基于OpenFlow的网络架构安全监控系统,本系统充分发挥OpenFlow网络控制器集中化管控的优势与sFlow‑RT实时线速率流量监控的能力,充分利用控制器被动模式和主动模式在不同网络状态下的优势,在网络受到攻击时以保护网络中控制器、交换机的安全,使用上层应用更改控制器的操作模式,并对异常交换机端口进行限速处理,进而保证网络设备和网络服务的稳定和安全。经测试验证,本系统通过更改控制器操作模式降低控制器负载,并通过交换机端口限速减小异常流量对网络中主机及网络本身的影响。该系统可快速部署在现有的OpenFlow园区网络环境中,也可经过调整部署在其他OpenFlow网络环境中,从而为网络中的控制器、交换机设备及网络服务本身提供可视、可控、有效的安全性保障。
1.基于OpenFlow的网络架构安全监控系统,其特征在于:本系统结合OpenFlow和sFlow进行有效的网络异常监控和威胁缓解;系统使用sFlow-RT实时监控网络流量状态,在网络流量异常出现时及时报警,触发上层应用的响应操作;上层应用通过调用API将Floodlight控制器的操作模式从被动模式切换为主动模式,并通过控制器下发主动模式规则;
在控制器操作模式转换之后sFlow-RT及上层应用仍将继续监测网络流量状况,在异常流量特征出现时,上层应用结合控制器提供的信息较准确的定位异常流量源,并对其交换机端口进行限速处理,以进行异常缓解;
sFlow包括sFlow客户端和sFlow收集器;sFlow客户端进行很少的处理操作,它只将数据打包进sFlow报文中并立刻送至网络;数据的立刻转发使与sFlow客户端相关的内存和CPU需求最小化;网络中的sFlow客户端持续发送sFlow报文流给中央sFlow收集器进行处理,以生成丰富、实时、网络范围的流量视图;本系统使用sFlow-RT作为sFlow收集器,并用其设置相互关联的流量规则和阈值规则;流量特征超过监控规则会触发sFlow-RT报警事件;本方案的上层应用是由sFlow-RT的事件驱动的,因此定义流规则和阈值是上层应用正常运行的前提。
2.根据权利要求1所述的基于OpenFlow的网络架构安全监控系统,其特征在于:选择Floodlight作为OpenFlow网络的控制器;通过上层应用指令Floodlight控制器进行操作模式的转变。
3.根据权利要求2所述的基于OpenFlow的网络架构安全监控系统,其特征在于:
OpenFlow网络控制器的实现通常都支持两种模式的操作:被动模式和主动模式,被动模式中的控制器通过响应交换机发送的Packet_In消息来进行对网络路由的管控;主动模式中的控制器通过主动向交换机下发流表规则来预先指定交换机对网络流量的操作;被动模式能够为交换机提供精细粒度的流规则,而主动模式可使用预先设置的粗粒度流规则减少交换机与控制器之间的通信负载;
上层应用组件为本方案的核心组件,由sFlow-RT事件驱动执行,负责部署sFlow监控规则,接收相应事件,并触发控制器操作模式的转换及对特定交换机端口的限速控制;
在系统架构中,控制器默认的操作模式为被动模式;被动模式中控制器对网络路由的管控通过回应交换机的Packet_In消息完成;在网络出现过于丰富的流量特征时,处理大量的Packet_In消息会占用大量的控制器资源,还有可能导致控制器功能异常,以致网络失控;本应用的第1个模块监控网络的流量特征,当发现网络中有超过阈值的流量特征时(如网络遭受伪造源IP地址的DoS攻击)自动将控制器转换为主动模式即进入第2个模块,并下发主动模式的控制规则;下发的主动模式规则为粗粒度的流表规则,要求在满足安全性的前提下保证网络的联通性;
本系统充分发挥OpenFlow网络控制器集中化管控的优势与sFlow-RT实时线速率流量监控的能力,充分利用控制器被动模式和主动模式在不同网络状态下的优势,在网络受到攻击时以保护网络中控制器、交换机的安全为主要目标,使用上层应用更改控制器的操作模式,并对异常交换机端口进行限速处理,进而保证网络设备和网络服务的稳定和安全;经测试验证,本系统在网络受到特定攻击时可以通过更改控制器操作模式降低控制器负载,并通过交换机端口限速减小异常流量对网络中主机及网络本身的影响;该系统方案可快速部署在现有的OpenFlow园区网络环境中,也可经过调整部署在其他OpenFlow网络环境中,从而为网络中的控制器、交换机设备及网络服务本身提供可视、可控、有效的安全性保障。
