[发明专利]一种防DDOS攻击的网络系统

说明书

本发明提供了一种防DDOS攻击的网络系统，包括：视频服务器，用于通过P4交换机将视频流量数据发送至NAT服务器；防火墙，用于根据预设的攻击识别策略对P4交换机发送的流量数据进行识别并输出流量识别结果；SDN控制器，用于根据防火墙的流量识别结果生成流量拦截指令并发送至P4交换机，以使P4交换机对异常流量数据进行拦截；P4交换机，用于将接收到的所有流量数据进行复制并发送至防火墙，同时，根据SDN控制器发送的流量拦截指令进行异常流量拦截，并将安全流量数据转发至NAT服务器。本发明实现了数据转发平面的可编程能力，能够有效防止网络攻击。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种防DDOS攻击的网络系统。

背景技术

SDN解决方案实现了网络控制平面与转发平面的分离，增强了控制平面的集中可编程能力。但是，SDN解决方案只是为用户开放了控制平面编程能力，并不包含数据转发平面。转发设备必须通过转发芯片的能力实现数据转发功能，不同厂商都有自己不同的实现方式，且需要专用芯片，开发周期长。因此，目前的网络系统未能有效防止网络攻击。

发明内容

本发明实施例提供一种防DDOS攻击的网络系统，以解决上述技术问题，从而实现数据转发平面的可编程能力，能够有效防止网络攻击。

为了解决上述技术问题，本发明实施例提供了一种防DDOS攻击的网络系统，包括视频服务器、NAT服务器、P4交换机、防火墙、SDN控制器；

所述视频服务器，用于通过所述P4交换机将视频流量数据发送至所述NAT服务器；

所述防火墙，用于根据预设的攻击识别策略对所述P4交换机发送的流量数据进行识别并输出流量识别结果；

所述SDN控制器，用于根据所述防火墙的流量识别结果生成流量拦截指令并发送至所述P4交换机，以使所述P4交换机对异常流量数据进行拦截；

所述P4交换机，用于将接收到的所有流量数据进行复制并发送至所述防火墙，同时，根据所述SDN控制器发送的流量拦截指令进行异常流量拦截，并将安全流量数据转发至所述NAT服务器。

进一步地，所述防火墙，用于根据预设的攻击识别策略对所述P4交换机发送的流量数据进行识别并输出流量识别结果，具体包括：

所述防火墙，用于对接收到的流量数据进行实时流量监测，若监测到某一链路的流量传输速率连续S秒大于预设的速率阈值，则判定该链路为攻击链路，将该链路的IP地址和端口号输出至所述SDN控制器，以使所述SDN控制器根据所述IP地址和所述端口号生成针对该链路的流量拦截指令。

进一步地，所述P4交换机，还用于在已确认安全的IP地址相对应的流量数据中插入安全辨识帧。

进一步地，所述防火墙，用于根据预设的攻击识别策略对所述P4交换机发送的流量数据进行识别并输出流量识别结果，具体包括：

所述防火墙，用于对接收到的流量数据进行实时流量监测，若监测到某一链路的流量数据不存在所述安全辨识帧时，则判定该链路为攻击链路，将该链路的IP地址和端口号输出至所述SDN控制器，以使所述SDN控制器根据所述IP地址和所述端口号生成针对该链路的流量拦截指令。

与现有技术相比，本发明具有如下有益效果：

本发明实施例提供了一种防DDOS攻击的网络系统，包括：视频服务器，用于通过P4交换机将视频流量数据发送至NAT服务器；防火墙，用于根据预设的攻击识别策略对P4交换机发送的流量数据进行识别并输出流量识别结果；SDN控制器，用于根据防火墙的流量识别结果生成流量拦截指令并发送至P4交换机，以使P4交换机对异常流量数据进行拦截；P4交换机，用于将接收到的所有流量数据进行复制并发送至防火墙，同时，根据SDN控制器发送的流量拦截指令进行异常流量拦截，并将安全流量数据转发至NAT服务器。本发明实现了数据转发平面的可编程能力，能够有效防止网络攻击。