互联与智能选路决策系统，其特征在于，该系统包括：安全事件检测与智能选路决策单元、SDN交换机集群单元、专业安全设备池单元；其中：

安全事件检测与智能选路决策单元，用于实时采集专业安全设备池单元中各类安全设备的日志信息，并基于日志信息进行深度分析，对疑似攻击的数据流作出预判及发出告警，并根据告警类型向SDN交换机集群单元下发Openflow流表指令；

SDN交换机集群单元，作为用户网络域、数据中心域、边界出口域互联的数据交换节点，用于实时接收下发的Openflow流表指令，通过匹配流表项完成动态调度与专业安全设备池单元中专业安全设备的互联路径，用以实现智能选路决策；

专业安全设备池单元，是局域网内各类专用检测与防护安全设备的部署域，域内设备与SDN交换机集群单元形成联动机制，动态处理不同类别的疑似攻击流数据，实现专业安全设备的安全侦测与防护。

2.根据权利要求1所述的基于SDN的安全设备动态互联与智能选路决策系统，其特征在于，安全事件检测与智能选路决策单元包括：安全日志采集模块、安全事件分析与告警预判模块、SDN控制器集群管理模块、Web图形化服务模块及安全事件告警存储服务器；其中：

安全日志采集模块，用于采集专业安全设备池单元中各类安全设备所记录的安全日志信息，并对不同格式的安全日志文件解析为标准的JSON格式输出；

安全日志分析与告警预判模块，用于接收安全日志采集模块上报的JSON格式的安全日志信息，根据预置规则库，解析安全日志完成内容分析，并依据安全事件类型做出威胁数据流的预判，并向SDN控制器集群管理模块上报预判结果；

SDN控制器集群管理模块，用于管理局域网内的SDN交换机集群单元并完成Openflow流表的下发，根据安全日志分析与告警模块上报的安全事件预判结果，动态调度不同的SDN交换机集群单元与专业安全设备池单元中各类安全设备之间的数据流传输路径，实现智能选路选择与决策；

Web图形化服务模块，用于在后端采集安全告警事件，并通过Web UI实现用户端的安全事件告警图形化展示，支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址的条件进行查询；

安全事件告警存储服务器，用于存储安全事件告警预判结果，并为Web服务模块中的用户端Web UI图形化分类展示提供数据支撑。

3.根据权利要求1所述的基于SDN的安全设备动态互联与智能选路决策系统，其特征在于，该系统还包括以下功能单元：用户网络域单元、数据中心域单元、边界出口域单元；其中：

用户网络域单元，用于部署用户终端、用户局域网、认证网关，承载用户数据报文交互的功能；

数据中心域单元，用于存放各类物理机、虚机、存储、计算资源，承载反向代理服务器集群、Web服务器集群、数据库服务器集群中的各类内网应用业务；

边界出口域单元，用于通过边界交换设备、多出口资源设备，构建内、外网数据交换的桥梁，并实现内、外网的有机分隔。

4.根据权利要求3所述的基于SDN的安全设备动态互联与智能选路决策系统，其特征在于，该系统中SDN交换机集群单元包括SDN交换机集群S1、SDN交换机集群S2、SDN交换机集群S3；安全事件检测与智能选路决策单元实现SDN检测控制域；各个单元连接关系具体包括主干链路和安全检测环路，其中：

主干链路：用户网络域单元←→SDN交换机集群S1←→专业安全设备池单元←→SDN交换机集群S3←→数据中心域单元←→专业安全设备池单元←→SDN交换机集群S2←→边界出口域单元；

安全检测环路：SDN检测控制域←→SDN交换机集群S1；SDN检测控制域←→专业安全设备池单元；SDN检测控制域←→SDN交换机集群S2；SDN检测控制域←→SDN交换机集群S3；

其中，“←→”代表了单元间的互联关系，单元间数据满足双向传输。

5.一种基于SDN的安全设备动态互联与智能选路决策方法，其特征在于，该方法包括以下步骤：

步骤1、专业安全设备池内安全设备日志存储：

在初始状态下，预置专业安全设备池中的防火墙设备作为默认路径下的安全防护与检测设备，负责对各类网络数据报文流进行分析，根据防火墙设备规则，配置域间安全策略、域内安全策略、接口包过滤策略，完成安全事件的预判，并记录安全日志；

在进行智能选路决策状态下，专业安全设备池中的专业安全设备作为专用安全防护与检测设备，负责对SDN交换机集群调度后的网络数据报文流进行分析，根据设备内置规则，完成安全事件的预判，并记录安全日志；

步骤2、安全日志采集：

安全日志采集模块部署logstash数据收集工具，每隔一定时间从安全设备上采集安全日志syslog信息，按照安全设备日志数据字典结构，通过字符串分割、匹配的操作，将不同品牌的安全设备存储的日志解析为JSON格式输出，并上报至安全事件分析与告警预判模块；

