一種基于sdn的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種基于SDN( Sof tware DefinedNetworking軟件定義網(wǎng)絡(luò))架構(gòu)的安全監(jiān)測(cè)方法。
【背景技術(shù)】
[0002]SDNCSoftware Defined Networking軟件定義網(wǎng)絡(luò))是一種新型網(wǎng)絡(luò)技術(shù)架構(gòu)。有別于傳統(tǒng)的網(wǎng)絡(luò)架構(gòu),其將網(wǎng)絡(luò)的控制層面和數(shù)據(jù)層面分離。在數(shù)據(jù)層面,功能更加趨于簡(jiǎn)單,可按照控制層面的策略進(jìn)行轉(zhuǎn)發(fā)。SDN控制層面一般由控制器擔(dān)任,由交換機(jī)實(shí)現(xiàn)數(shù)據(jù)層面功能。
[0003]網(wǎng)絡(luò)安全一直是網(wǎng)絡(luò)領(lǐng)域的一個(gè)熱點(diǎn)問題,在網(wǎng)絡(luò)中無時(shí)不刻不充斥著網(wǎng)絡(luò)攻擊,有DD0S、APT等攻擊技術(shù)層出不窮,對(duì)網(wǎng)絡(luò)中的設(shè)備及應(yīng)用帶來了很大的安全威脅。在傳統(tǒng)網(wǎng)絡(luò)中往往會(huì)對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè),不過往往是高昂價(jià)格的監(jiān)測(cè)設(shè)備,功能單一且不具備高擴(kuò)展性,難以適應(yīng)靈活多變的網(wǎng)絡(luò)攻擊,在設(shè)備之余對(duì)安全分析工作人員帶來了更多的要求,他們除需要具備相應(yīng)的安全知識(shí)儲(chǔ)備外還需要掌握各類設(shè)備的使用方法,更換不同設(shè)備又將增加學(xué)習(xí)成本。另外這類監(jiān)測(cè)設(shè)備各自遵循不同的技術(shù)標(biāo)準(zhǔn),難以進(jìn)行更為便捷的自定義設(shè)置,大大的縮減了設(shè)備的靈活性和擴(kuò)展性。
[0004]在主流的SDN實(shí)現(xiàn)技術(shù)中,控制器和交換機(jī)之間運(yùn)行標(biāo)準(zhǔn)的OpenFlow協(xié)議,該協(xié)議由ONF(開放網(wǎng)絡(luò)基金會(huì))進(jìn)行標(biāo)準(zhǔn)制定,從09年的首個(gè)版本至今一直在做持續(xù)更新。協(xié)議中對(duì)數(shù)據(jù)平面的交換設(shè)備定義了轉(zhuǎn)發(fā)表,并對(duì)轉(zhuǎn)發(fā)表所遵循的規(guī)則進(jìn)行標(biāo)準(zhǔn)化,交換設(shè)備默認(rèn)遵循轉(zhuǎn)發(fā)表進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),并與SDN架構(gòu)中的控制器進(jìn)行及時(shí)通信以確保轉(zhuǎn)發(fā)表的實(shí)時(shí)準(zhǔn)確性??刂破骱徒粨Q設(shè)備之間通過安全信道在實(shí)體之間傳遞一組與定義的消息,安全信道是將每個(gè)交換機(jī)設(shè)備連接到控制器的接口。交換設(shè)備開機(jī)啟動(dòng)后,會(huì)同用戶所定義的控制器發(fā)起傳輸層安全連接??刂破骱徒粨Q設(shè)備相互交換證書進(jìn)行認(rèn)證,證書用特定站點(diǎn)的私鑰簽名,用戶必須能夠?qū)γ總€(gè)交換設(shè)備進(jìn)行配置,用其中一個(gè)證書對(duì)控制器進(jìn)行認(rèn)證,用另一個(gè)向控制器提供交換設(shè)備認(rèn)證。
[0005]OpenFlow協(xié)議的開源以及提供標(biāo)準(zhǔn)的南向接口,為上層控制器的控制邏輯的實(shí)現(xiàn)提供了便捷的方式。用戶可以根據(jù)自身需要靈活的進(jìn)行功能的裁剪,并且能根據(jù)自身行業(yè)特點(diǎn)進(jìn)行更為精細(xì)化的業(yè)務(wù)定制。控制功能的集中化更加方便了控制器實(shí)時(shí)對(duì)全網(wǎng)狀態(tài)信息的獲取,并且控制器能夠?qū)W(wǎng)絡(luò)資源進(jìn)行統(tǒng)籌分配。這種特性優(yōu)勢(shì)在網(wǎng)絡(luò)安全領(lǐng)域有很好的應(yīng)用場(chǎng)景。
[0006]傳統(tǒng)的網(wǎng)絡(luò)監(jiān)測(cè)設(shè)備往往是一個(gè)封閉的盒子,不能提供開放的編程接口,對(duì)于用戶而言需要有很高的成本去增加新的功能,然而這并不只是時(shí)間成本增加,對(duì)人力資源也是一種浪費(fèi)。因?yàn)樾碌墓δ芡鶗?huì)增加網(wǎng)管人員的學(xué)習(xí)代價(jià),所以一個(gè)開放、靈活的解決方案有很大的需求空間。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提供一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),可以更好的解決網(wǎng)絡(luò)流量監(jiān)測(cè)的問題,提供開放的接口,更具性價(jià)比的硬件設(shè)備。
[0008]為了實(shí)現(xiàn)以上目的,本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的:
一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),其特點(diǎn)是,包含:
計(jì)算處理模塊,用于資源管理調(diào)配;
SDN控制器模塊、SDN交換機(jī)模塊、存儲(chǔ)模塊和接口管路模塊,其分別通過總線與計(jì)算處理模塊進(jìn)行數(shù)據(jù)互連,其中,所述的SDN控制器模塊制定流量監(jiān)測(cè)應(yīng)用策略并控制SDN交換機(jī)模塊對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控;
所述的存儲(chǔ)模塊用于提供所述的監(jiān)測(cè)系統(tǒng)配置信息的存儲(chǔ),包括SDN控制器模塊、SDN交換機(jī)模塊的信息存儲(chǔ);
所述的接口管路模塊用于對(duì)外部接口進(jìn)行管理。
[0009]所述的SDN控制器模塊包含:
流量監(jiān)測(cè)策略模塊,用于制定監(jiān)測(cè)應(yīng)用策略;
與流量監(jiān)測(cè)策略模塊互連的流量名稱監(jiān)測(cè)模塊、匹配規(guī)則模塊、轉(zhuǎn)換端口模塊、端口鏈路模塊和捕獲模塊;
所述的流量監(jiān)測(cè)策略模塊通過流量名稱監(jiān)測(cè)模塊、匹配規(guī)則模塊、轉(zhuǎn)換端口模塊、端口鏈路模塊確定流量,并將流量鏡像轉(zhuǎn)移至對(duì)應(yīng)的捕獲模塊進(jìn)行數(shù)據(jù)包處理。
[0010]所述的匹配規(guī)則模塊對(duì)多個(gè)信息進(jìn)行選擇匹配。
[0011 ]所述的多個(gè)信息包含:匹配的名稱、反向鏈路信息、匹配的包頭信息、源IP地址、目的IP地址和需定位的流量的傳輸層端口號(hào)。
[0012]所述的外部接口包含網(wǎng)絡(luò)接口、存儲(chǔ)接口、顯示接口或外設(shè)拓展接口中的一種或幾種。
[0013]本發(fā)明與現(xiàn)有技術(shù)相比,具有以下優(yōu)點(diǎn):
本發(fā)明可以更好的解決網(wǎng)絡(luò)流量監(jiān)測(cè)的問題,提供開放的接口,更具性價(jià)比的硬件設(shè)備。
【附圖說明】
[0014]圖1為本發(fā)明一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)的總體框圖;
圖2為本發(fā)明SDN控制器模塊的框圖。
【具體實(shí)施方式】
[0015]以下結(jié)合附圖,通過詳細(xì)說明一個(gè)較佳的具體實(shí)施例,對(duì)本發(fā)明做進(jìn)一步闡述。
