The invention discloses a SDN-based traffic safety acquisition method and system, which includes connecting SDN switch to network terminal and external network by transmission; SDN controller takes part or all of SDN switch as acquisition point, randomly chooses acquisition protocol from traffic acquisition protocol library, and sends corresponding forwarding and data processing rules to all SDN switches. Among them, the SDN switch which is not the collection point is the forwarding SDN switch, the collection point SDN switch is used to collect and transmit traffic, and the forwarding SDN switch is only used to forward data; the SDN controller mirrors the traffic between the network terminal and the external network, and transmits the traffic after encryption; the collection point SDN switch or the forwarding SDN switch enters the virtual node according to the traffic direction. Line judgment, transfer traffic to the acquisition server. The invention has programmable characteristics based on SDN, and greatly enhances data transmission security and acquisition server security based on custom protocol and virtual node.
【技术实现步骤摘要】
一种基于SDN的流量安全采集方法及系统
本专利技术涉及通讯领域,尤其涉及一种基于SDN的流量安全采集方法及系统。
技术介绍
当前,通过流量采集技术对网络状态进行分析已成为网络自动运维、网络安全威胁检测的重要手段,但在现有流量采集方法对采集数据安全的考虑的少,往往缺乏安全保护手段,或者采用的安全防御不足,面临中间人攻击、数据窃取、DoS/DDoS攻击等安全威胁。如现有的流量安全采集方法:网络流量采集方法、系统及服务器(申请号:CN201510861219.5,申请日期:2015.12.01),通过引入流量标识进行策略判断,该方案可以引入一定的安全特征,但由于缺乏加密等手段,数据存在被窃取、篡改等风险;基于微服务组件的网络流量采集和分析系统(申请号:CN201610930748.0,申请日期:2016.10.31),基于微服务架构进行数据采集,大大提高了数据采集的性能和抗毁能力,但该方案在针对数据篡改、窃取等方面缺乏安全机制;一种基于隧道协议的OpenStack流量采集方法(申请号:CN201711428748.1,申请日期:2017.12.26),该方案采用基于镜像...
【技术保护点】
1.一种基于SDN的流量安全采集方法,其特征在于,包括:将SDN交换机以透传的方式接入网络终端与外部网络之间;SDN控制器将部分或全部SDN交换机作为采集点,随机从流量采集协议库中选择采集协议,同时将相应的转发和数据处理规则下发到全部SDN交换机,其中未作为采集点的SDN交换机为转发SDN交换机,采集点SDN交换机用于采集流量并进行传输,转发SDN交换机仅用于转发数据;SDN控制器将网络终端与外部网络的流量进行端口镜像,采集点SDN交换机将流量加密后进行传输;采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器。
【技术特征摘要】
1.一种基于SDN的流量安全采集方法,其特征在于,包括:将SDN交换机以透传的方式接入网络终端与外部网络之间;SDN控制器将部分或全部SDN交换机作为采集点,随机从流量采集协议库中选择采集协议,同时将相应的转发和数据处理规则下发到全部SDN交换机,其中未作为采集点的SDN交换机为转发SDN交换机,采集点SDN交换机用于采集流量并进行传输,转发SDN交换机仅用于转发数据;SDN控制器将网络终端与外部网络的流量进行端口镜像,采集点SDN交换机将流量加密后进行传输;采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器。2.根据权利要求1所述的一种基于SDN的流量安全采集方法,其特征在于,所述将流量加密后进行传输具体包括:由SDN控制器与采集服务器协商,获取数据加密的公钥,并将公钥传递给采集点SDN交换机;采集点SDN交换机基于公钥与采集服务器协商通信密钥,并基于该协商的通信密钥将采集流量进行加密,并封装到传输隧道中;采集服务器在接收到采集流量后利用协商的通信密钥对流量进行解密从而还原采集流量。3.根据权利要求2所述的一种基于SDN的流量安全采集方法,其特征在于,各个采集点共用一个密钥或者使用不同密钥。4.根据权利要求1所述的一种基于SDN的流量安全采集方法,其特征在于,所述随机从流量采集协议库中选择采集协议具体包括:当某一采集点SDN交换机进行流量采集时,由SDN控制器从流量采集协议库中选择一种采集协议进行流量采集;当另一采集点SDN交换机进行流量采集时,由SDN控制器从流量采集协议库中选择另外一种采集协议进行流量采集。5.根据权利要求4所述的一种基于SDN的流量安全采集方法,其特征在于,所述采集协议可以为公开标准协议,也可以为自定义协议。6.根据权利要求1所述的一种基于SDN的流量安全采集方法,其特征在于,所述采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器具体包括:SDN控制器生成多个虚拟节点,形成虚拟节点地址池,并将虚拟节点地址池中的多个IP地址分配给虚拟节点,并将对应的转发规则下发给全部SDN交换机,将采集服务器映射到虚拟节点中,其中采集服务器数量小于虚拟节点数量;采集点SDN交换机对...
【专利技术属性】
技术研发人员:李春林,李健,李明,饶志宏,王治,李明桂,
申请(专利权)人:中国电子科技网络信息安全有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。