本发明专利技术提供一种基于SDN的网络流量异常监测系统,包括:与SDN控制器相互通信的陌生流识别模块、流量分析模块、链路状态分析模块和异常告警模块;基于SDN的架构,灵活的对流量的深度检测和行为分析,从中发现异常流量并实现告警,为高效优质的网络提供保障。
【技术实现步骤摘要】
本专利技术属于通信
,具体涉及一种基于SDN的网络流量异常监测系统。
技术介绍
SDN(SoftwareDefinedNetworking软件定义网络)是一种新型网络技术架构。有别于传统的网络架构,其将网络的控制层面和数据层面分离。在数据层面,功能更加趋于简单,可按照控制层面的策略进行转发。SDN控制层面一般由控制器担任,由交换机实现数据层面功能。网络安全一直是网络领域的一个热点问题,在网络中无时不刻不充斥着网络攻击,有DDOS、APT等攻击技术层出不穷,对网络中的设备及应用带来了很大的安全威胁。在传统网络中往往会对网络流量进行监测,不过往往是高昂价格的监测设备,功能单一且不具备高扩展性,难以适应灵活多变的网络攻击,在设备之余对安全分析工作人员带来了更多的要求,他们除需要具备相应的安全知识储备外还需要掌握各类设备的使用方法,更换不同设备又将增加学习成本。另外这类监测设备各自遵循不同的技术标准,难以变更为便捷的自定义设置,大大的缩减了设备的灵活性和扩展性。在主流的SDN实现技术中,控制器和交换机之间运行标准的OpenFlow协议,该协议由ONF(开放网络基金会)进行标准制定,从09年的首个版本至今一直在做持续更新。协议中对数据平面的交换设备定义了转发表,并对转发表所遵循的规则进行标准化,交换设备默认遵循转发表进行数据转发,并与SDN架构中的控制器进行及时通信以确保转发表的实时准确性。控制器和交换设备之间通过安全信道在实体之间传递一组与定义的消息,安全信道是将每个交换机设备连接到控制器的接口。交换设备开机启动后,会同用户所定义的控制器发起传输层安全连接。控制器和交换设备相互交换证书进行认证,证书用特定站点的私钥签名,用户必须能够对每个交换设备进行配置,用其中一个证书对控制器进行认证,用另一个向控制器提供交换设备认证。OpenFlow协议的开源以及提供标准的南向接口,为上层控制器的控制逻辑的实现提供了便捷的方式。用户可以根据自身需要灵活的进行功能的裁剪,并且能根据自身行业特点进行更为精细化的业务定制。控制功能的集中化更加方便了控制器实时对全网状态信息的获取,并且控制器能够对网络资源进行统筹分配。这种特性优势在网络安全领域有很好的应用场景。传统的网络流量安全监测方法并不能对网络流量进行实时的把控,而且缺乏灵活的管理配置,封闭的协议体系增加了网络管理人员的学习成本。
技术实现思路
为了解决上述问题,本专利技术提出了一种基于SDN的网络流量监测系统,实现了网络流量安全监测;改变了传统网络流量安全监测方法无法对网络流量进行实时把控,且缺乏灵活的管理配置的缺陷。为了实现上述专利技术目的,本专利技术采取如下技术方案:一种基于SDN的网络流量异常监测系统,所述系统包括:与SDN控制器相互通信的陌生流识别模块、流量分析模块、链路状态分析模块和异常告警模块;所述异常告警模块分别与陌生流识别模块、流量分析模块和链路状态分析模块连接;所述SDN控制器,用于对网络流量进行监测;所述陌生流识别模块,用于对网络中未知网络流量进行监测;所述流量分析模块,用于监控网络运行中的流量行为;所述链路状态分析模块,用于对网络设备链路状态进行监测;所述异常告警模块,用于对网络中的异常流量和链路状态进行确认,并提供告警信号。优选的,所述对网络流量进行监测包括,当SDN交换机上传未知流量时,通过SDN控制器对交换机端口及数据帧结构进行解析,获取流量特征信息;将流量特征信息与SDN控制器中的异常流量数据特征库进行对比,并将对比结果传递至异常告警模块。优选的,所述监控网络运行中的流量行为包括,SDN控制器通过获取SDN交换机的状态信息分析流量行为,根据流量行为确认数据包是否包含异常流量,并将分析结果传递给异常告警模块。进一步地,所述分析流量行为包括:收集由SDN交换机主动下发至SDN控制器的状态信息,获取SDN交换机流表信息并对流表的匹配次数进行统计;根据统计数据中的流表Match项进行计数和流表Action项获取流量行为,将该流量行为与异常流量数据特征库中的行为字段进行对比,并将对比结果传递至告警模块;其中,所述流量行为是SDN控制器已被记录的已知流量,与未知流量互斥。优选的,所述对网络设备链路状态进行监测包括,通过SDN控制器获取SDN交换机的状态信息,分析获取的链路状态,并将链路状态信息与异常链路状态特征库进行对比,将对比结果传递至异常告警模块。优选的,所述对网络中的异常流量和链路状态进行确认,并提供告警信号包括,对未知网络流量的特征信息对比结果进行审核,若与异常流量数据特征库吻合即确定为异常流量;对流量行为的对比结果进行审核,若与异常流量数据特征库吻合即确定为异常流量;对链路状态分析对比结果进行审核,若与异常链路状态特征库吻合即确定为异常链路;对确定的异常流量和异常链路提供告警信息。进一步地,所述异常流量数据特征库,包括网络攻击和网络安全的流量数据特征;其中,网络攻击行为特征,包括DDos攻击和蠕虫病毒。进一步地,所述交换机的状态信息,包括交换机端口状态信息和交换机流表状态信息。进一步地,所述异常链路状态特征库,包括链路利用率、链路吞吐量、数据延时和丢包率。进一步地,所述交换机端口状态信息,包括交换机端口带宽,端口数据包转发数量、转发比特、失效数量、失效比特、丢弃数量、丢弃比特和数据包匹配数量信息。与最接近的现有技术相比,本专利技术达到的有益效果是:本专利技术基于SDN架构,支持用户灵活定义监测方式;改变了传统网络流量安全监测方法无法对网络流量进行实时把控,且缺乏灵活的管理配置的缺陷;可实现流量的重新包装,从而提升网络性能。该系统的SDN软件架构特性决定了对网络流量的全局掌控,SDN控制器利用其特性可用于流量的深度检测和行为分析,从中发现异常流量并进行告警,为高效优质的网络提供安全保障。附图说明图1是本专利技术一种基于SDN的网络流量异常监测系统图;图2是本专利技术提供的实施例中基于SDN的网络流量异常监测系统架构图;图3是本专利技术提供的分析流量行为流程图。具体实施方式如图1所示,一种基于SDN的网络流量异常监测系统,所述系统包括:与SDN控制器相互通信的陌生流识别模块、流量分析模块、链路状态分析模块和异常告警模块;所述异常告警模块分别与陌生流识别模块、流量分析模块和链路状态分析模块连接;所述SDN控制器,用于对网络流量进行监测;所述陌生流识别模块,用于对网络中未知网络流量进行监测;当SDN交换机上传未知流量时,通过SDN控制器对交换机端口及数据帧结构进行解析,获取流量特征信息;将流量特征信息与SDN控制器中的异常流量数据特征库进行对比,并将对比结果传递至异常告警模块。所述流量分析模块,用于监控网络运行中的流量行为;SDN控制器通过获取SDN交换机的状态信息分析流量行为,根据流量行为确认数据包是否包含异常流量,并将分析结果传递给异常告警模块。分析流量行为包括:收集由SDN交换机主动下发至SDN控制器的状态信息,获取SDN交换机流表信息并对流表的匹配次数进行统计;根据统计数据中的流表Match项进行计数和流表Action项获取流量行为,将该流量行为与异常流量数据特征库中的行为字段进行对比,并将对比结果传递至告警模块;其中,所述流量行为本文档来自技高网...
【技术保护点】
一种基于SDN的网络流量异常监测系统,其特征在于,所述系统包括:与SDN控制器相互通信的陌生流识别模块、流量分析模块、链路状态分析模块和异常告警模块;所述异常告警模块分别与陌生流识别模块、流量分析模块和链路状态分析模块连接;所述SDN控制器,用于对网络流量进行监测;所述陌生流识别模块,用于对网络中未知网络流量进行监测;所述流量分析模块,用于监控网络运行中的流量行为;所述链路状态分析模块,用于对网络设备链路状态进行监测;所述异常告警模块,用于对网络中的异常流量和链路状态进行确认,并提供告警信号。
【技术特征摘要】
1.一种基于SDN的网络流量异常监测系统,其特征在于,所述系统包括:与SDN控制器相互通信的陌生流识别模块、流量分析模块、链路状态分析模块和异常告警模块;所述异常告警模块分别与陌生流识别模块、流量分析模块和链路状态分析模块连接;所述SDN控制器,用于对网络流量进行监测;所述陌生流识别模块,用于对网络中未知网络流量进行监测;所述流量分析模块,用于监控网络运行中的流量行为;所述链路状态分析模块,用于对网络设备链路状态进行监测;所述异常告警模块,用于对网络中的异常流量和链路状态进行确认,并提供告警信号。2.如权利要求1所述的系统,其特征在于,所述对网络流量进行监测包括,当SDN交换机上传未知流量时,通过SDN控制器对交换机端口及数据帧结构进行解析,获取流量特征信息;将流量特征信息与SDN控制器中的异常流量数据特征库进行对比,并将对比结果传递至异常告警模块。3.如权利要求1所述的系统,其特征在于,所述监控网络运行中的流量行为包括,SDN控制器通过获取SDN交换机的状态信息分析流量行为,根据流量行为确认数据包是否包含异常流量,并将分析结果传递给异常告警模块。4.如权利要求3所述的系统,其特征在于,所述分析流量行为包括:收集由SDN交换机主动下发至SDN控制器的状态信息,获取SDN交换机流表信息并对流表的匹配次数进行统计;根据统计数据中的流表Match项进行计数和流表Action项获取流量行为,将该流量行为与异常流量数据特征库中的行为字段进行对...
【专利技术属性】
技术研发人员:刘川,黄辉,张刚,郭经红,梁云,黄在朝,张小建,喻强,虞跃,陈磊,张增华,邓辉,于鹏飞,吴鹏,李春龙,
申请(专利权)人:国网智能电网研究院,国家电网公司,国网上海市电力公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。