[发明专利]一种基于SDN的用户上网行为收集方法和系统

说明书

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种基于SDN(Software DefinedNetwork，软件定义网络)的户上网行为收集方法和系统。

背景技术

随着信息化程度不断提高，对信息系统的依赖随之增加，网络信 息系统的安全问题就变得越来越重要，有效的收集以及监控用户的上 网行为，已经成为网络安全的一个重要领域，也越来越受到人们的重 视。

在网页服务器或超文本传输协议的后台程序中，在默认情况下， 端口80是服务器侦听网页客户端请求的端口。端口80是为HTTP (HyperTextTransferProtocol，超文本传输协议)开放的，此为上网 冲浪使用次数最多的协议，主要用于WWW(WorldWideWeb，万维 网)传输信息的协议，可以通过HTTP地址(常说的网址)加“:80” 来访问网站，因为浏览网页服务默认的端口号是80，因此只需输入网 址即可，不用输入“:80”了。8080端口同80端口，是被用于WWW 代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服 务器的时候，会加上“:8080”端口号。

在SDN中，当进行用户上网行为分析时，需要在SDN交换机上 过滤端口是80或8080的用户报文，并把这些过滤出来的报文发送给 控制器，由控制器进行报文分析，并记录用户上网行为信息，由于这 些用户上网行信息不仅在用户报文的头部，例如用户访问的URL (UniformResoureLocator，统一资源定位器)信息，就在报文的TCP (TransmissionControlProtocol传输控制协议)的有效载荷(payload) 中，因此，用户报文需要完整发送给控制器，才能使控制器获取到全 部的有效信息。

在现有技术中，由于交换机无法合并用户报文来减少用户报文上 送控制器的数量，当用户报文数量巨大时，控制器受到攻击，将难以 进行分析处理。

发明内容

本发明实施例提供一种基于SDN的用户上网行为收集方法和系统， 通过进行用户上网行为预分析，能够把多个分析结果构造成一个开放流 报文发送给控制器，从而减少控制器收到用户报文的数量，防止控制器 被攻击。

本发明实施例提供一种基于SDN的用户上网行为收集方法，该方法 应用于SDN中，包括：SDN中的交换机接收控制器下发的私有消息，所 述私有消息包括记录数和用户上网行为分析的关键字；交换机根据所述 用户上网行为分析的关键字对接收到的用户报文进行预分析，获取所述 用户报文中和所述用户上网行为分析的关键字对应的报文信息，并将所 述报文信息记录在信息数据库中；当所述信息数据库中报文信息的数量 达到记录数时，将所述信息数据库中报文信息进行合并上送给控制器。

进一步地，所述私有消息为开放流Package-out消息，所述开放流 Package-out消息扩展了记录数字段和用户上网行为分析字段，其中记录 数字段用于存储记录数，用户上网行为分析字段用于存储用户上网行为 分析的关键字。

进一步地，所述方法还包括：交换机预先配置用户上网行为预分析 的代理器，所述代理器获取所述开放流Package-out消息中的用户上网行 为分析的关键字，根据所述关键字获取所述用户报文中对应的报文信息， 将所述报文信息记录在信息数据库中，当信息数据库中报文信息达到所 述记录数时，将报文信息进行合并。

进一步地，所述方法还包括：控制器将过滤端口是80或8080的流 表下发给SDN中的交换机；所述交换机根据所述用户上网行为分析的关 键字对接收到的用户报文进行预分析，包括：交换机接收到控制器下发 的流表后，在交换机上创建所述流表；交换机对接收到的端口是80或8080 的用户报文进行过滤；交换机将过滤出来的用户报文发送给代理器，并 将过滤出来的用户报文镜像给交换机的CPU，其中所述代理器对用户报 文进行预分析，并将分析后的报文信息存储在信息数据库中。

进一步地，所述当所述信息数据库中报文信息的数量达到记录数时， 将所述信息数据库中报文信息进行合并上送给控制器，包括：当所述信 息数据库中报文信息的数量达到记录数时，交换机把所述信息数据库中 的报文信息进行合并，构造成开放流package-in消息发送给控制器。

进一步地，所述方法还包括：当向控制器发送所述开放流package-in 消息完成后，交换机清空所述信息记录数据库。