CN117319032A - 网络安全主动防御方法及系统 - Google Patents

Abstract

本公开提出一种网络安全主动防御方法及系统，涉及网络安全技术领域。包括：若监测到数据流进入主动防御区域，基于SDN交换机将数据流转发到SDN控制器；基于SDN控制器和预设规则，检测数据流是否有匹配的规则；若数据流与任一规则匹配，在告警日志中记录数据流对应的特征信息；对特征信息进行解析，以提取数据流关联的攻击特征和属性信息；基于SDN控制器、攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。由此，可以实现防火墙核心的异构冗余集群架构和各个安全设备之间协同联动处置，实现对攻击告警的自动响应配置，是提升主动防御技术防御强度及防御面。

Description

网络安全主动防御方法及系统

技术领域

本公开涉及网络安全技术领域，尤其涉及一种网络安全主动防御方法及系统。

背景技术

传统的安全防御技术通常是通过网络架构中防火墙、入侵检测系统、杀毒软件、身份认证等单一的安全设备，阻断攻击链中的某一步骤来实现安全防护的。其中作为该防御技术核心的传统防火墙也是基于已有人工配置的安全策略，通过数据包过滤和安全策略匹配机制来实现对网络数据流的分析与拦截，而这是一种确定性和静态性的防御架构，无法实现自动化联动策略部署和防火墙核心异构冗余的安全防护。但是随着网络安全形势的愈发严峻，各种未知的攻击手段层出不穷，这种基于静态性单点防御手段的传统架构愈加无法应对当前的网络攻击。

发明内容

本公开旨在至少在一定程度上解决相关技术中的技术问题之一。

本公开第一方面实施例提出了一种网络安全主动防御方法，包括：

若监测到数据流进入主动防御区域，基于SDN交换机将所述数据流转发到SDN控制器；

基于SDN控制器和预设规则，检测所述数据流是否有匹配的规则；

若所述数据流与任一规则匹配，在告警日志中记录所述数据流对应的特征信息；

对所述特征信息进行解析，以提取所述数据流关联的攻击特征和属性信息；

基于所述SDN控制器、所述攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。

本公开第二方面实施例提出了一种网络安全主动防御系统，包括：

转发模块，用于若监测到数据流进入主动防御区域，基于SDN交换机将所述数据流转发到SDN控制器；

检测模块，用于基于SDN控制器和预设规则，检测所述数据流是否有匹配的规则；

记录模块，用于若所述数据流与任一规则匹配，在告警日志中记录所述数据流对应的特征信息；

解析模块，用于对所述特征信息进行解析，以提取所述数据流关联的攻击特征和属性信息；

更新模块，用于基于所述SDN控制器、所述攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。

本公开第三方面实施例提出了一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现如本公开第一方面实施例提出的网络安全主动防御方法。

本公开第四方面实施例提出了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，实现如本公开第一方面实施例提出的网络安全主动防御方法。

本公开提供的网络安全主动防御方法及系统，存在如下有益效果：

本公开实施例中，首先若监测到数据流进入主动防御区域，基于SDN交换机将数据流转发到SDN控制器，基于SDN控制器和预设规则，检测数据流是否有匹配的规则，若数据流与任一规则匹配，在告警日志中记录数据流对应的特征信息，对特征信息进行解析，以提取数据流关联的攻击特征和属性信息，基于SDN控制器、攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。由此，可以实现防火墙核心的异构冗余集群架构和各个安全设备之间协同联动处置，实现对攻击告警的自动响应配置，是提升主动防御技术防御强度及防御面。

本公开附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本公开的实践了解到。

附图说明

本公开上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本公开一实施例所提供的一种网络安全主动防御方法的流程示意图；

图2为本公开另一实施例所提供的一种网络安全主动防御方法的流程示意图；

图3为本公开一实施例所提供的SDN防火墙整体架构图；

图4为本公开一实施例所提供的联动架构流程图；

图5为本公开一实施例所提供的SDN防火墙控制器集群架构图；

图6为本公开一实施例所提供的SDN防火墙控制器决策系统架构图；

图7为本公开一实施例所提供的入侵检测模块联动工作流程图；

图8为本公开一实施例所提供的入侵检测过程图；

图9为本公开另一实施例所提供的网络安全主动防御系统的结构示意图；

图10示出了适于用来实现本公开实施方式的示例性电子设备的框图。

具体实施方式

下面详细描述本公开的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本公开，而不能理解为对本公开的限制。

下面参考附图描述本公开实施例的网络安全主动防御方法、装置、电子设备和存储介质。

图1为本公开实施例所提供的一种网络安全主动防御方法的流程示意图。

如图1所示，该网络安全主动防御方法可以包括以下步骤：

步骤101，若监测到数据流进入主动防御区域，基于SDN交换机将数据流转发到SDN控制器。

SDN(Software-Defined Networking，软件定义网络)交换机是一种支持软件定义网络架构的网络交换设备。传统的网络交换机主要依赖于硬件来实现网络功能和转发决策，而SDN交换机将控制平面(控制器)和数据平面(交换机)进行了解耦，通过集中式的控制器来对网络进行管理和控制。SDN交换机通过与控制器通信，将网络控制逻辑从交换机中抽离出来，使网络管理和控制变得集中化和可编程化。控制器可以根据网络需求，动态地配置和管理交换机的行为。

