網(wǎng)絡(luò)流量檢測(cè)方法、系統(tǒng)�����、設(shè)備及控制器的制造方法
【專利摘要】網(wǎng)絡(luò)流量檢測(cè)方法�����、系統(tǒng)、設(shè)備及控制器�����,該方法包括:檢測(cè)設(shè)備接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文�,根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè),獲得檢測(cè)結(jié)果�����,將所述檢測(cè)結(jié)果發(fā)送給所述控制器����,以使所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則?���?刂破骺梢詫⒚總€(gè)交換機(jī)要傳輸?shù)臄?shù)據(jù)流首先定向到檢測(cè)設(shè)備,并根據(jù)檢測(cè)設(shè)備對(duì)每一條數(shù)據(jù)流的安全性檢測(cè)結(jié)果��,確定是否在交換機(jī)之間傳輸數(shù)據(jù)流���,因此提高了網(wǎng)絡(luò)內(nèi)流量檢測(cè)的準(zhǔn)確性�,提高了網(wǎng)絡(luò)的傳輸性能。
【專利說(shuō)明】網(wǎng)絡(luò)流量檢測(cè)方法���、系統(tǒng)��、設(shè)備及控制器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】���,特別涉及網(wǎng)絡(luò)流量檢測(cè)方法、系統(tǒng)����、設(shè)備及控制器。
【背景技術(shù)】
[0002]傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中���,通常包括若干路由交換設(shè)備�����,每個(gè)路由交換設(shè)備可以連接若干主機(jī)設(shè)備,所有路由交換設(shè)備均直接或間接與網(wǎng)關(guān)設(shè)備相連�,由網(wǎng)關(guān)設(shè)備與外部網(wǎng)絡(luò)連接。在對(duì)網(wǎng)絡(luò)中的流量安全性進(jìn)行檢測(cè)時(shí)��,可以在網(wǎng)絡(luò)的關(guān)鍵路徑處部署流量檢測(cè)設(shè)備。例如����,對(duì)于一個(gè)局域網(wǎng)或者公司網(wǎng),通?���?梢栽诰W(wǎng)關(guān)設(shè)備與外部網(wǎng)絡(luò)的連接路徑上部署流量檢測(cè)設(shè)備,以此檢測(cè)局域網(wǎng)或者公司網(wǎng)的整體流量安全性���。
[0003]發(fā)明人在對(duì)現(xiàn)有技術(shù)的研究過程發(fā)現(xiàn)���,如果采用傳統(tǒng)網(wǎng)絡(luò)的流量檢測(cè)方法,則僅能檢測(cè)網(wǎng)絡(luò)整體流量的安全性��,而難以對(duì)網(wǎng)絡(luò)內(nèi)部交換設(shè)備之間所傳輸流量的安全性進(jìn)行檢測(cè)��,從而導(dǎo)致網(wǎng)絡(luò)流量檢測(cè)不準(zhǔn)確���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實(shí)施例提供網(wǎng)絡(luò)流量檢測(cè)方法����、系統(tǒng)����、設(shè)備及控制器�,以解決現(xiàn)有技術(shù)中無(wú)法對(duì)網(wǎng)絡(luò)內(nèi)部流量的安全性進(jìn)行檢測(cè)��,導(dǎo)致網(wǎng)絡(luò)流量檢測(cè)不準(zhǔn)確的問題���。
[0005]為了解決上述技術(shù)問題��,本發(fā)明實(shí)施例公開了如下技術(shù)方案:
[0006]第一方面��,提供一種網(wǎng)絡(luò)流量檢測(cè)方法���,所述方法包括:
[0007]檢測(cè)設(shè)備接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文,所述報(bào)文為所述第一交換機(jī)將所述第一數(shù)據(jù)流的首報(bào)文上報(bào)給控制器后�,根據(jù)所述控制器下發(fā)的臨時(shí)轉(zhuǎn)發(fā)規(guī)則定向到所述檢測(cè)設(shè)備的報(bào)文;
[0008]所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)��,獲得檢測(cè)結(jié)果��;
[0009]所述檢測(cè)設(shè)備將所述檢測(cè)結(jié)果發(fā)送給所述控制器���,以使所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則。
[0010]在第一方面的第一種可能的實(shí)現(xiàn)方式中����,所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)����,包括:
[0011]獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息��;
[0012]判斷所述屬性信息是否與設(shè)置的安全規(guī)則匹配���;
[0013]如果所述屬性信息與所述安全規(guī)則匹配���,則確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流,如果所述屬性信息與所述安全規(guī)則不匹配��,則確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流���。
[0014]在第一方面��,或第一方面的第一種可能的實(shí)現(xiàn)方式中��,還提供了第一方面的第二種可能的實(shí)現(xiàn)方式�,所述將所述檢測(cè)結(jié)果發(fā)送給所述控制器����,包括:
[0015]根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息���,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域,狀態(tài)屬性和操作屬性�;[0016]將所述安全通知消息發(fā)送給所述控制器。
[0017]在第一方面的第二種可能的實(shí)現(xiàn)方式中�����,還提供了第一方面的第三種可能的實(shí)現(xiàn)方式���,
[0018]所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組��,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口����、目的端口����、源介質(zhì)訪問控制層MAC地址、目的MAC地址�����、源互聯(lián)網(wǎng)協(xié)議IP地址�、目的IP地址����、以太網(wǎng)幀類型��;
[0019]所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)�,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)�;
[0020]所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
[0021]第二方面���,提供另一種網(wǎng)絡(luò)流量檢測(cè)方法����,所述方法包括:
[0022]控制器接收第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的首報(bào)文���;
[0023]所述控制器向所述第一交換機(jī)下發(fā)所述第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則�,以使所述第一交換機(jī)根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備���;
[0024]所述控制器接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果��,所述檢測(cè)結(jié)果為所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)后獲得的結(jié)果����;
[0025]所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則,以使所述第一交換機(jī)按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理����。
[0026]在第二方面的第一種可能的實(shí)現(xiàn)方式中,所述控制器接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果�����,具體為:所述控制器接收所述檢測(cè)設(shè)備發(fā)送的安全通知消息�,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域、狀態(tài)屬性和操作屬性�。
[0027]在第二方面的第一種可能的實(shí)現(xiàn)方式中,還提供了第一方面的第二種可能的實(shí)現(xiàn)方式����,
[0028]所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口�����、目的端口���、源介質(zhì)訪問控制層MAC地址�、目的MAC地址、源互聯(lián)網(wǎng)協(xié)議IP地址���、目的IP地址�、以太網(wǎng)幀類型�����;
[0029]所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)���,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài);
[0030]所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性����,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
[0031]在第二方面的第二種可能的實(shí)現(xiàn)方式中,還提供了第二方面的第三種可能的實(shí)現(xiàn)方式��,所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的臨時(shí)轉(zhuǎn)發(fā)規(guī)則���,包括:
[0032]查看所述安全通知消息中的狀態(tài)屬性和操作屬性�����;
[0033]如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流�����,則向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則�����,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息�;以及
[0034]如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流,則向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則��,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息��。
[0035]第三方面�,提供一種網(wǎng)絡(luò)流量檢測(cè)系統(tǒng),所述系統(tǒng)包括:控制器�、檢測(cè)設(shè)備和至少一個(gè)第一交換機(jī),
[0036]所述第一交換機(jī)����,用于向所述控制器上報(bào)第一數(shù)據(jù)流的首報(bào)文;
[0037]所述控制器���,用于向所述第一交換機(jī)下發(fā)所述第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則�����;
[0038]所述第一交換機(jī)�����,還用于根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備�����;
[0039]所述檢測(cè)設(shè)備�����,用于根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)����,獲得檢測(cè)結(jié)果���,并將所述檢測(cè)結(jié)果發(fā)送給所述控制器�;
[0040]所述控制器�,還用于根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則;
[0041]所述第一交換機(jī)��,還用于按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理��。
[0042]在第三方面的第一種可能的實(shí)現(xiàn)方式中,所述檢測(cè)設(shè)備���,具體用于獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息�����,判斷所述屬性信息是否與設(shè)置的安全規(guī)則匹配�����,如果所述屬性信息與所述安全規(guī)則匹配��,則獲得所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流的檢測(cè)結(jié)果��,如果所述屬性信息與所述安全規(guī)則不匹配�����,則獲得所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流的檢測(cè)結(jié)果���;根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息,并將所述安全通知消息發(fā)送給所述控制器�����,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域,狀態(tài)屬性和操作屬性���。
[0043]在第三方面的第一種可能的實(shí)現(xiàn)方式中���,還提供了第三方面的在第二種可能的實(shí)現(xiàn)方式,
[0044]所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組�����,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口�����、目的端口�����、源介質(zhì)訪問控制層MAC地址�、目的MAC地址�、源互聯(lián)網(wǎng)協(xié)議IP地址、目的IP地址�����、以太網(wǎng)幀類型;
[0045]所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)�����,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)���;
[0046]所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性��,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
[0047]在第三方面的第二種可能的實(shí)現(xiàn)方式中����,還提供了第三方面的第三種可能的實(shí)現(xiàn)方式����,
[0048]所述控制器,具體用于查看所述安全通知消息中的狀態(tài)屬性和操作屬性����;如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流,則向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則�����,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息����,以及如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流����,則向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則����,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息。
[0049]第四方面����,提供一種檢測(cè)設(shè)備,所述檢測(cè)設(shè)備包括:
[0050]接收單元���,用于接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文�,所述報(bào)文為所述第一交換機(jī)將所述第一數(shù)據(jù)流的首報(bào)文上報(bào)給控制器后��,根據(jù)所述控制器下發(fā)的臨時(shí)轉(zhuǎn)發(fā)規(guī)則定向到所述檢測(cè)設(shè)備的報(bào)文��;
[0051]檢測(cè)單元�����,用于根據(jù)設(shè)置的安全規(guī)則對(duì)所述接收單元接收的第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)���,獲得檢測(cè)結(jié)果�;
[0052]發(fā)送單元�,用于將所述檢測(cè)單元獲得的檢測(cè)結(jié)果發(fā)送給所述控制器,以使所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則�����。
[0053]在第四方面的第一種可能的實(shí)現(xiàn)方式中���,所述檢測(cè)單元包括:
[0054]信息獲取子單元�,用于獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息����;
[0055]規(guī)則匹配子單元,用于判斷所述信息獲取子單元獲取的屬性信息是否與設(shè)置的安全規(guī)則匹配���;
[0056]結(jié)果確定子單元�����,用于當(dāng)所述規(guī)則匹配子單元判斷所述屬性信息與所述安全規(guī)則匹配時(shí)�,確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流�,當(dāng)所述規(guī)則匹配子單元判斷所述屬性信息與所述安全規(guī)則不匹配時(shí)����,確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流�����。
[0057]在第四方面�,或第四方面的第一種可能的實(shí)現(xiàn)方式中,還提供了第四方面的第二種可能的實(shí)現(xiàn)方式����,所述發(fā)送單元包括:
[0058]消息構(gòu)建子單元,用于根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息����,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域,狀態(tài)屬性和操作屬性�����;
[0059]消息發(fā)送子單元�,用于將所述消息構(gòu)建子單元構(gòu)建的安全通知消息發(fā)送給所述控制器。
[0060]第五方面�,提供另一種檢測(cè)設(shè)備�,所述檢測(cè)設(shè)備包括:輸入端口�����、處理器和輸出端口����,其中����,
[0061]所述輸入端口,用于接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文���,所述報(bào)文為所述第一交換機(jī)將所述第一數(shù)據(jù)流的首報(bào)文上報(bào)給控制器后���,根據(jù)所述控制器下發(fā)的臨時(shí)轉(zhuǎn)發(fā)規(guī)則定向到所述檢測(cè)設(shè)備的報(bào)文;
[0062]所述處理器���,用于根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)�,獲得檢測(cè)結(jié)果�;
[0063]所述輸出端口,用于將所述檢測(cè)結(jié)果發(fā)送給所述控制器�����,以使所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則。
[0064]在第五方面的第一種可能的實(shí)現(xiàn)方式中�,所述處理器,具體用于獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息�,判斷所述屬性信息是否與設(shè)置的安全規(guī)則匹配,如果所述屬性信息與所述安全規(guī)則匹配�,則獲得所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流的檢測(cè)結(jié)果,如果所述屬性信息與所述安全規(guī)則不匹配���,則獲得所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流的檢測(cè)結(jié)果���,根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域����,狀態(tài)屬性和操作屬性;
[0065]所述輸出端口��,具體用于將所述安全通知消息發(fā)送給所述控制器����。
[0066]第六方面,提供一種控制器����,所述控制器包括:
[0067]第一接收單元����,用于接收第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的首報(bào)文��;
[0068]下發(fā)單元����,用于向所述第一交換機(jī)下發(fā)所述第一接收單元接收的第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則�����,以使所述第一交換機(jī)根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備�����;
[0069]第二接收單元��,用于接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果����,所述檢測(cè)結(jié)果為所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)后獲得的結(jié)果;
[0070]替換單元�,用于根據(jù)所述第二接收單元接收到的檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則,以使所述第一交換機(jī)按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理。
[0071]在第六方面的第一種可能的實(shí)現(xiàn)方式中��,所述網(wǎng)絡(luò)接口�,所述第二接收單元,具體用于接收所述檢測(cè)設(shè)備發(fā)送的安全通知消息�,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域、狀態(tài)屬性和操作屬性��;其中�,
[0072]所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口�、目的端口、源介質(zhì)訪問控制層MAC地址����、目的MAC地址、源互聯(lián)網(wǎng)協(xié)議IP地址����、目的IP地址、以太網(wǎng)幀類型���;
[0073]所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)���,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)�;
[0074]所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性����,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
[0075]在第六方面的第一種可能的實(shí)現(xiàn)方式中,還提供了第六方面的第二種可能的實(shí)現(xiàn)方式�����,所述替換單元包括:
[0076]屬性查看子單元�����,用于查看所述安全通知消息中的狀態(tài)屬性和操作屬性�;
[0077]規(guī)則發(fā)送子單元�,用于當(dāng)根據(jù)所述屬性查看子單元查看的狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流,則向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則���,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息���;以及當(dāng)根據(jù)所述屬性查看子單元查看的狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流,則向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則�,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息。
[0078]第七方面��,提供一種控制器,所述控制器包括:網(wǎng)絡(luò)接口和處理器�,其中,
[0079]所述網(wǎng)絡(luò)接口�����,用于接收第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的首報(bào)文�����;
[0080]所述處理器��,用于控制所述網(wǎng)絡(luò)接口向所述第一交換機(jī)下發(fā)所述第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則��,以使所述第一交換機(jī)根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備����;
[0081]所述網(wǎng)絡(luò)接口,還用于接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果�����,所述檢測(cè)結(jié)果為所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)后獲得的結(jié)果�;
[0082]所述處理器,還用于根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則���,以使所述第一交換機(jī)按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理�。
[0083]在第七方面的第一種可能的實(shí)現(xiàn)方式中,所述網(wǎng)絡(luò)接口����,具體用于接收所述檢測(cè)設(shè)備發(fā)送的安全通知消息,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域�、狀態(tài)屬性和操作屬性;其中��,
[0084]所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組����,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口�、目的端口、源介質(zhì)訪問控制層MAC地址����、目的MAC地址、源互聯(lián)網(wǎng)協(xié)議IP地址�、目的IP地址、以太網(wǎng)幀類型���;
[0085]所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)�,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài);
[0086]所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性�����,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
[0087]在第七方面的第一種可能的實(shí)現(xiàn)方式中��,還提供了第七方面的第二種可能的實(shí)現(xiàn)方式�����,所述處理器��,具體用于查看所述安全通知消息中的狀態(tài)屬性和操作屬性�����;如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流����,則控制所述網(wǎng)絡(luò)接口向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息����,以及如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流,則控制所述網(wǎng)絡(luò)接口向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則�����,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息。
[0088]本發(fā)明實(shí)施例中���,第一交換機(jī)向控制器上報(bào)第一數(shù)據(jù)流的首報(bào)文����,控制器向第一交換機(jī)下發(fā)第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則�,第一交換機(jī)根據(jù)臨時(shí)轉(zhuǎn)發(fā)規(guī)則將第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備,檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)�,獲得檢測(cè)結(jié)果,并將檢測(cè)結(jié)果發(fā)送給控制器����,控制器根據(jù)檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換第一交換機(jī)上的臨時(shí)轉(zhuǎn)發(fā)規(guī)則���,第一交換機(jī)按照新的轉(zhuǎn)發(fā)規(guī)則對(duì)第一數(shù)據(jù)流的報(bào)文進(jìn)行處理�。本發(fā)明實(shí)施例中�����,控制器可以將每個(gè)交換機(jī)要傳輸?shù)臄?shù)據(jù)流首先定向到檢測(cè)設(shè)備�����,并根據(jù)檢測(cè)設(shè)備對(duì)每一條數(shù)據(jù)流的安全性檢測(cè)結(jié)果,確定是否在交換機(jī)之間傳輸數(shù)據(jù)流�,因此提高了網(wǎng)絡(luò)內(nèi)流量檢測(cè)的準(zhǔn)確性,提高了網(wǎng)絡(luò)的傳輸性能���。
【專利附圖】
【附圖說(shuō)明】
[0089]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖�。
[0090]圖1為本發(fā)明網(wǎng)絡(luò)流量檢測(cè)方法的一個(gè)實(shí)施例流程圖;
[0091]圖2為本發(fā)明網(wǎng)絡(luò)流量檢測(cè)方法的另一個(gè)實(shí)施例流程圖;
[0092]圖3A為本發(fā)明實(shí)施例所應(yīng)用的網(wǎng)絡(luò)架構(gòu)示意圖��;
[0093]圖3B為本發(fā)明實(shí)施例中安全通知消息的格式示意圖���;
[0094]圖4為本發(fā)明網(wǎng)絡(luò)流量檢測(cè)系統(tǒng)的實(shí)施例框圖��;
[0095]圖5為本發(fā)明檢測(cè)設(shè)備的一個(gè)實(shí)施例框圖����;
[0096]圖6為本發(fā)明檢測(cè)設(shè)備的另一個(gè)實(shí)施例框圖����;
[0097]圖7為本發(fā)明控制器的一個(gè)實(shí)施例框圖;
[0098]圖8為本發(fā)明控制器的另一個(gè)實(shí)施例框圖�����。
【具體實(shí)施方式】
[0099]本發(fā)明如下實(shí)施例提供了網(wǎng)絡(luò)流量檢測(cè)方法���、系統(tǒng)��、設(shè)備及控制器,以便提高網(wǎng)絡(luò)中流量檢測(cè)的準(zhǔn)確性���。
[0100]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案�����,并使本發(fā)明實(shí)施例的上述目的�、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明���。
[0101]下述本發(fā)明實(shí)施例可以應(yīng)用在可編程的軟件定義網(wǎng)絡(luò)(Software DefinedNetwork���,SDN)中,SDN網(wǎng)絡(luò)將網(wǎng)絡(luò)設(shè)備的控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面進(jìn)行分離���,從而可以對(duì)網(wǎng)絡(luò)流量進(jìn)行靈活控制�����。其中控制平面的功能由控制器(Controller)實(shí)現(xiàn)����,主要負(fù)責(zé)下發(fā)流量轉(zhuǎn)發(fā)策略�����;數(shù)據(jù)轉(zhuǎn)發(fā)平面的功能由交換機(jī)(Switch,簡(jiǎn)稱SW)實(shí)現(xiàn)�����,主要用于接收控制器下發(fā)的轉(zhuǎn)發(fā)策略�,并根據(jù)該轉(zhuǎn)發(fā)策略對(duì)流量進(jìn)行轉(zhuǎn)發(fā)。通常在一個(gè)SDN網(wǎng)絡(luò)中���,控制器分別與每個(gè)交換機(jī)相連�,交換機(jī)之間通過相互連接實(shí)現(xiàn)流量的轉(zhuǎn)發(fā)��。本發(fā)明實(shí)施例中�,可以將檢測(cè)設(shè)備部署在SDN網(wǎng)絡(luò)中,該檢測(cè)設(shè)備分別與控制器和交換機(jī)相連��,該檢測(cè)設(shè)備可以具體為防火墻(Firewall,FW)設(shè)備�����、入侵防御系統(tǒng)(Intrusion Prevention System, IPS)設(shè)備�、或入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems, IDS)設(shè)備。
[0102]參見圖1�����,為本發(fā)明網(wǎng)絡(luò)流量檢測(cè)方法的一個(gè)實(shí)施例流程圖�����,該實(shí)施例從檢測(cè)設(shè)備側(cè)描述了檢測(cè)網(wǎng)絡(luò)流量的過程:
[0103]步驟101:檢測(cè)設(shè)備接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文�,該報(bào)文為第一交換機(jī)將第一數(shù)據(jù)流的首報(bào)文上報(bào)給控制器后,根據(jù)控制器下發(fā)的臨時(shí)轉(zhuǎn)發(fā)規(guī)則定向到該檢測(cè)設(shè)備的報(bào)文���。
[0104]在SDN網(wǎng)絡(luò)中�,交換機(jī)在傳輸每一條數(shù)據(jù)流時(shí)�,都需要從控制器獲得轉(zhuǎn)發(fā)規(guī)則,并將轉(zhuǎn)發(fā)規(guī)則作為一個(gè)表項(xiàng)存儲(chǔ)在流表中����,即交換機(jī)所存儲(chǔ)流表的每個(gè)表項(xiàng)可以標(biāo)識(shí)一條數(shù)據(jù)流。通常當(dāng)交換機(jī)傳輸某個(gè)數(shù)據(jù)流的首報(bào)文時(shí)�����,由于流表中沒有這條數(shù)據(jù)流的轉(zhuǎn)發(fā)規(guī)則����,因此交換機(jī)會(huì)將該首報(bào)文上報(bào)給控制器,以便向控制器請(qǐng)求該數(shù)據(jù)流的轉(zhuǎn)發(fā)規(guī)則�����。
[0105]本實(shí)施例中應(yīng)用控制器為交換機(jī)下發(fā)轉(zhuǎn)發(fā)規(guī)則的特性,為了檢測(cè)網(wǎng)絡(luò)中每一條數(shù)據(jù)流的安全性�����,控制器可以在接收到交換機(jī)傳輸?shù)哪硞€(gè)數(shù)據(jù)流的首報(bào)文時(shí)��,向該交換機(jī)下發(fā)臨時(shí)轉(zhuǎn)發(fā)規(guī)則����,該臨時(shí)轉(zhuǎn)發(fā)規(guī)則中包含的目的端口、目的互聯(lián)網(wǎng)協(xié)議(InternetProtocol, IP)地址�����、目的介質(zhì)訪問控制層(Medium Access Control, MAC)地址為檢測(cè)設(shè)備的端口�、IP地址、MAC地址�,從而可以使該交換機(jī)將該數(shù)據(jù)流在網(wǎng)絡(luò)中傳輸之前,可以根據(jù)臨時(shí)轉(zhuǎn)發(fā)規(guī)則先傳輸?shù)綑z測(cè)設(shè)備進(jìn)行安全性檢測(cè)���。
[0106]步驟102:檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)��,獲得檢測(cè)結(jié)果�。
[0107]其中,檢測(cè)設(shè)備可以獲取第一數(shù)據(jù)流的報(bào)文的屬性信息�����,判斷該屬性信息是否與設(shè)置的安全規(guī)則匹配�,如果屬性信息與安全規(guī)則匹配���,則確定第一數(shù)據(jù)流為不安全的數(shù)據(jù)流�����,如果屬性信息與安全規(guī)則不匹配��,則確定第一數(shù)據(jù)流為安全的數(shù)據(jù)流�。
[0108]通常報(bào)文的屬性信息通?����?梢园?報(bào)文的源IP地址�、源MAC地址、源端口���、目的IP地址����、目的MAC地址、目的端口等可以標(biāo)識(shí)數(shù)據(jù)流的信息���;安全規(guī)則中包含了一些不符合安全特性的數(shù)據(jù)流所要滿足的條件�,例如�,禁止IP地址范圍為A的主機(jī)訪問IP地址范圍為B的主機(jī),則在接收到數(shù)據(jù)流的報(bào)文后�,檢測(cè)設(shè)備可以獲取該報(bào)文的源IP地址和目的IP地址,如果源IP地址屬于地址范圍A����,且目的IP地址屬于地址范圍B,則說(shuō)明該報(bào)文的屬性信息與安全規(guī)則匹配�����,該數(shù)據(jù)流屬于不安全的數(shù)據(jù)流�����。[0109]步驟103:檢測(cè)設(shè)備將檢測(cè)結(jié)果發(fā)送給控制器��,以使控制器根據(jù)檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換第一交換機(jī)上的臨時(shí)轉(zhuǎn)發(fā)規(guī)則。
[0110]其中���,檢測(cè)設(shè)備可以根據(jù)檢測(cè)結(jié)果構(gòu)建安全通知消息���,該安全通知消息中包含所述第一數(shù)據(jù)流的匹配域,狀態(tài)屬性和操作屬性����,并將該安全通知消息發(fā)送給控制器��。
[0111]其中�����,可選地���,第一數(shù)據(jù)流的匹配域可以包括:用于標(biāo)識(shí)第一數(shù)據(jù)流的多元組����,所述多元組可以包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口����、目的端口、源MAC地址��、目的MAC地址、源IP地址�����、目的IP地址�、以太網(wǎng)幀類型等;
[0112]狀態(tài)屬性可以包括:第一數(shù)據(jù)流與安全規(guī)則不匹配時(shí)的安全狀態(tài)�,第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài);
[0113]操作屬性可以包括:當(dāng)狀態(tài)屬性為不安全狀態(tài)時(shí)對(duì)數(shù)據(jù)流進(jìn)行丟棄的丟棄屬性����,當(dāng)狀態(tài)屬性為安全時(shí)的對(duì)數(shù)據(jù)流進(jìn)行重定向的重定向?qū)傩浴?br>
[0114]當(dāng)檢測(cè)設(shè)備將安全通知消息發(fā)送給控制器后,控制器可以查看安全通知消息中的狀態(tài)屬性和操作屬性���,如果根據(jù)狀態(tài)屬性確定第一數(shù)據(jù)流為安全的數(shù)據(jù)流��,則控制器可以向第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則���,該第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)操作屬性設(shè)置的第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息,該第二交換機(jī)為初始第一數(shù)據(jù)流的目的地址對(duì)應(yīng)的交換機(jī)�����,該第二交換機(jī)的信息可以在第一交換機(jī)向控制器上報(bào)第一數(shù)據(jù)流的首報(bào)文時(shí)同時(shí)上報(bào)到控制器,當(dāng)控制器確定第一數(shù)據(jù)流為安全的數(shù)據(jù)流時(shí)���,按照該第二交換機(jī)的信息生成第一轉(zhuǎn)發(fā)規(guī)則����,以便后續(xù)第一交換機(jī)可以將第一數(shù)據(jù)流的報(bào)文傳輸?shù)降诙粨Q機(jī)����;如果根據(jù)狀態(tài)屬性確定第一數(shù)據(jù)流為不安全的數(shù)據(jù)流,則控制器可以向第一交換機(jī)發(fā)送第二轉(zhuǎn)發(fā)規(guī)則�,該第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)操作屬性設(shè)置的丟棄該第一數(shù)據(jù)流的信息,以便后續(xù)第一交換機(jī)接收到第一數(shù)據(jù)流的報(bào)文時(shí)丟棄該報(bào)文��。
[0115]由上述實(shí)施例可見��,控制器可以將每個(gè)交換機(jī)要傳輸?shù)臄?shù)據(jù)流首先定向到檢測(cè)設(shè)備�����,并根據(jù)檢測(cè)設(shè)備對(duì)每一條數(shù)據(jù)流的安全性檢測(cè)結(jié)果��,確定是否在交換機(jī)之間傳輸數(shù)據(jù)流�,因此提高了網(wǎng)絡(luò)內(nèi)流量檢測(cè)的準(zhǔn)確性���,提高了網(wǎng)絡(luò)的傳輸性能���。
[0116]參見圖2�����,為本發(fā)明網(wǎng)絡(luò)流量檢測(cè)方法的另一個(gè)實(shí)施例流程圖���,該實(shí)施例從控制器側(cè)描述了檢測(cè)網(wǎng)絡(luò)流量的過程:
[0117]步驟201:控制器接收第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的首報(bào)文。
[0118]在SDN網(wǎng)絡(luò)中��,交換機(jī)在傳輸每一條數(shù)據(jù)流時(shí)�����,都需要從控制器獲得轉(zhuǎn)發(fā)規(guī)則��,并將轉(zhuǎn)發(fā)規(guī)則作為一個(gè)表項(xiàng)存儲(chǔ)在流表中�����,即交換機(jī)所存儲(chǔ)流表的每個(gè)表項(xiàng)可以標(biāo)識(shí)一條數(shù)據(jù)流��。通常當(dāng)交換機(jī)傳輸某個(gè)數(shù)據(jù)流的首報(bào)文時(shí)��,由于流表中沒有這條數(shù)據(jù)流的轉(zhuǎn)發(fā)規(guī)則,因此交換機(jī)會(huì)將該首報(bào)文上報(bào)給控制器��,以便向控制器請(qǐng)求該數(shù)據(jù)流的轉(zhuǎn)發(fā)規(guī)則���。
[0119]步驟202:控制器向第一交換機(jī)下發(fā)第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則�,以使第一交換機(jī)根據(jù)該臨時(shí)轉(zhuǎn)發(fā)規(guī)則將第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備��。
[0120]本實(shí)施例中應(yīng)用控制器為交換機(jī)下發(fā)轉(zhuǎn)發(fā)規(guī)則的特性��,為了檢測(cè)網(wǎng)絡(luò)中每一條數(shù)據(jù)流的安全性�����,控制器可以在接收到交換機(jī)傳輸?shù)哪硞€(gè)數(shù)據(jù)流的首報(bào)文時(shí)����,向該交換機(jī)下發(fā)臨時(shí)轉(zhuǎn)發(fā)規(guī)則,該臨時(shí)轉(zhuǎn)發(fā)規(guī)則中包含的目的端口���、目的IP地址、目的MAC地址為檢測(cè)設(shè)備的端口�����、IP地址、MAC地址���,從而可以使該交換機(jī)將該數(shù)據(jù)流在網(wǎng)絡(luò)中傳輸之前���,可以根據(jù)臨時(shí)轉(zhuǎn)發(fā)規(guī)則先傳輸?shù)綑z測(cè)設(shè)備進(jìn)行安全性檢測(cè)。
[0121]步驟203:控制器接收檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果��,該檢測(cè)結(jié)果為檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)后獲得的結(jié)果����。
[0122]本實(shí)施例中,當(dāng)檢測(cè)設(shè)備接收到第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的報(bào)文后���,可以獲取第一數(shù)據(jù)流的報(bào)文的屬性信息��,判斷該屬性信息是否與設(shè)置的安全規(guī)則匹配����,如果屬性信息與安全規(guī)則匹配���,則確定第一數(shù)據(jù)流為不安全的數(shù)據(jù)流��,如果屬性信息與安全規(guī)則不匹配����,則確定第一數(shù)據(jù)流為安全的數(shù)據(jù)流。檢測(cè)設(shè)備可以根據(jù)檢測(cè)結(jié)果構(gòu)建安全通知消息�,并將該安全通知消息發(fā)送給控制器,控制器接收安全通知消息�,該安全通知消息中包含第一數(shù)據(jù)流的匹配域、狀態(tài)屬性和操作屬性��。
[0123]其中�,可選地,第一數(shù)據(jù)流的匹配域可以包括:用于標(biāo)識(shí)第一數(shù)據(jù)流的多元組�,所述多元組可以包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口、目的端口�、源MAC地址、目的MAC地址���、源IP地址�、目的IP地址����、以太網(wǎng)幀類型等;
[0124]狀態(tài)屬性可以包括:第一數(shù)據(jù)流與安全規(guī)則不匹配時(shí)的安全狀態(tài)�,第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)����;
[0125]操作屬性可以包括:當(dāng)狀態(tài)屬性為不安全狀態(tài)時(shí)對(duì)數(shù)據(jù)流進(jìn)行丟棄的丟棄屬性�����,當(dāng)狀態(tài)屬性為安全時(shí)的對(duì)數(shù)據(jù)流進(jìn)行重定向的重定向?qū)傩浴?br>
[0126]步驟204:控制器根據(jù)檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換第一交換機(jī)上的臨時(shí)轉(zhuǎn)發(fā)規(guī)則�����,以使第一交換機(jī)按照新的轉(zhuǎn)發(fā)規(guī)則對(duì)第一數(shù)據(jù)流的報(bào)文進(jìn)行處理�����。
[0127]控制器查看安全通知消息中的狀態(tài)屬性和操作屬性�,如果根據(jù)狀態(tài)屬性確定第一數(shù)據(jù)流為安全的數(shù)據(jù)流�����,則向第一交換機(jī)發(fā)送第一轉(zhuǎn)發(fā)規(guī)則�����,該第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)操作屬性設(shè)置的第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息�����,該第二交換機(jī)為初始第一數(shù)據(jù)流的目的地址對(duì)應(yīng)的交換機(jī),該第二交換機(jī)的信息可以在第一交換機(jī)向控制器上報(bào)第一數(shù)據(jù)流的首報(bào)文時(shí)同時(shí)上報(bào)到控制器�,當(dāng)控制器確定第一數(shù)據(jù)流為安全的數(shù)據(jù)流時(shí),按照該第二交換機(jī)的信息生成第一轉(zhuǎn)發(fā)規(guī)則�,以便后續(xù)第一交換機(jī)可以將第一數(shù)據(jù)流的報(bào)文傳輸?shù)降诙粨Q機(jī);如果根據(jù)狀態(tài)屬性確定第一數(shù)據(jù)流為不安全的數(shù)據(jù)流���,則向第一交換機(jī)發(fā)送第二轉(zhuǎn)發(fā)規(guī)則����,該第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)操作屬性設(shè)置的丟棄該第一數(shù)據(jù)流的信息�,以便后續(xù)第一交換機(jī)接收到第一數(shù)據(jù)流的報(bào)文時(shí)丟棄該報(bào)文。
[0128]由上述實(shí)施例可見���,控制器可以將每個(gè)交換機(jī)要傳輸?shù)臄?shù)據(jù)流首先定向到檢測(cè)設(shè)備�,并根據(jù)檢測(cè)設(shè)備對(duì)每一條數(shù)據(jù)流的安全性檢測(cè)結(jié)果���,確定是否在交換機(jī)之間傳輸數(shù)據(jù)流���,因此提高了網(wǎng)絡(luò)內(nèi)流量檢測(cè)的準(zhǔn)確性,提高了網(wǎng)絡(luò)的傳輸性能��。
[0129]參見圖3A,為本發(fā)明前述方法實(shí)施例所應(yīng)用的一個(gè)網(wǎng)絡(luò)架構(gòu)示意圖�;
[0130]圖3A中的網(wǎng)絡(luò)架構(gòu)可以具體為基于SDN網(wǎng)絡(luò)的架構(gòu),作為一種示例�����,該網(wǎng)絡(luò)架構(gòu)中包括:一個(gè)控制器��、一個(gè)檢測(cè)設(shè)備和三個(gè)交換機(jī)�����,分別為SW1�����、SW2和SW3��,每個(gè)交換機(jī)連接兩臺(tái)主機(jī)設(shè)備��。其中��,控制器�、檢測(cè)設(shè)備及每一臺(tái)交換機(jī)之間相互連接��。下面結(jié)合圖3A示出的網(wǎng)絡(luò)架構(gòu),對(duì)本發(fā)明實(shí)施例中描述的網(wǎng)絡(luò)流量檢測(cè)過程進(jìn)行描述��,其中假設(shè)SWl要對(duì)數(shù)據(jù)流I進(jìn)行傳輸����,且初始該數(shù)據(jù)流I的目的地址對(duì)應(yīng)的交換機(jī)為SW2,即該數(shù)據(jù)流I的目的地址是SW2所連接的主機(jī)的地址����,在本實(shí)施例中數(shù)據(jù)流I的目的地址是主機(jī)21或主機(jī)22的地址:
[0131]當(dāng)SWl接收到數(shù)據(jù)流I的首報(bào)文時(shí),Sffl中沒有數(shù)據(jù)流I的轉(zhuǎn)發(fā)規(guī)則��,因此SWl將該數(shù)據(jù)流I的首報(bào)文上報(bào)到控制器請(qǐng)求轉(zhuǎn)發(fā)規(guī)則����;為了對(duì)數(shù)據(jù)流I的安全性進(jìn)行檢測(cè),控制器接收到數(shù)據(jù)流I的首報(bào)文后����,向SWl下發(fā)數(shù)據(jù)流I的臨時(shí)轉(zhuǎn)發(fā)規(guī)則,該臨時(shí)轉(zhuǎn)發(fā)規(guī)則中包含的數(shù)據(jù)流I的目的地址為檢測(cè)設(shè)備的地址���,SWl接收到該臨時(shí)轉(zhuǎn)發(fā)規(guī)則后����,按照該轉(zhuǎn)發(fā)規(guī)則的目的地址將數(shù)據(jù)流I的報(bào)文傳輸?shù)綑z測(cè)設(shè)備;檢測(cè)設(shè)備上設(shè)置有安全規(guī)則��,該安全規(guī)則可以根據(jù)網(wǎng)絡(luò)流量安全性檢測(cè)的需要進(jìn)行靈活設(shè)置����,例如,可以禁止某一 IP地址范圍內(nèi)的主機(jī)訪問另一 IP地址范圍內(nèi)的主機(jī)��,或者����,也可以禁止某一 IP地址范圍內(nèi)的主機(jī)訪問某個(gè)端口等等���,檢測(cè)設(shè)備判斷數(shù)據(jù)流I的報(bào)文是否與設(shè)置的安全規(guī)則匹配��,如果匹配則說(shuō)明數(shù)據(jù)流I為不安全的數(shù)據(jù)流��,如果不匹配則數(shù)據(jù)流I為安全的數(shù)據(jù)流�����;檢測(cè)設(shè)備檢測(cè)完數(shù)據(jù)流I后����,與控制器進(jìn)行通信,以便告知控制器數(shù)據(jù)流I是否安全�����,本實(shí)施例可以在SDN的協(xié)議����,例如openflow協(xié)議中添加安全通知消息,以便檢測(cè)設(shè)備可以通過安全通知消息中攜帶的檢測(cè)結(jié)果告知控制器所檢測(cè)的數(shù)據(jù)流是否安全����。
[0132]如圖3B所示,為本發(fā)明實(shí)施例中一種安全通知消息的格式示意圖:
[0133]圖3B中的安全通知消息格式中包括匹配域�、狀態(tài)屬性和操作數(shù)據(jù)。其中����,匹配域可以包括:用于標(biāo)識(shí)數(shù)據(jù)流的多元組,該多元組可以包括至少一種下述信息:數(shù)據(jù)流的源端口����、目的端口、源MAC地址�、目的MAC地址、源IP地址�、目的IP地址����、以太網(wǎng)幀類型等����;狀態(tài)屬性可以包括:數(shù)據(jù)流與安全規(guī)則不匹配時(shí)的安全狀態(tài)(可以用字段SAFE標(biāo)識(shí)),數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)(可以用字段UNSAFE表示)�����;操作屬性可以包括:當(dāng)狀態(tài)屬性為不安全狀態(tài)時(shí)對(duì)數(shù)據(jù)流進(jìn)行丟棄的丟棄屬性(可以用字段DROP表示)��,當(dāng)狀態(tài)屬性為安全時(shí)的對(duì)數(shù)據(jù)流進(jìn)行重定向的重定向?qū)傩?可以用字段REDIRECT表示)����。
[0134]控制器接收到安全通知消息后�,如果安全通知消息中的狀態(tài)屬性為SAFE,則向Sffl發(fā)送第一轉(zhuǎn)發(fā)規(guī)則����,該第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)操作屬性REDIERCT設(shè)置的將數(shù)據(jù)流I重定向后的SW2的信息,后續(xù)當(dāng)SWl接收到數(shù)據(jù)流I的報(bào)文時(shí)�,可以根據(jù)第一轉(zhuǎn)發(fā)規(guī)則將報(bào)文傳輸?shù)絊W2 ;如果根據(jù)狀態(tài)屬性UESAFE確定數(shù)據(jù)流I為不安全的數(shù)據(jù)流,則向SWl發(fā)送第二轉(zhuǎn)發(fā)規(guī)則���,該第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)操作屬性DROP設(shè)置的丟棄該數(shù)據(jù)流I的信息���,后續(xù)當(dāng)SWl接收到數(shù)據(jù)流I的報(bào)文時(shí)����,可以根據(jù)第二轉(zhuǎn)發(fā)規(guī)則將報(bào)文丟棄�,不再進(jìn)行傳輸。
[0135]與本發(fā)明網(wǎng)絡(luò)流量檢測(cè)方法的實(shí)施例相對(duì)應(yīng)��,本發(fā)明還提供了網(wǎng)絡(luò)流量檢測(cè)系統(tǒng)�、檢測(cè)設(shè)備和控制器的實(shí)施例。
[0136]參見圖4����,為本發(fā)明網(wǎng)絡(luò)流量檢測(cè)系統(tǒng)的實(shí)施例框圖:
[0137]該系統(tǒng)包括:控制器410、檢測(cè)設(shè)備420和至少一個(gè)第一交換機(jī)430����。
[0138]其中,所述第一交換機(jī)430�,用于向所述控制器410上報(bào)第一數(shù)據(jù)流的首報(bào)文;
[0139]所述控制器410�,用于向所述第一交換機(jī)430下發(fā)所述第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則;
[0140]所述第一交換機(jī)430���,還用于根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備420 �����;
[0141]所述檢測(cè)設(shè)備420�,用于根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè),獲得檢測(cè)結(jié)果�����,并將所述檢測(cè)結(jié)果發(fā)送給所述控制器410 ��;
[0142]所述控制器410�,還用于根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)430上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則;
[0143]所述第一交換機(jī)430�,還用于按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理�。
[0144]進(jìn)一步,所述檢測(cè)設(shè)備420��,可以具體用于獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息����,判斷所述屬性信息是否與設(shè)置的安全規(guī)則匹配,如果所述屬性信息與所述安全規(guī)則匹配�,則獲得所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流的檢測(cè)結(jié)果���,如果所述屬性信息與所述安全規(guī)則不匹配,則獲得所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流的檢測(cè)結(jié)果����;根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息,并將所述安全通知消息發(fā)送給所述控制器410�����,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域����,狀態(tài)屬性和操作屬性。
[0145]其中����,所述第一數(shù)據(jù)流的匹配域可以包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口����、目的端口、源介質(zhì)訪問控制層MAC地址����、目的MAC地址�����、源互聯(lián)網(wǎng)協(xié)議IP地址�、目的IP地址�����、以太網(wǎng)幀類型��;
[0146]所述狀態(tài)屬性可以包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)��,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)���;
[0147]所述操作屬性可以包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性�,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
[0148]進(jìn)一步����,所述控制器410�,可以具體用于查看所述安全通知消息中的狀態(tài)屬性和操作屬性;如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流��,則向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則�����,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息,以及如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流�����,則向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則����,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息。
[0149]參見圖5�,為本發(fā)明檢測(cè)設(shè)備的一個(gè)實(shí)施例框圖:
[0150]該檢測(cè)設(shè)備包括:接收單元510、檢測(cè)單元520和發(fā)送單元530�。
[0151]其中,接收單元510�����,用于接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文����,所述報(bào)文為所述第一交換機(jī)將所述第一數(shù)據(jù)流的首報(bào)文上報(bào)給控制器后,根據(jù)所述控制器下發(fā)的臨時(shí)轉(zhuǎn)發(fā)規(guī)則定向到所述檢測(cè)設(shè)備的報(bào)文�����;
[0152]檢測(cè)單元520,用于根據(jù)設(shè)置的安全規(guī)則對(duì)所述接收單元510接收的第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)�,獲得檢測(cè)結(jié)果;
[0153]發(fā)送單元530�,用于將所述檢測(cè)單元520獲得的檢測(cè)結(jié)果發(fā)送給所述控制器,以使所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則�����。
[0154]具體的�,檢測(cè)單元520可以包括(圖5中未示出):
[0155]信息獲取子單元,用于獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息��;
[0156]規(guī)則匹配子單元����,用于判斷所述信息獲取子單元獲取的屬性信息是否與設(shè)置的安全規(guī)則匹配;
[0157]結(jié)果確定子單元���,用于當(dāng)所述規(guī)則匹配子單元判斷所述屬性信息與所述安全規(guī)則匹配時(shí)�����,確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流,當(dāng)所述規(guī)則匹配子單元判斷所述屬性信息與所述安全規(guī)則不匹配時(shí),確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流��。
[0158]其中��,所述發(fā)送單元530可以包括(圖5中未示出):
[0159]消息構(gòu)建子單元�����,用于根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息���,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域���,狀態(tài)屬性和操作屬性;
[0160]消息發(fā)送子單元�,用于將所述消息構(gòu)建子單元構(gòu)建的安全通知消息發(fā)送給所述控制器。
[0161]參見圖6�����,為本發(fā)明檢測(cè)設(shè)備的另一個(gè)實(shí)施例框圖:
[0162]該檢測(cè)設(shè)備包括:輸入端口 610����、處理器620和輸出端口 630。
[0163]其中����,所述輸入端口 610�����,用于接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文��,所述報(bào)文為所述第一交換機(jī)將所述第一數(shù)據(jù)流的首報(bào)文上報(bào)給控制器后�����,根據(jù)所述控制器下發(fā)的臨時(shí)轉(zhuǎn)發(fā)規(guī)則定向到所述檢測(cè)設(shè)備的報(bào)文����;
[0164]所述處理器620���,用于根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)����,獲得檢測(cè)結(jié)果�����;
[0165]所述輸出端口 630����,用于將所述檢測(cè)結(jié)果發(fā)送給所述控制器����,以使所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則�����。
[0166]進(jìn)一步��,所述處理器620����,可以具體用于獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息��,判斷所述屬性信息是否與設(shè)置的安全規(guī)則匹配���,如果所述屬性信息與所述安全規(guī)則匹配�,則獲得所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流的檢測(cè)結(jié)果�,如果所述屬性信息與所述安全規(guī)則不匹配,則獲得所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流的檢測(cè)結(jié)果��,根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息��,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域,狀態(tài)屬性和操作屬性��;
[0167]所述輸出端口 630���,可以具體用于將所述安全通知消息發(fā)送給所述控制器���。
[0168]參見圖7,為本發(fā)明控制器的一個(gè)實(shí)施例框圖:
[0169]該控制器包括:第一接收單元710���、下發(fā)單元720��、第二接收單元730和替換單元740�。
[0170]其中�����,第一接收單元710�����,用于接收第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的首報(bào)文��;
[0171]下發(fā)單元720���,用于向所述第一交換機(jī)下發(fā)所述第一接收單元710接收的第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則�,以使所述第一交換機(jī)根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備;
[0172]第二接收單元730���,用于接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果��,所述檢測(cè)結(jié)果為所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)后獲得的結(jié)果;
[0173]替換單元740���,用于根據(jù)所述第二接收單元730接收到的檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則���,以使所述第一交換機(jī)按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理。
[0174]其中���,所述第二接收單元730�,可以具體用于接收所述檢測(cè)設(shè)備發(fā)送的安全通知消息�����,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域��、狀態(tài)屬性和操作屬性�;其中����,
[0175]所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組����,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口、目的端口����、源介質(zhì)訪問控制層MAC地址、目的MAC地址���、源互聯(lián)網(wǎng)協(xié)議IP地址��、目的IP地址��、以太網(wǎng)幀類型���;
[0176]所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài),所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)�;
[0177]所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
[0178]其中����,所述替換單元740可以包括(圖7中未示出):
[0179]屬性查看子單元��,用于查看所述安全通知消息中的狀態(tài)屬性和操作屬性�;[0180]規(guī)則發(fā)送子單元�����,用于當(dāng)根據(jù)所述屬性查看子單元查看的狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流�����,則向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則�,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息��;以及當(dāng)根據(jù)所述屬性查看子單元查看的狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流��,則向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則���,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息��。
[0181]參見圖8��,為本發(fā)明控制器的另一個(gè)實(shí)施例框圖:
[0182]該控制器包括:網(wǎng)絡(luò)接口 810和處理器820���。
[0183]其中���,所述網(wǎng)絡(luò)接口 810,用于接收第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的首報(bào)文�����;
[0184]所述處理器820����,用于控制所述網(wǎng)絡(luò)接口向所述第一交換機(jī)下發(fā)所述第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則,以使所述第一交換機(jī)根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備��;
[0185]所述網(wǎng)絡(luò)接口 810��,還用于接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果���,所述檢測(cè)結(jié)果為所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)后獲得的結(jié)果���;
[0186]所述處理器820,還用于根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則����,以使所述第一交換機(jī)按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理。
[0187]其中,所述網(wǎng)絡(luò)接口 810���,可以具體用于接收所述檢測(cè)設(shè)備發(fā)送的安全通知消息���,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域、狀態(tài)屬性和操作屬性���;其中���,
[0188]所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口�、目的端口、源介質(zhì)訪問控制層MAC地址���、目的MAC地址�、源互聯(lián)網(wǎng)協(xié)議IP地址�、目的IP地址��、以太網(wǎng)幀類型���;
[0189]所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)�����,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)�;
[0190]所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
[0191]進(jìn)一步�����,所述處理器820�,可以具體用于查看所述安全通知消息中的狀態(tài)屬性和操作屬性;如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流�,則控制所述網(wǎng)絡(luò)接口向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息��,以及如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流����,則控制所述網(wǎng)絡(luò)接口向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信肩��、O
[0192]由上述實(shí)施例可見����,第一交換機(jī)向控制器上報(bào)第一數(shù)據(jù)流的首報(bào)文,控制器向第一交換機(jī)下發(fā)第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則�,第一交換機(jī)根據(jù)臨時(shí)轉(zhuǎn)發(fā)規(guī)則將第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備����,檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)�,獲得檢測(cè)結(jié)果,并將檢測(cè)結(jié)果發(fā)送給控制器�,控制器根據(jù)檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換第一交換機(jī)上的臨時(shí)轉(zhuǎn)發(fā)規(guī)則,第一交換機(jī)按照新的轉(zhuǎn)發(fā)規(guī)則對(duì)第一數(shù)據(jù)流的報(bào)文進(jìn)行處理���。本發(fā)明實(shí)施例中����,控制器可以將每個(gè)交換機(jī)要傳輸?shù)臄?shù)據(jù)流首先定向到檢測(cè)設(shè)備��,并根據(jù)檢測(cè)設(shè)備對(duì)每一條數(shù)據(jù)流的安全性檢測(cè)結(jié)果���,確定是否在交換機(jī)之間傳輸數(shù)據(jù)流���,因此提高了網(wǎng)絡(luò)內(nèi)流量檢測(cè)的準(zhǔn)確性,提高了網(wǎng)絡(luò)的傳輸性能��。
[0193]本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明實(shí)施例中的技術(shù)可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)����。基于這樣的理解�����,本發(fā)明實(shí)施例中的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)�,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如R0M/RAM��、磁碟�、光盤等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)����,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法�。
[0194]本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見即可����,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其����,對(duì)于系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例�����,所以描述的比較簡(jiǎn)單,相關(guān)之處參見方法實(shí)施例的部分說(shuō)明即可�����。
[0195]以上所述的本發(fā)明實(shí)施方式��,并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限定����。任何在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)流量檢測(cè)方法����,其特征在于����,所述方法包括: 檢測(cè)設(shè)備接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文,所述報(bào)文為所述第一交換機(jī)將所述第一數(shù)據(jù)流的首報(bào)文上報(bào)給控制器后�,根據(jù)所述控制器下發(fā)的臨時(shí)轉(zhuǎn)發(fā)規(guī)則定向到所述檢測(cè)設(shè)備的報(bào)文; 所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)��,獲得檢測(cè)結(jié)果; 所述檢測(cè)設(shè)備將所述檢測(cè)結(jié)果發(fā)送給所述控制器�,以使所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)���,包括: 獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息; 判斷所述屬性信息是否與設(shè)置的安全規(guī)則匹配��; 如果所述屬性信息與所述安全規(guī)則匹配�����,則確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流���,如果所述屬性信息與所述安全規(guī)則不匹配��,則確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流�����。
3.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于,所述將所述檢測(cè)結(jié)果發(fā)送給所述控制器���,包括: 根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息��,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域���,狀態(tài)屬性和操作屬性 ; 將所述安全通知消息發(fā)送給所述控制器�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�, 所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口��、目的端口����、源介質(zhì)訪問控制層MAC地址、目的MAC地址、源互聯(lián)網(wǎng)協(xié)議IP地址����、目的IP地址、以太網(wǎng)幀類型���; 所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài),所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)�; 所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
5.一種網(wǎng)絡(luò)流量檢測(cè)方法���,其特征在于�����,所述方法包括: 控制器接收第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的首報(bào)文���; 所述控制器向所述第一交換機(jī)下發(fā)所述第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則,以使所述第一交換機(jī)根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備���; 所述控制器接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果��,所述檢測(cè)結(jié)果為所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)后獲得的結(jié)果�; 所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則��,以使所述第一交換機(jī)按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理。
6.根據(jù)權(quán)利要求5所述的方法�����,其特征在于����,所述控制器接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果,具體為:所述控制器接收所述檢測(cè)設(shè)備發(fā)送的安全通知消息�,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域、狀態(tài)屬性和操作屬性�����。
7.根據(jù)權(quán)利要求6所述的方法����,其特征在于, 所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組���,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口�、目的端口���、源介質(zhì)訪問控制層MAC地址�����、目的MAC地址�、源互聯(lián)網(wǎng)協(xié)議IP地址、目的IP地址�、以太網(wǎng)幀類型; 所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)�,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)����; 所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
8.根據(jù)權(quán)利要求7所述的方法��,其特征在于���,所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的臨時(shí)轉(zhuǎn)發(fā)規(guī)則����,包括: 查看所述安全通知消息中的狀態(tài)屬性和操作屬性�����; 如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流,則向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則�����,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息��;以及 如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流�����,則向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則���,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息�。
9.一種網(wǎng)絡(luò)流量檢測(cè)系統(tǒng)���,其特征在于����,所述系統(tǒng)包括:控制器�����、檢測(cè)設(shè)備和至少一個(gè)第一交換機(jī)�����, 所述第一交換機(jī),用于向所述控制器上報(bào)第一數(shù)據(jù)流的首報(bào)文�����; 所述控制器�,用于向所述第一交換機(jī)下發(fā)所述第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則; 所述第一交換機(jī)�����,還用于根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備��; 所述檢測(cè)設(shè)備��,用于根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)���,獲得檢測(cè)結(jié)果,并將所述檢測(cè)結(jié)果發(fā)送給所述控制器����; 所述控制器,還用于根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則�����; 所述第一交換機(jī),還用于按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理����。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于����,所述檢測(cè)設(shè)備,具體用于獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息�����,判斷所述屬性信息是否與設(shè)置的安全規(guī)則匹配����,如果所述屬性信息與所述安全規(guī)則匹配,則獲得所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流的檢測(cè)結(jié)果�,如果所述屬性信息與所述安全規(guī)則不匹配,則獲得所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流的檢測(cè)結(jié)果�;根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息,并將所述安全通知消息發(fā)送給所述控制器�,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域,狀態(tài)屬性和操作屬性�����。
11.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于�����, 所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組�,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口、目的端口��、源介質(zhì)訪問控制層MAC地址�����、目的MAC地址�����、源互聯(lián)網(wǎng)協(xié)議IP地址��、目的IP地址�����、以太網(wǎng)幀類型�; 所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài),所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)����; 所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
12.根據(jù)權(quán)利要求11所述的系統(tǒng)�����,其特征在于���, 所述控制器�����,具體用于查看所述安全通知消息中的狀態(tài)屬性和操作屬性���;如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流,則向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則�,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息,以及如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流�����,則向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則�����,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息。
13.—種檢測(cè)設(shè)備�����,其特征在于���,所述檢測(cè)設(shè)備包括: 接收單元���,用于接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文,所述報(bào)文為所述第一交換機(jī)將所述第一數(shù)據(jù)流的首報(bào)文上報(bào)給控制器后���,根據(jù)所述控制器下發(fā)的臨時(shí)轉(zhuǎn)發(fā)規(guī)則定向到所述檢測(cè)設(shè)備的報(bào)文�����; 檢測(cè)單元�����,用于根據(jù)設(shè)置的安全規(guī)則對(duì)所述接收單元接收的第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè),獲得檢測(cè)結(jié)果�����; 發(fā)送單元,用于將所述檢測(cè)單元獲得的檢測(cè)結(jié)果發(fā)送給所述控制器��,以使所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則�����。
14.根據(jù)權(quán)利要求13所述的檢測(cè)設(shè)備�,其特征在于,所述檢測(cè)單元包括: 信息獲取子單元���,用`于獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息����; 規(guī)則匹配子單元�����,用于判斷所述信息獲取子單元獲取的屬性信息是否與設(shè)置的安全規(guī)則匹配��; 結(jié)果確定子單元�����,用于當(dāng)所述規(guī)則匹配子單元判斷所述屬性信息與所述安全規(guī)則匹配時(shí),確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流���,當(dāng)所述規(guī)則匹配子單元判斷所述屬性信息與所述安全規(guī)則不匹配時(shí)���,確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流。
15.根據(jù)權(quán)利要求13或14所述的檢測(cè)設(shè)備�,其特征在于,所述發(fā)送單元包括: 消息構(gòu)建子單元����,用于根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域�,狀態(tài)屬性和操作屬性; 消息發(fā)送子單元�����,用于將所述消息構(gòu)建子單元構(gòu)建的安全通知消息發(fā)送給所述控制器����。
16.一種檢測(cè)設(shè)備,其特征在于�,所述檢測(cè)設(shè)備包括:輸入端口、處理器和輸出端口,其中�����, 所述輸入端口���,用于接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)流的報(bào)文,所述報(bào)文為所述第一交換機(jī)將所述第一數(shù)據(jù)流的首報(bào)文上報(bào)給控制器后��,根據(jù)所述控制器下發(fā)的臨時(shí)轉(zhuǎn)發(fā)規(guī)則定向到所述檢測(cè)設(shè)備的報(bào)文�����; 所述處理器���,用于根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)���,獲得檢測(cè)結(jié)果; 所述輸出端口�,用于將所述檢測(cè)結(jié)果發(fā)送給所述控制器,以使所述控制器根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則���。
17.根據(jù)權(quán)利要求16所述的檢測(cè)設(shè)備�,其特征在于, 所述處理器�����,具體用于獲取所述第一數(shù)據(jù)流的報(bào)文的屬性信息����,判斷所述屬性信息是否與設(shè)置的安全規(guī)則匹配,如果所述屬性信息與所述安全規(guī)則匹配�����,則獲得所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流的檢測(cè)結(jié)果��,如果所述屬性信息與所述安全規(guī)則不匹配�,則獲得所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流的檢測(cè)結(jié)果,根據(jù)所述檢測(cè)結(jié)果構(gòu)建安全通知消息�,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域,狀態(tài)屬性和操作屬性����; 所述輸出端口,具體用于將所述安全通知消息發(fā)送給所述控制器�����。
18.—種控制器,其特征在于��,所述控制器包括: 第一接收單元����,用于接收第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的首報(bào)文; 下發(fā)單元����,用于向所述第一交換機(jī)下發(fā)所述第一接收單元接收的第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則����,以使所述第一交換機(jī)根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備; 第二接收單元��,用于接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果����,所述檢測(cè)結(jié)果為所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)后獲得的結(jié)果; 替換單元�,用于根據(jù)所述第二接收單元接收到的檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則,以使所述第一交換機(jī)按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理�。
19.根據(jù)權(quán)利要求18所述的控制器,其特征在于���, 所述第二接收單元��,具體用于接收所述檢測(cè)設(shè)備發(fā)送的安全通知消息�,所述安全通知消息中包含所述第一數(shù)據(jù)流 的匹配域、狀態(tài)屬性和操作屬性�;其中, 所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組���,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口�、目的端口�����、源介質(zhì)訪問控制層MAC地址�、目的MAC地址、源互聯(lián)網(wǎng)協(xié)議IP地址�����、目的IP地址�、以太網(wǎng)幀類型; 所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)�����,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài); 所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性��,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
20.根據(jù)權(quán)利要求19所述的控制器�,其特征在于,所述替換單元包括: 屬性查看子單元�,用于查看所述安全通知消息中的狀態(tài)屬性和操作屬性; 規(guī)則發(fā)送子單元�,用于當(dāng)根據(jù)所述屬性查看子單元查看的狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流,則向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則���,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)的信息;以及當(dāng)根據(jù)所述屬性查看子單元查看的狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流���,則向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則�,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息����。
21.一種控制器,其特征在于�,所述控制器包括:網(wǎng)絡(luò)接口和處理器,其中��, 所述網(wǎng)絡(luò)接口�����,用于接收第一交換機(jī)上報(bào)的第一數(shù)據(jù)流的首報(bào)文; 所述處理器��,用于控制所述網(wǎng)絡(luò)接口向所述第一交換機(jī)下發(fā)所述第一數(shù)據(jù)流的臨時(shí)轉(zhuǎn)發(fā)規(guī)則�,以使所述第一交換機(jī)根據(jù)所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則將所述第一數(shù)據(jù)流的報(bào)文定向到檢測(cè)設(shè)備; 所述網(wǎng)絡(luò)接口���,還用于接收所述檢測(cè)設(shè)備發(fā)送的檢測(cè)結(jié)果��,所述檢測(cè)結(jié)果為所述檢測(cè)設(shè)備根據(jù)設(shè)置的安全規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行安全檢測(cè)后獲得的結(jié)果��; 所述處理器�,還用于根據(jù)所述檢測(cè)結(jié)果生成新的轉(zhuǎn)發(fā)規(guī)則替換所述第一交換機(jī)上的所述臨時(shí)轉(zhuǎn)發(fā)規(guī)則�����,以使所述第一交換機(jī)按照所述新的轉(zhuǎn)發(fā)規(guī)則對(duì)所述第一數(shù)據(jù)流的報(bào)文進(jìn)行處理�����。
22.根據(jù)權(quán)利要求21所述的控制器����,其特征在于��, 所述網(wǎng)絡(luò)接口��,具體用于接收所述檢測(cè)設(shè)備發(fā)送的安全通知消息����,所述安全通知消息中包含所述第一數(shù)據(jù)流的匹配域����、狀態(tài)屬性和操作屬性;其中��, 所述第一數(shù)據(jù)流的匹配域包括:用于標(biāo)識(shí)所述第一數(shù)據(jù)流的多元組���,所述多元組包括至少一種下述信息:所述第一數(shù)據(jù)流的源端口、目的端口�、源介質(zhì)訪問控制層MAC地址、目的MAC地址����、源互聯(lián)網(wǎng)協(xié)議IP地址、目的IP地址�����、以太網(wǎng)幀類型; 所述狀態(tài)屬性包括:所述第一數(shù)據(jù)流與所述安全規(guī)則不匹配時(shí)的安全狀態(tài)��,所述第一數(shù)據(jù)流與所述安全規(guī)則匹配時(shí)的不安全狀態(tài)��; 所述操作屬性包括:當(dāng)所述狀態(tài)屬性為不安全狀態(tài)時(shí)的丟棄屬性��,當(dāng)所述狀態(tài)屬性為安全時(shí)的重定向?qū)傩浴?br>
23.根據(jù)權(quán)利要求22所述的控制器���,其特征在于����, 所述處理器���,具體用于查看所述安全通知消息中的狀態(tài)屬性和操作屬性����;如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為安全的數(shù)據(jù)流�����,則控制所述網(wǎng)絡(luò)接口向所述第一交換機(jī)發(fā)送生成的第一轉(zhuǎn)發(fā)規(guī)則��,所述第一轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的所述第一數(shù)據(jù)流重定向后的第二交換機(jī)`的信息,以及如果根據(jù)所述狀態(tài)屬性確定所述第一數(shù)據(jù)流為不安全的數(shù)據(jù)流�,則控制所述網(wǎng)絡(luò)接口向所述第一交換機(jī)發(fā)送生成的第二轉(zhuǎn)發(fā)規(guī)則,所述第二轉(zhuǎn)發(fā)規(guī)則中包含根據(jù)所述操作屬性設(shè)置的丟棄所述第一數(shù)據(jù)流的信息�����。
【文檔編號(hào)】H04L12/741GK103609070SQ201280021731
【公開日】2014年2月26日 申請(qǐng)日期:2012年10月29日 優(yōu)先權(quán)日:2012年10月29日
【發(fā)明者】孟健, 王雨晨 申請(qǐng)人:華為技術(shù)有限公司