[发明专利]一种基于SDN的流量安全采集方法及系统

权利要求书

1.一种基于SDN的流量安全采集方法，其特征在于，包括：

将SDN交换机以透传的方式接入网络终端与外部网络之间；

SDN控制器将部分SDN交换机作为采集点，随机从流量采集协议库中选择采集协议，同时将相应的转发和数据处理规则下发到全部SDN交换机，其中未作为采集点的SDN交换机为转发SDN交换机，采集点SDN交换机用于采集流量并进行传输，转发SDN交换机仅用于转发数据；

SDN控制器将网络终端与外部网络的流量进行端口镜像，采集点SDN交换机将流量加密后进行传输；

采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断，将流量传递给采集服务器；

所述采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断，将流量传递给采集服务器具体包括：

SDN控制器生成多个虚拟节点，形成虚拟节点地址池，并将虚拟节点地址池中的多个IP地址分配给虚拟节点，并将对应的转发规则下发给全部SDN交换机，将采集服务器映射到虚拟节点中，其中采集服务器数量小于虚拟节点数量；

采集点SDN交换机对镜像流量按照负载均衡算法发送至映射到采集服务器的虚拟节点，同时按照一定比例生成数据包发往未映射采集服务器的虚拟节点；

若数据被转发至映射到采集服务器的虚拟节点，则采集点SDN交换机将数据包发送给采集服务器；若转发至未映射到采集服务器的虚拟节点，则转发SDN交换机在转发的最后一跳丢弃数据包。

2.根据权利要求1所述的一种基于SDN的流量安全采集方法，其特征在于，所述将流量加密后进行传输具体包括：

由SDN控制器与采集服务器协商，获取数据加密的公钥，并将公钥传递给采集点SDN交换机；

采集点SDN交换机基于公钥与采集服务器协商通信密钥，并基于该协商通信密钥将采集流量进行加密，并封装到传输隧道中；

采集服务器在接收到采集流量后利用协商的通信密钥对流量进行解密从而还原采集流量。

3.根据权利要求2所述的一种基于SDN的流量安全采集方法，其特征在于，各个采集点共用一个密钥或者使用不同密钥。

4.根据权利要求1所述的一种基于SDN的流量安全采集方法，其特征在于，所述随机从流量采集协议库中选择采集协议具体包括：

当某一采集点SDN交换机进行流量采集时，由SDN控制器从流量采集协议库中选择一种采集协议进行流量采集；

当另一采集点SDN交换机进行流量采集时，由SDN控制器从流量采集协议库中选择另外一种采集协议进行流量采集。

5.根据权利要求4所述的一种基于SDN的流量安全采集方法，其特征在于，所述采集协议可以为公开标准协议，也可以为自定义协议。

6.根据权利要求1所述的一种基于SDN的流量安全采集方法，其特征在于，SDN控制器基于一定的时间周期更新虚拟节点地址池。

7.根据权利要求1所述的一种基于SDN的流量安全采集方法，其特征在于，按照一定比例生成的数据包可以是伪造的数据包，也可以是采集的流量数据。

8.一种基于SDN的流量安全采集系统，其特征在于，包括SDN交换机网络、SDN控制器、采集服务器和虚拟节点；SDN交换机网络包括若干SDN交换机，且SDN交换机以透传的方式接入网络终端与外部网络之间；

SDN控制器用于将部分SDN交换机作为采集点，随机从流量采集协议库中选择采集协议，同时将相应的转发和数据处理规则下发到全部SDN交换机，其中未作为采集点的SDN交换机为转发SDN交换机，采集点SDN交换机用于采集流量并进行传输，转发SDN交换机仅用于转发数据；

SDN控制器还用于将网络终端与外部网络的流量进行端口镜像，采集点SDN交换机将流量加密后进行传输；

采集点SDN交换机或转发SDN交换机还用于根据流量指向的虚拟节点进行判断，将流量传递给采集服务器；

采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断，将流量传递给采集服务器的方法包括：

SDN控制器生成多个虚拟节点，形成虚拟节点地址池，并将虚拟节点地址池中的多个IP地址分配给虚拟节点，并将对应的转发规则下发给全部SDN交换机，将采集服务器映射到虚拟节点中，其中采集服务器数量小于虚拟节点数量；

采集点SDN交换机对镜像流量按照负载均衡算法发送至映射到采集服务器的虚拟节点，同时按照一定比例生成数据包发往未映射采集服务器的虚拟节点；

若数据被转发至映射到采集服务器的虚拟节点，则采集点SDN交换机将数据包发送给采集服务器；若转发至未映射到采集服务器的虚拟节点，则转发SDN交换机在转发的最后一跳丢弃数据包。