SDN控制器是SDN架构中的核心组件，它负责对整个网络进行集中式管理和控制。SDN控制器通过与网络交换机通信，向交换机提供指令和策略，来配置和控制网络的行为。SDN控制器的主要功能包括：网络拓扑发现：控制器通过与交换机通信，获取网络拓扑信息，包括交换机、主机、链路等。这样控制器就能了解整个网络的结构和连接关系。控制逻辑运算：控制器根据网络管理员的指令和策略，进行流量控制、路由计算、转发决策等逻辑运算。它可以基于实时的网络状况和需求，动态地调整网络行为。

可选的，在基于SDN交换机将数据流转发到SDN控制器之前，还包括：

建立控制器集群，所述控制器集群由多个控制器系统组成，每个所述控制器系统中包含审计控制器、网络控制器和安全控制器，所述控制器集群中同类型的控制器架构相同；

从所述多个控制器系统中选举出主控制器组。

其中，审计控制器为在整体上充当统一的网络操作系统，通过网络资源的抽象化，统一协调验证各个控制器中流表策略的一致性及网络拓扑的全局一致性，并且可以依据一定的决策策略判断是否有控制器组别受到安全攻击，从中清洗被恶意攻击的控制器组别，实现控制层面的安全防御。

需要说明的是，一个控制器系统可以为三元组，这一组控制器可以同构，或者是异构的。

作为一种可能实现方式，控制器系统中审计控制器、网络控制器和安全控制器可以是利用不同的控制器架构类型，比如OpenDaylight，Ryu，POX，在此不进行限定。通过部署不同架构类型控制器冗余异构的集群，来更好的抵御针对0-Day漏洞的攻击，同时也可进一步增加攻击者的攻击成本。

0-Day漏洞指的是未被厂商或开发者知晓的安全漏洞，也就是零日漏洞。这种漏洞因为尚未公开且没有相关修补程序，所以对于攻击者来说是具有高价值和潜在威胁的。0-Day漏洞通常被黑客组织或安全研究人员发现，并可能被用于未经授权的攻击行为。一旦漏洞被发现，攻击者可以利用它来入侵系统、窃取敏感信息、传播恶意软件等。

需要说明的是，控制器集群中各个审计控制器的控制器架构可以是相同的，同理，控制器集群中各个网络控制器或安全控制器也可以是相同的。

由于企业云计算环境的规模一般较大，单SDN控制器一般无法承载如此大规模的数据流，同时出于扩展性目的，安全性(单个控制器易受攻击)和恢复能力(核心设备需要冗余)等方面考虑，多控制器更能确保网络状态的稳定高效。由于控制器集群之间需要成对通信，并保持之间的网络状态同步。因此各控制器之间一般需要使用一致性共识算法，如RAFT，PAXOS等，然后通过统一的控制器表决器实现SDN防火墙控制核心的异构负载，其控制器可选择如Ryu，Floodlight等。并且每组内三个控制器架构异构，相同角色控制器同构以保证各控制器之间通信畅通，以及组内控制器的安全冗余。其中SDN防火墙联动防御区域整体架构如图3所示。

图4为联动架构流程图，图5是SDN防火墙控制器集群架构图。

需要说明的是，控制器表决器是一种用于在分布式系统中进行容错决策的技术。在这种系统中，多个控制器同时运行，并通过相互交流和表决来确保系统的正确性和可靠性。当一个控制器出现故障或异常时，其他正常的控制器可以通过表决机制来达成共识，并决定正确的系统行为。常见的表决算法包括多数投票算法和拜占庭容错算法。

多数投票算法要求控制器中的大部分(超过半数)达成一致才能作出决策。例如，如果系统有5个控制器，至少需要3个控制器达成一致才能确定正确的输出。

通过冗余异构的控制器核心集群与动态联动IDS的自动安全策略部署架构相结合，来实现动态的、冗余的、联动的，区域内主动安全防御。

步骤102，基于SDN控制器和预设规则，检测数据流是否有匹配的规则。

控制器结合入侵检测模块的数据流分析判读数据流的类型并标识，并把相关标识信息反馈给控制器的安全控制模块。

SDN控制器可以为SDN控制器集群中的任一控制器系统中的控制器。

其中，SDN审计控制器负责控制通信，协调各个控制器之间的关系，并把信息传递给控制器表决器，对SDN中的网络拓扑及流表管理提供一致性检测，并且进行实时备份。SDN网络控制器为请求的路由选择恰当的路由，提供2到3层的数据转发服务。SDN安全控制器结合入侵检测模块对数据数据流的标识，并通过标识对恶意数据流进行策略自动增加，并下发安全策略，及时更新流表实现联动的自动化防御部署。SDN控制器表决器统计各组类的SDN审计控制器信息，统一网络拓扑，安全策略，流表项，并依据判别算法实时调用控制器组，并实现安全策略及流表下发。