基于OpenFlow的网络架构安全监控系统
技术领域
[0001] 本发明的系统适用于基于OpenFlow的SDN网络环境,能及时监测网络攻击造成的网络异常,并有效地进行异常缓解。
背景技术
[0002] OpenFlow的概念在2006由美国斯坦福大学的研究人员的研究项目产生,提倡将传统网络设备的数据层和控制层解耦,通过集中式的控制器(controller)以标准化的接口对各种网络设备进行管理和配置。随后,McKeown等研究者由此开始推广软件定义网Software-Defined Networking,SDN概念,并引起学术界和产业界的广泛关注。
[0003] OpenFlow架构由OpenFlow控制器和OpenFlow交换机构成。
[0004] OpenFlow控制器是OpenFlow网络中心化的控制器,它维护拓扑信息并监控整个网络的整体状态。OpenFlow交换机负责数据转发,主要由流表、安全信道和OpenFlow协议构成。OpenFlow使用中心化的控制器配置所有设备。设备应尽量简单以达到更好的转发性能,而网络控制由控制器进行。
[0005] 每个OpenFlow交换机的处理单元由流表构成,使用OpenFlow的交换机都有一或多个流表,每个流表由许多流表项组成,流表项则代表转发规则。当数据包到达网络设备时,进行流表查询。若流表中存在匹配规则,交换机按照流表规则中指定的行为动数据包进行操作。若不存在匹配规则,交换机需要与控制器交互,让控制器定义新的流表规则。交换机需要发送对应收到的未知包的Packet_In消息。控制器在计算路由后需使用Packet_Out消息配置源到目的路径上的所有交换机。
[0006] 硬件性能的限制让OpenFlow交换机可能会扩大网络攻击的效果。交换机的流表大小通常都是有限的,虽然超时的流表会自动被删除,但若网络攻击使新流表被安装的速度超过了流表项自动超时删除的速度,交换机的流表就会很快被填充满,以致新的流表项不能正常安装。这会对网络性能造成较大的影响。
[0007] 在单控制器的网络中,一台控制器可能管控网络中的众多设备,其负载是随着管控设备的数量而不断增加的。在网络遭受攻击的情况下,网络中的交换机可能向控制器发送大量的Packet-In消息,控制器需处理Packet-In消息,为数据包规划路由,并将响应流表项下发到所有相关的交换机上,可想而知,控制器的负载会急剧增加。若网络攻击导致控制器的负载超过了上限,控制器可能会失去与网络中交换机的连接,从而失去对网络的管控能力。
[0008] 软件定义网络(Software DefinedNetwork,SDN)是的一种新型网络创新架构。OpenFlow作为SDN架构的标准之一,是学术界研究的前沿热门,也被产业界在众多的应用场景中使用。然而传统网络中存在的一些安全性问题在OpenFlow网络仍然存在,OpenFlow网络的集中化管控方式又对网络安全性提出了新的挑战。本系统创新性地结合传统的网络流量监控方式、网络异常检测算法及异常处理方式,充分发挥传统技术与新型网络架构的优势,是OpenFlow网络环境中可视、可控、有效的安全监控及异常处理方案。本系统使用sFlow流量采样技术,结合FloodLight开源控制器,通过更改控制器操作模式及应用端口限速的方式缓解网络攻击对网络整体性能的影响,能及时监测网络攻击造成的网络异常,并有效地进行异常缓解。
发明内容
[0009] 为克服上述技术缺陷,本发明采用的技术手段为基于OpenFlow的网络架构安全监控系统,本系统结合OpenFlow和sFlow进行有效的网络异常监控和威胁缓解。系统使用sFlow-RT实时监控网络流量状态,在网络流量异常出现时及时报警,触发上层应用的响应操作。上层应用通过调用API将Floodlight控制器的操作模式从被动模式切换为主动模式,并通过控制器下发主动模式规则。
[0010] 在控制器操作模式转换之后sFlow-RT及上层应用仍将继续监测网络流量状况,在异常流量特征出现时,上层应用结合控制器提供的信息较准确的定位异常流量源,并对其交换机端口进行限速处理,以进行异常缓解。
[0011] sFlow是多厂商支持的内置在交换机和路由器中的采样技术,包括sFlow客户端(agent)和sFlow收集器(collector)。sFlow客户端进行很少的处理操作,它只将数据打包进sFlow报文中并立刻送至网络。数据的立刻转发使与sFlow客户端相关的内存和CPU需求最小化。网络中的sFlow客户端持续发送sFlow报文流给中央sFlow收集器进行处理,以生成丰富、实时、网络范围的流量视图。本系统使用sFlow-RT作为sFlow收集器(Collector),并用其设置相互关联的流量规则和阈值规则。流量特征超过监控规则会触发sFlow-RT报警事件。本方案的上层应用是由sFlow-RT的事件驱动的,因此定义流规则和阈值是上层应用正常运行的前提。
[0012] 本方案选择Floodlight作为方案中OpenFlow网络的控制器。方案通过上层应用指令Floodlight控制器进行操作模式的转变。
[0013] OpenFlow网络控制器的实现通常都支持两种模式的操作:被动模式(Reactive Mode)和主动模式(Proactive Mode),被动模式中的控制器通过响应交换机发送的Packet_In消息来进行对网络路由的管控;主动模式中的控制器通过主动向交换机下发流表规则来预先指定交换机对网络流量的操作。被动模式能够为交换机提供精细粒度的流规则,而主动模式可使用预先设置的粗粒度流规则减少交换机与控制器之间的通信负载。
[0014] 上层应用组件为本方案的核心组件,由sFlow-RT事件驱动执行,负责部署sFlow监控规则,接收相应事件,并触发控制器操作模式的转换及对特定交换机端口的限速控制。
[0015] 在系统架构中,控制器默认的操作模式为被动模式。被动模式中控制器对网络路由的管控通过回应交换机的Packet_In消息完成。在网络出现过于丰富的流量特征时,处理大量的Packet_In消息会占用大量的控制器资源,还有可能导致控制器功能异常,以致网络失控。本应用的第1个模块监控网络的流量特征,当发现网络中有超过阈值的流量特征时(如网络遭受伪造源IP地址的DoS攻击)自动将控制器转换为主动模式即进入第2个模块,并下发主动模式的控制规则。下发的主动模式规则为粗粒度的流表规则,要求在满足安全性的前提下保证网络的联通性。
[0016] 本系统充分发挥OpenFlow网络控制器集中化管控的优势与sFlow-RT实时线速率流量监控的能力,充分利用控制器被动模式和主动模式在不同网络状态下的优势,在网络受到攻击时以保护网络中控制器、交换机的安全为主要目标,使用上层应用更改控制器的操作模式,并对异常交换机端口进行限速处理,进而保证网络设备和网络服务的稳定和安全。经测试验证,本系统在网络受到特定攻击时可以通过更改控制器操作模式降低控制器负载,并通过交换机端口限速减小异常流量对网络中主机及网络本身的影响。该系统方案可快速部署在现有的OpenFlow园区网络环境中,也可经过调整部署在其他OpenFlow网络环境中,从而为网络中的控制器、交换机设备及网络服务本身提供可视、可控、有效的安全性保障。
[0017] 与现有技术相比较,本发明具有如下有益效果。
[0018] 一种基于OpenFlow的网络架构安全监控系统,其特征是使用流量采样分析技术,结合OpenFlow开源控制器,通过对网络行为进行管控以缓解网络攻击对网络整体性能的影响。基于OpenFlow的网络架构安全监控系统将OpenFlow控制器上层应用作为系统的核心,上层应用以事件驱动的方式接收并处理来自流量采样模块的报警事件,进而触发对系统监控网络的管控操作。基于OpenFlow的网络架构安全监控系统是采取控制层的操作模式切换和数据层的入向端口限速操作,结合多层次的管控操作以达到OpenFlow网络安全监控和攻击缓解的目的。
附图说明
[0019] 图1是本发明系统的的整体结构图。
[0020] 图2是本系统的模块、功能关系图。
具体实施方式
[0021] 如图1-2所示,本系统结合OpenFlow和sFlow,进行有效的网络异常监控和威胁缓解。系统方案使用sFlow-RT实时监控网络流量状态,在网络流量异常出现时及时报警,触发上层应用的响应操作。上层应用通过调用API将Floodlight控制器的操作模式从被动模式切换为主动模式,并通过控制器下发主动模式规则。
[0022] 在控制器操作模式转换之后sFlow-RT及上层应用仍将继续监测网络流量状况,在异常流量特征出现时,上层应用结合控制器提供的信息较准确的定位异常流量源,并对其交换机端口进行限速处理,以进行异常缓解。
[0023] sFlow是多厂商支持的内置在交换机和路由器中的采样技术,包括sFlow客户端(agent)和sFlow收集器(collector)。sFlow客户端进行很少的处理操作,它只将数据打包进sFlow报文中并立刻送至网络。数据的立刻转发使与sFlow客户端相关的内存和CPU需求最小化。网络中的sFlow客户端持续发送sFlow报文流给中央sFlow收集器进行处理,以生成丰富、实时、网络范围的流量视图。本系统使用sFlow-RT作为sFlow收集器(Collector),并用其设置相互关联的流量规则和阈值规则。流量特征超过监控规则会触发sFlow-RT报警事件。本方案的上层应用是由sFlow-RT的事件驱动的,因此定义流规则和阈值是上层应用正常运行的前提。
[0024] 本方案选择Floodlight作为方案中OpenFlow网络的控制器。方案通过上层应用指令Floodlight控制器进行操作模式的转变。
[0025] OpenFlow网络控制器的实现通常都支持两种模式的操作:被动模式(Reactive Mode)和主动模式(Proactive Mode),被动模式中的控制器通过响应交换机发送的Packet_In消息来进行对网络路由的管控;主动模式中的控制器通过主动向交换机下发流表规则来预先指定交换机对网络流量的操作。被动模式能够为交换机提供精细粒度的流规则,而主动模式可使用预先设置的粗粒度流规则减少交换机与控制器之间的通信负载。
[0026] 上层应用组件为本方案的核心组件,由sFlow-RT事件驱动执行,负责部署sFlow监控规则,接收相应事件,并触发控制器操作模式的转换及对特定交换机端口的限速控制。
[0027] 在系统架构中,控制器默认的操作模式为被动模式。被动模式中控制器对网络路由的管控通过回应交换机的Packet_In消息完成。在网络出现过于丰富的流量特征时,处理大量的Packet_In消息会占用大量的控制器资源,还有可能导致控制器功能异常,以致网络失控。本应用的第1个模块监控网络的流量特征,当发现网络中有超过阈值的流量特征时(如网络遭受伪造源IP地址的DoS攻击)自动将控制器转换为主动模式即进入第2个模块,并下发主动模式的控制规则。下发的主动模式规则为粗粒度的流表规则,要求在满足安全性的前提下保证网络的联通性。
[0028] 本系统充分发挥OpenFlow网络控制器集中化管控的优势与sFlow-RT实时线速率流量监控的能力,充分利用控制器被动模式和主动模式在不同网络状态下的优势,在网络受到攻击时以保护网络中控制器、交换机的安全为主要目标,使用上层应用更改控制器的操作模式,并对异常交换机端口进行限速处理,进而保证网络设备和网络服务的稳定和安全。经测试验证,本系统在网络受到特定攻击时可以通过更改控制器操作模式降低控制器负载,并通过交换机端口限速减小异常流量对网络中主机及网络本身的影响。该系统方案可快速部署在现有的OpenFlow园区网络环境中,也可经过调整部署在其他OpenFlow网络环境中,从而为网络中的控制器、交换机设备及网络服务本身提供可视、可控、有效的安全性保障。
