本發明專利技術提供了一種SDN下可實現應用感知的流量檢測與控制機構及方法,包括:應用感知模塊,對數據包內容進行分析,將數據包信息擴展至應用層,并對有價值的數據包特征信息進行共享與一致性維護;流量控制模塊,結合網絡狀態及深層數據包特征對流量進行檢測、分類,通過動態配置OpenFlow流表,為不同應用程序提供差異化服務及對異常流量感知及攻擊處置。本發明專利技術在綜合評估網絡狀態及流量行為特征基礎上,實現流量的應用感知以采用差異化的流量調度策略緩解網絡中可能出現的擁塞,提高網絡負載能力,保證了不同應用程序的實際需求得到滿足。
【技術實現步驟摘要】
本專利技術涉及一種SDN網絡中可實現應用感知的流量檢測與控制機構及方法。
技術介紹
流量監控對于改善網絡整體性能、提高網絡安全性等網絡管理工作具有重要的價值。一方面,網絡拓撲的動態變化可能導致擁塞現象的產生,流量監控可合理調度數據包,對其進行路由優化以緩解擁塞,同時降低時延、提高網絡吞吐量以改善網絡性能;另一方面,基于不同應用程序的具體要求,結合網絡狀態及數據包特征的相關信息,對數據包進行分類、鑒別并對轉發策略進行調整,可為不同應用程序提供區分服務,以最大程度地滿足其QoS需求;另外,通過收集、分析流量行為及特征等信息,可及時識別出可疑流量并予以響應,從而提高網絡安全感知能力。SDN(軟件定義網絡)的興起為網絡流量監控提供了更加高效的解決方案。它將網絡的控制功能從底層數據平面中解耦,在中央控制器中建立全網視圖,并運行控制邏輯,以下發流表的形式指導交換機等網絡設備進行流量轉發,完成對全網的集中管控。OpenFlow協議為數據層及控制層之間的通信定義了一個安全通道,它在底層網絡設備中維護一個或多個流表,利用流表項中的數據域對到達的數據包進行匹配,若無匹配項則上傳至控制器進行處理,若匹配成功則執行流表項中相應的操作。發揮SDN集中控制及全局視圖的優勢,可極大改善流量管控等網絡管理工作的靈活性、可控性、可見性。事實上,目前已有一些關于SDN下流量控制的研究。這些已有解決方案大多參考流表中包含的MAC地址、IP地址、端口號、協議類型等數據域參數對數據包進行分類,結合不同應用程序的需求,利用OpenFlow協議對轉發策略進行動態調整,以達到流量管控的目的。然而,OpenFlow協議所定義流表的數據域只覆蓋了OSI(開放系統互聯,定義了不同計算機互聯的標準)模型中的一至四層,僅基于流表中較為有限的信息對數據包進行評估并實施相應的流量控制,不僅會忽略數據包深層特征,無法滿足不同應用程序對流量細粒度、差異化的控制需求,而且由于未進行數據包內容解析,將降低對異常流量進行感知的準確度及敏感度,不利于及時發現并響應網絡安全威脅。
技術實現思路
針對現有技術中的缺陷,本專利技術的目的是提供一種SDN下基于深度報文檢測的應用層流量檢測與控制機構及方法,本專利技術考慮到不同應用程序對于流量控制的差異化需求,將DPI技術引入SDN控制器中以完成對數據包應用層內容的解析,在綜合評估網絡狀態及流量行為特征基礎上,實現流量的應用感知以采用差異化的流量調度策略緩解網絡中可能出現的擁塞,提高網絡負載能力,保證了不同應用程序的實際需求得到滿足。為達到上述目的,本專利技術所采用的技術方案如下:一種SDN下可實現應用感知的流量檢測與控制機構,包括:應用感知模塊,對數據包內容進行分析,將數據包信息擴展至應用層,并對有價值的數據包特征信息進行共享與一致性維護;流量控制模塊,結合網絡狀態及深層數據包特征對流量進行檢測、分類,通過動態配置OpenFlow流表,為不同應用程序提供差異化服務及對異常流量感知及攻擊處置。所述應用感知模塊,包括:流量采集單元,記錄數據包的到達時間,并收集其IP地址、入端口信息;行為鑒別單元,對數據包的應用層內容進行解析,對其深層行為特征進行鑒別;信息共享單元,將有價值的信息進行推送與同步,確保不同種類的應用程序接收到網絡流量的最新動態,進而從自身應用需求出發,利用數據包行為特征信息,結合實時網絡狀況實現多層次、細粒度的流量控制決策。