步骤103，若数据流与任一规则匹配，在告警日志中记录数据流对应的特征信息。

当数据流与IDS中的规则匹配时，IDS会将数据流与预定义的规则进行匹配。规则通常基于特定的攻击特征和属性来描述恶意行为。如果数据流与规则中的任何一条相匹配，就会触发下一步的操作。IDS会在告警日志中记录与数据流相关的特征信息，包括攻击类型、来源、源IP、目的IP和TCP端口等。这些信息可以帮助安全分析人员了解攻击的性质和来源。入侵检测模块的工作流程如图7所示。在该系统中，入侵检测模块把生成的告警信息直接通知SDN控制器，以实现防御拦截的目的，其过程如图8所示。

步骤104，对特征信息进行解析，以提取数据流关联的攻击特征和属性信息。

具体的，对记录的特征信息进行解析，可以提取出与数据流相关的攻击特征和属性信息。这些信息可能包括攻击的方法、目标以及其他关键的上下文信息。

步骤105，基于SDN控制器、攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。

具体的，基于SDN控制器和攻击特征属性信息，生成针对该恶意数据流的规则条目。这些规则条目描述了如何处理与该特定攻击相关的数据流，例如阻止、重定向或标记数据流等。

进一步的，可以将生成的规则条目下发给各个SDN交换机，通知它们更新其流表。这样，交换机将根据新的规则来处理匹配到的数据流，以增强网络的安全防护能力。

通过这个过程，在网络中实时检测和响应恶意数据流，自动化地生成和下发规则以保护网络资源免受攻击。这种基于SDN的方法具有灵活性和可扩展性，可以快速适应不断变化的威胁环境，并提供更高效的安全性能。

其中，流表是SDN交换机或路由器中存储转发规则的数据结构。每个SDN设备都包含一个或多个流表，用于存储和管理到达该设备的数据流的处理方式。每个流表中包含了一系列匹配条件和对应的操作动作。

OpenFlow规则条目(OpenFlow Rule Entry)：OpenFlow是一种通信协议，用于在SDN架构中进行网络控制和管理。OpenFlow规则条目是在流表中定义的具体规则，用于描述数据流的匹配条件和相应的操作动作。

OpenFlow规则条目通常包括以下几个重要字段：

匹配字段(Match Fields)：描述数据流的匹配条件，如源IP地址、目的IP地址、协议类型等。动作字段(Action Fields)：指定数据流匹配成功后要执行的操作，如转发到指定端口、丢弃、修改数据包头部等。优先级字段(Priority Field)：用于确定规则的处理顺序，高优先级的规则将优先匹配。

当SDN控制器下发安全策略时，它会将相关规则条目写入SDN设备的流表中。接收到数据流时，设备会依次匹配流表中的规则条目，找到与该数据流最匹配的规则，并按照规则中定义的操作动作进行处理。这样就实现了对网络流量的精确控制和管理。

本公开实施例中，规则条目可以为安全策略。

需要说明的是，如果是恶意数据流或行为标识则自动添加对于源地址的安全策略，实际行为是由控制器下发对应的安全策略流表到SDN交换机上，实现对恶意数据流的拦截与阻断。

如果是正常业务数据流则对相应数据流源地址进行安全策略放行，以后当相同形式的数据流进入时直接通过网络控制器流表下发，实现业务的正常访问。

本公开实施例中，首先若监测到数据流进入主动防御区域，基于SDN交换机将数据流转发到SDN控制器，基于SDN控制器和预设规则，检测数据流是否有匹配的规则，若数据流与任一规则匹配，在告警日志中记录数据流对应的特征信息，对特征信息进行解析，以提取数据流关联的攻击特征和属性信息，基于SDN控制器、攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。由此，可以实现防火墙核心的异构冗余集群架构和各个安全设备之间协同联动处置，实现对攻击告警的自动响应配置，是提升主动防御技术防御强度及防御面，SDN技术可以实现整体网络架构的控制平面和数据平面完全解耦，大大优化了数据数据流控制的灵活性，从而使得实现细化粒度的数据流控制成为可能。

另外，还设计基于三种网元控制器的控制核心集群，并通过异构的形式实现对未知漏洞攻击的拟态防御。针对于传统防火墙无法实现联动防御的劣势，该架构结合IDS的实时攻击反馈，通过SDN控制器对数据交换层面的集中控制下发流表，实现自动化安全策略部署，从而实现对于大规模的类似于DDoS攻击自动拦截功能，提高了管理人员响应时间，也同时降低了手动配置的工作量。最后通过实验验证了该架构在面对攻击时，可以实现联动防御的有效性，因此结合所设计的架构部署在主动防御区域，可以有效提高主动防御区域内联动处置技术的防护效能。

图2为本公开一实施例所提供的一种网络安全主动防御方法的流程示意图。

如图2所示，该网络安全主动防御方法可以包括以下步骤：

步骤201，若监测到数据流进入主动防御区域，基于SDN交换机上所连接的入侵检测模块判断数据流为恶意数据流或者正常数据流。

其中，入侵检测模块(Intrusion Detection System，IDS)基于预设规则，对数据流进行规则匹配查询，以检测数据流是否有匹配的规则，若数据流与任一规则匹配，则为恶意数据流，否则为正常数据流。

可选的，可以使用特征库、规则库和攻击行为标识对数据流进行规则匹配查询。

需要说明的是，入侵检测模块通过对网络数据流的监听与分析，并依据原有的特征库，规则库及相应的攻击行为标识，实现规则匹配查询，如果发现恶意数据流直接生成报警日志并记录恶意数据流的相关特征实现报警。从而实现恶意数据流的自动拦截，当再有类似的数据流进入后，可依据已经生成的流表与数据流标识，自动丢弃数据流实现利用数据平面的有效对策来快速处理恶意行为达到防护的目的。

其中，入侵检测模块负责对进入的数据流基于特征标识和恶意行为库进行分析标识，一旦发现恶意数据流和攻击行为实时通知SDN控制器集群。

控制器集群模块包含以三个网元控制器为基准的多个控制器集群，每个控制器组中部署三台控制器分别作为网络控制器：负责流表及路由信息下发；安全控制器：负责安全策略更新。审计控制器：负责对决策层交互判断该组内控制器是否被攻击劫持，保障控制器的安全性。

步骤202，若数据流为恶意数据流，则生成报警日志，以记录恶意数据流对应的特征信息，其中，特征信息至少包含攻击类型、来源、源IP、目的IP、TCP端口。

倘若对数据流监测发现该数据流为恶意数据流，并且由IDS模块产生告警信息，并把当前数据流特征信息存储与数据库中，同时通知SDN控制器集群。如果数据流是恶意的，IDS(入侵检测系统)可以生成报警日志来记录恶意数据流的特征信息。报警日志应该至少包含以下的特征信息：

攻击类型：被检测到的攻击类型或类别，例如DDoS，恶意软件，SQL注入等。

来源：攻击来源的位置或域名，可能是一个主机名、域名或网络。

源IP：攻击主机或设备的具体IP地址。

目的IP：被攻击或受影响主机或设备的IP地址。

TCP端口：攻击者利用或针对的特定TCP端口号，例如HTTP的端口80，HTTPS的端口443等。

在报警日志中包含这些关键特征，让安全分析人员能够分析和了解攻击的性质，追踪其来源，并采取适当措施以应对和减轻威胁。

可选的，控制器的入侵检测模块还可以对该入侵行为进行反馈标记，并把拦截信息实时通过日志形式通知系统管理员以备审计。

步骤203，将告警信息通知给SDN控制器，以使SDN控制器读取报警日志中的特征信息。

需要说明的是，告警信息可以为一种攻击警报。在将告警信息下发到控制器集群之后，决策层通过审计控制器对现阶段集群状态进行实时评估，并通过集群中选举出的主控制器组，其中，SDN控制器为控制器集群中的主控器器组。进而之后可以向对下联SDN交换机下发更新流表及安全策略，从而实现安全防御动态联动，自动部署防护策略，有效应对大规模的网络攻击。由此，可以使得之后通过SDN交换机的恶意数据流就可以直接被安全策略阻拦或者进行流表更改。

步骤204，若数据流为正常数据流，则对数据流进行放行。

如果由分析结果判别为正常数据流则不进行操作，放行数据流使之能正常访问核心业务系统。

需要说明的是，决策层可以根据控制器集群中的各个控制器信息，生成全局网络拓扑图，监测各个控制器系统的链路连接状态、延迟和吞吐量，并判断控制器系统是否遭受攻击，若任一控制器系统遭受攻击，将结果通知给表决器。

具体的，可以协调控制器使之可以呈现全局一致性网络拓扑图。

决策层可以审计所接收的网络状态请求是否合理，通过预先设定的合理行为集，对获取的虚拟机位置和端口、交换机链路、接口信息与网络拓扑，进行合理性分析，并依据控制器的全局网络视图，与所接收的网络请求进行比对，如果合理则通知相应控制器变更，如不合理直接拒绝。

决策层可以感知控制器系统的链路连接状态与异常检测，当延迟和吞吐量发生大幅度变化时，可以与预先设定的阈值进行对比，得出该控制器系统是否被攻击者入侵的判断，并把结果及时通知到表决器中。

当通过请求审计后的网络状态请求到达安全控制器后，其依据现有数据数据流信息与安全特征库进行解析，并调用相关接口通知网络控制器及添加安全策略等行为。最后，可以将控制器的流表下发至数据平面，实现数据数据流的转发。当得到安全控制器相应的流表变更请求后，依据安全控制器的数据流特征标识，对所识别出的数据流经过的交换机的拓扑信息，进行比对，然后依据安全策略需求把相应流表下发至数据平面，实现数据数据流的二层或三层转发，以达到安全防护目标。

步骤205，在控制器集群中选择指定数量的多个控制器系统作为第一控制器系统。

具体的，可以在控制器集群中选择合适的控制器系统作为实时控制器系统，比如可以随机选取3个或3个以上的控制器系统。

其中，第一控制器系统可以为实时操作系统。

步骤206，对第一控制器系统的审计控制器的流表规则进行比对验证。

具体的，可以首先收集第一控制器系统的流表规则，从第一控制器系统中获取其当前的流表规则信息。这可以通过网络管理和监控工具来获取，或者通过控制器系统的API接口进行查询，进而可以选择一个或多个作为参考的控制器系统。这些参考系统可以是已经经过验证的、配置正确的实时控制器系统，或是备份控制器系统。然后可以将第一控制器系统的流表规则与参考规则进行逐条比对。比对的过程可以根据规则匹配字段、优先级、操作类型等进行。比对时应注意确保匹配字段的准确性及避免敏感信息泄露。如果在比对过程中发现第一控制器系统的流表规则与参考规则存在差异，需要标识这些不一致的规则。可以记录差异并进行后续处理。最后可以分析不一致规则的原因，可能是由于配置错误、软件版本不同、网络拓扑变化等引起的。深入分析差异原因可以帮助解决问题，进一步的，可以根据分析结果采取相应的措施，修复或协调第一控制器系统的不一致规则。这可能包括更新流表规则、修复配置错误、升级软件版本等。

步骤207，响应于第一控制器系统的工作时间达到预设安全周期时间的情况下，在控制器集群中剩余的各个第二控制器系统中再次选择指定数量的多个控制器系统。

可选的，可以设定安全周期时间，系统设定一个安全周期时间，即控制器系统的工作时间达到固定时间后，需要重新选择实时控制器系统。这个时间可以是预先设定的、根据网络流量和性能需求动态调整的或是用户可配置的。当安全周期时间到达后，系统会在集群中剩余的控制器系统中随机选择一个新的实时控制器系统来接管控制任务。这里的实时控制器系统指那些能够快速响应事件请求且具有高可用性的控制器系统。在新的实时控制器系统接管控制任务之前，系统需要对其进行审计控制器规则检测。这项检测旨在确保新的控制器系统能够正常执行已经配置的流表规则，而不会对网络安全造成任何威胁。如果新的实时控制器系统通过了控制器规则检测，系统将调度其接管控制任务。这意味着新的控制器系统已经可以开始处理新的流量数据，并对网络中的各种事件请求做出响应。同时，之前的控制器系统会被移出控制轮换，准备进入下一个安全周期时间的处理过程。

系统可以不断重复上述步骤，以确保SDN网络中的控制器系统保持高可用性和安全性。这个循环执行的过程可以根据需要进行调整，例如增加或减少安全周期时间、修改控制器规则等，以适应网络变化和性能需求的变化。

步骤208，若在对审计控制器进行比对验证时，第一控制器系统出现异常，则发出警报，并基于调度程序对第一控制器系统进行切换。

在这个工作流程中，可以不断地检测控制器系统组内是否存在异常情况，及时发现任何可能的安全隐患，提高了SDN控制器系统的安全性和可靠性。一旦审计比对发现当前控制器系统异常并出现警报，决策器会立即通知调度程序进行实时控制器系统的切换，这可以保证SDN防火墙控制器系统的有效性。此外，在实时控制器系统组的调度切换过程中，决策器会对安全周期进行适当的设置，以确保整个SDN防火墙控制器集群处于一个稳定且可控的状态。在不断重复上述步骤的过程中，SDN防火墙控制器系统能够具备自恢复能力，保证其长期运行的安全和稳定性。需要注意的是，为了进一步保证SDN防火墙的安全性，还需要对其进行全面的网络安全评估，及时发现和解决潜在的安全漏洞，确保SDN防火墙在工作中能够有效地防御各种攻击和威胁。

该SDN防火墙控制器决策模块架构如图6所示，首先假设一个数学模型来判断该决策模块的有效性，把所有SDN防火墙控制器集群内的控制器系统组Q总个数标识为n，则Xi表示已经被攻击者入侵的第i组控制器系统组，其被入侵的概率是Pi。Xj标识为剩余的第j组未被攻击者入侵的控制器系统组，其被入侵成功的概率是Pj。

如果假设当超过(N+1)/2个控制器系统组已经被入侵，，即假设被入侵控制器系统组个数为z，且z≥(n+1)/2，则表示整个SDN防火墙控制器系统集群失效，其失效概率可表示为：

从上式可以看出，由于控制器系统组的内部架构是基于异构模式组成的集群，因此可以把各个异构的控制器系统组被攻击成功的概率看成等价的，当控制器系统组的个数n不断增加时，可以明显看出该SDN防火墙控制器集群的失效概率将急剧下降。同时针对于该架构中各个控制器组的异构因素，在系统失效概率中引入异构值参数α，如果是系统为相同架构则异构度为1。由于控制器系统的异构程度越高，相应的攻击者入侵成功，使得控制器系统组失效的概率就越低，因此定义当t时刻时该系统的异构度为α_t，则：

P_t＝α_tP₀，α∈(0,1]

相应的当系统内存在μ种异构控制器被执行调度时，则当t时刻时基于当前异构架构的特性，整体SDN防火墙控制器系统集群失效的概率为：

从上式可以发现，当该SDN防火墙控制器集群系统的异构程度加大时，基于其集群系统的异构性优势，使得在不同时刻动态调用变化过程中，攻击者通过攻击该系统，使得系统失效的概率将得到大幅度降低，从而实现有效加强SDN防火墙控制器集群的核心安全，进一步增强系统的稳定性，提高攻击者的攻击消耗与攻击成本。

可选的，决策层还可以监测每个控制器系统的流表状态，即跟踪和记录存储在各个交换机中的流表规则，将各个控制器系统的流表规则进行比对，检查它们之间的一致性。比对可以通过比较规则集合、匹配字段、操作类型等来实现。如果流表规则在大多数控制器系统中保持一致，则可以认定为安全有效的。当系统检测到攻击状态时，即某些控制器系统受到了恶意影响，可能被篡改或感染。系统会分析受影响的控制器系统数量，并根据事先设定的阈值(例如少于个)来判断攻击状态。

对于与大多数控制器系统不一致的可疑控制器系统，系统会对其进行标识。标识可以是向管理员发送警报或在控制器系统界面上显示警告信息等手段。这样管理员就可以针对这些可疑的控制器系统进行进一步的调查和处理。

系统会将检测到的可疑控制器系统的信息传递给调度程序或相关的管理系统。这样，进一步的响应措施可以被触发，例如从网络中隔离受感染的控制器系统、更新或修复受影响的流表规则等。

通过这个功能，系统可以提高对SDN网络中攻击的检测能力，并及时识别可能受到攻击的控制器系统，从而增强网络的整体安全性。同时，通过标识可疑控制器系统并与调度程序进行交互，可以实现快速响应和恢复网络的正常运行。

本公开实施例中，首先若监测到数据流进入主动防御区域，基于SDN交换机上所连接的入侵检测模块判断数据流为恶意数据流或者正常数据流，其中，入侵检测模块基于预设规则，对数据流进行规则匹配查询，以检测数据流是否有匹配的规则，若数据流与任一规则匹配，则为恶意数据流，否则为正常数据流，若数据流为恶意数据流，则生成报警日志，以记录恶意数据流对应的特征信息，其中，特征信息至少包含攻击类型、来源、源IP、目的IP、TCP端口，将告警信息通知给SDN控制器，以使SDN控制器读取报警日志中的特征信息，若数据流为正常数据流，则对数据流进行放行，在控制器集群中选择指定数量的多个控制器系统作为第一控制器系统，对第一控制器系统的审计控制器的流表规则进行比对验证，响应于第一控制器系统的工作时间达到预设安全周期时间的情况下，在控制器集群中剩余的各个第二控制器系统中再次选择指定数量的多个控制器系统，若在对审计控制器进行比对验证时，第一控制器系统出现异常，则发出警报，并基于调度程序对第一控制器系统进行切换。由此，通过SDN控制器接口读取入侵检测模块的报警日志，从而获得恶意数据流的特征信息，把相对应特征信息自动添加到SDN控制器的相关流表中，生成安全策略，下发至SDN交换机，通过这一系列的工作流程，这样就达到了SDN防火墙与IDS的联动防御，实现了安全策略自动下发，大大提高了安全防御的效率，实现了安全防御的实时性。当再有类似的数据流进入后，可依据已经生成的流表与数据流标识，自动丢弃数据流实现利用数据平面的有效对策来快速处理恶意行为达到防护的目的。

为了实现上述实施例，本公开还提出一种网络安全主动防御系统。

图9为本公开实施例所提供的网络安全主动防御系统的结构示意图。

如图9所示，该网络安全主动防御系统300可以包括：

转发模块910，用于若监测到数据流进入主动防御区域，基于SDN交换机将所述数据流转发到SDN控制器；

检测模块920，用于基于SDN控制器和预设规则，检测所述数据流是否有匹配的规则；

记录模块930，用于若所述数据流与任一规则匹配，在告警日志中记录所述数据流对应的特征信息；

解析模块940，用于对所述特征信息进行解析，以提取所述数据流关联的攻击特征和属性信息；

更新模块950，用于基于所述SDN控制器、所述攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。

可选的，还包括：

第一判断模块，用于若监测到数据流进入主动防御区域，基于所述SDN交换机上所连接的入侵检测模块判断所述数据流为恶意数据流或者正常数据流，

其中，所述入侵检测模块基于所述预设规则，对所述数据流进行规则匹配查询，以检测所述数据流是否有匹配的规则，若所述数据流与任一规则匹配，则为恶意数据流，否则为正常数据流；

第一生成模块，用于若所述数据流为恶意数据流，则生成报警日志，以记录所述恶意数据流对应的特征信息，其中，所述特征信息至少包含攻击类型、来源、源IP、目的IP、TCP端口；

读取模块，用于将告警信息通知给所述SDN控制器，以使所述SDN控制器读取所述报警日志中的所述特征信息；

放行模块，用于若所述数据流为正常数据流，则对所述数据流进行放行。

可选的，所述转发模块，还用于：

建立控制器集群，所述控制器集群由多个控制器系统组成，每个所述控制器系统中包含审计控制器、网络控制器和安全控制器，所述控制器集群中同类型的控制器架构相同；

从所述多个控制器系统中选举出主控制器组。

可选的，还包括：

第二生成模块，用于根据控制器集群中的各个控制器信息，生成全局网络拓扑图；

第二判断模块，用于监测各个所述控制器系统的链路连接状态、延迟和吞吐量，并判断所述控制器系统是否遭受攻击；

通知模块，用于若任一控制器系统遭受攻击，将结果通知给表决器。

可选的，还包括：

选择模块，用于在所述控制器集群中选择指定数量的多个控制器系统作为第一控制器系统；

验证模块，用于对所述第一控制器系统的审计控制器的流表规则进行比对验证；

第一切换模块，用于响应于所述第一控制器系统的工作时间达到预设安全周期时间的情况下，在所述控制器集群中剩余的各个第二控制器系统中再次选择所述指定数量的多个控制器系统；

第二切换模块，用于若在对审计控制器进行比对验证时，所述第一控制器系统出现异常，则发出警报，并基于调度程序对所述第一控制器系统进行切换。

本公开实施例中，首先若监测到数据流进入主动防御区域，基于SDN交换机将数据流转发到SDN控制器，基于SDN控制器和预设规则，检测数据流是否有匹配的规则，若数据流与任一规则匹配，在告警日志中记录数据流对应的特征信息，对特征信息进行解析，以提取数据流关联的攻击特征和属性信息，基于SDN控制器、攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。由此，可以实现防火墙核心的异构冗余集群架构和各个安全设备之间协同联动处置，实现对攻击告警的自动响应配置，是提升主动防御技术防御强度及防御面。

为了实现上述实施例，本公开还提出一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时，实现如本公开前述实施例提出的网络安全主动防御方法。

为了实现上述实施例，本公开还提出一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时，实现如本公开前述实施例提出的网络安全主动防御方法。

图10示出了适于用来实现本公开实施方式的示例性电子设备的框图。图10显示的电子设备12仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图10所示，电子设备12以通用计算设备的形式表现。电子设备12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统组件(包括系统存储器28和处理单元16)的总线18。

总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture；以下简称：ISA)总线，微通道体系结构(Micro Channel Architecture；以下简称：MAC)总线，增强型ISA总线、视频电子标准协会(Video Electronics StandardsAssociation；以下简称：VESA)局域总线以及外围组件互连(Peripheral ComponentInterconnection；以下简称：PCI)总线。

电子设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(Random Access Memory；以下简称：RAM)30和/或高速缓存存储器32。电子设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图10未显示，通常称为“硬盘驱动器”)。尽管图10中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如：光盘只读存储器(Compact Disc Read OnlyMemory；以下简称：CD-ROM)、数字多功能只读光盘(Digital Video Disc Read OnlyMemory；以下简称：DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本公开各实施例的功能。

具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如存储器28中，这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本公开所描述的实施例中的功能和/或方法。

电子设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该电子设备12交互的设备通信，和/或与使得该电子设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且，电子设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(Local Area Network；以下简称：LAN)，广域网(Wide Area Network；以下简称：WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器20通过总线18与电子设备12的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

处理单元16通过运行存储在系统存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现前述实施例中提及的方法。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本公开的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本公开的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本公开的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本公开的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本公开的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本公开各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本公开的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本公开的限制，本领域的普通技术人员在本公开的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种网络安全主动防御方法，其特征在于，包括：

若监测到数据流进入主动防御区域，基于SDN交换机将所述数据流转发到SDN控制器；

基于SDN控制器和预设规则，检测所述数据流是否有匹配的规则；

若所述数据流与任一规则匹配，在告警日志中记录所述数据流对应的特征信息；

对所述特征信息进行解析，以提取所述数据流关联的攻击特征和属性信息；

基于所述SDN控制器、所述攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。

2.根据权利要求1所述的方法，其特征在于，还包括：

若监测到数据流进入主动防御区域，基于所述SDN交换机上所连接的入侵检测模块判断所述数据流为恶意数据流或者正常数据流，

其中，所述入侵检测模块基于所述预设规则，对所述数据流进行规则匹配查询，以检测所述数据流是否有匹配的规则，若所述数据流与任一规则匹配，则为恶意数据流，否则为正常数据流；

若所述数据流为恶意数据流，则生成报警日志，以记录所述恶意数据流对应的特征信息，其中，所述特征信息至少包含攻击类型、来源、源IP、目的IP、TCP端口；

将告警信息通知给所述SDN控制器，以使所述SDN控制器读取所述报警日志中的所述特征信息；

若所述数据流为正常数据流，则对所述数据流进行放行。

3.根据权利要求1所述的方法，其特征在于，在所述若监测到数据流进入主动防御区域，基于SDN交换机将所述数据流转发到SDN控制器之前，还包括：

建立控制器集群，所述控制器集群由多个控制器系统组成，每个所述控制器系统中包含审计控制器、网络控制器和安全控制器，所述控制器集群中同类型的控制器架构相同；

从所述多个控制器系统中选举出主控制器组。

4.根据权利要求1所述的方法，其特征在于，还包括：

根据控制器集群中的各个控制器信息，生成全局网络拓扑图；

监测各个所述控制器系统的链路连接状态、延迟和吞吐量，并判断所述控制器系统是否遭受攻击；

若任一控制器系统遭受攻击，将结果通知给表决器。

5.根据权利要求3所述的方法，其特征在于，还包括：

在所述控制器集群中选择指定数量的多个控制器系统作为第一控制器系统；

对所述第一控制器系统的审计控制器的流表规则进行比对验证；

响应于所述第一控制器系统的工作时间达到预设安全周期时间的情况下，在所述控制器集群中剩余的各个第二控制器系统中再次选择所述指定数量的多个控制器系统；

若在对审计控制器进行比对验证时，所述第一控制器系统出现异常，则发出警报，并基于调度程序对所述第一控制器系统进行切换。

6.一种网络安全主动防御系统，其特征在于，包括：

转发模块，用于若监测到数据流进入主动防御区域，基于SDN交换机将所述数据流转发到SDN控制器；

检测模块，用于基于SDN控制器和预设规则，检测所述数据流是否有匹配的规则；

记录模块，用于若所述数据流与任一规则匹配，在告警日志中记录所述数据流对应的特征信息；

解析模块，用于对所述特征信息进行解析，以提取所述数据流关联的攻击特征和属性信息；

更新模块，用于基于所述SDN控制器、所述攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。

7.根据权利要求6所述的系统，其特征在于，还包括：

第一判断模块，用于若监测到数据流进入主动防御区域，基于所述SDN交换机上所连接的入侵检测模块判断所述数据流为恶意数据流或者正常数据流，

其中，所述入侵检测模块基于所述预设规则，对所述数据流进行规则匹配查询，以检测所述数据流是否有匹配的规则，若所述数据流与任一规则匹配，则为恶意数据流，否则为正常数据流；

第一生成模块，用于若所述数据流为恶意数据流，则生成报警日志，以记录所述恶意数据流对应的特征信息，其中，所述特征信息至少包含攻击类型、来源、源IP、目的IP、TCP端口；

读取模块，用于将告警信息通知给所述SDN控制器，以使所述SDN控制器读取所述报警日志中的所述特征信息；

放行模块，用于若所述数据流为正常数据流，则对所述数据流进行放行。

8.根据权利要求6所述的系统，其特征在于，所述转发模块，还用于：

建立控制器集群，所述控制器集群由多个控制器系统组成，每个所述控制器系统中包含审计控制器、网络控制器和安全控制器，所述控制器集群中同类型的控制器架构相同；

从所述多个控制器系统中选举出主控制器组。

9.根据权利要求6所述的系统，其特征在于，还包括：

第二生成模块，用于根据控制器集群中的各个控制器信息，生成全局网络拓扑图；

第二判断模块，用于监测各个所述控制器系统的链路连接状态、延迟和吞吐量，并判断所述控制器系统是否遭受攻击；

通知模块，用于若任一控制器系统遭受攻击，将结果通知给表决器。

10.根据权利要求8所述的系统，其特征在于，还包括：

选择模块，用于在所述控制器集群中选择指定数量的多个控制器系统作为第一控制器系统；

验证模块，用于对所述第一控制器系统的审计控制器的流表规则进行比对验证；

第一切换模块，用于响应于所述第一控制器系统的工作时间达到预设安全周期时间的情况下，在所述控制器集群中剩余的各个第二控制器系统中再次选择所述指定数量的多个控制器系统；

第二切换模块，用于若在对审计控制器进行比对验证时，所述第一控制器系统出现异常，则发出警报，并基于调度程序对所述第一控制器系统进行切换。