网络流量检测方法、系统、设备及控制器的制造方法

网络流量检测方法、系统、设备及控制器的制造方法
【专利摘要】网络流量检测方法、系统、设备及控制器，该方法包括：检测设备接收第一交换机发送的第一数据流的报文，根据设置的安全规则对所述第一数据流的报文进行安全检测，获得检测结果，将所述检测结果发送给所述控制器，以使所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则。控制器可以将每个交换机要传输的数据流首先定向到检测设备，并根据检测设备对每一条数据流的安全性检测结果，确定是否在交换机之间传输数据流，因此提高了网络内流量检测的准确性，提高了网络的传输性能。
【专利说明】网络流量检测方法、系统、设备及控制器
【技术领域】
[0001]本发明涉及网络通信【技术领域】，特别涉及网络流量检测方法、系统、设备及控制器。
【背景技术】
[0002]传统网络架构中，通常包括若干路由交换设备，每个路由交换设备可以连接若干主机设备，所有路由交换设备均直接或间接与网关设备相连，由网关设备与外部网络连接。在对网络中的流量安全性进行检测时，可以在网络的关键路径处部署流量检测设备。例如，对于一个局域网或者公司网，通常可以在网关设备与外部网络的连接路径上部署流量检测设备，以此检测局域网或者公司网的整体流量安全性。
[0003]发明人在对现有技术的研究过程发现，如果采用传统网络的流量检测方法，则仅能检测网络整体流量的安全性，而难以对网络内部交换设备之间所传输流量的安全性进行检测，从而导致网络流量检测不准确。

【发明内容】

[0004]本发明实施例提供网络流量检测方法、系统、设备及控制器，以解决现有技术中无法对网络内部流量的安全性进行检测，导致网络流量检测不准确的问题。
[0005]为了解决上述技术问题，本发明实施例公开了如下技术方案:
[0006]第一方面，提供一种网络流量检测方法，所述方法包括:
[0007]检测设备接收第一交换机发送的第一数据流的报文，所述报文为所述第一交换机将所述第一数据流的首报文上报给控制器后，根据所述控制器下发的临时转发规则定向到所述检测设备的报文；
[0008]所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测，获得检测结果；
[0009]所述检测设备将所述检测结果发送给所述控制器，以使所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则。
[0010]在第一方面的第一种可能的实现方式中，所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测，包括:
[0011]获取所述第一数据流的报文的属性信息；
[0012]判断所述属性信息是否与设置的安全规则匹配；
[0013]如果所述属性信息与所述安全规则匹配，则确定所述第一数据流为不安全的数据流，如果所述属性信息与所述安全规则不匹配，则确定所述第一数据流为安全的数据流。
[0014]在第一方面，或第一方面的第一种可能的实现方式中，还提供了第一方面的第二种可能的实现方式，所述将所述检测结果发送给所述控制器，包括:
[0015]根据所述检测结果构建安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性；[0016]将所述安全通知消息发送给所述控制器。
[0017]在第一方面的第二种可能的实现方式中，还提供了第一方面的第三种可能的实现方式，
[0018]所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型；
[0019]所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态；
[0020]所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
[0021]第二方面，提供另一种网络流量检测方法，所述方法包括:
[0022]控制器接收第一交换机上报的第一数据流的首报文；
[0023]所述控制器向所述第一交换机下发所述第一数据流的临时转发规则，以使所述第一交换机根据所述临时转发规则将所述第一数据流的报文定向到检测设备；
[0024]所述控制器接收所述检测设备发送的检测结果，所述检测结果为所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测后获得的结果；
[0025]所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则，以使所述第一交换机按照所述新的转发规则对所述第一数据流的报文进行处理。
[0026]在第二方面的第一种可能的实现方式中，所述控制器接收所述检测设备发送的检测结果，具体为:所述控制器接收所述检测设备发送的安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域、状态属性和操作属性。
[0027]在第二方面的第一种可能的实现方式中，还提供了第一方面的第二种可能的实现方式，
[0028]所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型；
[0029]所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态；
[0030]所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
[0031]在第二方面的第二种可能的实现方式中，还提供了第二方面的第三种可能的实现方式，所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的临时转发规则，包括:
[0032]查看所述安全通知消息中的状态属性和操作属性；
[0033]如果根据所述状态属性确定所述第一数据流为安全的数据流，则向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息；以及
[0034]如果根据所述状态属性确定所述第一数据流为不安全的数据流，则向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
[0035]第三方面，提供一种网络流量检测系统，所述系统包括:控制器、检测设备和至少一个第一交换机，
[0036]所述第一交换机，用于向所述控制器上报第一数据流的首报文；
[0037]所述控制器，用于向所述第一交换机下发所述第一数据流的临时转发规则；
[0038]所述第一交换机，还用于根据所述临时转发规则将所述第一数据流的报文定向到检测设备；
[0039]所述检测设备，用于根据设置的安全规则对所述第一数据流的报文进行安全检测，获得检测结果，并将所述检测结果发送给所述控制器；
[0040]所述控制器，还用于根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则；
[0041]所述第一交换机，还用于按照所述新的转发规则对所述第一数据流的报文进行处理。
[0042]在第三方面的第一种可能的实现方式中，所述检测设备，具体用于获取所述第一数据流的报文的属性信息，判断所述属性信息是否与设置的安全规则匹配，如果所述属性信息与所述安全规则匹配，则获得所述第一数据流为不安全的数据流的检测结果，如果所述属性信息与所述安全规则不匹配，则获得所述第一数据流为安全的数据流的检测结果；根据所述检测结果构建安全通知消息，并将所述安全通知消息发送给所述控制器，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性。
[0043]在第三方面的第一种可能的实现方式中，还提供了第三方面的在第二种可能的实现方式，
[0044]所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型；
[0045]所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态；
[0046]所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
[0047]在第三方面的第二种可能的实现方式中，还提供了第三方面的第三种可能的实现方式，
[0048]所述控制器，具体用于查看所述安全通知消息中的状态属性和操作属性；如果根据所述状态属性确定所述第一数据流为安全的数据流，则向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息，以及如果根据所述状态属性确定所述第一数据流为不安全的数据流，则向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
[0049]第四方面，提供一种检测设备，所述检测设备包括:
[0050]接收单元，用于接收第一交换机发送的第一数据流的报文，所述报文为所述第一交换机将所述第一数据流的首报文上报给控制器后，根据所述控制器下发的临时转发规则定向到所述检测设备的报文；
[0051]检测单元，用于根据设置的安全规则对所述接收单元接收的第一数据流的报文进行安全检测，获得检测结果；
[0052]发送单元，用于将所述检测单元获得的检测结果发送给所述控制器，以使所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则。
[0053]在第四方面的第一种可能的实现方式中，所述检测单元包括:
[0054]信息获取子单元，用于获取所述第一数据流的报文的属性信息；
[0055]规则匹配子单元，用于判断所述信息获取子单元获取的属性信息是否与设置的安全规则匹配；
[0056]结果确定子单元，用于当所述规则匹配子单元判断所述属性信息与所述安全规则匹配时，确定所述第一数据流为不安全的数据流，当所述规则匹配子单元判断所述属性信息与所述安全规则不匹配时，确定所述第一数据流为安全的数据流。
[0057]在第四方面，或第四方面的第一种可能的实现方式中，还提供了第四方面的第二种可能的实现方式，所述发送单元包括:
[0058]消息构建子单元，用于根据所述检测结果构建安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性；
[0059]消息发送子单元，用于将所述消息构建子单元构建的安全通知消息发送给所述控制器。
[0060]第五方面，提供另一种检测设备，所述检测设备包括:输入端口、处理器和输出端口，其中，
[0061]所述输入端口，用于接收第一交换机发送的第一数据流的报文，所述报文为所述第一交换机将所述第一数据流的首报文上报给控制器后，根据所述控制器下发的临时转发规则定向到所述检测设备的报文；
[0062]所述处理器，用于根据设置的安全规则对所述第一数据流的报文进行安全检测，获得检测结果；
[0063]所述输出端口，用于将所述检测结果发送给所述控制器，以使所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则。
[0064]在第五方面的第一种可能的实现方式中，所述处理器，具体用于获取所述第一数据流的报文的属性信息，判断所述属性信息是否与设置的安全规则匹配，如果所述属性信息与所述安全规则匹配，则获得所述第一数据流为不安全的数据流的检测结果，如果所述属性信息与所述安全规则不匹配，则获得所述第一数据流为安全的数据流的检测结果，根据所述检测结果构建安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性；
[0065]所述输出端口，具体用于将所述安全通知消息发送给所述控制器。
[0066]第六方面，提供一种控制器，所述控制器包括:
[0067]第一接收单元，用于接收第一交换机上报的第一数据流的首报文；
[0068]下发单元，用于向所述第一交换机下发所述第一接收单元接收的第一数据流的临时转发规则，以使所述第一交换机根据所述临时转发规则将所述第一数据流的报文定向到检测设备；
[0069]第二接收单元，用于接收所述检测设备发送的检测结果，所述检测结果为所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测后获得的结果；
[0070]替换单元，用于根据所述第二接收单元接收到的检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则，以使所述第一交换机按照所述新的转发规则对所述第一数据流的报文进行处理。
[0071]在第六方面的第一种可能的实现方式中，所述网络接口，所述第二接收单元，具体用于接收所述检测设备发送的安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域、状态属性和操作属性；其中，
[0072]所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型；
[0073]所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态；
[0074]所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
[0075]在第六方面的第一种可能的实现方式中，还提供了第六方面的第二种可能的实现方式，所述替换单元包括:
[0076]属性查看子单元，用于查看所述安全通知消息中的状态属性和操作属性；
[0077]规则发送子单元，用于当根据所述属性查看子单元查看的状态属性确定所述第一数据流为安全的数据流，则向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息；以及当根据所述属性查看子单元查看的状态属性确定所述第一数据流为不安全的数据流，则向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
[0078]第七方面，提供一种控制器，所述控制器包括:网络接口和处理器，其中，
[0079]所述网络接口，用于接收第一交换机上报的第一数据流的首报文；
[0080]所述处理器，用于控制所述网络接口向所述第一交换机下发所述第一数据流的临时转发规则，以使所述第一交换机根据所述临时转发规则将所述第一数据流的报文定向到检测设备；
[0081]所述网络接口，还用于接收所述检测设备发送的检测结果，所述检测结果为所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测后获得的结果；
[0082]所述处理器，还用于根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则，以使所述第一交换机按照所述新的转发规则对所述第一数据流的报文进行处理。
[0083]在第七方面的第一种可能的实现方式中，所述网络接口，具体用于接收所述检测设备发送的安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域、状态属性和操作属性；其中，
[0084]所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型；
[0085]所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态；
[0086]所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
[0087]在第七方面的第一种可能的实现方式中，还提供了第七方面的第二种可能的实现方式，所述处理器，具体用于查看所述安全通知消息中的状态属性和操作属性；如果根据所述状态属性确定所述第一数据流为安全的数据流，则控制所述网络接口向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息，以及如果根据所述状态属性确定所述第一数据流为不安全的数据流，则控制所述网络接口向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
[0088]本发明实施例中，第一交换机向控制器上报第一数据流的首报文，控制器向第一交换机下发第一数据流的临时转发规则，第一交换机根据临时转发规则将第一数据流的报文定向到检测设备，检测设备根据设置的安全规则对第一数据流的报文进行安全检测，获得检测结果，并将检测结果发送给控制器，控制器根据检测结果生成新的转发规则替换第一交换机上的临时转发规则，第一交换机按照新的转发规则对第一数据流的报文进行处理。本发明实施例中，控制器可以将每个交换机要传输的数据流首先定向到检测设备，并根据检测设备对每一条数据流的安全性检测结果，确定是否在交换机之间传输数据流，因此提高了网络内流量检测的准确性，提高了网络的传输性能。
【专利附图】

【附图说明】
[0089]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0090]图1为本发明网络流量检测方法的一个实施例流程图；
[0091]图2为本发明网络流量检测方法的另一个实施例流程图；
[0092]图3A为本发明实施例所应用的网络架构示意图；
[0093]图3B为本发明实施例中安全通知消息的格式示意图；
[0094]图4为本发明网络流量检测系统的实施例框图；
[0095]图5为本发明检测设备的一个实施例框图；
[0096]图6为本发明检测设备的另一个实施例框图；
[0097]图7为本发明控制器的一个实施例框图；
[0098]图8为本发明控制器的另一个实施例框图。
【具体实施方式】
[0099]本发明如下实施例提供了网络流量检测方法、系统、设备及控制器，以便提高网络中流量检测的准确性。
[0100]为了使本【技术领域】的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。
[0101]下述本发明实施例可以应用在可编程的软件定义网络(Software DefinedNetwork，SDN)中，SDN网络将网络设备的控制平面与数据转发平面进行分离，从而可以对网络流量进行灵活控制。其中控制平面的功能由控制器(Controller)实现，主要负责下发流量转发策略；数据转发平面的功能由交换机(Switch，简称SW)实现，主要用于接收控制器下发的转发策略，并根据该转发策略对流量进行转发。通常在一个SDN网络中，控制器分别与每个交换机相连，交换机之间通过相互连接实现流量的转发。本发明实施例中，可以将检测设备部署在SDN网络中，该检测设备分别与控制器和交换机相连，该检测设备可以具体为防火墙(Firewall,FW)设备、入侵防御系统(Intrusion Prevention System, IPS)设备、或入侵检测系统(Intrusion Detection Systems, IDS)设备。
[0102]参见图1，为本发明网络流量检测方法的一个实施例流程图，该实施例从检测设备侧描述了检测网络流量的过程:
[0103]步骤101:检测设备接收第一交换机发送的第一数据流的报文，该报文为第一交换机将第一数据流的首报文上报给控制器后，根据控制器下发的临时转发规则定向到该检测设备的报文。
[0104]在SDN网络中，交换机在传输每一条数据流时，都需要从控制器获得转发规则，并将转发规则作为一个表项存储在流表中，即交换机所存储流表的每个表项可以标识一条数据流。通常当交换机传输某个数据流的首报文时，由于流表中没有这条数据流的转发规则，因此交换机会将该首报文上报给控制器，以便向控制器请求该数据流的转发规则。
[0105]本实施例中应用控制器为交换机下发转发规则的特性，为了检测网络中每一条数据流的安全性，控制器可以在接收到交换机传输的某个数据流的首报文时，向该交换机下发临时转发规则，该临时转发规则中包含的目的端口、目的互联网协议(InternetProtocol, IP)地址、目的介质访问控制层(Medium Access Control, MAC)地址为检测设备的端口、IP地址、MAC地址，从而可以使该交换机将该数据流在网络中传输之前，可以根据临时转发规则先传输到检测设备进行安全性检测。
[0106]步骤102:检测设备根据设置的安全规则对第一数据流的报文进行安全检测，获得检测结果。
[0107]其中，检测设备可以获取第一数据流的报文的属性信息，判断该属性信息是否与设置的安全规则匹配，如果属性信息与安全规则匹配，则确定第一数据流为不安全的数据流，如果属性信息与安全规则不匹配，则确定第一数据流为安全的数据流。
