本發明公開了一種基于SDN的流量安全采集方法及系統，該方法包括將SDN交換機以透傳的方式接入網絡終端與外部網絡之間；SDN控制器將部分或全部SDN交換機作為采集點，隨機從流量采集協議庫中選擇采集協議，同時將相應的轉發和數據處理規則下發到全部SDN交換機，其中未作為采集點的SDN交換機為轉發SDN交換機，采集點SDN交換機用于采集流量并進行傳輸，轉發SDN交換機僅用于轉發數據；SDN控制器將網絡終端與外部網絡的流量進行端口鏡像，將流量加密后進行傳輸；采集點SDN交換機或轉發SDN交換機根據流量指向的虛擬節點進行判斷，將流量傳遞給采集服務器。本發明基于SDN具備可編程的特性，基于自定義協議、虛擬節點等方式大大增強了數據傳輸安全性和采集服務器安全性。

技術領域

本發明涉及通訊領域，尤其涉及一種基于SDN的流量安全采集方法及系統。

背景技術

當前，通過流量采集技術對網絡狀態進行分析已成為網絡自動運維、網絡安全威脅檢測的重要手段，但在現有流量采集方法對采集數據安全的考慮的少，往往缺乏安全保護手段，或者采用的安全防御不足，面臨中間人攻擊、數據竊取、DoS/DDoS攻擊等安全威脅。如現有的流量安全采集方法：網絡流量采集方法、系統及服務器(申請號：CN201510861219.5，申請日期：2015.12.01)，通過引入流量標識進行策略判斷，該方案可以引入一定的安全特征，但由于缺乏加密等手段，數據存在被竊取、篡改等風險；基于微服務組件的網絡流量采集和分析系統(申請號：CN201610930748.0，申請日期：2016.10.31)，基于微服務架構進行數據采集，大大提高了數據采集的性能和抗毀能力，但該方案在針對數據篡改、竊取等方面缺乏安全機制；一種基于隧道協議的OpenStack流量采集方法(申請號：CN201711428748.1，申請日期：2017.12.26)，該方案采用基于鏡像流量和隧道的方式傳輸采集數據，大大增強了數據傳輸的安全性，但其數據采集服務器需要采用額外的安全手段抵御DoS/DDoS等攻擊。

發明內容

本發明針對現有流量采集方法面臨的安全問題，提出一種基于SDN(軟件定義網絡)的流量安全采集方法及系統。具體針對以下幾個方面的問題提出解決方案：

1)如何克服采集協議本身存在的安全問題，防范由于協議問題引發的數據采集安全問題；

2)如何保護數據安全，解決數據在傳輸過程中存在的數據篡改和竊取問題；

3)如何保護數據采集服務器安全，防止通過DoS/DDoS等方式對數據采集服務器發起拒絕服務攻擊。

本發明提供的一種基于SDN的流量安全采集方法，包括：將SDN交換機以透傳的方式接入網絡終端與外部網絡之間；SDN控制器將部分或全部SDN交換機作為采集點，隨機從流量采集協議庫中選擇采集協議，同時將相應的轉發和數據處理規則下發到全部SDN交換機，其中未作為采集點的SDN交換機為轉發SDN交換機，采集點SDN交換機用于采集流量并進行傳輸，轉發SDN交換機僅用于轉發數據；SDN控制器將網絡終端與外部網絡的流量進行端口鏡像，采集點SDN交換機將流量加密后進行傳輸；采集點SDN交換機或轉發SDN交換機根據流量指向的虛擬節點進行判斷，將流量傳遞給采集服務器。

進一步，所述將流量加密后進行傳輸具體包括：

由SDN控制器與采集服務器協商，獲取數據加密的公鑰，并將公鑰傳遞給采集點SDN交換機；采集點SDN交換機基于公鑰與采集服務器協商通信密鑰，并基于該協商的通信密鑰將采集流量進行加密，并封裝到傳輸隧道中；采集服務器在接收到采集流量后利用協商的通信密鑰對流量進行解密從而還原采集流量。

進一步，各個采集點共用一個密鑰或者使用不同密鑰。

進一步，所述隨機從流量采集協議庫中選擇采集協議具體包括：