[发明专利]一种主动安全防御的方法及装置

说明书

本发明提供了一种主动安全防御的方法和装置。根据OpenFlow协议的特性，在接入的SDN交换机上探测到访问事件时上报给SDN控制器，SDN控制器通过构造与该访问事件对应的安全检测报文，并要求SDN接入交换机发送给该服务器，根据SDN接入交换机上报的安全检测结果，判定接入终端是否安全，如果判定检测的结果是安全的，则允许接入终端继续访问。否则，则下发流策略阻断接入终端访问对应的业务，并通知网络管理员对之进行安全处理。

技术领域

本发明涉及数据通信领域，尤其涉及一种在SDN（Software Defined Network，软件定义网络）网络中主动安全防御的方法及装置。

背景技术

随着网络技术的发展，在当今现实的网络中，存在着大量的服务器、客户终端等网络节点。现今运行的网络经常遭受着各种安全事件的影响。例如：当服务器的数据库存在弱口令，或者机器未打补丁而存在安全漏洞，容易被人破解；客户终端未打补丁或机器登录口令弱等而成为“肉鸡”。“肉鸡”亦被称为“傀儡机”，是指可以被黑客远程控制的机器。它们通常被黑客攻破或用户自己不小心种植了木马，黑客可以随意操纵它并利用它进行各种攻击），“肉鸡”成为网络攻击的跳板等，会对网络的安全造成严重的影响，例如会导致数据库数据泄漏，客户信息被盗取。

目前，为了应对这些网络安全威胁，往往需要通过单独控制某些服务的访问权限，客户端需要安装专门的客户端软件来提供安全保障。这些措施虽然可以实现相当的安全性，但其缺点是也是非常明显的。其主要的缺点包括：灵活性非常差，对新增的网络节点，或者网络节点发生了变化时经常无法及时响应。

发明内容

有鉴于此，本发明提供一种主动安全防御的方法及装置，以解决现有技术方案中存在的问题与不足。

本发明是通过如下技术方案实现的：

一种主动安全防御的装置，应用在SDN网络中，所述SDN网络中至少包括一个SDN控制器、一个SDN接入交换机和一个服务器，其中所述装置包括接收单元、报文构造单元、安全判定单元以及流策略下发单元，其中，

接收单元，用于接收来自SDN接入交换机探测到访问服务器的事件，并在接收到访问事件后通知报文构造单元；

报文构造单元，用于根据接收单元的通知构造该与访问事件对应的安全检测报文并要求SDN接入交换机发送给服务器；

安全判定单元，用于根据SDN接入交换机上报的安全检测结果判定接入终端是否满足安全要求，并将判定结果通知流策略下发单元；

流策略下发单元，用于根据安全判定单元通知的判定结果，允许或者阻断接入终端继续访问。

本发明同时提供一种主动安全防御的方法，应用在SDN网络中，所述SDN网络中至少包括一个SDN控制器、一个SDN接入交换机和一个服务器，其中所述方法包括如下步骤：

步骤1、接收来自SDN接入交换机探测到访问服务器的事件；

步骤2、构造与访问事件对应的安全检测报文并要求SDN接入交换机发送给服务器；

步骤3、根据SDN接入交换机上报的安全检测结果，判定接入终端是否安全，根据判定结果允许或者阻断接入终端继续访问。

与现有的技术相比，本发明可以有效的解决网络安全管理过程中部署复杂、灵活性差的问题，能够实现精确、灵活的网络安全检测及控制。并且不需要接入终端安装专用的客户端软件，同时避免了使用传统的安全扫描工具进行周期性的安全扫描，实时性差，消耗较多网络带宽、不够灵活等问题。

附图说明

图1是本发明主动安全防御的装置结构示示意图；

图2是本发明主动安全防御的方法流程示意图；