CN109861993A - 一种基于sdn的流量安全采集方法及系统 - Google Patents
一种基于sdn的流量安全采集方法及系统 Download PDFInfo
- Publication number
- CN109861993A CN109861993A CN201910035580.0A CN201910035580A CN109861993A CN 109861993 A CN109861993 A CN 109861993A CN 201910035580 A CN201910035580 A CN 201910035580A CN 109861993 A CN109861993 A CN 109861993A
- Authority
- CN
- China
- Prior art keywords
- sdn
- flow
- acquisition
- sdn switch
- collection point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN的流量安全采集方法及系统,该方法包括将SDN交换机以透传的方式接入网络终端与外部网络之间;SDN控制器将部分或全部SDN交换机作为采集点,随机从流量采集协议库中选择采集协议,同时将相应的转发和数据处理规则下发到全部SDN交换机,其中未作为采集点的SDN交换机为转发SDN交换机,采集点SDN交换机用于采集流量并进行传输,转发SDN交换机仅用于转发数据;SDN控制器将网络终端与外部网络的流量进行端口镜像,将流量加密后进行传输;采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器。本发明基于SDN具备可编程的特性,基于自定义协议、虚拟节点等方式大大增强了数据传输安全性和采集服务器安全性。
Description
技术领域
本发明涉及通讯领域,尤其涉及一种基于SDN的流量安全采集方法及系统。
背景技术
当前,通过流量采集技术对网络状态进行分析已成为网络自动运维、网络安全威胁检测的重要手段,但在现有流量采集方法对采集数据安全的考虑的少,往往缺乏安全保护手段,或者采用的安全防御不足,面临中间人攻击、数据窃取、DoS/DDoS攻击等安全威胁。如现有的流量安全采集方法:网络流量采集方法、系统及服务器(申请号:CN201510861219.5,申请日期:2015.12.01),通过引入流量标识进行策略判断,该方案可以引入一定的安全特征,但由于缺乏加密等手段,数据存在被窃取、篡改等风险;基于微服务组件的网络流量采集和分析系统(申请号:CN201610930748.0,申请日期:2016.10.31),基于微服务架构进行数据采集,大大提高了数据采集的性能和抗毁能力,但该方案在针对数据篡改、窃取等方面缺乏安全机制;一种基于隧道协议的OpenStack流量采集方法(申请号:CN201711428748.1,申请日期:2017.12.26),该方案采用基于镜像流量和隧道的方式传输采集数据,大大增强了数据传输的安全性,但其数据采集服务器需要采用额外的安全手段抵御DoS/DDoS等攻击。
发明内容
本发明针对现有流量采集方法面临的安全问题,提出一种基于SDN(软件定义网络)的流量安全采集方法及系统。具体针对以下几个方面的问题提出解决方案:
1)如何克服采集协议本身存在的安全问题,防范由于协议问题引发的数据采集安全问题;
2)如何保护数据安全,解决数据在传输过程中存在的数据篡改和窃取问题;
3)如何保护数据采集服务器安全,防止通过DoS/DDoS等方式对数据采集服务器发起拒绝服务攻击。
本发明提供的一种基于SDN的流量安全采集方法,包括:将SDN交换机以透传的方式接入网络终端与外部网络之间;SDN控制器将部分或全部SDN交换机作为采集点,随机从流量采集协议库中选择采集协议,同时将相应的转发和数据处理规则下发到全部SDN交换机,其中未作为采集点的SDN交换机为转发SDN交换机,采集点SDN交换机用于采集流量并进行传输,转发SDN交换机仅用于转发数据;SDN控制器将网络终端与外部网络的流量进行端口镜像,采集点SDN交换机将流量加密后进行传输;采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器。
进一步,所述将流量加密后进行传输具体包括:
由SDN控制器与采集服务器协商,获取数据加密的公钥,并将公钥传递给采集点SDN交换机;采集点SDN交换机基于公钥与采集服务器协商通信密钥,并基于该协商的通信密钥将采集流量进行加密,并封装到传输隧道中;采集服务器在接收到采集流量后利用协商的通信密钥对流量进行解密从而还原采集流量。
进一步,各个采集点共用一个密钥或者使用不同密钥。
进一步,所述随机从流量采集协议库中选择采集协议具体包括:
当某一采集点SDN交换机进行流量采集时,由SDN控制器从流量采集协议库中选择一种采集协议进行流量采集;当另一采集点SDN交换机进行流量采集时,由SDN控制器从流量采集协议库中选择另外一种采集协议进行流量采集。
进一步,所述采集协议可以为公开标准协议,也可以为自定义协议。
进一步,所述采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器具体包括:
SDN控制器生成多个虚拟节点,形成虚拟节点地址池,并将虚拟节点地址池中的多个IP地址分配给虚拟节点,并将对应的转发规则下发给全部SDN交换机,将采集服务器映射到虚拟节点中,其中采集服务器数量小于虚拟节点数量;采集点SDN交换机对镜像流量按照负载均衡算法发送至映射到采集服务器的虚拟节点,同时按照一定比例生成数据包发往未映射采集服务器的虚拟节点;若数据被转发至映射到采集服务器的虚拟节点,则采集点SDN交换机将数据包发送给采集服务器;若转发至未映射到采集服务器的虚拟节点,则转发SDN交换机在转发的最后一跳丢弃数据包。
进一步,SDN控制器基于一定的时间周期更新虚拟节点地址池。
进一步,按照一定比例生成的数据包可以是伪造的数据包,也可以是采集的流量数据。
本发明另一方面提供的一种基于SDN的流量安全采集系统,包括SDN交换机网络、SDN控制器、采集服务器和虚拟节点;SDN交换机网络包括若干SDN交换机,且SDN交换机以透传的方式接入网络终端与外部网络之间;SDN控制器用于将部分或全部SDN交换机作为采集点,随机从流量采集协议库中选择采集协议,同时将相应的转发和数据处理规则下发到全部SDN交换机,其中未作为采集点的SDN交换机为转发SDN交换机,采集点SDN交换机用于采集流量并进行传输,转发SDN交换机仅用于转发数据;SDN控制器还用于将网络终端与外部网络的流量进行端口镜像,采集点SDN交换机将流量加密后进行传输;采集点SDN交换机或转发SDN交换机还用于根据流量指向的虚拟节点进行判断,将流量传递给采集服务器。
进一步,采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器的方法包括:
SDN控制器生成多个虚拟节点,形成虚拟节点地址池,并将虚拟节点地址池中的多个IP地址分配给虚拟节点,并将对应的转发规则下发给全部SDN交换机,将采集服务器映射到虚拟节点中,其中采集服务器数量小于虚拟节点数量;采集点SDN交换机对镜像流量按照负载均衡算法发送至映射到采集服务器的虚拟节点,同时按照一定比例生成数据包发往未映射采集服务器的虚拟节点;若数据被转发至映射到采集服务器的虚拟节点,则采集点SDN交换机将数据包发送给采集服务器;若转发至未映射到采集服务器的虚拟节点,则转发SDN交换机在转发的最后一跳丢弃数据包。
本发明基于SDN具备可编程的特性,基于自定义协议、虚拟节点等方式大大增强了数据传输安全性和采集服务器安全性,相比现有方案主要具备以下有益效果和优点:
1.通过加密隧道传输采集数据,确保数据不被篡改、窃取;
2.利用采集协议地址池实现基于采集的多协议采集方法,提升数据采集通道的安全性,大大降低了由采集协议漏洞引发的数据安全风险;
3.所有采集流量发往虚拟节点,使得针对虚拟节点发动的攻击无效,大大降低针对探针采集系统的DoS和DDoS攻击效能。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明实施例的流量安全采集系统部署示意图;
图2为本发明实施例的中间人攻击示意图;
图3为本发明实施例的DoS/DDoS攻击示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本发明所提出的方案中,主要由SDN交换机、SDN控制器、本地采集服务器和虚拟节点四个部分构成,他们通过组网接入被采集网络构成完整的流量采集系统。本发明实现的工作原理与具体的部署方式无关,因此仅采用图1给出的一种典型的流量采集部署方案说明工作原理。
在图1的部署方案中,流量采集将对网络终端到外部网络的数据流量进行镜像采集,通过SDN交换机1采集镜像流量,然后经过SDN交换机2转发到采集服务器中。在其他实施例中,也可以不用经过SDN交换机2进行转发,而是直接由SDN交换机1将采集到的流量传输到采集服务器。本实施例的流量采集工作原理如下:
1)SDN交换机1以透传的方式接入网络终端与外部网络中,因此网络终端与外部网络对SDN交换机1无感;
2)SDN控制器将SDN交换机1作为采集点,随机从流量采集协议库中选择采集协议,同时将相应的转发和数据处理规则下发到SDN交换机1和SDN交换机2;
3)SDN控制器将网络终端与外部网络的流量进行端口镜像,SDN交换机1将流量加密传递到SDN交换机2;
4)SDN交换机2根据流量指向的虚拟节点进行判断,将流量传递给采集服务器。
下面以中间人攻击为例说明数据传输防篡改和窃取原理,如图2所示。在图2中SDN交换机1和SDN交换机3分别采集流量数据通过SDN交换机2发往采集服务器。在数据链路中,两条链路均被攻击者劫持,本实施例通过流量加密和动态流量采集协议确保数据传输安全。
1.流量加密
在本实施例的攻击中,通过采用公私钥加密机制对流量进行加密,防止攻击者破译数据,从而无法窃取或篡改数据。在本实施例对各个采集点共用一个密钥,还是单独使用不同密钥不做限定,其加密方案如下:
1)由SDN控制器与采集服务器协商,获取数据加密的公钥,并将公钥传递给采集节点SDN交换机1;
2)SDN交换机1基于该公钥与采集服务器协商通信密钥,基于该协商的通信密钥将采集流量进行加密,并封装到传输隧道中;
3)采集服务器在接收到采集流量后利用协商的通信密钥对流量进行解密从而还原采集流量。
2.动态流量采集协议
在本实施例的攻击中,同时由于SDN交换机1和SDN交换3在数据传输过程中采用不同的协议(可以是公开标准协议,也可以是自定义协议)进行封装,当攻击者发现其中一个协议漏洞时,仅对采用该协议的流量采集产生安全威胁,不会影响到另一个协议。其具体原理如下:
1)当SDN交换机1进行流量采集时,由SDN控制器从流量采集协议库中选择一种采集协议进行流量采集,比如sFlow。
2)当SDN交换机3进行流量采集时,由SDN控制器从流量采集协议库中选择一种采集协议进行流量采集,比如SNMP。
3)当攻击者利用SNMP协议漏洞发起攻击时,由于SDN交换机1采用了sFlow协议,则该攻击不会对SDN交换机1采集的造成影响。
下面结合具体实施例说明通过虚拟节点技术针对DoS/DDoS攻击防范原理,如图3所示。在流量采集过程中,如果攻击者知道了采集服务器地址,则可采用DoS/DDoS攻击的方式对采集服务器发起攻击,从而瘫痪系统采集能力。通过引入虚拟节点,对DoS/DDoS攻击进行防范,其工作原理如下:
1)SDN控制器生成多个虚拟节点,生成虚拟节点地址池,并将虚拟节点地址池中的多个IP地址分配给虚拟节点,并将对应的转发规则下发给SDN交换机1和SDN交换机2,比如虚拟节点地址池包括192.168.2.2、192.168.2.3、192.168.2.4和192.168.2.5,其中将采集服务器映射到虚拟节点192.168.2.2和192.168.2.5。
2)SDN交换机1对镜像流量按照负载均衡算法分别发送到虚拟节点192.168.2.2和192.168.2.5,同时按照1:1或其他根据应用环境确定的比例生成数据包(该数据包不会被采集服务器接收,其作用是扰乱攻击者,因此其数据包可以是伪造的数据包,也可以是采集数据流)分别发往虚拟节点192.168.2.3和192.168.2.4。
3)SDN交换机2接收到SDN交换机1的数据包,仅将发往192.168.2.2和192.168.2.5的数据包转发给采集服务器。
4)SDN控制器基于一定的时间周期更新虚拟节点地址池。
由于引入了虚拟节点,当虚拟池足够大时,真实采集流量被混合在虚拟节点中,使得攻击者无法准确分析采集服务器地址,同时周期性更新虚拟池进一步增加了攻击者准确获取到采集服务器地址的难度,从而大大减少了DoS/DDoS攻击效能。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (10)
1.一种基于SDN的流量安全采集方法,其特征在于,包括:
将SDN交换机以透传的方式接入网络终端与外部网络之间;
SDN控制器将部分或全部SDN交换机作为采集点,随机从流量采集协议库中选择采集协议,同时将相应的转发和数据处理规则下发到全部SDN交换机,其中未作为采集点的SDN交换机为转发SDN交换机,采集点SDN交换机用于采集流量并进行传输,转发SDN交换机仅用于转发数据;
SDN控制器将网络终端与外部网络的流量进行端口镜像,采集点SDN交换机将流量加密后进行传输;
采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器。
2.根据权利要求1所述的一种基于SDN的流量安全采集方法,其特征在于,所述将流量加密后进行传输具体包括:
由SDN控制器与采集服务器协商,获取数据加密的公钥,并将公钥传递给采集点SDN交换机;
采集点SDN交换机基于公钥与采集服务器协商通信密钥,并基于该协商的通信密钥将采集流量进行加密,并封装到传输隧道中;
采集服务器在接收到采集流量后利用协商的通信密钥对流量进行解密从而还原采集流量。
3.根据权利要求2所述的一种基于SDN的流量安全采集方法,其特征在于,各个采集点共用一个密钥或者使用不同密钥。
4.根据权利要求1所述的一种基于SDN的流量安全采集方法,其特征在于,所述随机从流量采集协议库中选择采集协议具体包括:
当某一采集点SDN交换机进行流量采集时,由SDN控制器从流量采集协议库中选择一种采集协议进行流量采集;
当另一采集点SDN交换机进行流量采集时,由SDN控制器从流量采集协议库中选择另外一种采集协议进行流量采集。
5.根据权利要求4所述的一种基于SDN的流量安全采集方法,其特征在于,所述采集协议可以为公开标准协议,也可以为自定义协议。
6.根据权利要求1所述的一种基于SDN的流量安全采集方法,其特征在于,所述采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器具体包括:
SDN控制器生成多个虚拟节点,形成虚拟节点地址池,并将虚拟节点地址池中的多个IP地址分配给虚拟节点,并将对应的转发规则下发给全部SDN交换机,将采集服务器映射到虚拟节点中,其中采集服务器数量小于虚拟节点数量;
采集点SDN交换机对镜像流量按照负载均衡算法发送至映射到采集服务器的虚拟节点,同时按照一定比例生成数据包发往未映射采集服务器的虚拟节点;
若数据被转发至映射到采集服务器的虚拟节点,则采集点SDN交换机将数据包发送给采集服务器;若转发至未映射到采集服务器的虚拟节点,则转发SDN交换机在转发的最后一跳丢弃数据包。
7.根据权利要求6所述的一种基于SDN的流量安全采集方法,其特征在于,SDN控制器基于一定的时间周期更新虚拟节点地址池。
8.根据权利要求6所述的一种基于SDN的流量安全采集方法,其特征在于,按照一定比例生成的数据包可以是伪造的数据包,也可以是采集的流量数据。
9.一种基于SDN的流量安全采集系统,其特征在于,包括SDN交换机网络、SDN控制器、采集服务器和虚拟节点;SDN交换机网络包括若干SDN交换机,且SDN交换机以透传的方式接入网络终端与外部网络之间;
SDN控制器用于将部分或全部SDN交换机作为采集点,随机从流量采集协议库中选择采集协议,同时将相应的转发和数据处理规则下发到全部SDN交换机,其中未作为采集点的SDN交换机为转发SDN交换机,采集点SDN交换机用于采集流量并进行传输,转发SDN交换机仅用于转发数据;
SDN控制器还用于将网络终端与外部网络的流量进行端口镜像,采集点SDN交换机将流量加密后进行传输;
采集点SDN交换机或转发SDN交换机还用于根据流量指向的虚拟节点进行判断,将流量传递给采集服务器。
10.根据权利要求9所述的一种基于SDN的流量安全采集系统,其特征在于,采集点SDN交换机或转发SDN交换机根据流量指向的虚拟节点进行判断,将流量传递给采集服务器的方法包括:
SDN控制器生成多个虚拟节点,形成虚拟节点地址池,并将虚拟节点地址池中的多个IP地址分配给虚拟节点,并将对应的转发规则下发给全部SDN交换机,将采集服务器映射到虚拟节点中,其中采集服务器数量小于虚拟节点数量;
采集点SDN交换机对镜像流量按照负载均衡算法发送至映射到采集服务器的虚拟节点,同时按照一定比例生成数据包发往未映射采集服务器的虚拟节点;
若数据被转发至映射到采集服务器的虚拟节点,则采集点SDN交换机将数据包发送给采集服务器;若转发至未映射到采集服务器的虚拟节点,则转发SDN交换机在转发的最后一跳丢弃数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910035580.0A CN109861993B (zh) | 2019-01-15 | 2019-01-15 | 一种基于sdn的流量安全采集方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910035580.0A CN109861993B (zh) | 2019-01-15 | 2019-01-15 | 一种基于sdn的流量安全采集方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109861993A true CN109861993A (zh) | 2019-06-07 |
| CN109861993B CN109861993B (zh) | 2021-08-13 |
Family
ID=66894897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910035580.0A Active CN109861993B (zh) | 2019-01-15 | 2019-01-15 | 一种基于sdn的流量安全采集方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109861993B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110493146A (zh) * | 2019-08-12 | 2019-11-22 | 广东电网有限责任公司 | 一种边缘智能网络感知平台及控制方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144135B (zh) * | 2014-07-25 | 2017-06-13 | 电子科技大学 | 用于多播虚拟网络的资源分配方法及抗毁资源分配方法 |
| CN106411820B (zh) * | 2015-07-29 | 2019-05-21 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
| CN105099936B (zh) * | 2015-08-31 | 2018-10-12 | 联想(北京)有限公司 | 一种网络资源配置方法、设备和网络系统 |
| CN105306622B (zh) * | 2015-11-30 | 2018-08-10 | 南京优速网络科技有限公司 | 一种云网融合域名解析系统及其dns服务方法 |
| CN106453416A (zh) * | 2016-12-01 | 2017-02-22 | 广东技术师范学院 | 一种基于深信度网络的分布式攻击入侵的检测方法 |
| CN107404421A (zh) * | 2017-09-18 | 2017-11-28 | 赛尔网络有限公司 | 流量监测、监管方法及系统 |
| CN108055232B (zh) * | 2017-10-30 | 2020-11-06 | 中国人民解放军空军工程大学 | 一种高速轻量级拟态虚拟网构建方法 |
| CN108039965B (zh) * | 2017-12-07 | 2020-09-01 | 江南大学 | 一种面向仿真网络的链路数据采集方法 |
| CN108111542A (zh) * | 2018-01-30 | 2018-06-01 | 深圳大学 | 基于SDN的物联网DDoS攻击防御方法、装置、设备及介质 |
-
2019
- 2019-01-15 CN CN201910035580.0A patent/CN109861993B/zh active Active
Non-Patent Citations (1)
| Title |
|---|
| 杨洋,杨家海,秦董洪,王于丁,凌晓: "《DraLCD:一种新的数据中心流量工程方法》", 《电子学报》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110493146A (zh) * | 2019-08-12 | 2019-11-22 | 广东电网有限责任公司 | 一种边缘智能网络感知平台及控制方法 |
| CN110493146B (zh) * | 2019-08-12 | 2023-11-07 | 广东电网有限责任公司 | 一种边缘智能网络感知平台及控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109861993B (zh) | 2021-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bella et al. | Kerberos version IV: Inductive analysis of the secrecy goals | |
| US8413248B2 (en) | Method for secure single-packet remote authorization | |
| CN103491072B (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
| US7814546B1 (en) | Method and system for integrated computer networking attack attribution | |
| EP1203280B1 (en) | System and method for protecting a computer network against denial of service attacks | |
| Vanhoef et al. | Practical verification of WPA-TKIP vulnerabilities | |
| CN111464503B (zh) | 基于随机多维变换的网络动态防御方法、装置及系统 | |
| CN100580652C (zh) | 用于光纤信道公共传输的机密性保护的方法和装置 | |
| CN103457931A (zh) | 一种网络诱骗与反攻击的主动防御方法 | |
| US20090019537A1 (en) | Systems and methods for inhibiting attacks with a network | |
| CN109327426A (zh) | 一种防火墙攻击防御方法 | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 | |
| CN113746788A (zh) | 一种数据处理方法及装置 | |
| WO2013172743A1 (ru) | Способ защищенного взаимодействия устройства клиента с сервером по сети интернет | |
| Lee et al. | The case for in-network replay suppression | |
| WO2019093932A1 (en) | Lawful interception security | |
| Park et al. | Session management for security systems in 5g standalone network | |
| CN100512108C (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| CN109861993A (zh) | 一种基于sdn的流量安全采集方法及系统 | |
| CN115664740B (zh) | 基于可编程数据平面的数据包转发攻击防御方法及系统 | |
| CN111447588A (zh) | 一种基于端信息跳变的车联网安全通信方法、系统及应用 | |
| CN115835193B (zh) | 一种数据安全传输方法及系统 | |
| Chuat et al. | Security Analysis | |
| Ciobanu et al. | Steganography and cryptography over network protocols | |
| Bocovich | Recipes for Resistance: A Censorship circumvention cookbook |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |