技術領域

本發明實施例涉及通信技術，尤其涉及數據流處理方法及系統、控制器、交換設備。

背景技術

傳統網絡架構中，通常包括若干路由交換設備，每個路由交換設備可以連接若干主機設備，所有路由交換設備均直接或間接與網關設備相連，由網關設備與外部網絡連接。在對網絡中的流量安全性進行檢測時，可以在網絡的關鍵路徑處部署流量檢測設備。例如，對于一個局域網或者公司網，通常可以在網關設備與外部網絡的連接路徑上部署流量檢測設備，以此檢測局域網或者公司網的整體流量安全性。

隨著通信技術的發展，出現了一種新型的網絡架構，即軟件定義網絡（Software?Defined?Network,簡稱SDN），也被稱為可編程網絡，SDN網絡將網絡設備控制平面與數據轉發平面分離開來，是一種新的網絡控制平面的實現方法，SDN網絡不僅能夠降低網絡復雜度、滿足網絡虛擬化和云計算的要求，還能夠減少數據轉發平面設備的復雜度，因此，是新型網絡架構的發展趨勢。

發明人在對現有技術的研究過程發現，如果在SDN網絡中采用傳統網絡的流量檢測方法，則僅能檢測網絡整體流量的安全性，而難以對網絡內部交換設備之間所傳輸流量的安全性進行檢測，從而導致網絡流量檢測不準確。

發明內容

本發明實施例的目的在于提供一種數據流處理方法及系統、控制器、交換設備，解決SDN網絡中無法檢測交換設備接收或轉發的數據流是否安全的問題。

第一方面，本發明實施例提供一種數據流處理方法，包括：

接收軟件定義網絡中任一交換設備發送的數據流的第一特征信息，根據預設安全規則和所述第一特征信息，檢測所述數據流是否安全，獲得檢測結果；

若所述檢測結果為安全，則為所述數據流制定轉發策略，向所述交換設備下發所述轉發策略，以供所述交換設備根據所述轉發策略對所述數據流進行轉發處理；

若所述檢測結果為不安全，則生成第一指示，并向所述交換設備下發所述第一指示，所述第一指示用以指示所述交換設備丟棄所述數據流。

結合第一方面，在第一方面的第一種可能的實現方式中，所述預設安全規則包括：

禁止或允許具有特定特征信息的數據流發起設備對另一具有特定特征信息的數據流接收設備執行特定操作。

結合第一方面，在第一方面的第二種可能的實現方式中，所述第一特征信息為所述數據流首報文的包頭，或所述數據流的首報文，或所述數據流中包括首報文在內的多個數據包。

結合第一方面或第一方面的第一種可能的實現方式或第一方面的第二種可能的實現方式中，在第一方面的第三種可能的實現方式中，若所述檢測結果為暫時無法確認是否安全，則向所述交換設備下發第二指示，所述第二指示用以指示所述交換設備發送所述數據流的第二特征信息。

結合第一方面的第三種可能的實現方式，在第一方面的第四種可能的實現方式中，所述第二特征信息為所述數據流的首報文，或所述數據流中包括首報文在內的多個數據包，或所述數據流的全部數據包。

第二方面，本發明實施例提供一種數據流處理方法，包括：

接收數據流，判斷存儲的轉發策略表中是否存在所述數據流對應的轉發策略；

若所述轉發策略表中不存在對應的轉發策略，則向軟件定義網絡中的控制器發送所述數據流的第一特征信息；

接收所述控制器下發的處理指示，所述處理指示是所述控制器根據預設安全規則、以及所述第一特征信息檢測所述數據流是否安全后，根據檢測結果下發的；

若所述處理指示為轉發策略，則根據所述轉發策略對所述數據流進行轉發處理，所述轉發策略是控制器在所述檢測結果為安全的情況下為所述數據流制定的；

若所述處理指示為用以指示所述交換設備丟棄所述數據流的第一指示，則根據所述第一指示丟棄所述數據流。

結合第二方面，在第二方面的第一種可能的實現方式中，所述預設安全規則包括：

禁止或允許具有特定特征信息的數據流發起設備對另一具有特定特征信息的數據流接收設備執行特定操作。

結合第二方面，在第二方面的第二種可能的實現方式中，所述數據流的第一特征信息為所述數據流首報文的包頭，或所述數據流的首報文，或所述數據流中包括首報文在內的多個數據包。

結合第二方面或第二方面的第一種可能的實現方式或第二方面的第二種可能的實現方式，在第二方面的第三種可能的實現方式中，還包括：

若所述處理指示為用以指示所述交換設備發送所述數據流的第二特征信息的第二指示，則向所述控制器發送所述數據流的第二特征信息。