CN118157964A - 基于软件定义网络的未知攻击云边协同防御系统及方法 - Google Patents
基于软件定义网络的未知攻击云边协同防御系统及方法 Download PDFInfo
- Publication number
- CN118157964A CN118157964A CN202410321312.6A CN202410321312A CN118157964A CN 118157964 A CN118157964 A CN 118157964A CN 202410321312 A CN202410321312 A CN 202410321312A CN 118157964 A CN118157964 A CN 118157964A
- Authority
- CN
- China
- Prior art keywords
- security
- edge
- network
- controller
- defense
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 111
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000012544 monitoring process Methods 0.000 claims description 28
- 230000006870 function Effects 0.000 claims description 18
- 238000010801 machine learning Methods 0.000 claims description 18
- 238000005516 engineering process Methods 0.000 claims description 11
- 230000006399 behavior Effects 0.000 claims description 10
- 230000003993 interaction Effects 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 3
- 230000003068 static effect Effects 0.000 abstract description 13
- 230000000694 effects Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 14
- 238000007726 management method Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000001914 filtration Methods 0.000 description 3
- 230000015654 memory Effects 0.000 description 3
- 238000007711 solidification Methods 0.000 description 3
- 230000008023 solidification Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络安全技术领域,公开了一种基于软件定义网络的未知攻击云边协同防御系统及方法,系统包括:部署在云端的主站以及部署在边端的多个边缘站,软件定义安全平台包括:主控制器,安全控制器以及安全组件资源池,任一边缘站包括:边缘控制器;安全控制器用于接收主控制器和/或任一边缘控制器上传的网络安全信息,根据网络安全信息识别未知攻击,生成对应的防御策略以及将防御策略下发至安全组件资源池、主控制器和/或任一边缘控制器;安全组件资源池用于将安全防护功能虚拟化为安全组件,根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件。解决了传统静态固化防御措施和策略无法满足未知攻击防御需求的问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于软件定义网络的未知攻击云边协同防御系统及方法。
背景技术
在新型业务终端接入场景下,未知攻击目标随机多样、攻击路径动态可变、攻击手段异构多元,现有安全接入与攻击防御体系在部署方式、防护能力等方面存在灵活度不足、无法及时有效调整防御策略,导致未知攻击防御有效性差的问题。现有云边协同防御系统中边缘设备的处理能力不足以提供对未知攻击的快速及准确识别,并针对该攻击制定对应的防御策略,无法有效对未知攻击进行防御。因此,现有技术中存在传统静态固化防御措施和策略无法满足未知攻击防御需求的问题。
发明内容
有鉴于此,本发明提供了一种基于软件定义网络的未知攻击云边协同防御系统及方法,以解决传统静态固化防御措施和策略无法满足未知攻击防御需求的问题。
