一種基于sdn的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域��,特別涉及一種基于SDN( Sof tware DefinedNetworking軟件定義網(wǎng)絡(luò))架構(gòu)的安全監(jiān)測方法�����。
【背景技術(shù)】
[0002]SDNCSoftware Defined Networking軟件定義網(wǎng)絡(luò))是一種新型網(wǎng)絡(luò)技術(shù)架構(gòu)����。有別于傳統(tǒng)的網(wǎng)絡(luò)架構(gòu),其將網(wǎng)絡(luò)的控制層面和數(shù)據(jù)層面分離�����。在數(shù)據(jù)層面�����,功能更加趨于簡單�,可按照控制層面的策略進行轉(zhuǎn)發(fā)。SDN控制層面一般由控制器擔任����,由交換機實現(xiàn)數(shù)據(jù)層面功能��。
[0003]網(wǎng)絡(luò)安全一直是網(wǎng)絡(luò)領(lǐng)域的一個熱點問題�,在網(wǎng)絡(luò)中無時不刻不充斥著網(wǎng)絡(luò)攻擊���,有DD0S���、APT等攻擊技術(shù)層出不窮,對網(wǎng)絡(luò)中的設(shè)備及應(yīng)用帶來了很大的安全威脅�����。在傳統(tǒng)網(wǎng)絡(luò)中往往會對網(wǎng)絡(luò)流量進行監(jiān)測�,不過往往是高昂價格的監(jiān)測設(shè)備,功能單一且不具備高擴展性�����,難以適應(yīng)靈活多變的網(wǎng)絡(luò)攻擊���,在設(shè)備之余對安全分析工作人員帶來了更多的要求��,他們除需要具備相應(yīng)的安全知識儲備外還需要掌握各類設(shè)備的使用方法�,更換不同設(shè)備又將增加學習成本。另外這類監(jiān)測設(shè)備各自遵循不同的技術(shù)標準���,難以進行更為便捷的自定義設(shè)置,大大的縮減了設(shè)備的靈活性和擴展性�����。
[0004]在主流的SDN實現(xiàn)技術(shù)中���,控制器和交換機之間運行標準的OpenFlow協(xié)議�����,該協(xié)議由ONF(開放網(wǎng)絡(luò)基金會)進行標準制定����,從09年的首個版本至今一直在做持續(xù)更新���。協(xié)議中對數(shù)據(jù)平面的交換設(shè)備定義了轉(zhuǎn)發(fā)表�,并對轉(zhuǎn)發(fā)表所遵循的規(guī)則進行標準化�����,交換設(shè)備默認遵循轉(zhuǎn)發(fā)表進行數(shù)據(jù)轉(zhuǎn)發(fā),并與SDN架構(gòu)中的控制器進行及時通信以確保轉(zhuǎn)發(fā)表的實時準確性�����?���?刂破骱徒粨Q設(shè)備之間通過安全信道在實體之間傳遞一組與定義的消息,安全信道是將每個交換機設(shè)備連接到控制器的接口��。交換設(shè)備開機啟動后�����,會同用戶所定義的控制器發(fā)起傳輸層安全連接����。控制器和交換設(shè)備相互交換證書進行認證���,證書用特定站點的私鑰簽名��,用戶必須能夠?qū)γ總€交換設(shè)備進行配置��,用其中一個證書對控制器進行認證�����,用另一個向控制器提供交換設(shè)備認證��。
[0005]OpenFlow協(xié)議的開源以及提供標準的南向接口�����,為上層控制器的控制邏輯的實現(xiàn)提供了便捷的方式�����。用戶可以根據(jù)自身需要靈活的進行功能的裁剪��,并且能根據(jù)自身行業(yè)特點進行更為精細化的業(yè)務(wù)定制����?����?刂乒δ艿募谢臃奖懔丝刂破鲗崟r對全網(wǎng)狀態(tài)信息的獲取����,并且控制器能夠?qū)W(wǎng)絡(luò)資源進行統(tǒng)籌分配���。這種特性優(yōu)勢在網(wǎng)絡(luò)安全領(lǐng)域有很好的應(yīng)用場景。
[0006]傳統(tǒng)的網(wǎng)絡(luò)監(jiān)測設(shè)備往往是一個封閉的盒子���,不能提供開放的編程接口�����,對于用戶而言需要有很高的成本去增加新的功能�,然而這并不只是時間成本增加��,對人力資源也是一種浪費���。因為新的功能往往會增加網(wǎng)管人員的學習代價��,所以一個開放���、靈活的解決方案有很大的需求空間。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提供一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)���,可以更好的解決網(wǎng)絡(luò)流量監(jiān)測的問題����,提供開放的接口,更具性價比的硬件設(shè)備���。
[0008]為了實現(xiàn)以上目的���,本發(fā)明是通過以下技術(shù)方案實現(xiàn)的:
一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng),其特點是��,包含:
計算處理模塊�����,用于資源管理調(diào)配�;
