CN112202756A - 一种基于sdn技术实现网络边界访问控制的方法及系统 - Google Patents

一种基于sdn技术实现网络边界访问控制的方法及系统 Download PDF

Info

Publication number
CN112202756A
CN112202756A CN202011032103.8A CN202011032103A CN112202756A CN 112202756 A CN112202756 A CN 112202756A CN 202011032103 A CN202011032103 A CN 202011032103A CN 112202756 A CN112202756 A CN 112202756A
Authority
CN
China
Prior art keywords
network
sdn
boundary
sdn controller
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011032103.8A
Other languages
English (en)
Inventor
袁浩
崔新安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD
Nanjing Zhongfu Information Technology Co Ltd
Zhongfu Information Co Ltd
Zhongfu Safety Technology Co Ltd
Original Assignee
BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD
Nanjing Zhongfu Information Technology Co Ltd
Zhongfu Information Co Ltd
Zhongfu Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD, Nanjing Zhongfu Information Technology Co Ltd, Zhongfu Information Co Ltd, Zhongfu Safety Technology Co Ltd filed Critical BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD
Priority to CN202011032103.8A priority Critical patent/CN112202756A/zh
Publication of CN112202756A publication Critical patent/CN112202756A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于SDN技术实现网络边界访问控制的方法,该方法包括:基于五元组对SDN控制器设置批量静态策略对流经边界网络域的网络包进行控制;或,对SDN交换机设置策略,将流经边界的特定网络流镜像或串流到SDN控制器中,SDN控制器对流经边界网络域的网络包进行控制。还包括一种基于SDN技术实现网络边界访问控制的系统。本发明能够对跨网络边界的访问进行灵活、精细化控制,同时本发明能够方便的对接身份系统、策略系统等其他安全模块,实现对跨网络边界访问行为的动态管理,对异常访问行为能做出实时的响应。实现访问事前、事中和事后的控制和审计。

Description

一种基于SDN技术实现网络边界访问控制的方法及系统
技术领域
本发明涉及网络安全技术领域,具体地说是一种基于SDN技术实现网络边界访问控制的方法及系统。
背景技术
近年来随着移动办公、大数据、私有云等技术的兴起和蓬勃发展,企事业单位内部网络面临着越来越复杂的安全问题。如何在便利单位内信息资源合理利用的前提下又能有效防范来自内部网络的攻击、保护单位内的敏感数据不被非法访问成为各单位管理者格外重视的问题。
传统的网络边界访问控制系统一般由采用网络防火墙技术或者API访问代理技术来实现。而这两种技术都有各自的缺陷。网络防火墙技术不能防范内部恶意用户、不通过防火墙的连接、病毒等。API访问代理技术仅能对应用层协议的访问进行管控无法有效的管控更低层协议栈的网络数据访问。
发明内容
本发明的目的在于提供一种基于SDN技术实现网络边界访问控制的方法及系统,用于解决现有技术上述存在的问题。
本发明解决其技术问题所采取的技术方案是:
本发明第一方面提供了一种基于SDN技术实现网络边界访问控制的方法,该方法包括:
基于五元组对SDN控制器设置批量静态策略对流经边界网络域的网络包进行控制;或,
对SDN交换机设置策略,将流经边界的特定网络流镜像或串流到SDN控制器中,SDN控制器对流经边界网络域的网络包进行控制。
结合第一方面,在第一方面第一种可能的实现方式中,所述的基于五元组对SDN控制器设置批量静态策略具体包括:
通过Openflow协议控制SDN交换机,对流经SDN交换机的每个IP包进行检查;
根据源IP,源端口,目的IP,目的端口和传输层协议特征对IP包进行处理。
结合第一方面,在第一方面第二种可能的实现方式中,对IP包进行处理包括:
对IP包丢弃、指定IP包流向的目的交换机接口、对IP包计数统计、把IP包镜像到SDN控制器、把IP包转发到SDN控制器。
结合第一方面,在第一方面第三种可能的实现方式中,当将流经边界的特定网络流镜像到SDN控制器时,SDN控制器通过DPI功能还原应用层协议数据,还原出流经边界的特定网络流的原始内容,对流经边界的特定网络流的数据交换进行审计,根据审计内容,下发至指定的网络策略,对该特定网络流进行控制;
当将流经边界的特定网络流串流到SDN控制器时,SDN控制器通过DPI功能还原应用层协议数据,根据预设的指定特征对应用层协议数据进行匹配,实现对边界网络包的实时控制。
结合第一方面,在第一方面第四种可能的实现方式中,所述根据预设的指定特征对应用层协议数据进行匹配还可以替换为利用人工智能分析模块通过对接外部的身份系统、策略系统对流程的数据包内容在多个维度进行智能判断。
结合第一方面,在第一方面第五种可能的实现方式中,所述的多个维度包括但不限于网络层特征、用户层特征。
结合第一方面,在第一方面第六种可能的实现方式中,所述利用人工智能分析模块对流经的数据包内容在多个维度进行智能判断具体通过对流经的数据进行学习,推断出网内的网络访问习惯和模式,发现异常访问情况时报警或阻断。
本发明第二方面提供了一种基于SDN技术实现网络边界访问控制的系统,该系统包括:
SDN交换机,部署在用户域和服务器域之间,用于执行设施对用户域和服务器域之间的网络数据交换并进行管控;
SDN控制器,通过控制平面通道与SDN交换机进行通信,用于通过OpenFlow协议对SDN交换机的具体网络控制行为进行配置;
控制平面通道,设置于SDN交换机与SDN控制器之间,用于实现SDN交换机与SDN控制器的通信,对用户的网络数据进行中转;
数据平面通道,用于对SDN交换机设置策略,监控SDN交换机状态,控制SDN交换机处理用户数据流程的层次。
本发明第二方面的所述系统能够实现第一方面及第一方面的各实现方式中的方法,并取得相同的效果。
本发明的有益效果是:本发明能够对跨网络边界的访问进行灵活、精细化控制,同时本发明的人工智能分析模块还能够方便的对接身份系统、策略系统等其他安全模块,实现对跨网络边界访问行为的动态管理,对异常访问行为能做出实时的响应。实现访问事前、事中和事后的控制和审计。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种基于SDN技术实现网络边界访问控制的系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
一种基于SDN技术实现网络边界访问控制的方法,该方法包括:基于五元组对SDN控制器设置批量静态策略对流经边界网络域的网络包进行控制。
基于五元组对SDN控制器设置批量静态策略具体包括:
通过Openflow协议控制SDN交换机,对流经SDN交换机的每个IP包进行检查;
根据源IP,源端口,目的IP,目的端口和传输层协议特征对IP包进行处理。
对IP包进行处理包括:
对IP包丢弃、指定IP包流向的目的交换机接口、对IP包计数统计、把IP包镜像到SDN控制器、把IP包转发到SDN控制器。
一种基于SDN技术实现网络边界访问控制的方法还可以包括:对SDN交换机设置策略,将流经边界的特定网络流镜像或串流到SDN控制器中,SDN控制器对流经边界网络域的网络包进行控制。
当将流经边界的特定网络流镜像到SDN控制器时,SDN控制器通过DPI功能还原应用层协议数据,还原出流经边界的特定网络流的原始内容,对流经边界的特定网络流的数据交换进行审计,根据审计内容,下发至指定的网络策略,对该特定网络流进行控制。
当将流经边界的特定网络流串流到SDN控制器时,SDN控制器通过DPI功能还原应用层协议数据,根据预设的指定特征对应用层协议数据进行匹配,实现对边界网络包的实时控制。
根据预设的指定特征对应用层协议数据进行匹配还可以替换为利用人工智能分析模块通过对接外部的身份系统、策略系统对流程的数据包内容在多个维度进行智能判断。多个维度包括但不限于网络层特征、用户层特征。
利用人工智能分析模块对流程的数据包内容在多个维度进行智能判断具体通过对流经的数据进行学习,推断出网内的网络访问习惯,发现异常访问情况时报警或阻断。
如图1所示,一种基于SDN技术实现网络边界访问控制的系统,该系统包括:
SDN交换机,部署在用户域和服务器域之间,用于执行设施对用户域和服务器域之间的网络数据交换并进行管控;
SDN控制器,通过控制平面通道与SDN交换机进行通信,用于通过OpenFlow协议对SDN交换机的具体网络控制行为进行配置;
控制平面通道,设置于SDN交换机与SDN控制器之间,用于实现SDN交换机与SDN控制器的通信,对用户的网络数据进行中转;
数据平面通道,用于对SDN交换机设置策略,监控SDN交换机状态,控制SDN交换机处理用户数据流程的层次。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (8)