第一方面,本发明提供了一种基于软件定义网络的未知攻击云边协同防御系统,包括:部署在云端的主站以及部署在边端的多个边缘站,主站的控制平面包括软件定义安全平台,软件定义安全平台包括:主控制器,安全控制器以及安全组件资源池,任一边缘站包括:边缘控制器;安全控制器用于接收主控制器和/或任一边缘控制器上传的网络安全信息,根据网络安全信息识别未知攻击,根据识别的未知攻击生成对应的防御策略以及将防御策略下发至安全组件资源池、主控制器和/或任一边缘控制器;安全组件资源池用于将安全防护功能虚拟化为安全组件,根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件。
在本发明实施例中,采用软件定义网络架构通过安全控制器对云端和边端进行统一管理,通过安全控制器、主控制器、边缘控制器以及安全组件资源池间的信息交互和协同工作,实现了实时监测云边网络安全信息、及时识别云边未知攻击以及灵活调整防御策略的目的,解决了云边协同环境下传统静态固化防御措施以及边缘设备处理能力不足导致难以快速识别和响应未知攻击的问题,通过防御策略的集中管理和下发,达到了提高响应速度及网络安全性的效果,通过将数据平面和控制平面分离,实现了使网络控制和数据转发独立进行的目的,达到了提高网络灵活性,便于进行扩展和升级的效果。进而解决了相关技术中存在的传统静态固化防御措施和策略无法满足未知攻击防御需求的问题。
在一种可选的实施方式中,主站的数据平面包括基础设施层,软件定义安全平台基于软件定义网络架构的可编程性,通过南向接口与基础设施层交互,基础设施层包括网络设备,主控制器用于对网络设备进行控制和管理,通过网络设备以及预设通讯协议与边缘控制器进行数据传输和交互,主控制器还用于获取主站网络边界的实时流量以及网络拓扑结构,边缘控制器用于获取对应的边缘站的实时网络流量以及安全事件。
在本发明实施例中,利用软件定义网络的可编程性,实现了多控制器即主控制器和多个边缘控制器间共享网络信息以及协调决策的目的,达到了云边协同、统一管理的效果。
在一种可选的实施方式中,边缘站还包括边缘智能设备,安全组件包括:安全准入组件、安全接入组件以及安全监测组件,安全准入组件用于对边缘智能设备进行身份认证和访问控制;安全接入组件用于对边缘智能设备的网络流量进行加密以及利用隧道技术进行数据传输;安全监测组件用于进行流量监控,获取安全事件和告警信息,将安全事件和告警信息上传至安全控制器。
在本发明实施例中,使用由安全防护功能虚拟化的安全组件为系统提供安全服务,达到了提高安全防护功能在不同环境下部署便捷性及安全性的效果。
在一种可选的实施方式中,安全控制器还用于获取攻击特征库以及攻击防御策略库,利用机器学习算法根据攻击特征库以及网络安全信息识别未知攻击,利用机器学习算法根据攻击防御策略库以及未知攻击生成未知攻击对应的防御策略。
在本发明实施例中,通过安全控制器实现了对分散和随机的未知攻击进行动态、灵活防御的目的,达到了对未知攻击进行及时和可靠防御的效果。
在一种可选的实施方式中,主控制器还用于将防御策略下发至网络设备,动态调整网络配置和行为。
在本发明实施例中,通过主控制器动态调整网络配置和行为,实现了过滤入侵流量,动态阻止入侵行为的目的,达到了进一步提高系统安全防御能力的效果。
在一种可选的实施方式中,边缘智能设备用于根据防御策略以及安全控制器配置的安全组件对未知攻击进行拦截和处置,获取未知攻击信息以及将未知攻击信息发送至其他边缘站的边缘智能设备。
在本发明实施例中,通过将未知攻击信息在多个边缘站间共享,达到了提高边缘智能设备对未知的攻击防御能力的效果。
第二方面,本发明提供了一种采用上述第一方面或其对应的任一实施方式的基于软件定义网络的未知攻击云边协同防御系统的基于软件定义网络的未知攻击云边协同防御方法,应用于安全控制器,方法包括:接收主控制器和/或任一边缘控制器上传的网络安全信息;根据网络安全信息识别未知攻击;根据识别的未知攻击生成对应的防御策略;将防御策略下发至安全组件资源池、主控制器和/或任一边缘控制器,安全组件资源池用于将安全防护功能虚拟化为安全组件;控制安全组件资源池根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件。
在本发明实施例中,安全控制器通过接收云边控制器即主控制器及边缘控制器上传的网络安全信息,实现了及时识别云边未知攻击以及灵活下发防御策略的目的,解决了云边协同环境下传统静态固化防御措施以及边缘设备处理能力不足导致难以快速识别和响应未知攻击的问题,达到了提高响应速度及网络安全性的效果,解决了相关技术中存在的传统静态固化防御措施和策略无法满足未知攻击防御需求的问题。
在一种可选的实施方式中,接收主控制器和/或任一边缘控制器上传的网络安全信息,包括:接收主控制器上传的主站网络边界的实时流量信息以及网络拓扑结构;和/或,接收任一边缘控制器上传的对应的边缘站的实时网络流量以及安全事件。
在本发明实施例中,通过接收主控制器及边缘控制器对应的网络安全信息,实现了对云端和边端进行实时监测的目的。