步骤3、安全事件分析与预判告警：

安全事件分析与告警预判模块接收上报的JSON格式日志，在系统中自定义一张安全事件预判映射表；根据安全事件的发生与持续状态，安全事件的分析与预判分为有状态和无状态两种情况；有状态的安全事件表现为持续性发生，对一段时间内的日志上下文进行分析，从而完成预判；无状态的安全事件表现为即发生即判定，安全规则库使用Suricata规则库作为异常攻击的匹配源，与安全规则库中规则匹配一致即完成预判；

步骤4、选路决策：

SDN控制器集群管理模块借助SDN交换机完成：根据上报的预判结果决策选择安全设备互联链路的路径，将流量导向指定的安全设备进行专业的二次分析与检测；实现选择路径时，SDN控制器集群管理模块根据安全事件预判映射表中的属性值，动态选择SDN交换机集群与专业安全设备池中的安全设备的互联链路；

步骤5、Web图形化服务：

Web图形化服务模块通过后端读取安全事件告警存储服务器中的告警事件数据表，通过Web UI实现用户端的安全事件告警图形化展示，并支持按告警类别、告警时间范围、攻击源地址、攻击目标主机地址的条件进行查询，对查询结果进行可视化展示。

6.根据权利要求5所述的基于SDN的安全设备动态互联与智能选路决策方法，其特征在于，步骤2中的安全设备日志数据字典结构具体为：

安全设备日志字典结构包含8项属性：

{FROM_DEVICE_ID,FROM_DEVICE_PORT,SECURITY_LEVEL,ATTA CK_TYPE_PRE,IP_SRC,IP_DEST,PROTOCOL,SRC_PORT,DEST_PORT,REQ UEST_URL}；

其中，FROM_DEVICE_ID及FROM_DEVICE_PORT属性分别代表上一跳SDN交换机的设备编号及物理端口序号；SECURITY_LEVEL代表安全攻击事件的级别；ATTACK_TYPE_PRE代表该链路中的安全设备预判的攻击类型；IP_SRC、IP_DEST、PROTOCOL、SRC_PORT、DEST_PORT是数据报文的五元属性，分别代表源地址、目的地址、协议类型、源端口、目的端口；REQUEST_URL代表了用户请求的URL地址中User-Agent字段及HTTP状态码。

7.根据权利要求5所述的基于SDN的安全设备动态互联与智能选路决策方法，其特征在于，步骤3中的安全事件预判映射表具体为：

安全事件预判映射表包含六元组：

{FROM_DEVICE_ID,FROM_DEVICE_PORT,ATTACK_TYPE,ROAD_SE LECT_ID,ROAD_SELECT_PORT,STATE_TYPE}

其中，FROM_DEVICE_ID及FROM_DEVICE_PORT属性分别代表上一跳SDN交换机的设备编号及物理端口序号；ROAD_SELECT_ID和ROAD_SELECT_PORT分别代表选择的下一跳SDN交换机的设备编号及物理端口序号；ATTACK_TYPE代表经分析初步判定的攻击类型；STATE_TYPE代表攻击类型的状态。

8.根据权利要求5所述的基于SDN的安全设备动态互联与智能选路决策方法，其特征在于，步骤3中安全事件的有状态和无状态两种情况具体为：

(1)有状态的攻击类型包括：拒绝服务攻击类、ATP攻击类；拒绝服务攻击类包括：DoS、DDoS、DRDoS；

(2)无状态的攻击类型包括：IPS及IDS类、WAF类、内容或行为审计类。

9.根据权利要求6所述的基于SDN的安全设备动态互联与智能选路决策方法，其特征在于，步骤3中分析与预判的具体方法为：

读取JSON文件，根据SECURITY_LEVEL、ATTACK_TYPE_PRE、STATE_TYPE属性进行分类处理：

a)对于无状态的攻击，分析安全设备日志数据字典结构表中特征属性，比对规则后根据攻击类型值向安全事件预判映射表写入记录并上报SDN控制器集群管理模块，同时将安全事件告警预判结果写入安全事件告警存储服务器数据库；

b)对于有状态的安全事件，分析一段时间内分析日志上下文中的源地址、目的地址、协议类型、源端口、目的端口、URL特征属性，运用随机森林攻击检测方法，通过计算特征属性信息熵值，根据特征属性熵值分类筛选的分析结果做出攻击预判，向安全事件预判映射表写入记录，通过SDN北向Restful接口向SDN控制器集群管理模块上报告警，同时将安全事件告警预判结果写入安全事件告警存储服务器数据库。

10.根据权利要求7所述的基于SDN的安全设备动态互联与智能选路决策方法，其特征在于，步骤4中选路决策的具体方法为：

实现选择路径时，SDN控制器集群管理模块根据安全时间预判映射表中FROM_DEVICE_ID,FROM_DEVICE_PORT,ATTACK_TYPE,ROAD_SELECT_ID,ROAD_SELECT_PORT,STATE_TYPE属性值，动态选择SDN交换机集群与专业安全设备池中的安全设备的互联链路；

构造OpenFlow的flow-mod报文，根据安全事件预判映射表4类属性值填写匹配域，下发流表项至不同的SDN交换机集群组，动态控制SDN交换机不同的物理端口启用或关闭，并构建不同组别SDN交换机集群与专业安全设备池中相关专业安全设备之间的数据流传输路径，实现智能选路决策。

Images