SDN控制器模塊�、SDN交換機模塊、存儲模塊和接口管路模塊���,其分別通過總線與計算處理模塊進行數(shù)據(jù)互連����,其中�����,所述的SDN控制器模塊制定流量監(jiān)測應(yīng)用策略并控制SDN交換機模塊對網(wǎng)絡(luò)流量進行監(jiān)控;
所述的存儲模塊用于提供所述的監(jiān)測系統(tǒng)配置信息的存儲��,包括SDN控制器模塊���、SDN交換機模塊的信息存儲��;
所述的接口管路模塊用于對外部接口進行管理����。
[0009]所述的SDN控制器模塊包含:
流量監(jiān)測策略模塊���,用于制定監(jiān)測應(yīng)用策略�����;
與流量監(jiān)測策略模塊互連的流量名稱監(jiān)測模塊��、匹配規(guī)則模塊�����、轉(zhuǎn)換端口模塊�����、端口鏈路模塊和捕獲模塊��;
所述的流量監(jiān)測策略模塊通過流量名稱監(jiān)測模塊���、匹配規(guī)則模塊��、轉(zhuǎn)換端口模塊�、端口鏈路模塊確定流量����,并將流量鏡像轉(zhuǎn)移至對應(yīng)的捕獲模塊進行數(shù)據(jù)包處理。
[0010]所述的匹配規(guī)則模塊對多個信息進行選擇匹配�。
[0011 ]所述的多個信息包含:匹配的名稱����、反向鏈路信息、匹配的包頭信息��、源IP地址�、目的IP地址和需定位的流量的傳輸層端口號。
[0012]所述的外部接口包含網(wǎng)絡(luò)接口�、存儲接口、顯示接口或外設(shè)拓展接口中的一種或幾種�����。
[0013]本發(fā)明與現(xiàn)有技術(shù)相比,具有以下優(yōu)點:
本發(fā)明可以更好的解決網(wǎng)絡(luò)流量監(jiān)測的問題�,提供開放的接口,更具性價比的硬件設(shè)備�。
【附圖說明】
[0014]圖1為本發(fā)明一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)的總體框圖;
圖2為本發(fā)明SDN控制器模塊的框圖���。
【具體實施方式】
[0015]以下結(jié)合附圖����,通過詳細說明一個較佳的具體實施例����,對本發(fā)明做進一步闡述。
[0016]如圖1所示�,一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng),包含:計算處理模塊6����,用于資源管理調(diào)配;SDN控制器模塊5、SDN交換機模塊1�����、存儲模塊3和接口管路模塊4,其分別通過AX1-stream總線與計算處理模塊進行數(shù)據(jù)互連���,(AX1-stream總線是單向數(shù)據(jù)流總線互連����,能實現(xiàn)主從式高速數(shù)據(jù)傳輸��,是FPGA系統(tǒng)處理通路的理想互連方式)其中�,所述的SDN控制器模塊制定流量監(jiān)測應(yīng)用策略并控制SDN交換機模塊對網(wǎng)絡(luò)流量進行監(jiān)控;所述的存儲模塊用于提供所述的監(jiān)測系統(tǒng)配置信息的存儲,包括SDN控制器模塊�����、SDN交換機模塊的信息存儲�����;所述的接口管路模塊用于對外部接口進行管理����;以及���,電源模塊2�����,用于整個系統(tǒng)電壓��、電流的管理����,保證整個裝置的各組成部分能夠?qū)崿F(xiàn)各自的電氣特性,為各模塊提供穩(wěn)定的電源輸出�����。
[0017]如圖2所示�,在具體實施例中,上述的SDN控制器模塊5包含:流量監(jiān)測策略模塊51��,用于制定監(jiān)測應(yīng)用策略���;與流量監(jiān)測策略模塊51互連的流量名稱監(jiān)測模塊52����、匹配規(guī)則模塊53���、轉(zhuǎn)換端口模塊54���、端口鏈路模塊55和捕獲模塊56;上述的流量監(jiān)測策略模塊51通過流量名稱監(jiān)測模塊52���、匹配規(guī)則模塊53、轉(zhuǎn)換端口模塊54����、端口鏈路模塊55確定流量,并將流量鏡像轉(zhuǎn)移至對應(yīng)的捕獲模塊56進行數(shù)據(jù)包處理���。SDN控制器模塊向上提供可編程的接口����,可編程的接口提供監(jiān)測裝置的資源共享�、SDN控制器的基礎(chǔ)資源共享。
[0018]上述的SDN交換機模塊可以表示純軟件的SDN交換機��,但并不僅限于純軟件實現(xiàn)的SDN交換機����,本實施例中將SDN交換機模塊由FPGA實現(xiàn),但這并不意味著本發(fā)明專利的裝置中SDN交換機僅有這樣一種實現(xiàn)方式��。
[0019]上述的匹配規(guī)則模塊對多個信息進行選擇匹配�����,相較于OpenFlow協(xié)議的流表匹配項的多了反向鏈路的功能���,也就是說可以選擇是否增加反向鏈路的匹配功能��。
[0020]上述的多個信息包含:匹配的名稱���、反向鏈路信息、匹配的包頭信息��、源IP地址���、目的IP地址和需定位的流量的傳輸層端口號�����。
[0021 ]上述的外部接口包含網(wǎng)絡(luò)接口�、存儲接口、顯示接口或外設(shè)拓展接口中的一種或幾種�����。
[0022]在啟動后應(yīng)用將對數(shù)據(jù)庫中的配置信息進行檢索��,將還原上次保存的所有配置項��。并且啟動web服務(wù)端口����。
[0023]在應(yīng)用啟動后將設(shè)置好的流量監(jiān)控策略模塊用流表的形式下發(fā)策略。在狀態(tài)將持續(xù)的進行交換機信息更新�,以便對策略的實施正常情況進行監(jiān)控。
[0024]綜上所述����,本發(fā)明一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng),可以更好的解決網(wǎng)絡(luò)流量監(jiān)測的問題���,提供開放的接口�����,更具性價比的硬件設(shè)備���。
[0025]盡管本發(fā)明的內(nèi)容已經(jīng)通過上述優(yōu)選實施例作了詳細介紹���,但應(yīng)當認識到上述的描述不應(yīng)被認為是對本發(fā)明的限制����。在本領(lǐng)域技術(shù)人員閱讀了上述內(nèi)容后,對于本發(fā)明的多種修改和替代都將是顯而易見的����。因此�����,本發(fā)明的保護范圍應(yīng)由所附的權(quán)利要求來限定。
【主權(quán)項】
1.一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)��,其特征在于�����,包含: 計算處理模塊,用于資源管理調(diào)配��; SDN控制器模塊、SDN交換機模塊��、存儲模塊和接口管路模塊�����,其分別通過總線與計算處理模塊進行數(shù)據(jù)互連,其中�,所述的SDN控制器模塊制定流量監(jiān)測應(yīng)用策略并控制SDN交換機模塊對網(wǎng)絡(luò)流量進行監(jiān)控����; 所述的存儲模塊用于提供所述的監(jiān)測系統(tǒng)配置信息的存儲,包括SDN控制器模塊����、SDN交換機模塊的信息存儲; 所述的接口管路模塊用于對外部接口進行管理��。2.如權(quán)利要求1所述的基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)�����,其特征在于��,所述的SDN控制器模塊包含: 流量監(jiān)測策略模塊�,用于制定監(jiān)測應(yīng)用策略���; 與流量監(jiān)測策略模塊互連的流量名稱監(jiān)測模塊���、匹配規(guī)則模塊��、轉(zhuǎn)換端口模塊��、端口鏈路模塊和捕獲模塊��; 所述的流量監(jiān)測策略模塊通過流量名稱監(jiān)測模塊����、匹配規(guī)則模塊、轉(zhuǎn)換端口模塊����、端口鏈路模塊確定流量,并將流量鏡像轉(zhuǎn)移至對應(yīng)的捕獲模塊進行數(shù)據(jù)包處理���。3.如權(quán)利要求2所述的基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)��,其特征在于��,所述的匹配規(guī)則模塊對多個信息進行選擇匹配����。4.如權(quán)利要求3所述的基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)��,其特征在于����,所述的多個信息包含:匹配的名稱、反向鏈路信息�����、匹配的包頭信息、源IP地址��、目的IP地址和需定位的流量的傳輸層端口號�����。5.如權(quán)利要求1所述的基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)�����,其特征在于���,所述的外部接口包含網(wǎng)絡(luò)接口、存儲接口����、顯示接口或外設(shè)拓展接口中的一種或幾種��。
【專利摘要】本發(fā)明公開了一種基于SDN的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)�,包含:計算處理模塊,用于資源管理調(diào)配�����;SDN控制器模塊���、SDN交換機模塊����、存儲模塊和接口管路模塊�,其分別通過總線與計算處理模塊進行數(shù)據(jù)互連�,其中,所述的SDN控制器模塊制定流量監(jiān)測應(yīng)用策略并控制SDN交換機模塊對網(wǎng)絡(luò)流量進行監(jiān)控�;存儲模塊用于提供所述的監(jiān)測系統(tǒng)配置信息的存儲�,包括SDN控制器模塊��、SDN交換機模塊的信息存儲���;接口管路模塊用于對外部接口進行管理�。本發(fā)明可以更好的解決網(wǎng)絡(luò)流量監(jiān)測的問題���,提供開放的接口�����,更具性價比的硬件設(shè)備���。
【IPC分類】H04L29/06, H04L12/26
【公開號】CN105610787
【申請?zhí)枴緾N201510782492
【發(fā)明人】陳志佳, 林亦雷, 李姝 , 俞睿默, 彭巍, 陳曉露, 周唯
【申請人】國網(wǎng)上海市電力公司, 國網(wǎng)智能電網(wǎng)研究院
【公開日】2016年5月25日
【申請日】2015年11月16日