在一种可选的实施方式中,控制安全组件资源池根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件,包括:控制安全组件资源池根据防御策略或者主站网络边界的实时流量信息以及网络拓扑结构为主站配置安全组件;和/或,控制安全组件资源池根据防御策略或者边缘站的实时网络流量以及安全事件为任一边缘站配置安全组件。
在本发明实施例中,通过为主站及边缘站配置安全组件,实现了为主站及边缘站灵活配置安全防护功能的目的。
在一种可选的实施方式中,在控制安全组件资源池根据防御策略或者边缘站的实时网络流量以及安全事件为任一边缘站配置安全组件之后,方法还包括:利用安全组件获取任一边缘站的安全事件和告警信息;采用机器学习算法根据攻击特征库、网络安全信息、安全事件和告警信息识别未知攻击。
在本发明实施例中,采用机器学习算法根据攻击特征库、网络安全信息、安全事件和告警信息共同识别未知攻击,达到了进一步提高对未知攻击识别准确性及可靠性的目的。
第三方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第二方面或其对应的任一实施方式的基于软件定义网络的未知攻击云边协同防御方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的基于软件定义网络的未知攻击云边协同防御系统的示意图;
图2是根据本发明实施例的另一基于软件定义网络的未知攻击云边协同防御系统的示意图;
图3是根据本发明实施例的又一基于软件定义网络的未知攻击云边协同防御系统的示意图;
图4是根据本发明实施例的基于软件定义网络的未知攻击云边协同防御系统的整体示意图;
图5是根据本发明实施例的基于软件定义网络的未知攻击云边协同防御方法的流程示意图;
图6是根据本发明实施例的另一基于软件定义网络的未知攻击云边协同防御方法的流程示意图;
图7是根据本发明实施例的软件定义安全平台整体框架示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
另外,若本发明中出现“和/或”的含义,包括三个并列的方案,以“A和/或B”为例,包括A方案、或B方案、或A和B同时满足的方案。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
根据本发明实施例,提供了一种基于软件定义网络的未知攻击云边协同防御系统实施例,图1是根据本发明实施例的基于软件定义网络的未知攻击云边协同防御系统的示意图。如图1所示,系统包括:部署在云端的主站以及部署在边端的多个边缘站(边缘站1……边缘站n)。该系统基于软件定义网络(SoftwareDefinedNetwork,SDN)架构将数据平面和控制平面分离,其中,主站的控制平面包括软件定义安全平台,该软件定义安全平台包括:主控制器,安全控制器以及安全组件资源池,任一边缘站包括:边缘控制器。需要说明的是主控制器、边缘控制器、安全控制器均为SDN控制器。其中,安全控制器用于接收主控制器和/或任一边缘控制器上传的网络安全信息,网络安全信息比如是实时网络流量信息、安全事件、网络拓扑结构等,安全控制器根据上述网络安全信息采用行为分析、机器学习、异常检测等方法识别主站和/或任一边缘站的未知攻击,根据识别的未知攻击生成对应的防御策略,将防御策略下发至安全组件资源池、主控制器和/或任一边缘控制器。其中,安全组件资源池采用容器技术将安全防护功能虚拟化为安全组件,安全组件可实现身份认证、访问控制、数据加密、流量监控等安全服务,安全控制器还用于根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件。
在本发明实施例中,采用软件定义网络架构通过安全控制器对云端和边端进行统一管理,通过安全控制器、主控制器、边缘控制器以及安全组件资源池间的信息交互和协同工作,实现了实时监测云边网络安全信息、及时识别云边未知攻击以及灵活调整防御策略的目的,解决了云边协同环境下传统静态固化防御措施以及边缘设备处理能力不足导致难以快速识别和响应未知攻击的问题,通过防御策略的集中管理和下发,达到了提高响应速度及网络安全性的效果,解决了相关技术中存在的传统静态固化防御措施和策略无法满足未知攻击防御需求的问题。
在一种可选的实施方式中,图2是根据本发明实施例的另一基于软件定义网络的未知攻击云边协同防御系统的示意图。如图2所示,主站的数据平面包括基础设施层,基础设施层包括网络设备,如交换机、路由器,软件定义安全平台基于软件定义网络架构的可编程性,通过南向接口与基础设施层交互。主控制器用于对网络设备进行控制和管理,通过网络设备以及预设通讯协议与边缘控制器进行数据传输和交互。示例性地,软件定义安全平台通过南向接口与基础设施层中的交换机与路由器等基础设施交互,基础设施层负责数据包的转发、交换和传输,根据软件定义平台下发的指令进行相应的操作。主控制器还用于获取主站网络边界的实时流量以及网络拓扑结构,边缘控制器用于获取对应的边缘站的实时网络流量以及安全事件。
