[发明专利]基于IDS反馈的软件定义网络流采样方法及系统

摘要

本发明公开了一种基于IDS反馈的软件定义网络流采样方法及系统，借助SDN控制器对于网络流量的集中控制能力对流量先临时采样送给IDS进行初步检测，并根据IDS检测的结果决定是否继续对该流进行采样，从而提高采样的准确性，在带宽有限的情况下尽可能选择具有高威胁度的流量进行检测，提高采样带宽的利用率和检测的精度。本发明实施简单、反馈速度快，使用独立的采样表实施采样，采样不影响正常业务，具有在实际系统，尤其是云数据中心进行部署的能力。

主权项

1.一种基于IDS反馈的软件定义网络流采样方法，其特征在于，包括以下步骤：1)在SDN控制器中新建一个模块，用于对packet_in消息进行处理，同时维护一个哈希表，用于存储临时采样流的添加时间，当接收到新的packet_in消息时，首先在哈希表中查找对应的采样流是否存在，如果存在且距离上次添加采样流的时间间隔小于T3，则忽略；否则添加一个临时采样流，并设置硬超时时间为T1，同时将该临时采样流记录到哈希表中；2)临时采样流将流量导流至IDS终端进行检测，IDS终端维护一个监控进程，用于实时检测IDS日志的变化；3)监控进程检测到IDS日志变化后，通过API接口向SDN控制器发送请求，安装对应的采样流，设置空闲超时为T2，同时维护一个采样流安装记录表，记录采样流安装的时间，下次出现同样的采样流时，先查询历史记录的时间跟当前时间的时差，当时差大于阈值T4时更新采样流；如果是新记录则直接安装采样流；再次出现该采样流时，SDN交换机将流量转发到目的地的同时镜像到IDS接口，从而实现对可疑流的持续检测；4)非可疑流在时间T1后没有得到IDS的反馈自动超时失效，可疑流在其空闲时间超过T2时也失效，当相应流量重新出现时，返回步骤1)，以实现状态的更新。