[发明专利]一种基于SDN的流量安全采集方法及系统

说明书

本发明公开了一种基于SDN的流量安全采集方法及系统，该方法包括将SDN交换机以透传的方式接入网络终端与外部网络之间；SDN控制器将部分或全部SDN交换机作为采集点，随机从流量采集协议库中选择采集协议，同时将相应的转发和数据处理规则下发到全部SDN交换机，其中未作为采集点的SDN交换机为转发SDN交换机，采集点SDN交换机用于采集流量并进行传输，转发SDN交换机仅用于转发数据；SDN控制器将网络终端与外部网络的流量进行端口镜像，将流量加密后进行传输；采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断，将流量传递给采集服务器。本发明基于SDN具备可编程的特性，基于自定义协议、虚拟节点等方式大大增强了数据传输安全性和采集服务器安全性。

技术领域

本发明涉及通讯领域，尤其涉及一种基于SDN的流量安全采集方法及系统。

背景技术

当前，通过流量采集技术对网络状态进行分析已成为网络自动运维、网络安全威胁检测的重要手段，但在现有流量采集方法对采集数据安全的考虑的少，往往缺乏安全保护手段，或者采用的安全防御不足，面临中间人攻击、数据窃取、DoS/DDoS攻击等安全威胁。如现有的流量安全采集方法：网络流量采集方法、系统及服务器(申请号：CN201510861219.5，申请日期：2015.12.01)，通过引入流量标识进行策略判断，该方案可以引入一定的安全特征，但由于缺乏加密等手段，数据存在被窃取、篡改等风险；基于微服务组件的网络流量采集和分析系统(申请号：CN201610930748.0，申请日期：2016.10.31)，基于微服务架构进行数据采集，大大提高了数据采集的性能和抗毁能力，但该方案在针对数据篡改、窃取等方面缺乏安全机制；一种基于隧道协议的OpenStack流量采集方法(申请号：CN201711428748.1，申请日期：2017.12.26)，该方案采用基于镜像流量和隧道的方式传输采集数据，大大增强了数据传输的安全性，但其数据采集服务器需要采用额外的安全手段抵御DoS/DDoS等攻击。

发明内容

本发明针对现有流量采集方法面临的安全问题，提出一种基于SDN(软件定义网络)的流量安全采集方法及系统。具体针对以下几个方面的问题提出解决方案：

1)如何克服采集协议本身存在的安全问题，防范由于协议问题引发的数据采集安全问题；

2)如何保护数据安全，解决数据在传输过程中存在的数据篡改和窃取问题；

3)如何保护数据采集服务器安全，防止通过DoS/DDoS等方式对数据采集服务器发起拒绝服务攻击。

本发明提供的一种基于SDN的流量安全采集方法，包括：将SDN交换机以透传的方式接入网络终端与外部网络之间；SDN控制器将部分或全部SDN交换机作为采集点，随机从流量采集协议库中选择采集协议，同时将相应的转发和数据处理规则下发到全部SDN交换机，其中未作为采集点的SDN交换机为转发SDN交换机，采集点SDN交换机用于采集流量并进行传输，转发SDN交换机仅用于转发数据；SDN控制器将网络终端与外部网络的流量进行端口镜像，采集点SDN交换机将流量加密后进行传输；采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断，将流量传递给采集服务器。

进一步，所述将流量加密后进行传输具体包括：

由SDN控制器与采集服务器协商，获取数据加密的公钥，并将公钥传递给采集点SDN交换机；采集点SDN交换机基于公钥与采集服务器协商通信密钥，并基于该协商的通信密钥将采集流量进行加密，并封装到传输隧道中；采集服务器在接收到采集流量后利用协商的通信密钥对流量进行解密从而还原采集流量。

进一步，各个采集点共用一个密钥或者使用不同密钥。

进一步，所述随机从流量采集协议库中选择采集协议具体包括：