本发明实施例中,通过将数据平面和控制平面分离,实现了使网络控制和数据转发独立进行的目的,达到了提高网络灵活性,便于进行扩展和升级的效果;利用软件定义网络的可编程性,实现了多控制器即主控制器和多个边缘控制器间共享网络信息以及协调决策的目的,达到了云边协同、统一管理的效果。
在一种可选的实施方式中,图3是根据本发明实施例的又一基于软件定义网络的未知攻击云边协同防御系统的示意图。如图3所示,边缘站还包括边缘智能设备,边缘智能设备比如是边缘服务器、终端、智能手机等设备。安全组件是安全组件资源池采用容器技术如容器引擎(Docker)将安全防护功能进行虚拟化得到的抽象的安全组件,包括:安全准入组件、安全接入组件以及安全监测组件。需要说明的是,考虑到新型业务接入环境下不同应用场景所带来的复杂安全需求和差异化运行环境,需要构造种类庞大的各种安全防护功能组件,存在部署架构复杂,难以实施的问题。因此,使用容器技术将各边缘站所需的安全防护功能进行虚拟化,抽象成安全组件,以方便在不同运行环境下的部署。其中,安全准入组件可以对边缘智能设备进行身份认证和访问控制,防止未经授权的访问和攻击,即只有经过身份认证和访问控制的设备才能接入网络,从而降低了边缘智能设备受到未知攻击的风险;安全接入组件用于对边缘智能设备的网络流量进行加密和隧道传输,保证数据传输的安全性和可靠性,其中,加密和隧道传输可以防止未经授权的访问及窃听,从而实现了保护边缘智能设备数据安全的目的;安全监测组件可用于进行流量监控、本地监控,并将产生的事件告警和安全日志上传给安全控制器,从而实现了保护边缘智能设备安全的目的。需要说明的是,本实施例不对安全组件进行限定,即系统可根据具体需求虚拟化实现其他安全服务的安全组件。
在本发明实施例中,使用由安全防护功能虚拟化的安全组件为系统提供安全服务,达到了提高安全防护功能在不同环境下部署便捷性及安全性的效果。
在一种可选的实施方式中,安全控制器还用于获取攻击特征库以及攻击防御策略库,基于攻击特征库运用机器学习算法对攻击信息如网络安全信息进行分析、评估,从而识别未知攻击。此外,安全控制器还用于利用机器学习算法根据攻击防御策略库以及识别的未知攻击生成对应的防御策略,作为一种示例,安全控制器可利用机器学习算法解析未知攻击的类型,基于攻击防御策略库动态生成相应的防御策略,如访问控制规则、防火墙规则等。在本发明实施例中,通过安全控制器实现了对分散和随机的未知攻击进行动态、灵活防御的目的,达到了对未知攻击进行及时和可靠防御的效果。
在一种可选的实施方式中,主控制器还用于将防御策略下发至网络设备,动态调整网络配置和行为。示例性地,主控制器可将防御策略下发至网络设备如SDN交换机上,从而实现过滤入侵流量,动态阻止入侵行为的目的,达到了进一步提高系统安全防御能力的效果。
在一种可选的实施方式中,边缘智能设备用于根据防御策略以及安全控制器配置的安全组件对未知攻击进行拦截和处置,获取未知攻击信息以及将未知攻击信息发送至其他边缘站的边缘智能设备。在本发明实施例中,边缘智能设备根据防御策略和分配的安全组件对未知攻击进行相应的拦截和处置,同时可以将本次攻击相关的信息发送给其他边缘站的边缘智能设备,使其具有对该类攻击的防御能力。
在一种可选的实施方式中,图4是根据本发明实施例的基于软件定义网络的未知攻击云边协同防御系统的整体示意图。如图4所示,系统包括主站以及多个边缘站(边缘站1……边缘站n)。主站包括应用层、软件定义安全平台以及基础设施层,软件定义安全平台包括SDN控制器即主控制器、安全控制器以及安全组件资源池。任一边缘站包括边缘服务器即边缘智能设备以及边缘SDN控制器即边缘控制器。其中,主站应用层的应用通过软件定义平台的北向接口与平台交互,通过SDN的可编程性实现网络管理、安全管理、流量工程优化和云服务管理等功能。软件定义平台通过南向接口与基础设施层中的交换机及路由器等基础设施交互,基础设施层负责数据包的转发、交换和传输,根据软件定义平台下发的指令执行相应的操作。软件定义安全平台结合SDN控制器、边缘SDN控制器、安全组件资源池可以实现对边缘智能设备和主站网络边界未知攻击的动态防御。具体地,安全控制器负责流量分析、攻击检测识别、策略编排和下发以及监控和管理安全组件资源池的资源(安全组件);SDN控制器负责对基础设施层SDN网络中的交换机、安全接入网关、隔离装置等设备进行控制和管理,监控全局网络和拓扑信息,接收来自安全控制器的策略指令(防御策略),并实时地调整网络配置和行为;安全组件资源池使用Docker容器技术将安全防护功能虚拟化成抽象的安全组件,集中存储、管理、调度一系列虚拟安全组件(如安全准入、安全接入、安全监测等组件),为系统提供安全服务。
在本发明实施例中,采用软件定义网络架构通过安全控制器、SDN控制器、边缘SDN控制器以及安全组件资源池间的信息交互和协同工作,一方面实现了边缘智能设备侧防御资源和防御能力的动态调整;另一方面实现了对安全接入网关、隔离装置等主站层安全防护设备的统一调度控制,实现了对分散随机的未知攻击进行动态、灵活、可靠防御的目的。
