1.一種基于SDN的安全設備動態互聯與智能選路決策方法，其特征在于，通過基于SDN的安全設備動態互聯與智能選路決策系統實現，該系統包括：安全事件檢測與智能選路決策單元、SDN交換機集群單元、專業安全設備池單元；其中：

安全事件檢測與智能選路決策單元，用于實時采集專業安全設備池單元中各類安全設備的日志信息，并基于日志信息進行深度分析，對疑似攻擊的數據流作出預判及發出告警，并根據告警類型向SDN交換機集群單元下發Openflow流表指令；

SDN交換機集群單元，作為用戶網絡域、數據中心域、邊界出口域互聯的數據交換節點，用于實時接收下發的Openflow流表指令，通過匹配流表項完成動態調度與專業安全設備池單元中專業安全設備的互聯路徑，用以實現智能選路決策；

專業安全設備池單元，是局域網內各類專用檢測與防護安全設備的部署域，域內設備與SDN交換機集群單元形成聯動機制，動態處理不同類別的疑似攻擊流數據，實現專業安全設備的安全偵測與防護；

安全事件檢測與智能選路決策單元包括：安全日志采集模塊、安全事件分析與告警預判模塊、SDN控制器集群管理模塊、Web圖形化服務模塊及安全事件告警存儲服務器；其中：

安全日志采集模塊，用于采集專業安全設備池單元中各類安全設備所記錄的安全日志信息，并對不同格式的安全日志文件解析為標準的JSON格式輸出；

安全日志分析與告警預判模塊，用于接收安全日志采集模塊上報的JSON格式的安全日志信息，根據預置規則庫，解析安全日志完成內容分析，并依據安全事件類型做出威脅數據流的預判，并向SDN控制器集群管理模塊上報預判結果；

SDN控制器集群管理模塊，用于管理局域網內的SDN交換機集群單元并完成Openflow流表的下發，根據安全日志分析與告警模塊上報的安全事件預判結果，動態調度不同的SDN交換機集群單元與專業安全設備池單元中各類安全設備之間的數據流傳輸路徑，實現智能選路選擇與決策；

Web圖形化服務模塊，用于在后端采集安全告警事件，并通過Web UI實現用戶端的安全事件告警圖形化展示，支持按告警類別、告警時間范圍、攻擊源地址、攻擊目標主機地址的條件進行查詢；

安全事件告警存儲服務器，用于存儲安全事件告警預判結果，并為Web服務模塊中的用戶端Web UI圖形化分類展示提供數據支撐；

該方法包括以下步驟：

步驟1、專業安全設備池內安全設備日志存儲：

在初始狀態下，預置專業安全設備池中的防火墻設備作為默認路徑下的安全防護與檢測設備，負責對各類網絡數據報文流進行分析，根據防火墻設備規則，配置域間安全策略、域內安全策略、接口包過濾策略，完成安全事件的預判，并記錄安全日志；

在進行智能選路決策狀態下，專業安全設備池中的專業安全設備作為專用安全防護與檢測設備，負責對SDN交換機集群調度后的網絡數據報文流進行分析，根據設備內置規則，完成安全事件的預判，并記錄安全日志；

步驟2、安全日志采集：

安全日志采集模塊部署logstash數據收集工具，每隔一定時間從安全設備上采集安全日志syslog信息，按照安全設備日志數據字典結構，通過字符串分割、匹配的操作，將不同品牌的安全設備存儲的日志解析為JSON格式輸出，并上報至安全事件分析與告警預判模塊；

步驟3、安全事件分析與預判告警：

安全事件分析與告警預判模塊接收上報的JSON格式日志，在系統中自定義一張安全事件預判映射表；根據安全事件的發生與持續狀態，安全事件的分析與預判分為有狀態和無狀態兩種情況；有狀態的安全事件表現為持續性發生，對一段時間內的日志上下文進行分析，從而完成預判；無狀態的安全事件表現為即發生即判定，安全規則庫使用Suricata規則庫作為異常攻擊的匹配源，與安全規則庫中規則匹配一致即完成預判；

步驟4、選路決策：

SDN控制器集群管理模塊借助SDN交換機完成：根據上報的預判結果決策選擇安全設備互聯鏈路的路徑，將流量導向指定的安全設備進行專業的二次分析與檢測；實現選擇路徑時，SDN控制器集群管理模塊根據安全事件預判映射表中的屬性值，動態選擇SDN交換機集群與專業安全設備池中的安全設備的互聯鏈路；

步驟5、Web圖形化服務：

Web圖形化服務模塊通過后端讀取安全事件告警存儲服務器中的告警事件數據表，通過Web UI實現用戶端的安全事件告警圖形化展示，并支持按告警類別、告警時間范圍、攻擊源地址、攻擊目標主機地址的條件進行查詢，對查詢結果進行可視化展示；

步驟2中的安全設備日志數據字典結構具體為：

安全設備日志字典結構包含8項屬性：

{FROM_DEVICE_ID,FROM_DEVICE_PORT,SECURITY_LEVEL,ATTACK_TYPE_PRE,IP_SRC,IP_DEST,PROTOCOL,SRC_PORT,DEST_PORT,REQUEST_URL}；

其中，FROM_DEVICE_ID及FROM_DEVICE_PORT屬性分別代表上一跳SDN交換機的設備編號及物理端口序號；SECURITY_LEVEL代表安全攻擊事件的級別；ATTACK_TYPE_PRE代表該鏈路中的安全設備預判的攻擊類型；IP_SRC、IP_DEST、PROTOCOL、SRC_PORT、DEST_PORT是數據報文的五元屬性，分別代表源地址、目的地址、協議類型、源端口、目的端口；REQUEST_URL代表了用戶請求的URL地址中User-Agent字段及HTTP狀態碼；

步驟3中安全事件的有狀態和無狀態兩種情況具體為：

(1)有狀態的攻擊類型包括：拒絕服務攻擊類、ATP攻擊類；拒絕服務攻擊類包括：DoS、DDoS、DRDoS；

(2)無狀態的攻擊類型包括：IPS及IDS類、WAF類、內容或行為審計類。