用于检测和防御恶意数据流网络入侵的系统和方法技术方案

本发明专利技术提供了一种用于在软件定义网络(software defined network，SDN)中检测和防御恶意数据流入侵的系统。所述系统包括：至少一个数据存储或存储器，用于存储数据流的流状态，并在所述系统中共享和更新所述流状态；至少一个共享状态转发元件(forwarding element，FE)，用于基于接收到的数据流的流状态和/或所述数据流与预定模式的对比来拦截、转发或复制所述数据流；至少一个检查元件(inspection element，IE)，用于接收复制的数据流，并将所述数据流归类为恶意数据流或允许数据流。所述IE用于根据归类结果更改所述数据流的所述流状态。本发明专利技术提供了一种用于在SDN中检测和防御恶意数据流入侵的相应方法。

【技术实现步骤摘要】
【国外来华专利技术】用于检测和防御恶意数据流网络入侵的系统和方法
本专利技术涉及一种用于检测和防御恶意数据流入侵网络，尤其是软件定义网络(softwaredefinednetwork，SDN)中的受保护区域或受保护业务的系统和方法。
技术介绍
入侵检测系统(IntrusionDetectionSystem，IDS)和入侵防御系统(IntrusionPreventionSystem，IPS)是构建安全性的主要构建块之一。这两个系统有许多相同之处，比如，都采用模式来检测攻击私网(受保护区域)的恶意企图，以及检测“低而慢”的高级持续性威胁(advancedpersistentthreat，APT)。在图7中可见，IDS通常不部署在一条直线上，而是在一条复制的数据流上工作。IDS分析所有的数据包，然后上报给可以相应地触发主动措施的所谓“专家系统”(如安全信息与事件管理(SecurityInformationandEventManagement，SIEM))。IPS可以像防火墙一样部署，且通常直接在网络数据路径上工作。IPS分析数据包、归类数据流并且拦截数据流或允许数据流通过。IPS也可以像IDS一样部署，可以占用重复的数据路径，之后可以和防火墙集成使用，以便拦截被归类为“恶意”的数据流。为了处理需要检查的大量数据，IPS通常会增加一种“快速通道”机制(通常由基于硬件的转发元件来实现)。IPS能够将已经归类(归类为“允许”或“拦截”)的数据流分流到该“快速通道”。无论是否使用“快速通道”，当IPS在线部署时，其都会在组织网络中产生单点故障(SinglePointofFailure，SPOF)，这要求采用昂贵的高可用性方案，从而在如IPS出现故障时保证业务连续性。由于单个IPS设备的带宽有限，所以在其被过多数据流量覆盖时，通常将其配置为应急开放(即，允许所有数据流进入)。离线IPS部署减少了在线IPS的一些问题，代价是处理复制的网络业务(和典型IDS类似)以及与“强制”网元(如防火墙)紧密集成，从而可以将恶意攻击拦截在主数据路径上。此外，离线IPS对网络攻击的反应慢得多。总之，一方面，离线IDS和IPS有一些局限性：检测和反应的时间长；其次，系统的噪声大，即，其产生大量需安全专家检查的数据；系统通常占用较多的资源；最后，为了提供主动保护，需要定制集成。另一方面，在线IPS有其自身局限性：首先，难以规模化；其次，需要专门的硬件来处理已归类流量的“快速通道”。如上所述，在线IPS意味着SPOF，而SPOF需要昂贵的高可用性模型来解决。再次，其有限的带宽导致流量高峰时出现上述“应急开放”(即，允许所有数据流进入)；最后，IPS通常使用的筒仓数据模型限制了其与其它IT资产的信息共享，从而阻碍了APT检测能力。
技术实现思路
鉴于上述问题和缺点，本专利技术旨在改进传统IDS和IPS。从安全角度来说，本专利技术的目的在于提供一种能够在整个网络中即时拦截恶意流量的系统和方法。进而，可以提高检测和缓解APT的能力。本专利技术还旨在将SPOF从网络中移除。从效率角度来说，本专利技术的目的在于提供一种系统和方法，将入侵检测从数据路径上移除而不损害检测、检查和拦截恶意流量的能力。总目标旨在减少入侵检测和防御的工作量，如通过只监测可疑流量来实现。另外，不需要跨厂商集成，可以减少总成本。本专利技术的上述目的通过所附独立权利要求中提供的方案来实现。本专利技术的有利实施方式在各个从属权利要求中进一步定义。本专利技术的第一方面提供了一种用于在SDN中检测和防御恶意数据流入侵的系统，包括：至少一个数据存储或存储器，用于存储数据流的流状态，并在所述系统中共享和更新所述流状态；至少一个共享状态转发元件(forwardingelement，FE)，用于基于接收到的数据流的流状态和/或所述数据流与预定模式的对比来拦截、转发或复制所述数据流；至少一个检查元件(inspectionelement，IE)，用于接收复制的数据流，并将所述数据流归类为恶意数据流或允许数据流，其中所述IE用于根据归类结果更改所述数据流的所述流状态。根据第一方面，本专利技术实现了一种在所述系统中，即，尤其是在单独的FE、IE和业务应用(可选)之间，共享数据流的流状态(优选地，共享附加元数据)的机制。因此，所述系统能够立即，即，至少能比传统系统快得多，对可疑或检测到的威胁作出反应。例如，当所述至少一个FE将可疑数据流归类为恶意数据流并相应地更新其流状态时，所述FE能够立即将其拦截。所述流状态的共享可以通过分布式连接跟踪(DistributedConnectionTracking，DCT)来有利地实现。DCT是一种在所述系统中共享网络状态和流状态等信息的特定SDN实施方式。通过仅将可疑数据流的副本发送给所述至少一个IE，入侵检测从常规数据路径上移除而不会损害其检测、检查和拦截恶意流量的能力。通过仅将可疑数据流发送给所述IE，并且通过在所述FE处采用预定模式和共享流状态，显著降低了入侵检测和防御的工作量。根据所述第一方面，在所述系统的第一实施形式中，所述FE用于：如果接收到的数据流的流状态是“允许”，和/或，如果所述流状态与允许流量的预定模式匹配，则转发所述数据流的数据包；如果接收到的数据流的流状态是“拦截”，和/或，如果所述流状态与恶意流量的预定模式匹配，则拦截所述数据流的数据包；如果接收到的数据流的流状态是“可疑”，和/或，如果所述流状态与可疑流量的预定模式匹配，则复制所述数据流的数据包。所以，所述至少一个FE一方面能够基于共享流状态处理数据流，另一方面能够基于预定模式处理数据流。因此，增强了所述系统的整体效率，同时减少了所述IE的负载。所述系统能够快速对流状态的任何变化或更新作出反应，且具有良好的可扩展性。根据如上所述第一方面或根据所述第一方面的所述第一实施形式，在所述系统的第二实施形式中，所述FE用于：确定接收到的数据流的流状态是否已经存储在所述至少一个数据存储或存储器中；如果所述接收到的数据流的所述流状态已存储，则基于所述数据流的所述流状态来拦截、转发或复制所述数据流；或如果所述接收到的数据流的所述流状态没有存储，则基于所述数据流与所述预定模式的对比来拦截、转发或复制所述数据流。因此，当存在共享流状态时，不需要与所述预定模式进行对比，从而加快了流量处理速度。此外，在这种情况下，没有对所述IE产生负载。根据如上所述第一方面或根据所述第一方面的上述任一实施形式，在所述系统的第三实施形式中，所述FE用于：当所述IE将数据流的流状态设置或更新为“拦截”时，立即拦截所述数据流的数据包。因此，所述系统能够非常快速有效地对检测到的威胁作出反应，使得所述系统所在的网络更加安全。根据如上所述第一方面或根据所述第一方面的上述任一实施形式，在所述系统的第四实施形式中，所述FE用于：当数据流与可疑流量的预定模式匹配时，将所述数据流的流状态设置或更新为“可疑”，并用于将所述数据流复制到所述IE，以便进行归类。因此，只将可疑数据流发送到所述IE进行归类。这样显著降低了入侵检测和防御的工作量。根据如上所述第一方面或根据所述第一方面的上述任一实施形式，在所述系统的第五实施形式中，所述FE用于将任意一个接收到的数据流的流状态更改为“可疑”。因此，可以再次检查本文档来自技高网...

【技术保护点】
1.一种用于在软件定义网络(software defined network，SDN)中检测和防御恶意数据流入侵的系统(100)，其特征在于，包括：至少一个数据存储或存储器(101)，用于存储数据流的流状态，并在所述系统中共享和更新所述流状态；至少一个共享状态转发元件(forwarding element，FE)(102)，用于基于接收到的数据流(103)的流状态和/或所述数据流与预定模式的对比来拦截、转发或复制所述数据流；至少一个检查元件(inspection element，IE)(104)，用于接收复制的数据流(105)，并将所述数据流归类为恶意数据流或允许数据流，其中所述IE(104)用于根据归类结果更改所述数据流的所述流状态。

【技术特征摘要】
【国外来华专利技术】1.一种用于在软件定义网络(softwaredefinednetwork，SDN)中检测和防御恶意数据流入侵的系统(100)，其特征在于，包括：至少一个数据存储或存储器(101)，用于存储数据流的流状态，并在所述系统中共享和更新所述流状态；至少一个共享状态转发元件(forwardingelement，FE)(102)，用于基于接收到的数据流(103)的流状态和/或所述数据流与预定模式的对比来拦截、转发或复制所述数据流；至少一个检查元件(inspectionelement，IE)(104)，用于接收复制的数据流(105)，并将所述数据流归类为恶意数据流或允许数据流，其中所述IE(104)用于根据归类结果更改所述数据流的所述流状态。2.根据权利要求1所述的系统(100)，其特征在于，所述FE(102)用于：如果接收到的数据流(103)的流状态是“允许”，和/或，如果所述流状态与允许流量的预定模式匹配，则转发所述数据流的数据包；如果接收到的数据流(103)的流状态是“拦截”，和/或，如果所述流状态与恶意流量的预定模式匹配，则拦截所述数据流的数据包；以及如果接收到的数据流(103)的流状态是“可疑”，和/或，如果所述流状态与可疑流量的预定模式匹配，则复制所述数据流的数据包。3.根据权利要求1或2所述的系统(100)，其特征在于，所述FE(102)用于：确定接收到的数据流(103)的流状态是否已经存储在所述至少一个数据存储或存储器(101)中；如果所述接收到的数据流的所述流状态已存储，则基于所述数据流的所述流状态来拦截、转发或复制所述数据流；或者如果所述接收到的数据流(103)的所述流状态没有存储，则基于所述数据流与所述预定模式的对比来拦截、转发或复制所述数据流。4.根据权利要求1或2所述的系统(100)，其特征在于：所述FE(102)用于：当所述IE(104)将数据流的流状态设置或更新为“拦截”时，立即拦截所述数据流的数据包。5.根据权利要求1至4之一所述的系统(100)，其特征在于：所述FE(102)用于：当数据流与可疑流量的预定模式匹配时，将所述数据流的流状态设置或更新为“可疑”，并用于将所述数据流复制到所述IE(104)，以便进行归类。6.根据权利要求1至5之一所述的系统(100)，其特征在于：所述FE(102)用于将任意一个接收到的数据流(103)的流状态更改为“可疑”。7.根据权利要求5或6所述的系统(100)，其特征在于，所...

【专利技术属性】
技术研发人员：沙哈尔·斯纳皮里，艾许·贾勒奥尔，伊兰·甘佩尔，阿亚尔·巴龙，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44