在本实施例中提供了一种采用上述第一方面或其对应的任一实施方式的基于软件定义网络的未知攻击云边协同防御系统的基于软件定义网络的未知攻击云边协同防御方法,应用于安全控制器,图5是根据本发明实施例的基于软件定义网络的未知攻击云边协同防御方法的流程示意图,需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。如图5所示,该流程包括如下步骤:
步骤S501,接收主控制器和/或任一边缘控制器上传的网络安全信息。可选地,安全控制器可通过接收主控制器和/或任一边缘控制器上传的网络安全信息,实现对主站和/或任一边缘站进行安全监测的目的。网络安全信息包括实时网络流量信息、安全事件、网络拓扑结构等。
步骤S502,根据网络安全信息识别未知攻击。可选地,安全控制器可根据步骤S501接收的网络安全信息采用行为分析、机器学习、异常检测等方法识别主站和/或任一边缘站的未知攻击。
步骤S503,根据识别的未知攻击生成对应的防御策略。可选地,安全控制器根据步骤S502识别出的未知攻击生成对应的防御策略,实现了根据未知攻击对防御策略进行实时、动态、灵活调整的目的。
步骤S504,将防御策略下发至安全组件资源池、主控制器和/或任一边缘控制器,安全组件资源池用于将安全防护功能虚拟化为安全组件。可选地,安全控制器将步骤S503生成的未知攻击对应的防御策略下发至安全组件资源池、主控制器和/或任一边缘控制器,实现了使主站和/或任一边缘站根据动态调整的防御策略进行安全防护的目的。
步骤S505,控制安全组件资源池根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件。可选地,安全控制器可根据生成的防御策略控制安全组件资源池为主站和/或任一边缘站配置与防御策略相对应的安全组件。
在本发明实施例中,安全控制器通过接收云边控制器即主控制器及边缘控制器上传的网络安全信息,实现了及时识别云边未知攻击以及灵活下发防御策略的目的,解决了云边协同环境下传统静态固化防御措施以及边缘设备处理能力不足导致难以快速识别和响应未知攻击的问题,达到了提高响应速度及网络安全性的效果,解决了相关技术中存在的传统静态固化防御措施和策略无法满足未知攻击防御需求的问题。
在一种可选的实施方式中,图6是根据本发明实施例的另一基于软件定义网络的未知攻击云边协同防御方法的流程示意图,如图6所示,该流程包括如下步骤:
步骤S601,接收主控制器和/或任一边缘控制器上传的网络安全信息。具体地,步骤S601包括:接收主控制器上传的主站网络边界的实时流量信息以及网络拓扑结构,和/或,接收任一边缘控制器上传的对应的边缘站的实时网络流量以及安全事件。
步骤S602,根据网络安全信息识别未知攻击。详细请参见图5所示实施例的步骤S502,在此不再赘述。
步骤S603,根据识别的未知攻击生成对应的防御策略。详细请参见图5所示实施例的步骤S503,在此不再赘述。
步骤S604,将防御策略下发至安全组件资源池、主控制器和/或任一边缘控制器,安全组件资源池用于将安全防护功能虚拟化为安全组件。详细请参见图5所示实施例的步骤S504,在此不再赘述。
步骤S605,控制安全组件资源池根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件。具体地,步骤S605包括:控制安全组件资源池根据防御策略或者主站网络边界的实时流量信息以及网络拓扑结构为主站配置安全组件,和/或,控制安全组件资源池根据防御策略或者边缘站的实时网络流量以及安全事件为任一边缘站配置安全组件。也就是说,安全控制器可分别监测主站和/或任一边缘站的网络安全信息,生成对应的防御策略,并控制安全组件资源池根据对应的防御策略为主站和/或任一边缘站配置安全组件,使主站和/或任一边缘站根据动态调整的防御策略以及配置的安全组件抵御未知攻击。
在一种可选的实施方式中,在步骤S605控制安全组件资源池根据防御策略或者边缘站的实时网络流量以及安全事件为任一边缘站配置安全组件之后,还包括:
步骤S606,利用安全组件获取任一边缘站的安全事件和告警信息,采用机器学习算法根据攻击特征库、网络安全信息、安全事件和告警信息识别未知攻击。可选地,在为任一边缘站分配安全组件之后,可利用安全组件如安全监测组件获取任一边缘站的安全事件和告警信息,在根据网络安全信息识别未知攻击时,结合安全组件提供的安全事件和告警信息共同分析,达到了进一步提高未知攻击识别准确性及可靠性的目的。
在一种可选的实施方式中,基于软件定义网络的未知攻击云边协同防御系统对边缘智能设备进行未知攻击动态防御的步骤包括:
步骤a1,系统初始化。具体地,安全控制器通过对边缘控制器上传的网络流量、安全事件以及网络拓扑结构进行整合分析,确定边缘站的安全需求,为其分配虚拟化的安全准入、安全接入、安全监测等安全组件。
步骤a2,网络状态监控。具体地,在边缘控制器获得安全监测组件后,通过安全监测组件收集边缘站的流量信息,包括入/出口流量、传输协议、源IP和目标IP等。
步骤a3,流量分析。具体地,安全组件资源池中的安全监测组件可以将检测到的安全事件和告警信息共享给主站中的安全控制器,安全控制器根据这些信息以及攻击特征库,运用机器学习算法对上述信息进行分析、评估,从而识别未知攻击。
步骤a4,策略编排和下发。具体地,安全控制器利用机器学习算法根据攻击防御策略库对未知攻击进行类型解析,根据解析的攻击类型动态生成相应的防御策略,并将防御策略下发到SDN控制器和安全组件资源池。
步骤a5,攻击防御。具体地,SDN控制器将防御策略下发至边缘控制器,安全组件资源池根据防御策略更新安全组件资源池中的安全组件,并选择合适的防御组件提供给边缘智能设备。边缘智能设备根据防御策略和获取的安全组件对未知攻击进行相应的拦截和处置。
步骤a6,信息共享。具体地,边缘智能设备可以将本次攻击相关的信息发送至其他边缘站,使其他边缘站具有对该类攻击的防御能力。
在一种可选的实施方式中,基于软件定义网络的未知攻击云边协同防御系统对主站网络边界进行未知攻击动态防御的步骤包括:
步骤b1,网络状态监控。具体地,SDN控制器监测主站网络边界的流量,获取实时的网络流量信息。
步骤b2,流量分析。具体地,安全控制器从SDN控制器获得主站网络边界的实时流量信息,运用机器学习算法对实时流量信息进行分析、评估,识别未知攻击。
步骤b3,策略编排和下发。具体地,安全控制器利用机器学习算法根据攻击防御策略库对未知攻击解析后根据其攻击类型动态生成相应的防御策略,将防御策略下发到SDN控制器和安全组件资源池。
步骤b4,攻击防御。具体地,安全组件资源池根据防御策略动态配置安全组件,SDN控制器将防御策略的规则下发到SDN交换机上,以达到过滤入侵流量,动态阻止入侵行为的目的。
在一种可选的实施方式中,图7是根据本发明实施例的软件定义安全平台整体框架示意图。如图7所示,软件定义安全平台包括:安全控制器、SDN控制器以及安全组件资源池。其中,安全控制器的功能包括:机器学习与网络流量分析、存储已知攻击特征库、安全策略编排等;SDN控制器的功能包括:网络拓扑的发现与管理、流量控制和安全策略下发;安全组件资源池包括:安全准入组件、安全接入组件、安全检测组件等安全组件。具体地,安全控制器用于对安全组件资源池进行资源监控、调度、管理,安全策略(防御策略)下发、网络告警,接收安全组件资源池和SDN控制器的安全事件上传。SDN控制器用于主站边界侧流量监控、安全策略执行与下发即将防御策略下发至边缘SDN控制器。安全组件资源池用于对边缘智能设备流量监控以及安全组件下发部署。在本实施例中,通过安全控制器、SDN控制器以及安全组件资源池间的信息交互和协同工作,实现了实时监测云边网络安全信息、及时识别云边未知攻击以及灵活调整防御策略的目的,解决了云边协同环境下传统静态固化防御措施以及边缘设备处理能力不足导致难以快速识别和响应未知攻击的问题,通过防御策略的集中管理和下发,达到了提高响应速度及网络安全性的效果,解决了相关技术中存在的传统静态固化防御措施和策略无法满足未知攻击防御需求的问题。
本发明实施例还提供了一种计算机可读存储介质,上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可记录在存储介质,或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等;进一步地,存储介质还可以包括上述种类的存储器的组合。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件,当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现上述实施例示出的方法。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (11)
1.一种基于软件定义网络的未知攻击云边协同防御系统,其特征在于,所述系统包括:部署在云端的主站以及部署在边端的多个边缘站,主站的控制平面包括软件定义安全平台,所述软件定义安全平台包括:主控制器,安全控制器以及安全组件资源池,任一边缘站包括:边缘控制器;所述安全控制器用于接收主控制器和/或任一边缘控制器上传的网络安全信息,根据所述网络安全信息识别未知攻击,根据识别的未知攻击生成对应的防御策略以及将所述防御策略下发至安全组件资源池、主控制器和/或任一边缘控制器;所述安全组件资源池用于将安全防护功能虚拟化为安全组件,根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件。
2.根据权利要求1所述的基于软件定义网络的未知攻击云边协同防御系统,其特征在于,主站的数据平面包括基础设施层,软件定义安全平台基于软件定义网络架构的可编程性,通过南向接口与基础设施层交互,所述基础设施层包括网络设备,主控制器用于对所述网络设备进行控制和管理,通过网络设备以及预设通讯协议与边缘控制器进行数据传输和交互,主控制器还用于获取主站网络边界的实时流量以及网络拓扑结构,边缘控制器用于获取对应的边缘站的实时网络流量以及安全事件。
3.根据权利要求1所述的基于软件定义网络的未知攻击云边协同防御系统,其特征在于,边缘站还包括边缘智能设备,安全组件包括:安全准入组件、安全接入组件以及安全监测组件,所述安全准入组件用于对边缘智能设备进行身份认证和访问控制;所述安全接入组件用于对边缘智能设备的网络流量进行加密以及利用隧道技术进行数据传输;所述安全监测组件用于进行流量监控,获取安全事件和告警信息,将所述安全事件和告警信息上传至安全控制器。
4.根据权利要求1所述的基于软件定义网络的未知攻击云边协同防御系统,其特征在于,所述安全控制器还用于获取攻击特征库以及攻击防御策略库,利用机器学习算法根据所述攻击特征库以及网络安全信息识别未知攻击,利用机器学习算法根据所述攻击防御策略库以及未知攻击生成未知攻击对应的防御策略。
5.根据权利要求2所述的基于软件定义网络的未知攻击云边协同防御系统,其特征在于,所述主控制器还用于将防御策略下发至网络设备,动态调整网络配置和行为。
6.根据权利要求3所述的基于软件定义网络的未知攻击云边协同防御系统,其特征在于,边缘智能设备用于根据防御策略以及安全控制器配置的安全组件对未知攻击进行拦截和处置,获取未知攻击信息以及将所述未知攻击信息发送至其他边缘站的边缘智能设备。
7.一种采用权利要求1至6任一项所述的基于软件定义网络的未知攻击云边协同防御系统的基于软件定义网络的未知攻击云边协同防御方法,应用于安全控制器,其特征在于,所述方法包括:
接收主控制器和/或任一边缘控制器上传的网络安全信息;
根据所述网络安全信息识别未知攻击;
根据识别的未知攻击生成对应的防御策略;
将所述防御策略下发至安全组件资源池、主控制器和/或任一边缘控制器,所述安全组件资源池用于将安全防护功能虚拟化为安全组件;
控制安全组件资源池根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件。
8.根据权利要求7所述的基于软件定义网络的未知攻击云边协同防御方法,其特征在于,所述接收主控制器和/或任一边缘控制器上传的网络安全信息,包括:
接收主控制器上传的主站网络边界的实时流量信息以及网络拓扑结构;
和/或,接收任一边缘控制器上传的对应的边缘站的实时网络流量以及安全事件。
9.根据权利要求8所述的基于软件定义网络的未知攻击云边协同防御方法,其特征在于,所述控制安全组件资源池根据网络安全信息或防御策略为主站和/或任一边缘站配置安全组件,包括:
控制安全组件资源池根据防御策略或者主站网络边界的实时流量信息以及网络拓扑结构为主站配置安全组件;
和/或,控制安全组件资源池根据防御策略或者边缘站的实时网络流量以及安全事件为任一边缘站配置安全组件。
10.根据权利要求9所述的基于软件定义网络的未知攻击云边协同防御方法,其特征在于,在所述控制安全组件资源池根据防御策略或者边缘站的实时网络流量以及安全事件为任一边缘站配置安全组件之后,所述方法还包括:
利用安全组件获取任一边缘站的安全事件和告警信息;
采用机器学习算法根据攻击特征库、网络安全信息、所述安全事件和告警信息识别未知攻击。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求7至10中任一项所述的基于软件定义网络的未知攻击云边协同防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410321312.6A CN118157964A (zh) | 2024-03-20 | 2024-03-20 | 基于软件定义网络的未知攻击云边协同防御系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410321312.6A CN118157964A (zh) | 2024-03-20 | 2024-03-20 | 基于软件定义网络的未知攻击云边协同防御系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118157964A true CN118157964A (zh) | 2024-06-07 |
Family
ID=91294379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410321312.6A Pending CN118157964A (zh) | 2024-03-20 | 2024-03-20 | 基于软件定义网络的未知攻击云边协同防御系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118157964A (zh) |
-
2024
- 2024-03-20 CN CN202410321312.6A patent/CN118157964A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3703330B1 (en) | Automatic configuration of perimeter firewalls based on security group information of sdn virtual firewalls | |
| EP2880829B1 (en) | Adaptive infrastructure for distributed virtual switch | |
| US20170134422A1 (en) | Deception Techniques Using Policy | |
| US20180332081A1 (en) | Policy based on a requested behavior | |
| US20180097845A1 (en) | Self-Managed Intelligent Network Devices that Protect and Monitor a Distributed Network | |
| US11824897B2 (en) | Dynamic security scaling | |
| US9967150B2 (en) | Methods and apparatuses for implementing network visibility infrastructure | |
| Smeliansky | SDN for network security | |
| WO2015031866A1 (en) | System and method of network functions virtualization of network services within and across clouds | |
| Neves et al. | Future mode of operations for 5G–The SELFNET approach enabled by SDN/NFV | |
| KR102646697B1 (ko) | 데이터 통신 최적화 시스템 | |
| Brief | SDN security considerations in the data center | |
| US10033758B2 (en) | System and method for operating protection services | |
| US10567441B2 (en) | Distributed security system | |
| EP3993331A1 (en) | Flow metadata exchanges between network and security functions for a security service | |
| Cheminod et al. | Leveraging SDN to improve security in industrial networks | |
| Petroulakis et al. | Reactive security for SDN/NFV‐enabled industrial networks leveraging service function chaining | |
| Dimolianis et al. | Mitigation of multi-vector network attacks via orchestration of distributed rule placement | |
| Fysarakis et al. | A reactive security framework for operational wind parks using service function chaining | |
| US20210058371A1 (en) | Method for data center network segmentation | |
| CN118157964A (zh) | 基于软件定义网络的未知攻击云边协同防御系统及方法 | |
| Massonet et al. | An architecture for securing federated cloud networks with service function chaining | |
| Bernini et al. | Combined NFV and SDN applications for mitigation of cyber-attacks conducted by botnets in 5G mobile networks | |
| Ezefibe et al. | Towards virtualisation and secured software defined networking for wireless and cellular networks | |
| Garg et al. | Current State and Challenges in Privacy of Software Defined Networks for the Internet of Things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination |