[发明专利]一种基于SDN控制器的安全流过滤器及过滤方法

摘要

本发明涉及计算机技术和网络领域，尤其涉及一种基于SDN控制器的安全流过滤器及过滤方法。本发明可以让来自各种类型的未知流量信息在写入SDN控制器中流表之前，在流的必经之处建立安全流过滤器，让其进行流的分析处理，识别各种攻击或者嗅探流量，保证流表中数据的合法性，弥补防火墙带来的不足。本发明对现有网络是透明的，不需要修改现有网络的任何网元和架构，而且使用DPDK驱动程序使得流量过滤效率极高，不影响网络性能。本发明在不修改已经存在的SDN网络的前期下，利用最小的投资，加固整个网络的安全性。

主权项

1.一种基于SDN控制器的安全流过滤器，包括流监测器、流用户管理模块、流生成器、策略规则管理模块、安全设备管理模块、安全信息库，其特征在于：在逻辑上处于SDN控制器北向的Orchestration Layer中，数据流经过SDN控制器之前经过Orchestration Layer的控制和管理；所述的流用户管理模块获得用户信息，在经过策略规则管理模块审核通过后，将用户信息写入安全信息库；如果审核未通过，属于非法用户，直接向Orchestration Layer层的管理模块发送报警信息；流监测器：使用DPDK（Data Plane Development Kit）架构和驱动程序，监控SDN网络北向应用程序和东西向SDN控制器发送的各种流，根据策略规则管理模块提交的信息对流是否合法进行审核，如果合法则将该流发送至流生成器模块进行转发，否则发送报警信息；流生成器：使用 DPDK（Data Plane Development Kit）架构和驱动程序，向网络中某个SDN控制器转发流信息；流生成器解析流监控器提供的流信息，获得该流需要发送的目标对象，根据目标对象信息从安全性信息库中查询目标控制器北向或东西向接口标准化数据，然后对其进行标准协议的解析，重新包装该流使其和发送对象控制器一致，对于源和目的地标准相同的流，该模块只进行透传策略规则管理模块：该模块定义SDN网络中的安全策略和规范，只有符合这些策略和规则的流才是合法的；安全设备管理模块：该模块管理现网的传统安全设备，并记录到安全信息库中；安全信息库：用户存储整个SDN网络的数据信息。