[发明专利]一种软件定义网络安全实施方法、系统及控制器

说明书

技术领域

本发明涉及网络技术安全领域，具体是一种软件自定义网络安全实施方法、系统及控制器。

背景技术

随着云计算、移动互联网技术的兴起推动了数据中心的快速发展和变革，以IP为基础的传统网络组织结构复杂，管理维护困难，运营成本高昂，变得难以应对新需求对灵活性、扩展性、安全性的要求。为解决传统网络难以满足的新需求，软件自定义网络应运而生。

软件定义网络重新定义了网络架构，将网络划分为应用层面、控制层面和数据转发层面，实现了网络可编程。基于Openflow的软件定义网络和传统网络实现的差异，使得传统网络实现的网络安全服务，如入侵检测、串行防火墙、病毒防护、流量清洗等技术，不再完全适用于软件定义网络。控制和数据层面分离，基于DPI的传统安全服务虽然可以检测网络异常，却无法制定和实施有效的响应策略。

软件定义网络不仅需要应对传统网络威胁，其新架构也显现出了新的安全问题：

策略一致性，随着多种不同类型应用接入控制层，应用控制逻辑复杂，不同应用之间会产生策略冲突，使数据层网络转发产生紊乱，以致整个网络无法正常工作。

恶意应用，控制层为应用层开放接口是软件定义网络实现网络可编程的前提，但这种开放性可以被恶意应用利用，当恶意应用接入控制层，会严重影响整个网络的安全和稳定。

软件定义网络由控制器集中管理网络资源，掌控全局网络拓扑视图，通过安装和修改交换机中的流表规则，动态改变网络视图，该特征使得软件定义网络可以高效的检测与应对网络安全问题。

发明内容

本发明所要解决的技术问题是，提供一种软件自定义网络安全实施方法及系统，以解决软件定义网络面临的安全问题。

为了解决上述技术问题，本发明公开了一种软件定义网络安全实施方法，该方法包括：

部署在控制器网络操作系统（NOS）中的安全核心模块实时检测网络状态信息；

安全应用根据网络状态信息，分析网络安全状态，检测到网络安全威胁时，生成相应的安全策略；

所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则，安装或更新至数据层交换机。

可选地，上述方法中，所述安全应用根据网络状态信息，分析网络安全状态，生成安全策略的过程包括：

各类安全应用分别针对不同类网络安全威胁执行各自的安全分析算法，分析网络安全状态，在该类网络安全威胁发生时，生成相应的安全策略。

可选地，上述方法还包括：

当应用层接入的一般应用需要安装或更新流表规则时，所述安全核心模块检测策略一致性，若需要安装或更新的流表规则与现有网络全局策略产生冲突，则由相应的安全应用执行策略一致性算法解决冲突，其中，所述策略一致性算法中的权重采用应用优先级。

可选地，上述方法还包括：

所述安全核心模块根据受信模型建立应用优先级，其中，安全应用具有最高应用优先等级，一般应用根据所属角色划分为若干应用优先级。

可选地，上述方法中，所述安全核心模块，具备认证和授权功能，执行一般应用软件接入访问认证和授权服务。

可选地，上述方法中，所述安全核心模块，具备安全服务汇报功能，提供第三方安全异常汇报接口，兼容基于深层报文检测（DPI）的传统安全服务。

可选地，上述方法中，当安全应用获取到第三方安全威胁汇报时，直接生成对应的安全策略。

本发明还公开了一种软件定义网络安全实施系统，该系统包括部署在控制器NOS中的安全核心模块，部署在应用层的安全应用程序集，其中：

所述安全核心模块，实时检测网络状态信息，以及将所述安全应用程序集生成的安全策略转换成流表项规则，安装或更新至数据层交换机；

所述安全应用程序集，根据网络状态信息，分析网络安全状态，在检测到网络安全威胁时，生成安全策略。

可选地，上述系统中，所述安全应用程序集包括多个安全应用单元，每个安全应用单元，针对一类网络安全威胁执行安全分析算法，分析网络安全状态，并在该类网络安全威胁产生时生成相应的安全策略，以消除该类网络安全威胁。

可选地，上述系统中，所述安全核心模块包括：

采集单元，实时检测网络状态信息；

流表项规则转换单元，将所述安全应用程序集生成的安全策略转换成流表项规则，安装或更新至数据层交换机。

可选地，上述系统中，所述安全核心模块还包括：