[发明专利]一种基于SDN的网络安全监测一体化可编程控制器有效
| 申请号: | 202011642409.5 | 申请日: | 2020-12-31 |
| 公开(公告)号: | CN112787861B | 公开(公告)日: | 2022-05-10 |
| 发明(设计)人: | 朱晓明;曹丽慧;李瑞杏;贾哲;刘晓东;张海锋;肖菲;赵立军 | 申请(专利权)人: | 中国电子科技集团公司第五十四研究所 |
| 主分类号: | H04L41/04 | 分类号: | H04L41/04;H04L41/12;H04L43/045;H04L43/0823;H04L9/40 |
| 代理公司: | 河北东尚律师事务所 13124 | 代理人: | 王文庆 |
| 地址: | 050081 河北*** | 国省代码: | 河北;13 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 sdn 网络安全 监测 一体化 可编程控制器 | ||
1.一种基于SDN的网络安全检测一体化可编程控制器,其特征在于,包括北向接口模块、基础网络服务模块、内建服务模块、转发路径可视化模块和南向接口模块;
所述北向接口模块用于向上层多级安全策略全局控制系统开放接口,使上层多级安全策略全局控制系统能够便利地调用底层的网络资源,并对全网资源进行统一把控和调度;
所述基础网络服务模块用于对数据层的设备管理控制,管理控制包括流表下发、删除和获取、链路发现、路由策略以及拓扑生成、更新;基础网络服务模块还用于感知网络实时态势信息,态势信息的来源包括设备、链路、主机和拓扑;
所述内建服务模块用于内建服务的管理;其将网络与安全监测功能统一,通过可编程的方式动态地增减网络与安全监测的功能模块,用于实现网络与安全监测功能的按需加载,动态部署;所述内建服务模块中内建服务包括Heavy Hitter、Heavy Change、丢包、DDoS攻击、路由错误、短暂回路与丢包的异常流量检测服务以及基于流的入侵检测、蠕虫行为检测、状态防火墙;
所述转发路径可视化模块用于对数据转发路径实现可视化;
所述南向接口模块用于对标准OpenFlow开放流协议进行扩展,使OpenFlow开放流协议支持发送流量测量请求/响应消息以及传输路径测量请求/响应消息;
北向接口模块接收来自上层应用的信息,包括内建服务策略、网络策略和路径可视化策略;其中,内建服务策略下发给内建服务模块进行处理,生成对应的流表下发至基础网络服务模块,同时内建服务模块将内建服务请求通过南向接口模块下发至数据面进行操作,内建服务模块接收南向接口模块从数据面获取的相应消息;路径可视化策略下发给转发路径可视化模块,然后转发路径可视化模块将生成的相应的流表信息下发给基础网络服务模块,同时转发路径可视化模块还将传输路径测量请求通过南向接口模块下发给数据层进行实现,南向接口模块还将来自数据层的响应信息返回给转发路径可视化模块;基础网络模块将来自北向接口模块的网络策略转化成流表信息并连同分别来自内建服务模块和转发路径可视化模块的流表信息歧义通过南向接口模块下发至数据层进行实现。
2.根据权利要求1所述的一种基于SDN的网络安全检测一体化可编程控制器,其特征在于,所述北向接口模块采用REST API的形式,提供标准的网络接口,网络接口用于获取和更新网络状态;北向接口模块包括PyNPPL解析功能模块,PyNPPL解析功能模块用于翻译来自上层多级安全策略全局控制系统形成的策略程序,形成可以执行的网络或者安全的策略;北向接口模块还包括10类安全接口,其中有:
(1)PyNPPL解析功能模块下发网络与安全策略;
(2)PyNPPL解析功能模块下发删除网络与安全策略指令;
(3)PyNPPL解析功能模块获取网络与安全策略;
(4)多级安全策略全局控制系统获取可编程控制器应用状态;
(5)网络管理界面获取安全应用的监测结果/日志;
(6)网络管理界面获取可视化路径信息;
(7)网络管理界面获取流量采集结果;
(8)用户通过网络管理界面配置可视化策略;
(9)网络管理界面获取传输路径信息;
(10)网络管理界面获取流量采集结果。
3.根据权利要求1所述的一种基于SDN的网络安全检 测一体化可编程控制器,其特征在于,所述转发路径可视化模块包括可视化配置子模块、消息监听子模块、数据分析子模块和可视化呈现子模块;
可视化配置子模块用于接收北向模块的可视化策略配置消息,并将可视化策略编译生成对应的网络配置文件,经由消息监听子模块下发给数据层的交换机设备;
消息监听子模块用于接收从数据层上传的消息,并对其进行解析和存储,然后交付于相应的子模块进行处理;控制层的策略经编译后,生成对应的网络配置文件,也通过消息监听子模块向数据平面的转发设备下发;
数据分析子模块用于实现交换机配置、流表下发、拓扑发现和更新,该子模块接收来自数据层经消息监听子模块返回的信息进行分析和实时监控;网络初始化时,根据数据层交换机是否与控制器连接确认网络设备,然后下发流表项并生成LLDP报文注入网络进行链路发现和拓扑信息采集,从而获取全局网络拓扑视图;网络运行过程中,以P4实现INT的交换机及其连接构成的数据平面自动对用户流量进行INT探测过程,对报文转发路径的包括转发设备ID、端口状态的信息进行记录,最后Sink交换机将封装好的遥测信息报告发送到控制层进行处理和可视化;
可视化呈现子模块用于呈现实时的网络监测结果,通过细粒度的INT探测技术,掌握P4数据平面的实时状态,然后针对用户需求将全局网络拓扑呈现给上层应用或网络管理员,提供可视化的网络拓扑状态显示;
可视化配置子模块将转发路径可视化的策略下发至消息监听子模块,并对策略进行处理后发至数据面进行相应的技术实现,然后将相应的包括数据包和流量的信息上传给数据分析子模块,数据分析子模块将采集的数据进行处理后生成路径信息上报给可视化呈现子模块。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电子科技集团公司第五十四研究所,未经中国电子科技集团公司第五十四研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011642409.5/1.html,转载请声明来源钻瓜专利网。