[0016]如圖1所示,一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),包含:計(jì)算處理模塊6,用于資源管理調(diào)配;SDN控制器模塊5、SDN交換機(jī)模塊1、存儲(chǔ)模塊3和接口管路模塊4,其分別通過AX1-stream總線與計(jì)算處理模塊進(jìn)行數(shù)據(jù)互連,(AX1-stream總線是單向數(shù)據(jù)流總線互連,能實(shí)現(xiàn)主從式高速數(shù)據(jù)傳輸,是FPGA系統(tǒng)處理通路的理想互連方式)其中,所述的SDN控制器模塊制定流量監(jiān)測(cè)應(yīng)用策略并控制SDN交換機(jī)模塊對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控;所述的存儲(chǔ)模塊用于提供所述的監(jiān)測(cè)系統(tǒng)配置信息的存儲(chǔ),包括SDN控制器模塊、SDN交換機(jī)模塊的信息存儲(chǔ);所述的接口管路模塊用于對(duì)外部接口進(jìn)行管理;以及,電源模塊2,用于整個(gè)系統(tǒng)電壓、電流的管理,保證整個(gè)裝置的各組成部分能夠?qū)崿F(xiàn)各自的電氣特性,為各模塊提供穩(wěn)定的電源輸出。
[0017]如圖2所示,在具體實(shí)施例中,上述的SDN控制器模塊5包含:流量監(jiān)測(cè)策略模塊51,用于制定監(jiān)測(cè)應(yīng)用策略;與流量監(jiān)測(cè)策略模塊51互連的流量名稱監(jiān)測(cè)模塊52、匹配規(guī)則模塊53、轉(zhuǎn)換端口模塊54、端口鏈路模塊55和捕獲模塊56;上述的流量監(jiān)測(cè)策略模塊51通過流量名稱監(jiān)測(cè)模塊52、匹配規(guī)則模塊53、轉(zhuǎn)換端口模塊54、端口鏈路模塊55確定流量,并將流量鏡像轉(zhuǎn)移至對(duì)應(yīng)的捕獲模塊56進(jìn)行數(shù)據(jù)包處理。SDN控制器模塊向上提供可編程的接口,可編程的接口提供監(jiān)測(cè)裝置的資源共享、SDN控制器的基礎(chǔ)資源共享。
[0018]上述的SDN交換機(jī)模塊可以表示純軟件的SDN交換機(jī),但并不僅限于純軟件實(shí)現(xiàn)的SDN交換機(jī),本實(shí)施例中將SDN交換機(jī)模塊由FPGA實(shí)現(xiàn),但這并不意味著本發(fā)明專利的裝置中SDN交換機(jī)僅有這樣一種實(shí)現(xiàn)方式。
[0019]上述的匹配規(guī)則模塊對(duì)多個(gè)信息進(jìn)行選擇匹配,相較于OpenFlow協(xié)議的流表匹配項(xiàng)的多了反向鏈路的功能,也就是說可以選擇是否增加反向鏈路的匹配功能。
[0020]上述的多個(gè)信息包含:匹配的名稱、反向鏈路信息、匹配的包頭信息、源IP地址、目的IP地址和需定位的流量的傳輸層端口號(hào)。
[0021 ]上述的外部接口包含網(wǎng)絡(luò)接口、存儲(chǔ)接口、顯示接口或外設(shè)拓展接口中的一種或幾種。
[0022]在啟動(dòng)后應(yīng)用將對(duì)數(shù)據(jù)庫中的配置信息進(jìn)行檢索,將還原上次保存的所有配置項(xiàng)。并且啟動(dòng)web服務(wù)端口。
[0023]在應(yīng)用啟動(dòng)后將設(shè)置好的流量監(jiān)控策略模塊用流表的形式下發(fā)策略。在狀態(tài)將持續(xù)的進(jìn)行交換機(jī)信息更新,以便對(duì)策略的實(shí)施正常情況進(jìn)行監(jiān)控。
[0024]綜上所述,本發(fā)明一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),可以更好的解決網(wǎng)絡(luò)流量監(jiān)測(cè)的問題,提供開放的接口,更具性價(jià)比的硬件設(shè)備。
[0025]盡管本發(fā)明的內(nèi)容已經(jīng)通過上述優(yōu)選實(shí)施例作了詳細(xì)介紹,但應(yīng)當(dāng)認(rèn)識(shí)到上述的描述不應(yīng)被認(rèn)為是對(duì)本發(fā)明的限制。在本領(lǐng)域技術(shù)人員閱讀了上述內(nèi)容后,對(duì)于本發(fā)明的多種修改和替代都將是顯而易見的。因此,本發(fā)明的保護(hù)范圍應(yīng)由所附的權(quán)利要求來限定。
【主權(quán)項(xiàng)】
1.一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),其特征在于,包含: 計(jì)算處理模塊,用于資源管理調(diào)配; SDN控制器模塊、SDN交換機(jī)模塊、存儲(chǔ)模塊和接口管路模塊,其分別通過總線與計(jì)算處理模塊進(jìn)行數(shù)據(jù)互連,其中,所述的SDN控制器模塊制定流量監(jiān)測(cè)應(yīng)用策略并控制SDN交換機(jī)模塊對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控; 所述的存儲(chǔ)模塊用于提供所述的監(jiān)測(cè)系統(tǒng)配置信息的存儲(chǔ),包括SDN控制器模塊、SDN交換機(jī)模塊的信息存儲(chǔ); 所述的接口管路模塊用于對(duì)外部接口進(jìn)行管理。2.如權(quán)利要求1所述的基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),其特征在于,所述的SDN控制器模塊包含: 流量監(jiān)測(cè)策略模塊,用于制定監(jiān)測(cè)應(yīng)用策略; 與流量監(jiān)測(cè)策略模塊互連的流量名稱監(jiān)測(cè)模塊、匹配規(guī)則模塊、轉(zhuǎn)換端口模塊、端口鏈路模塊和捕獲模塊; 所述的流量監(jiān)測(cè)策略模塊通過流量名稱監(jiān)測(cè)模塊、匹配規(guī)則模塊、轉(zhuǎn)換端口模塊、端口鏈路模塊確定流量,并將流量鏡像轉(zhuǎn)移至對(duì)應(yīng)的捕獲模塊進(jìn)行數(shù)據(jù)包處理。3.如權(quán)利要求2所述的基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),其特征在于,所述的匹配規(guī)則模塊對(duì)多個(gè)信息進(jìn)行選擇匹配。4.如權(quán)利要求3所述的基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),其特征在于,所述的多個(gè)信息包含:匹配的名稱、反向鏈路信息、匹配的包頭信息、源IP地址、目的IP地址和需定位的流量的傳輸層端口號(hào)。5.如權(quán)利要求1所述的基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),其特征在于,所述的外部接口包含網(wǎng)絡(luò)接口、存儲(chǔ)接口、顯示接口或外設(shè)拓展接口中的一種或幾種。
【專利摘要】本發(fā)明公開了一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng),包含:計(jì)算處理模塊,用于資源管理調(diào)配;SDN控制器模塊、SDN交換機(jī)模塊、存儲(chǔ)模塊和接口管路模塊,其分別通過總線與計(jì)算處理模塊進(jìn)行數(shù)據(jù)互連,其中,所述的SDN控制器模塊制定流量監(jiān)測(cè)應(yīng)用策略并控制SDN交換機(jī)模塊對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控;存儲(chǔ)模塊用于提供所述的監(jiān)測(cè)系統(tǒng)配置信息的存儲(chǔ),包括SDN控制器模塊、SDN交換機(jī)模塊的信息存儲(chǔ);接口管路模塊用于對(duì)外部接口進(jìn)行管理。本發(fā)明可以更好的解決網(wǎng)絡(luò)流量監(jiān)測(cè)的問題,提供開放的接口,更具性價(jià)比的硬件設(shè)備。
【IPC分類】H04L29/06, H04L12/26
【公開號(hào)】CN105610787
【申請(qǐng)?zhí)枴緾N201510782492
【發(fā)明人】陳志佳, 林亦雷, 李姝 , 俞睿默, 彭巍, 陳曉露, 周唯
【申請(qǐng)人】國(guó)網(wǎng)上海市電力公司, 國(guó)網(wǎng)智能電網(wǎng)研究院
【公開日】2016年5月25日
【申請(qǐng)日】2015年11月16日