[0108]通常报文的属性信息通常可以包括:报文的源IP地址、源MAC地址、源端口、目的IP地址、目的MAC地址、目的端口等可以标识数据流的信息；安全规则中包含了一些不符合安全特性的数据流所要满足的条件，例如，禁止IP地址范围为A的主机访问IP地址范围为B的主机，则在接收到数据流的报文后，检测设备可以获取该报文的源IP地址和目的IP地址，如果源IP地址属于地址范围A，且目的IP地址属于地址范围B，则说明该报文的属性信息与安全规则匹配，该数据流属于不安全的数据流。[0109]步骤103:检测设备将检测结果发送给控制器，以使控制器根据检测结果生成新的转发规则替换第一交换机上的临时转发规则。
[0110]其中，检测设备可以根据检测结果构建安全通知消息，该安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性，并将该安全通知消息发送给控制器。
[0111]其中，可选地，第一数据流的匹配域可以包括:用于标识第一数据流的多元组，所述多元组可以包括至少一种下述信息:所述第一数据流的源端口、目的端口、源MAC地址、目的MAC地址、源IP地址、目的IP地址、以太网帧类型等；
[0112]状态属性可以包括:第一数据流与安全规则不匹配时的安全状态，第一数据流与所述安全规则匹配时的不安全状态；
[0113]操作属性可以包括:当状态属性为不安全状态时对数据流进行丢弃的丢弃属性，当状态属性为安全时的对数据流进行重定向的重定向属性。
[0114]当检测设备将安全通知消息发送给控制器后，控制器可以查看安全通知消息中的状态属性和操作属性，如果根据状态属性确定第一数据流为安全的数据流，则控制器可以向第一交换机发送生成的第一转发规则，该第一转发规则中包含根据操作属性设置的第一数据流重定向后的第二交换机的信息，该第二交换机为初始第一数据流的目的地址对应的交换机，该第二交换机的信息可以在第一交换机向控制器上报第一数据流的首报文时同时上报到控制器，当控制器确定第一数据流为安全的数据流时，按照该第二交换机的信息生成第一转发规则，以便后续第一交换机可以将第一数据流的报文传输到第二交换机；如果根据状态属性确定第一数据流为不安全的数据流，则控制器可以向第一交换机发送第二转发规则，该第二转发规则中包含根据操作属性设置的丢弃该第一数据流的信息，以便后续第一交换机接收到第一数据流的报文时丢弃该报文。
[0115]由上述实施例可见，控制器可以将每个交换机要传输的数据流首先定向到检测设备，并根据检测设备对每一条数据流的安全性检测结果，确定是否在交换机之间传输数据流，因此提高了网络内流量检测的准确性，提高了网络的传输性能。
[0116]参见图2，为本发明网络流量检测方法的另一个实施例流程图，该实施例从控制器侧描述了检测网络流量的过程:
[0117]步骤201:控制器接收第一交换机上报的第一数据流的首报文。
[0118]在SDN网络中，交换机在传输每一条数据流时，都需要从控制器获得转发规则，并将转发规则作为一个表项存储在流表中，即交换机所存储流表的每个表项可以标识一条数据流。通常当交换机传输某个数据流的首报文时，由于流表中没有这条数据流的转发规则，因此交换机会将该首报文上报给控制器，以便向控制器请求该数据流的转发规则。
[0119]步骤202:控制器向第一交换机下发第一数据流的临时转发规则，以使第一交换机根据该临时转发规则将第一数据流的报文定向到检测设备。
[0120]本实施例中应用控制器为交换机下发转发规则的特性，为了检测网络中每一条数据流的安全性，控制器可以在接收到交换机传输的某个数据流的首报文时，向该交换机下发临时转发规则，该临时转发规则中包含的目的端口、目的IP地址、目的MAC地址为检测设备的端口、IP地址、MAC地址，从而可以使该交换机将该数据流在网络中传输之前，可以根据临时转发规则先传输到检测设备进行安全性检测。
[0121]步骤203:控制器接收检测设备发送的检测结果，该检测结果为检测设备根据设置的安全规则对第一数据流的报文进行安全检测后获得的结果。
[0122]本实施例中，当检测设备接收到第一交换机上报的第一数据流的报文后，可以获取第一数据流的报文的属性信息，判断该属性信息是否与设置的安全规则匹配，如果属性信息与安全规则匹配，则确定第一数据流为不安全的数据流，如果属性信息与安全规则不匹配，则确定第一数据流为安全的数据流。检测设备可以根据检测结果构建安全通知消息，并将该安全通知消息发送给控制器，控制器接收安全通知消息，该安全通知消息中包含第一数据流的匹配域、状态属性和操作属性。
[0123]其中，可选地，第一数据流的匹配域可以包括:用于标识第一数据流的多元组，所述多元组可以包括至少一种下述信息:所述第一数据流的源端口、目的端口、源MAC地址、目的MAC地址、源IP地址、目的IP地址、以太网帧类型等；
[0124]状态属性可以包括:第一数据流与安全规则不匹配时的安全状态，第一数据流与所述安全规则匹配时的不安全状态；
[0125]操作属性可以包括:当状态属性为不安全状态时对数据流进行丢弃的丢弃属性，当状态属性为安全时的对数据流进行重定向的重定向属性。
[0126]步骤204:控制器根据检测结果生成新的转发规则替换第一交换机上的临时转发规则，以使第一交换机按照新的转发规则对第一数据流的报文进行处理。
[0127]控制器查看安全通知消息中的状态属性和操作属性，如果根据状态属性确定第一数据流为安全的数据流，则向第一交换机发送第一转发规则，该第一转发规则中包含根据操作属性设置的第一数据流重定向后的第二交换机的信息，该第二交换机为初始第一数据流的目的地址对应的交换机，该第二交换机的信息可以在第一交换机向控制器上报第一数据流的首报文时同时上报到控制器，当控制器确定第一数据流为安全的数据流时，按照该第二交换机的信息生成第一转发规则，以便后续第一交换机可以将第一数据流的报文传输到第二交换机；如果根据状态属性确定第一数据流为不安全的数据流，则向第一交换机发送第二转发规则，该第二转发规则中包含根据操作属性设置的丢弃该第一数据流的信息，以便后续第一交换机接收到第一数据流的报文时丢弃该报文。
[0128]由上述实施例可见，控制器可以将每个交换机要传输的数据流首先定向到检测设备，并根据检测设备对每一条数据流的安全性检测结果，确定是否在交换机之间传输数据流，因此提高了网络内流量检测的准确性，提高了网络的传输性能。
[0129]参见图3A，为本发明前述方法实施例所应用的一个网络架构示意图；
[0130]图3A中的网络架构可以具体为基于SDN网络的架构，作为一种示例，该网络架构中包括:一个控制器、一个检测设备和三个交换机，分别为SW1、SW2和SW3，每个交换机连接两台主机设备。其中，控制器、检测设备及每一台交换机之间相互连接。下面结合图3A示出的网络架构，对本发明实施例中描述的网络流量检测过程进行描述，其中假设SWl要对数据流I进行传输，且初始该数据流I的目的地址对应的交换机为SW2，即该数据流I的目的地址是SW2所连接的主机的地址，在本实施例中数据流I的目的地址是主机21或主机22的地址:
[0131]当SWl接收到数据流I的首报文时，Sffl中没有数据流I的转发规则，因此SWl将该数据流I的首报文上报到控制器请求转发规则；为了对数据流I的安全性进行检测，控制器接收到数据流I的首报文后，向SWl下发数据流I的临时转发规则，该临时转发规则中包含的数据流I的目的地址为检测设备的地址，SWl接收到该临时转发规则后，按照该转发规则的目的地址将数据流I的报文传输到检测设备；检测设备上设置有安全规则，该安全规则可以根据网络流量安全性检测的需要进行灵活设置，例如，可以禁止某一 IP地址范围内的主机访问另一 IP地址范围内的主机，或者，也可以禁止某一 IP地址范围内的主机访问某个端口等等，检测设备判断数据流I的报文是否与设置的安全规则匹配，如果匹配则说明数据流I为不安全的数据流，如果不匹配则数据流I为安全的数据流；检测设备检测完数据流I后，与控制器进行通信，以便告知控制器数据流I是否安全，本实施例可以在SDN的协议，例如openflow协议中添加安全通知消息，以便检测设备可以通过安全通知消息中携带的检测结果告知控制器所检测的数据流是否安全。
[0132]如图3B所示，为本发明实施例中一种安全通知消息的格式示意图:
[0133]图3B中的安全通知消息格式中包括匹配域、状态属性和操作数据。其中，匹配域可以包括:用于标识数据流的多元组，该多元组可以包括至少一种下述信息:数据流的源端口、目的端口、源MAC地址、目的MAC地址、源IP地址、目的IP地址、以太网帧类型等；状态属性可以包括:数据流与安全规则不匹配时的安全状态(可以用字段SAFE标识)，数据流与所述安全规则匹配时的不安全状态(可以用字段UNSAFE表示)；操作属性可以包括:当状态属性为不安全状态时对数据流进行丢弃的丢弃属性(可以用字段DROP表示)，当状态属性为安全时的对数据流进行重定向的重定向属性(可以用字段REDIRECT表示)。
[0134]控制器接收到安全通知消息后，如果安全通知消息中的状态属性为SAFE，则向Sffl发送第一转发规则，该第一转发规则中包含根据操作属性REDIERCT设置的将数据流I重定向后的SW2的信息，后续当SWl接收到数据流I的报文时，可以根据第一转发规则将报文传输到SW2 ;如果根据状态属性UESAFE确定数据流I为不安全的数据流，则向SWl发送第二转发规则，该第二转发规则中包含根据操作属性DROP设置的丢弃该数据流I的信息，后续当SWl接收到数据流I的报文时，可以根据第二转发规则将报文丢弃，不再进行传输。
[0135]与本发明网络流量检测方法的实施例相对应，本发明还提供了网络流量检测系统、检测设备和控制器的实施例。
[0136]参见图4，为本发明网络流量检测系统的实施例框图:
[0137]该系统包括:控制器410、检测设备420和至少一个第一交换机430。
[0138]其中，所述第一交换机430，用于向所述控制器410上报第一数据流的首报文；
[0139]所述控制器410，用于向所述第一交换机430下发所述第一数据流的临时转发规则；
[0140]所述第一交换机430，还用于根据所述临时转发规则将所述第一数据流的报文定向到检测设备420 ；
[0141]所述检测设备420，用于根据设置的安全规则对所述第一数据流的报文进行安全检测，获得检测结果，并将所述检测结果发送给所述控制器410 ；
[0142]所述控制器410，还用于根据所述检测结果生成新的转发规则替换所述第一交换机430上的所述临时转发规则；
[0143]所述第一交换机430，还用于按照所述新的转发规则对所述第一数据流的报文进行处理。
[0144]进一步，所述检测设备420，可以具体用于获取所述第一数据流的报文的属性信息，判断所述属性信息是否与设置的安全规则匹配，如果所述属性信息与所述安全规则匹配，则获得所述第一数据流为不安全的数据流的检测结果，如果所述属性信息与所述安全规则不匹配，则获得所述第一数据流为安全的数据流的检测结果；根据所述检测结果构建安全通知消息，并将所述安全通知消息发送给所述控制器410，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性。
[0145]其中，所述第一数据流的匹配域可以包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型；
[0146]所述状态属性可以包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态；
[0147]所述操作属性可以包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
[0148]进一步，所述控制器410，可以具体用于查看所述安全通知消息中的状态属性和操作属性；如果根据所述状态属性确定所述第一数据流为安全的数据流，则向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息，以及如果根据所述状态属性确定所述第一数据流为不安全的数据流，则向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
[0149]参见图5，为本发明检测设备的一个实施例框图:
[0150]该检测设备包括:接收单元510、检测单元520和发送单元530。
[0151]其中，接收单元510，用于接收第一交换机发送的第一数据流的报文，所述报文为所述第一交换机将所述第一数据流的首报文上报给控制器后，根据所述控制器下发的临时转发规则定向到所述检测设备的报文；
[0152]检测单元520，用于根据设置的安全规则对所述接收单元510接收的第一数据流的报文进行安全检测，获得检测结果；
[0153]发送单元530，用于将所述检测单元520获得的检测结果发送给所述控制器，以使所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则。
[0154]具体的，检测单元520可以包括(图5中未示出):
[0155]信息获取子单元，用于获取所述第一数据流的报文的属性信息；
[0156]规则匹配子单元，用于判断所述信息获取子单元获取的属性信息是否与设置的安全规则匹配；
[0157]结果确定子单元，用于当所述规则匹配子单元判断所述属性信息与所述安全规则匹配时，确定所述第一数据流为不安全的数据流，当所述规则匹配子单元判断所述属性信息与所述安全规则不匹配时，确定所述第一数据流为安全的数据流。
[0158]其中，所述发送单元530可以包括(图5中未示出):
[0159]消息构建子单元，用于根据所述检测结果构建安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性；
[0160]消息发送子单元，用于将所述消息构建子单元构建的安全通知消息发送给所述控制器。
[0161]参见图6，为本发明检测设备的另一个实施例框图:
[0162]该检测设备包括:输入端口 610、处理器620和输出端口 630。
[0163]其中，所述输入端口 610，用于接收第一交换机发送的第一数据流的报文，所述报文为所述第一交换机将所述第一数据流的首报文上报给控制器后，根据所述控制器下发的临时转发规则定向到所述检测设备的报文；
[0164]所述处理器620，用于根据设置的安全规则对所述第一数据流的报文进行安全检测，获得检测结果；
[0165]所述输出端口 630，用于将所述检测结果发送给所述控制器，以使所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则。
[0166]进一步，所述处理器620，可以具体用于获取所述第一数据流的报文的属性信息，判断所述属性信息是否与设置的安全规则匹配，如果所述属性信息与所述安全规则匹配，则获得所述第一数据流为不安全的数据流的检测结果，如果所述属性信息与所述安全规则不匹配，则获得所述第一数据流为安全的数据流的检测结果，根据所述检测结果构建安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性；
[0167]所述输出端口 630，可以具体用于将所述安全通知消息发送给所述控制器。
[0168]参见图7，为本发明控制器的一个实施例框图:
[0169]该控制器包括:第一接收单元710、下发单元720、第二接收单元730和替换单元740。
[0170]其中，第一接收单元710，用于接收第一交换机上报的第一数据流的首报文；
[0171]下发单元720，用于向所述第一交换机下发所述第一接收单元710接收的第一数据流的临时转发规则，以使所述第一交换机根据所述临时转发规则将所述第一数据流的报文定向到检测设备；
[0172]第二接收单元730，用于接收所述检测设备发送的检测结果，所述检测结果为所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测后获得的结果；
[0173]替换单元740，用于根据所述第二接收单元730接收到的检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则，以使所述第一交换机按照所述新的转发规则对所述第一数据流的报文进行处理。
[0174]其中，所述第二接收单元730，可以具体用于接收所述检测设备发送的安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域、状态属性和操作属性；其中，
[0175]所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型；
[0176]所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态；
[0177]所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
[0178]其中，所述替换单元740可以包括(图7中未示出):
[0179]属性查看子单元，用于查看所述安全通知消息中的状态属性和操作属性；[0180]规则发送子单元，用于当根据所述属性查看子单元查看的状态属性确定所述第一数据流为安全的数据流，则向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息；以及当根据所述属性查看子单元查看的状态属性确定所述第一数据流为不安全的数据流，则向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
[0181]参见图8，为本发明控制器的另一个实施例框图:
[0182]该控制器包括:网络接口 810和处理器820。
[0183]其中，所述网络接口 810，用于接收第一交换机上报的第一数据流的首报文；
[0184]所述处理器820，用于控制所述网络接口向所述第一交换机下发所述第一数据流的临时转发规则，以使所述第一交换机根据所述临时转发规则将所述第一数据流的报文定向到检测设备；
[0185]所述网络接口 810，还用于接收所述检测设备发送的检测结果，所述检测结果为所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测后获得的结果；
[0186]所述处理器820，还用于根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则，以使所述第一交换机按照所述新的转发规则对所述第一数据流的报文进行处理。
[0187]其中，所述网络接口 810，可以具体用于接收所述检测设备发送的安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域、状态属性和操作属性；其中，
[0188]所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型；
[0189]所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态；
[0190]所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
[0191]进一步，所述处理器820，可以具体用于查看所述安全通知消息中的状态属性和操作属性；如果根据所述状态属性确定所述第一数据流为安全的数据流，则控制所述网络接口向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息，以及如果根据所述状态属性确定所述第一数据流为不安全的数据流，则控制所述网络接口向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信肩、O
[0192]由上述实施例可见，第一交换机向控制器上报第一数据流的首报文，控制器向第一交换机下发第一数据流的临时转发规则，第一交换机根据临时转发规则将第一数据流的报文定向到检测设备，检测设备根据设置的安全规则对第一数据流的报文进行安全检测，获得检测结果，并将检测结果发送给控制器，控制器根据检测结果生成新的转发规则替换第一交换机上的临时转发规则，第一交换机按照新的转发规则对第一数据流的报文进行处理。本发明实施例中，控制器可以将每个交换机要传输的数据流首先定向到检测设备，并根据检测设备对每一条数据流的安全性检测结果，确定是否在交换机之间传输数据流，因此提高了网络内流量检测的准确性，提高了网络的传输性能。
[0193]本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如R0M/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0194]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0195]以上所述的本发明实施方式，并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种网络流量检测方法，其特征在于，所述方法包括: 检测设备接收第一交换机发送的第一数据流的报文，所述报文为所述第一交换机将所述第一数据流的首报文上报给控制器后，根据所述控制器下发的临时转发规则定向到所述检测设备的报文； 所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测，获得检测结果; 所述检测设备将所述检测结果发送给所述控制器，以使所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则。
2.根据权利要求1所述的方法，其特征在于，所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测，包括: 获取所述第一数据流的报文的属性信息； 判断所述属性信息是否与设置的安全规则匹配； 如果所述属性信息与所述安全规则匹配，则确定所述第一数据流为不安全的数据流，如果所述属性信息与所述安全规则不匹配，则确定所述第一数据流为安全的数据流。
3.根据权利要求1或2所述的方法，其特征在于，所述将所述检测结果发送给所述控制器，包括: 根据所述检测结果构建安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性 ； 将所述安全通知消息发送给所述控制器。
4.根据权利要求3所述的方法，其特征在于， 所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型； 所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态； 所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
5.一种网络流量检测方法，其特征在于，所述方法包括: 控制器接收第一交换机上报的第一数据流的首报文； 所述控制器向所述第一交换机下发所述第一数据流的临时转发规则，以使所述第一交换机根据所述临时转发规则将所述第一数据流的报文定向到检测设备； 所述控制器接收所述检测设备发送的检测结果，所述检测结果为所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测后获得的结果； 所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则，以使所述第一交换机按照所述新的转发规则对所述第一数据流的报文进行处理。
6.根据权利要求5所述的方法，其特征在于，所述控制器接收所述检测设备发送的检测结果，具体为:所述控制器接收所述检测设备发送的安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域、状态属性和操作属性。
7.根据权利要求6所述的方法，其特征在于， 所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型； 所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态； 所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
8.根据权利要求7所述的方法，其特征在于，所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的临时转发规则，包括: 查看所述安全通知消息中的状态属性和操作属性； 如果根据所述状态属性确定所述第一数据流为安全的数据流，则向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息；以及 如果根据所述状态属性确定所述第一数据流为不安全的数据流，则向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
9.一种网络流量检测系统，其特征在于，所述系统包括:控制器、检测设备和至少一个第一交换机， 所述第一交换机，用于向所述控制器上报第一数据流的首报文； 所述控制器，用于向所述第一交换机下发所述第一数据流的临时转发规则； 所述第一交换机，还用于根据所述临时转发规则将所述第一数据流的报文定向到检测设备； 所述检测设备，用于根据设置的安全规则对所述第一数据流的报文进行安全检测，获得检测结果，并将所述检测结果发送给所述控制器； 所述控制器，还用于根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则； 所述第一交换机，还用于按照所述新的转发规则对所述第一数据流的报文进行处理。
10.根据权利要求9所述的系统，其特征在于，所述检测设备，具体用于获取所述第一数据流的报文的属性信息，判断所述属性信息是否与设置的安全规则匹配，如果所述属性信息与所述安全规则匹配，则获得所述第一数据流为不安全的数据流的检测结果，如果所述属性信息与所述安全规则不匹配，则获得所述第一数据流为安全的数据流的检测结果；根据所述检测结果构建安全通知消息，并将所述安全通知消息发送给所述控制器，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性。
11.根据权利要求10所述的系统，其特征在于， 所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型； 所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态； 所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
12.根据权利要求11所述的系统，其特征在于， 所述控制器，具体用于查看所述安全通知消息中的状态属性和操作属性；如果根据所述状态属性确定所述第一数据流为安全的数据流，则向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息，以及如果根据所述状态属性确定所述第一数据流为不安全的数据流，则向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
13.—种检测设备，其特征在于，所述检测设备包括: 接收单元，用于接收第一交换机发送的第一数据流的报文，所述报文为所述第一交换机将所述第一数据流的首报文上报给控制器后，根据所述控制器下发的临时转发规则定向到所述检测设备的报文； 检测单元，用于根据设置的安全规则对所述接收单元接收的第一数据流的报文进行安全检测，获得检测结果； 发送单元，用于将所述检测单元获得的检测结果发送给所述控制器，以使所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则。
14.根据权利要求13所述的检测设备，其特征在于，所述检测单元包括: 信息获取子单元，用`于获取所述第一数据流的报文的属性信息； 规则匹配子单元，用于判断所述信息获取子单元获取的属性信息是否与设置的安全规则匹配； 结果确定子单元，用于当所述规则匹配子单元判断所述属性信息与所述安全规则匹配时，确定所述第一数据流为不安全的数据流，当所述规则匹配子单元判断所述属性信息与所述安全规则不匹配时，确定所述第一数据流为安全的数据流。
15.根据权利要求13或14所述的检测设备，其特征在于，所述发送单元包括: 消息构建子单元，用于根据所述检测结果构建安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性； 消息发送子单元，用于将所述消息构建子单元构建的安全通知消息发送给所述控制器。
16.一种检测设备，其特征在于，所述检测设备包括:输入端口、处理器和输出端口，其中， 所述输入端口，用于接收第一交换机发送的第一数据流的报文，所述报文为所述第一交换机将所述第一数据流的首报文上报给控制器后，根据所述控制器下发的临时转发规则定向到所述检测设备的报文； 所述处理器，用于根据设置的安全规则对所述第一数据流的报文进行安全检测，获得检测结果； 所述输出端口，用于将所述检测结果发送给所述控制器，以使所述控制器根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则。
17.根据权利要求16所述的检测设备，其特征在于， 所述处理器，具体用于获取所述第一数据流的报文的属性信息，判断所述属性信息是否与设置的安全规则匹配，如果所述属性信息与所述安全规则匹配，则获得所述第一数据流为不安全的数据流的检测结果，如果所述属性信息与所述安全规则不匹配，则获得所述第一数据流为安全的数据流的检测结果，根据所述检测结果构建安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域，状态属性和操作属性； 所述输出端口，具体用于将所述安全通知消息发送给所述控制器。
18.—种控制器，其特征在于，所述控制器包括: 第一接收单元，用于接收第一交换机上报的第一数据流的首报文； 下发单元，用于向所述第一交换机下发所述第一接收单元接收的第一数据流的临时转发规则，以使所述第一交换机根据所述临时转发规则将所述第一数据流的报文定向到检测设备； 第二接收单元，用于接收所述检测设备发送的检测结果，所述检测结果为所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测后获得的结果； 替换单元，用于根据所述第二接收单元接收到的检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则，以使所述第一交换机按照所述新的转发规则对所述第一数据流的报文进行处理。
19.根据权利要求18所述的控制器，其特征在于， 所述第二接收单元，具体用于接收所述检测设备发送的安全通知消息，所述安全通知消息中包含所述第一数据流 的匹配域、状态属性和操作属性；其中， 所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型； 所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态； 所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
20.根据权利要求19所述的控制器，其特征在于，所述替换单元包括: 属性查看子单元，用于查看所述安全通知消息中的状态属性和操作属性； 规则发送子单元，用于当根据所述属性查看子单元查看的状态属性确定所述第一数据流为安全的数据流，则向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机的信息；以及当根据所述属性查看子单元查看的状态属性确定所述第一数据流为不安全的数据流，则向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
21.一种控制器，其特征在于，所述控制器包括:网络接口和处理器，其中， 所述网络接口，用于接收第一交换机上报的第一数据流的首报文； 所述处理器，用于控制所述网络接口向所述第一交换机下发所述第一数据流的临时转发规则，以使所述第一交换机根据所述临时转发规则将所述第一数据流的报文定向到检测设备； 所述网络接口，还用于接收所述检测设备发送的检测结果，所述检测结果为所述检测设备根据设置的安全规则对所述第一数据流的报文进行安全检测后获得的结果； 所述处理器，还用于根据所述检测结果生成新的转发规则替换所述第一交换机上的所述临时转发规则，以使所述第一交换机按照所述新的转发规则对所述第一数据流的报文进行处理。
22.根据权利要求21所述的控制器，其特征在于， 所述网络接口，具体用于接收所述检测设备发送的安全通知消息，所述安全通知消息中包含所述第一数据流的匹配域、状态属性和操作属性；其中， 所述第一数据流的匹配域包括:用于标识所述第一数据流的多元组，所述多元组包括至少一种下述信息:所述第一数据流的源端口、目的端口、源介质访问控制层MAC地址、目的MAC地址、源互联网协议IP地址、目的IP地址、以太网帧类型； 所述状态属性包括:所述第一数据流与所述安全规则不匹配时的安全状态，所述第一数据流与所述安全规则匹配时的不安全状态； 所述操作属性包括:当所述状态属性为不安全状态时的丢弃属性，当所述状态属性为安全时的重定向属性。
23.根据权利要求22所述的控制器，其特征在于， 所述处理器，具体用于查看所述安全通知消息中的状态属性和操作属性；如果根据所述状态属性确定所述第一数据流为安全的数据流，则控制所述网络接口向所述第一交换机发送生成的第一转发规则，所述第一转发规则中包含根据所述操作属性设置的所述第一数据流重定向后的第二交换机`的信息，以及如果根据所述状态属性确定所述第一数据流为不安全的数据流，则控制所述网络接口向所述第一交换机发送生成的第二转发规则，所述第二转发规则中包含根据所述操作属性设置的丢弃所述第一数据流的信息。
【文档编号】H04L12/741GK103609070SQ201280021731
【公开日】2014年2月26日 申请日期:2012年10月29日 优先权日:2012年10月29日
【发明者】孟健, 王雨晨 申请人:华为技术有限公司