1.一种基于SDN技术实现网络边界访问控制的方法,其特征是,该方法包括:
基于五元组对SDN控制器设置批量静态策略对流经边界网络域的网络包进行控制;或,
对SDN交换机设置策略,将流经边界的特定网络流镜像或串流到SDN控制器中,SDN控制器对流经边界网络域的网络包进行控制。
2.根据权利要求1所述的方法,其特征是,所述的基于五元组对SDN控制器设置批量静态策略具体包括:
通过Openflow协议控制SDN交换机,对流经SDN交换机的每个IP包进行检查;
根据源IP,源端口,目的IP,目的端口和传输层协议特征对IP包进行处理。
3.根据权利要求2所述的方法,其特征是,对IP包进行处理包括:
对IP包丢弃、指定IP包流向的目的交换机接口、对IP包计数统计、把IP包镜像到SDN控制器、把IP包转发到SDN控制器。
4.根据权利要求1所述的方法,其特征是,当将流经边界的特定网络流镜像到SDN控制器时,SDN控制器通过DPI功能还原应用层协议数据,还原出流经边界的特定网络流的原始内容,对流经边界的特定网络流的数据交换进行审计,根据审计内容,下发至指定的网络策略,对该特定网络流进行控制;
当将流经边界的特定网络流串流到SDN控制器时,SDN控制器通过DPI功能还原应用层协议数据,根据预设的指定特征对应用层协议数据进行匹配,实现对边界网络包的实时控制。
5.根据权利要求4所述的方法,其特征是,所述根据预设的指定特征对应用层协议数据进行匹配还可以替换为利用人工智能分析模块通过对接外部的身份系统、策略系统对流程的数据包内容在多个维度进行智能判断。
6.根据权利要求5所述的方法,其特征是,所述的多个维度包括但不限于网络层特征、用户层特征。
7.根据权利要求5所述的方法,其特征是,所述利用人工智能分析模块对流程的数据包内容在多个维度进行智能判断具体通过对流经的数据进行学习,推断出网内的网络访问习惯,发现异常访问情况时报警或阻断。
8.一种基于SDN技术实现网络边界访问控制的系统,利用权利要求1-7任意一项所述的方法,其特征是,该系统包括:
SDN交换机,部署在用户域和服务器域之间,用于执行设施对用户域和服务器域之间的网络数据交换并进行管控;
SDN控制器,通过控制平面通道与SDN交换机进行通信,用于通过OpenFlow协议对SDN交换机的具体网络控制行为进行配置;
控制平面通道,设置于SDN交换机与SDN控制器之间,用于实现SDN交换机与SDN控制器的通信,对用户的网络数据进行中转;
数据平面通道,用于对SDN交换机设置策略,监控SDN交换机状态,控制SDN交换机处理用户数据流程的层次。
CN202011032103.8A 2020-09-27 2020-09-27 一种基于sdn技术实现网络边界访问控制的方法及系统 Pending CN112202756A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011032103.8A CN112202756A (zh) 2020-09-27 2020-09-27 一种基于sdn技术实现网络边界访问控制的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011032103.8A CN112202756A (zh) 2020-09-27 2020-09-27 一种基于sdn技术实现网络边界访问控制的方法及系统

Publications (1)

Publication Number Publication Date
CN112202756A true CN112202756A (zh) 2021-01-08

Family

ID=74007555

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011032103.8A Pending CN112202756A (zh) 2020-09-27 2020-09-27 一种基于sdn技术实现网络边界访问控制的方法及系统

Country Status (1)

Country Link
CN (1) CN112202756A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115426148A (zh) * 2022-08-29 2022-12-02 江苏亨通工控安全研究院有限公司 一种工控网络主动防御方法与系统
CN118101327A (zh) * 2024-04-19 2024-05-28 中国电建集团江西省电力设计院有限公司 一种基于sdn的网络边界访问控制方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015096417A1 (zh) * 2013-12-27 2015-07-02 中兴通讯股份有限公司 一种软件定义网络中的状态迁移方法及交换机
CN105337958A (zh) * 2015-09-24 2016-02-17 陈鸣 一种基于OpenFlow流的网络安全审计、接入系统和方法
CN107181688A (zh) * 2017-03-31 2017-09-19 武汉绿色网络信息服务有限责任公司 一种sdn网络中实现服务器端跨域数据传输优化的系统和方法
CN111586026A (zh) * 2020-04-30 2020-08-25 广州市品高软件股份有限公司 一种基于sdn的软件定义边界实现方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015096417A1 (zh) * 2013-12-27 2015-07-02 中兴通讯股份有限公司 一种软件定义网络中的状态迁移方法及交换机
CN105337958A (zh) * 2015-09-24 2016-02-17 陈鸣 一种基于OpenFlow流的网络安全审计、接入系统和方法
CN107181688A (zh) * 2017-03-31 2017-09-19 武汉绿色网络信息服务有限责任公司 一种sdn网络中实现服务器端跨域数据传输优化的系统和方法
CN111586026A (zh) * 2020-04-30 2020-08-25 广州市品高软件股份有限公司 一种基于sdn的软件定义边界实现方法及系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
刘琦等: "软件定义网络下状态防火墙的设计与实现", 《信息网络安全》 *
徐玉华等: "软件定义网络中的异常流量检测研究进展", 《软件学报》 *
李兆斌等: "SDN数据安全处理机制关键模块的研究与实现", 《计算机应用》 *
齐亚坤: "电台综合业务网流量监测", 《广播与电视技术》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115426148A (zh) * 2022-08-29 2022-12-02 江苏亨通工控安全研究院有限公司 一种工控网络主动防御方法与系统
CN115426148B (zh) * 2022-08-29 2024-09-17 江苏亨通工控安全研究院有限公司 一种工控网络主动防御方法与系统
CN118101327A (zh) * 2024-04-19 2024-05-28 中国电建集团江西省电力设计院有限公司 一种基于sdn的网络边界访问控制方法及装置

Similar Documents

Publication Publication Date Title
Snehi et al. Vulnerability retrospection of security solutions for software-defined Cyber–Physical System against DDoS and IoT-DDoS attacks
US11902311B2 (en) Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies
Dao et al. Securing heterogeneous IoT with intelligent DDoS attack behavior learning
Sahay et al. ArOMA: An SDN based autonomic DDoS mitigation framework
US7409714B2 (en) Virtual intrusion detection system and method of using same
WO2022088405A1 (zh) 一种网络安全防护方法、装置及系统
Doriguzzi-Corin et al. Dynamic and application-aware provisioning of chained virtual security network functions
EP4222920A1 (en) Dynamic optimization of client application access via a secure access service edge (sase) network optimization controller (noc)
WO2014099815A1 (en) Methods and systems to split equipment control between local and remote processing units
Nife et al. Application-aware firewall mechanism for software defined networks
Khalaf et al. A simulation study of syn flood attack in cloud computing environment
WO2011079607A1 (zh) 一种实现交换机端口mac地址防迁移的方法及装置
CN112202756A (zh) 一种基于sdn技术实现网络边界访问控制的方法及系统
KR20040036228A (ko) 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
Ahmed et al. Detection and prevention of DDoS attacks on software defined networks controllers for smart grid
Etxezarreta et al. Software-Defined Networking approaches for intrusion response in Industrial Control Systems: A survey
US10771499B2 (en) Automatic handling of device group oversubscription using stateless upstream network devices
US10021070B2 (en) Method and apparatus for federated firewall security
Kong et al. Combination attacks and defenses on sdn topology discovery
Karnani et al. A comprehensive survey on low-rate and high-rate DDoS defense approaches in SDN: taxonomy, research challenges, and opportunities
Mahajan et al. Attacks in software-defined networking: a review
Lee et al. Duo: software defined intrusion tolerant system using dual cluster
TW201526588A (zh) 用於本地與遠端處理時之設備控制分隔的系統及其方法
Keerthan Kumar et al. Performance evaluation of packet injection and DOS attack controller software (PDACS) module
Thang et al. EVHS-Elastic Virtual Honeypot System for SDNFV-Based Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20210108

WD01 Invention patent application deemed withdrawn after publication