所述流量控制模塊,包括:匹配/轉發單元,將到達數據包與流表中的匹配域進行比對,將匹配失敗的數據包上傳至控制器,進行進一步的檢測與鑒別;服務編排單元,安排無匹配項的數據包、將控制策略以流表項的形式下發至底層轉發設備、把表征某個應用程序產生的一組特定數據包的應用層信息映射為特征元數據,添加至流表項中;策略制定單元,為不同的應用程序提供差異化的區別服務、對不同類別的流量進行統一管控,同時,對包含惡意代碼的可疑數據包進行實時感知,實時入侵檢測與攻擊處置。一種SDN下可實現應用感知的流量檢測與控制方法,采用上述的SDN下可實現應用感知的流量檢測與控制機構完成,包括:通過應用感知模塊實現對數據包的應用感知及深層行為特征提取,將DPI作為一項服務運行在SDN控制器中,并對OpenFlow協議的流表結構進行擴展,在流表項的匹配域中引入特征元數據,用以表征數據包的L7層信息,進而將上層DPI分析結果映射到底層轉發決策中;流量控制模塊結合應用感知模塊的數據包檢測結果及不同應用程序的流量處置決策,上傳下達,從而完成全網的流量控制。所述應用感知模塊包括流量采集單元、行為鑒別單元和信息共享單元,其工作步驟如下:步驟1:當數據包到達轉發設備時,數據包頭中的有效信息被提取出來與流表項中相應的數據域值進行匹配,若匹配成功,則結合預設的優先級對數據包執行轉發操作或直接丟棄;若無匹配項或流表中不存在與之匹配的特征元數據,則將該數據包封裝為Packet_in消息,上傳至SDN控制器進行進一步處理,在該過程中,流量采集單元記錄數據包的到達時間,并收集其IP地址、入端口的基本信息;步驟2:當SDN控制器接受到Packet_in消息后,該消息將觸發行為鑒別單元,啟動控制器中運行的DPI服務,對數據包的應用層內容進行解析,對其深層行為特征進行鑒別;步驟3:DPI對數據包的內容進行分析后獲取到的應用層特征及流表中包含的其他數據包基本信息進行統一管理和備份,信息共享單元將這些有價值的信息基于發布/訂閱模式根據各個應用程序的登記信息完成有針對性的信息推送與同步,確保不同種類的應用程序接收到網絡流量的最新動態,進而從自身應用需求出發,利用這些數據包行為特征信息,結合實時網絡狀況實現多層次、細粒度的流量控制決策。所述步驟2中,利用應用層網關鑒別、基于特征的檢測及行為模式識別三類檢測算法對數據包的應用層內容進行解析。所述步驟3中,信息共享單元將這些有價值的信息基于發布/訂閱模式、根據各個應用程序的登記信息完成有針對性的信息推送與同步。所述流量控制模塊包括匹配/轉發單元、服務編排單元、策略制定單元,其工作過程包括如下:匹配/轉發單元將到達數據包與流表中的匹配域進行比對,將匹配失敗的數據包上傳至控制器,進行進一步的檢測與鑒別;服務編排單元安排無匹配項的數據包接受DPI檢測,并將檢測到的行為特征連同MAC地址、IP地址、端口號數據包基本信息同步存儲至GIMD,供不同應用程序使用;另外,當上層應用程序基于自身需求,綜合數據包行為特征及網絡狀況做出流量控制決策后,該單元還需將控制策略以流表項的形式下發至底層轉發設備,同時把表征某個應用程序產生的一組特定數據包的應用層信息映射為特征元數據,添加至流表項中,用于對后續屬于同一類別的數據包進行匹配與處理;策略制定單元為不同的應用程序提供差異化的區別服務,在對數據包L1~L7層信息及全網狀態綜合評估的基礎上,對不同類別的流量進行統一管控,同時,借助DPI所獲得的深層數據包信息,對包含惡意代碼的可疑數據包進行實時感知,一旦發現異常流量,則直接將其丟棄,實現及時的入侵檢測與攻擊處置。與現有技術相比,本專利技術具有如下的有益效果:本專利技術所提供的SDN網絡中基于深度報文檢測的應用層流量檢測與控制機構及方法,在綜合考慮了數據包L1~L7本文檔來自技高網...
【技術保護點】
一種SDN下可實現應用感知的流量檢測與控制機構,其特征在于,包括:應用感知模塊,對數據包內容進行分析,將數據包信息擴展至應用層,并對有價值的數據包特征信息進行共享與一致性維護;流量控制模塊,結合網絡狀態及深層數據包特征對流量進行檢測、分類,通過動態配置OpenFlow流表,為不同應用程序提供差異化服務及對異常流量感知及攻擊處置。
【技術特征摘要】
1.一種SDN下可實現應用感知的流量檢測與控制機構,其特征在于,包括:應用感知模塊,對數據包內容進行分析,將數據包信息擴展至應用層,并對有價值的數據包特征信息進行共享與一致性維護;流量控制模塊,結合網絡狀態及深層數據包特征對流量進行檢測、分類,通過動態配置OpenFlow流表,為不同應用程序提供差異化服務及對異常流量感知及攻擊處置。2.根據權利要求1所述的SDN下可實現應用感知的流量檢測與控制機構,其特征在于,所述應用感知模塊,包括:流量采集單元,記錄數據包的到達時間,并收集其IP地址、入端口信息;行為鑒別單元,對數據包的應用層內容進行解析,對其深層行為特征進行鑒別;信息共享單元,將有價值的信息進行推送與同步,確保不同種類的應用程序接收到網絡流量的最新動態,進而從自身應用需求出發,利用數據包行為特征信息,結合實時網絡狀況實現多層次、細粒度的流量控制決策。3.根據權利要求1所述的SDN下可實現應用感知的流量檢測與控制機構,其特征在于,所述流量控制模塊,包括:匹配/轉發單元,將到達數據包與流表中的匹配域進行比對,將匹配失敗的數據包上傳至控制器,進行進一步的檢測與鑒別;服務編排單元,安排無匹配項的數據包、將控制策略以流表項的形式下發至底層轉發設備、把表征某個應用程序產生的一組特定數據包的應用層信息映射為特征元數據,添加至流表項中;策略制定單元,為不同的應用程序提供差異化的區別服務、對不同類別的流量進行統一管控,同時,對包含惡意代碼的可疑數據包進行實時感知,實時入侵檢測與攻擊處置。4.一種SDN下可實現應用感知的流量檢測與控制方法,其特征在于,采用權利要求1所述的SDN下可實現應用感知的流量檢測與控制機構完成,通過應用感知模塊實現對數據包的應用感知及深層行為特征提取,將DPI作為一項服務運行在SDN控制器中,并對OpenFlow協議的流表結構進行擴展,在流表項的匹配域中引入特征元數據,用以表征數據包的L7層信息,進而將上層DPI分析結果映射到底層轉發決策中;流量控制模塊結合應用感知模塊的數據包檢測結果及不同應用程序的流量處置決策,上傳下達,從而完成全網的流量控制。5.根據權利要求4所述的SDN下可實現應用感知的流量檢測與控制方法,其特征在于,所述應用感知模塊包括流量采集單元、行為鑒別單元和信息共享單元,其工作步驟如下:步驟1:當數據包到達轉發設備時,數據包頭中的有效信息被提取出來與流表項中相應的數據域值進行匹配,若匹配成功,則結合預設的優先級對數據包執行轉發操作或直接丟...
【專利技術屬性】
技術研發人員:伍軍,李高磊,何珊,郭龍華,李建華,劉春梅,郭小賢,
申請(專利權)人:上海交通大學,上海鵬越驚虹信息技術發展有限公司,上海鶴優信息科技有限公司,
類型:發明
國別省市:上海;31
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。