CN105610787A - 一种基于sdn的网络流量监测系统 - Google Patents
一种基于sdn的网络流量监测系统 Download PDFInfo
- Publication number
- CN105610787A CN105610787A CN201510782492.9A CN201510782492A CN105610787A CN 105610787 A CN105610787 A CN 105610787A CN 201510782492 A CN201510782492 A CN 201510782492A CN 105610787 A CN105610787 A CN 105610787A
- Authority
- CN
- China
- Prior art keywords
- module
- sdn
- monitoring system
- interface
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN的网络流量监测系统,包含:计算处理模块,用于资源管理调配;SDN控制器模块、SDN交换机模块、存储模块和接口管路模块,其分别通过总线与计算处理模块进行数据互连,其中,所述的SDN控制器模块制定流量监测应用策略并控制SDN交换机模块对网络流量进行监控;存储模块用于提供所述的监测系统配置信息的存储,包括SDN控制器模块、SDN交换机模块的信息存储;接口管路模块用于对外部接口进行管理。本发明可以更好的解决网络流量监测的问题,提供开放的接口,更具性价比的硬件设备。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种基于SDN(SoftwareDefinedNetworking软件定义网络)架构的安全监测方法。
背景技术
SDN(SoftwareDefinedNetworking软件定义网络)是一种新型网络技术架构。有别于传统的网络架构,其将网络的控制层面和数据层面分离。在数据层面,功能更加趋于简单,可按照控制层面的策略进行转发。SDN控制层面一般由控制器担任,由交换机实现数据层面功能。
网络安全一直是网络领域的一个热点问题,在网络中无时不刻不充斥着网络攻击,有DDOS、APT等攻击技术层出不穷,对网络中的设备及应用带来了很大的安全威胁。在传统网络中往往会对网络流量进行监测,不过往往是高昂价格的监测设备,功能单一且不具备高扩展性,难以适应灵活多变的网络攻击,在设备之余对安全分析工作人员带来了更多的要求,他们除需要具备相应的安全知识储备外还需要掌握各类设备的使用方法,更换不同设备又将增加学习成本。另外这类监测设备各自遵循不同的技术标准,难以进行更为便捷的自定义设置,大大的缩减了设备的灵活性和扩展性。
在主流的SDN实现技术中,控制器和交换机之间运行标准的OpenFlow协议,该协议由ONF(开放网络基金会)进行标准制定,从09年的首个版本至今一直在做持续更新。协议中对数据平面的交换设备定义了转发表,并对转发表所遵循的规则进行标准化,交换设备默认遵循转发表进行数据转发,并与SDN架构中的控制器进行及时通信以确保转发表的实时准确性。控制器和交换设备之间通过安全信道在实体之间传递一组与定义的消息,安全信道是将每个交换机设备连接到控制器的接口。交换设备开机启动后,会同用户所定义的控制器发起传输层安全连接。控制器和交换设备相互交换证书进行认证,证书用特定站点的私钥签名,用户必须能够对每个交换设备进行配置,用其中一个证书对控制器进行认证,用另一个向控制器提供交换设备认证。
OpenFlow协议的开源以及提供标准的南向接口,为上层控制器的控制逻辑的实现提供了便捷的方式。用户可以根据自身需要灵活的进行功能的裁剪,并且能根据自身行业特点进行更为精细化的业务定制。控制功能的集中化更加方便了控制器实时对全网状态信息的获取,并且控制器能够对网络资源进行统筹分配。这种特性优势在网络安全领域有很好的应用场景。
传统的网络监测设备往往是一个封闭的盒子,不能提供开放的编程接口,对于用户而言需要有很高的成本去增加新的功能,然而这并不只是时间成本增加,对人力资源也是一种浪费。因为新的功能往往会增加网管人员的学习代价,所以一个开放、灵活的解决方案有很大的需求空间。
发明内容
本发明的目的是提供一种基于SDN的网络流量监测系统,可以更好的解决网络流量监测的问题,提供开放的接口,更具性价比的硬件设备。
为了实现以上目的,本发明是通过以下技术方案实现的:
一种基于SDN的网络流量监测系统,其特点是,包含:
计算处理模块,用于资源管理调配;
SDN控制器模块、SDN交换机模块、存储模块和接口管路模块,其分别通过总线与计算处理模块进行数据互连,其中,所述的SDN控制器模块制定流量监测应用策略并控制SDN交换机模块对网络流量进行监控;
所述的存储模块用于提供所述的监测系统配置信息的存储,包括SDN控制器模块、SDN交换机模块的信息存储;
所述的接口管路模块用于对外部接口进行管理。
所述的SDN控制器模块包含:
流量监测策略模块,用于制定监测应用策略;
与流量监测策略模块互连的流量名称监测模块、匹配规则模块、转换端口模块、端口链路模块和捕获模块;
所述的流量监测策略模块通过流量名称监测模块、匹配规则模块、转换端口模块、端口链路模块确定流量,并将流量镜像转移至对应的捕获模块进行数据包处理。
所述的匹配规则模块对多个信息进行选择匹配。
所述的多个信息包含:匹配的名称、反向链路信息、匹配的包头信息、源IP地址、目的IP地址和需定位的流量的传输层端口号。
所述的外部接口包含网络接口、存储接口、显示接口或外设拓展接口中的一种或几种。
本发明与现有技术相比,具有以下优点:
本发明可以更好的解决网络流量监测的问题,提供开放的接口,更具性价比的硬件设备。
附图说明
图1为本发明一种基于SDN的网络流量监测系统的总体框图;
图2为本发明SDN控制器模块的框图。
具体实施方式
以下结合附图,通过详细说明一个较佳的具体实施例,对本发明做进一步阐述。
如图1所示,一种基于SDN的网络流量监测系统,包含:计算处理模块6,用于资源管理调配;SDN控制器模块5、SDN交换机模块1、存储模块3和接口管路模块4,其分别通过AXI-stream总线与计算处理模块进行数据互连,(AXI-stream总线是单向数据流总线互连,能实现主从式高速数据传输,是FPGA系统处理通路的理想互连方式)其中,所述的SDN控制器模块制定流量监测应用策略并控制SDN交换机模块对网络流量进行监控;所述的存储模块用于提供所述的监测系统配置信息的存储,包括SDN控制器模块、SDN交换机模块的信息存储;所述的接口管路模块用于对外部接口进行管理;以及,电源模块2,用于整个系统电压、电流的管理,保证整个装置的各组成部分能够实现各自的电气特性,为各模块提供稳定的电源输出。
如图2所示,在具体实施例中,上述的SDN控制器模块5包含:流量监测策略模块51,用于制定监测应用策略;与流量监测策略模块51互连的流量名称监测模块52、匹配规则模块53、转换端口模块54、端口链路模块55和捕获模块56;上述的流量监测策略模块51通过流量名称监测模块52、匹配规则模块53、转换端口模块54、端口链路模块55确定流量,并将流量镜像转移至对应的捕获模块56进行数据包处理。SDN控制器模块向上提供可编程的接口,可编程的接口提供监测装置的资源共享、SDN控制器的基础资源共享。
上述的SDN交换机模块可以表示纯软件的SDN交换机,但并不仅限于纯软件实现的SDN交换机,本实施例中将SDN交换机模块由FPGA实现,但这并不意味着本发明专利的装置中SDN交换机仅有这样一种实现方式。
上述的匹配规则模块对多个信息进行选择匹配,相较于OpenFlow协议的流表匹配项的多了反向链路的功能,也就是说可以选择是否增加反向链路的匹配功能。
上述的多个信息包含:匹配的名称、反向链路信息、匹配的包头信息、源IP地址、目的IP地址和需定位的流量的传输层端口号。
上述的外部接口包含网络接口、存储接口、显示接口或外设拓展接口中的一种或几种。
在启动后应用将对数据库中的配置信息进行检索,将还原上次保存的所有配置项。并且启动web服务端口。
在应用启动后将设置好的流量监控策略模块用流表的形式下发策略。在状态将持续的进行交换机信息更新,以便对策略的实施正常情况进行监控。
综上所述,本发明一种基于SDN的网络流量监测系统,可以更好的解决网络流量监测的问题,提供开放的接口,更具性价比的硬件设备。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
Claims (5)
1.一种基于SDN的网络流量监测系统,其特征在于,包含:
计算处理模块,用于资源管理调配;
SDN控制器模块、SDN交换机模块、存储模块和接口管路模块,其分别通过总线与计算处理模块进行数据互连,其中,所述的SDN控制器模块制定流量监测应用策略并控制SDN交换机模块对网络流量进行监控;
所述的存储模块用于提供所述的监测系统配置信息的存储,包括SDN控制器模块、SDN交换机模块的信息存储;
所述的接口管路模块用于对外部接口进行管理。
2.如权利要求1所述的基于SDN的网络流量监测系统,其特征在于,所述的SDN控制器模块包含:
流量监测策略模块,用于制定监测应用策略;
与流量监测策略模块互连的流量名称监测模块、匹配规则模块、转换端口模块、端口链路模块和捕获模块;
所述的流量监测策略模块通过流量名称监测模块、匹配规则模块、转换端口模块、端口链路模块确定流量,并将流量镜像转移至对应的捕获模块进行数据包处理。
3.如权利要求2所述的基于SDN的网络流量监测系统,其特征在于,所述的匹配规则模块对多个信息进行选择匹配。
4.如权利要求3所述的基于SDN的网络流量监测系统,其特征在于,所述的多个信息包含:匹配的名称、反向链路信息、匹配的包头信息、源IP地址、目的IP地址和需定位的流量的传输层端口号。
5.如权利要求1所述的基于SDN的网络流量监测系统,其特征在于,所述的外部接口包含网络接口、存储接口、显示接口或外设拓展接口中的一种或几种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510782492.9A CN105610787B (zh) | 2015-11-16 | 2015-11-16 | 一种基于sdn的网络流量监测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510782492.9A CN105610787B (zh) | 2015-11-16 | 2015-11-16 | 一种基于sdn的网络流量监测系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105610787A true CN105610787A (zh) | 2016-05-25 |
CN105610787B CN105610787B (zh) | 2019-03-01 |
Family
ID=55990325
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510782492.9A Active CN105610787B (zh) | 2015-11-16 | 2015-11-16 | 一种基于sdn的网络流量监测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105610787B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770098A (zh) * | 2017-09-05 | 2018-03-06 | 全球能源互联网研究院有限公司 | 一种基于sdn的变电站站内通信引流方法及系统 |
CN108989147A (zh) * | 2018-07-16 | 2018-12-11 | 西安电子科技大学 | 基于fpga的sdn网络流量测量系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103095521A (zh) * | 2012-12-18 | 2013-05-08 | 华为技术有限公司 | 流量检测的控制方法、系统、装置、控制器及检测设备 |
CN104168144A (zh) * | 2014-08-22 | 2014-11-26 | 国都兴业信息审计系统技术(北京)有限公司 | 一种对sdn网络进行审计的方法 |
CN104331780A (zh) * | 2014-11-21 | 2015-02-04 | 国家电网公司 | 业务流程监测系统 |
US20150188933A1 (en) * | 2013-12-26 | 2015-07-02 | Guardicore Ltd. | Dynamic selection of network traffic for file extraction and shellcode detection |
-
2015
- 2015-11-16 CN CN201510782492.9A patent/CN105610787B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103095521A (zh) * | 2012-12-18 | 2013-05-08 | 华为技术有限公司 | 流量检测的控制方法、系统、装置、控制器及检测设备 |
US20150188933A1 (en) * | 2013-12-26 | 2015-07-02 | Guardicore Ltd. | Dynamic selection of network traffic for file extraction and shellcode detection |
CN104168144A (zh) * | 2014-08-22 | 2014-11-26 | 国都兴业信息审计系统技术(北京)有限公司 | 一种对sdn网络进行审计的方法 |
CN104331780A (zh) * | 2014-11-21 | 2015-02-04 | 国家电网公司 | 业务流程监测系统 |
Non-Patent Citations (2)
Title |
---|
王毅 等: "软件定义网络在电网企业的应用研究", 《电力信息与通信技术》 * |
罗瑞龙: "SDN网络的测量和监测子系统的设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770098A (zh) * | 2017-09-05 | 2018-03-06 | 全球能源互联网研究院有限公司 | 一种基于sdn的变电站站内通信引流方法及系统 |
CN108989147A (zh) * | 2018-07-16 | 2018-12-11 | 西安电子科技大学 | 基于fpga的sdn网络流量测量系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105610787B (zh) | 2019-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lin et al. | A west-east bridge based SDN inter-domain testbed | |
CN107852365B (zh) | 用于动态vpn策略模型的方法和装置 | |
CN102884763B (zh) | 跨数据中心的虚拟机迁移方法、服务控制网关及系统 | |
CN107147509B (zh) | 虚拟专用网业务实现方法、装置及通信系统 | |
CN105706393B (zh) | 在链路聚合组中支持操作者命令的方法和系统 | |
CN102096405B (zh) | 基于S-Link和VLAN技术的远程工业网络监控的方法及系统 | |
Nam et al. | A Study on SDN security enhancement using open source IDS/IPS Suricata | |
CN105591955A (zh) | 一种报文传输的方法和装置 | |
CN101843033A (zh) | 针对自动化网络的实时通信安全性 | |
US11962495B2 (en) | Data transmission method and system | |
CN103795630B (zh) | 一种标签交换网络的报文传输方法和装置 | |
CN107566237A (zh) | 一种数据报文处理方法及装置 | |
CN108604997A (zh) | 用于对差异化服务编码点(dscp)和显式拥塞通知(ecn)的监视进行配置的控制平面的方法和设备 | |
CN202331135U (zh) | 基于S-Link和VLAN技术的远程工业网络监控的系统 | |
CN105119911A (zh) | 一种基于sdn流的安全认证方法及系统 | |
CN108604999A (zh) | 用于监视差异化服务编码点(dscp)和显式拥塞通知(ecn)的数据平面方法和设备 | |
CN108390937A (zh) | 远程监控方法、装置及存储介质 | |
Seewald | Building an architecture based on IP-Multicast for large phasor measurement unit (PMU) networks | |
Olimjonovich | Software Defined Networking: Management of network resources and data flow | |
CN106713519A (zh) | 基于软体定义网络的网络传输方法与系统 | |
Chen et al. | In-network aggregation for privacy-preserving federated learning | |
CN103346950B (zh) | 一种机架式无线控制器用户业务板间负载均摊方法及装置 | |
CN105610787A (zh) | 一种基于sdn的网络流量监测系统 | |
St Juste et al. | Tincan: User-defined p2p virtual network overlays for ad-hoc collaboration | |
CN104320322A (zh) | 一种报文控制方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |