基于SDN引流的流量审计方法.pdf

《基于SDN引流的流量审计方法.pdf》由会员分享，可在线阅读，更多相关《基于SDN引流的流量审计方法.pdf（6页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010851036.6 (22)申请日 2020.08.21 (71)申请人 北京天元特通科技有限公司 地址 100041 北京市海淀区永泰庄北路1号 天地邻枫项目3号楼二层202室 (72)发明人 王凯峰黄亮包秀国徐立洲 邹学强杨云龙 (74)专利代理机构 北京理工大学专利中心 11120 代理人 刘西云李微微 (51)Int.Cl. H04W 24/08(2009.01) H04W 24/10(2009.01) (54)发明名称 一种基于SDN引流的流量审计方法 (57。

2、)摘要 本发明提供一种基于SDN引流的流量审计方 法， 通过软件定义网络技术SDN来控制网络， 按照 运营商引流标准， 根据实际需求牵引流量， 把需 要审计的流量牵引到审计UPF通道， 然后又采用 旁路分光的方式， 仅将业务关心的流量的一个备 份发送流量审计平台进行审计， 既降低了对原链 路的影响， 不影响现有的网络结构， 又解决了现 有流量审计方法无法实现按需审计的问题， 具有 更好的灵活性， 审计效率更高。 权利要求书1页 说明书3页 附图1页 CN 112073989 A 2020.12.11 CN 112073989 A 1.一种基于SDN引流的流量审计方法， 其特征在于， 包括以下步。

3、骤： 接收到业务管理应用发起的审计需求后， 运营商接口根据业务管理应用下发的运营商 引流标准， 将无线接入网中的待审计流量牵引到审计UPF通道， 将无需审计的常规流量牵引 至常规UPF通道； 其中， 所述运营商接口为支持软件定义网络技术SDN的交换机或编排器； 分光器将待审计流量以旁路分光的方式进行备份后， 待审计流量经由审计UPF通道进 入交换机， 备份得到的流量进入流量审计平台进行审计； 所述常规流量经由常规UPF通道进入交换机， 与待审计流量合流后再进入到运营商数 据网络中。 2.如权利要求1所述的一种基于SDN引流的流量审计方法， 其特征在于， 所述运营商引 流标准包括手机号、 源IP。

4、地址以及目的IP地址。 3.如权利要求2所述的一种基于SDN引流的流量审计方法， 其特征在于， 当所述无线接 入网为5G网络时， 所述运营商引流标准还包括网络切片ID。 权利要求书 1/1 页 2 CN 112073989 A 2 一种基于SDN引流的流量审计方法 技术领域 0001 本发明属于计算机网络技术领域， 尤其涉及一种基于SDN引流的流量审计方法。 背景技术 0002 5G作为新一代移动通信技术发展的方向， 将在提升移动互联网用户业务体验的基 础上， 进一步满足未来物联网应用的海量需求， 与工业、 医疗、 交通等行业深度融合。 5G以全 新的移动通信系统架构， 提供至少十倍于4G的峰。

5、值速率、 毫秒级的传输时延和千亿级的连 接能力， 实现网络性能新的跃升。 5G全新的网络架构， 千倍数据流量增长， 更丰富的业务应 用场景， 极大增加了运营商组网的灵活性， 降低了成本。 同时， 也增加了5G核心网流量审计 的难度。 0003 传统的流量审计架构都是通过硬连线直接分光的方式获取全部的网络流量数据， 再通过一系列技术对所有的网络流量数据进行审计。 然而， 5G网络的流量数据庞大， 传统的 流量审计技术虽然能够应用于5G网络的流量审计， 但还是采用传统的硬连线方式， 需要对 所有的网络流量都进行收集审计， 无法实现流量的按需审计， 因此具有审计效率低的缺点。 发明内容 0004 为。

6、解决上述问题， 本发明提供一种基于SDN引流的流量审计方法， 实现流量的按需 引流， 具有更好的灵活性， 审计效率更高。 0005 一种基于SDN引流的流量审计方法， 包括以下步骤： 0006 接收到业务管理应用发起的审计需求后， 运营商接口根据业务管理应用下发的运 营商引流标准， 将无线接入网中的待审计流量牵引到审计UPF通道， 将无需审计的常规流量 牵引至常规UPF通道； 其中， 所述运营商接口为支持软件定义网络技术SDN的交换机或编排 器； 0007 分光器将待审计流量以旁路分光的方式进行备份后， 待审计流量经由审计UPF通 道进入交换机， 备份得到的流量进入流量审计平台进行审计； 00。

7、08 所述常规流量经由常规UPF通道进入交换机， 与待审计流量合流后再进入到运营 商数据网络中。 0009 进一步地， 所述运营商引流标准包括手机号、 源IP地址以及目的IP地址。 0010 进一步地， 当所述无线接入网为5G网络时， 所述运营商引流标准还包括网络切片 ID。 0011 有益效果： 0012 1、 本发明提供一种基于SDN引流的流量审计方法， 通过软件定义网络技术SDN来控 制网络， 按照运营商引流标准， 根据实际需求牵引流量， 把需要审计的流量牵引到审计UPF 通道， 然后又采用旁路分光的方式， 仅将业务关心的流量的一个备份发送流量审计平台进 行审计， 既降低了对原链路的影响。

8、， 不影响现有的网络结构， 又解决了现有流量审计方法无 法实现按需审计的问题， 具有更好的灵活性， 审计效率更高。 说明书 1/3 页 3 CN 112073989 A 3 0013 2、 本发明提供的一种基于SDN引流的灵活流量审计方法， 充分考虑了5G的网络架 构所具备的灵活性和开放能力， 针对现有的流量审计方法不能实现按需审计的问题， 利用 SDN和5G的网络开放接口， 以网络切片ID为标准实现流量的按需牵引， 对比其他流量审计技 术， 更加适应5G网络。 附图说明 0014 图1为本发明提供的一种基于SDN引流的流量审计方法的流程框图； 0015 图2为本发明提供的流量审计平台流程。 。

9、具体实施方式 0016 为了使本技术领域的人员更好地理解本申请方案， 下面将结合本申请实施例中的 附图， 对本申请实施例中的技术方案进行清楚、 完整地描述。 0017 SDN(Software Defined Network， 软件定义网络)是一种新型的网络架构， 它的设 计理念是将网络的控制平面与数据转发平面进行分离， 从而通过集中控制器中的软件平台 去实现可编程化控制底层硬件， 实现对网络资源灵活的按需调配。 在SDN网络中， 网络设备 只负责单纯的数据转发， 可以采用通用的硬件， 而原来负责控制的操作系统将提炼为独立 的网络操作系统， 负责对不同业务特性进行适配， 而且网络操作系统和业务。

10、特性以及硬件 设备之间的通信都可以通过编程实现。 0018 本发明提出的基于SDN引流的灵活流量审计框架， 改变了传统的硬连线分流设备 对流量进行审计的模式， 利用5G的网络开放能力和SDN技术， 让软件来控制网络， 按需牵引 流量， 达到对业务关心的流量进行审计的目的， 很好的适用于5G网络， 大大提高了审计的能 力与效率。 0019 如图1所示， 为本发明提出的基于SDN引流的灵活流量审计方法的流程示意图。 本 发明中的引流过程主要是运营商引流阶段， 通过业务管理应用进行引流标准的下发， 包括 以下步骤： 0020 接收到业务管理应用发起的审计需求后， 运营商接口根据业务管理应用下发的运 。

11、营商引流标准， 将无线接入网RAN中的待审计流量牵引到审计UPF通道， 将无需审计的常规 流量牵引至常规UPF通道； 其中， 所述运营商接口为支持软件定义网络技术SDN的交换机CE 或编排器； 0021 分光器将待审计流量以旁路分光的方式进行备份后， 待审计流量经由审计UPF通 道进入交换机CE， 备份得到的流量进入流量审计平台进行审计； 0022 所述常规流量经由常规UPF通道进入交换机CE， 与待审计流量合流后再进入到运 营商数据网络DN中。 0023 需要说明的是， 本发明实现流量的按需牵引主要是利用5G的网络开放接口和软件 定义能力SDN； 在SDN环境中， 业务管理应用作为集中式的控。

12、制器， 以标准化的接口对各种网 络设备进行管理， 运营商引流标准遵循的OpenFlow协议， 是运营商接口和业务管理应用之 间通信时遵循的标准， 这其中包括交互信息的标准和业务管理应用与交换机CE的接口标 准； 业务管理应用通过OpenFlow来控制支持SDN的交换机CE中的流表， 从而达到控制数据转 发的目的； UPF通道为5G核心网用户平面功能， 主要负责数据流量的路由转发和Qos流映射， 说明书 2/3 页 4 CN 112073989 A 4 本发明中需要审计的流量是在用户面的用户实际业务数据。 0024 进一步地， 本发明的引流方案中， 首先需要向运营商预定好审计使用的UPF通道， 。

13、在基于SDN的业务管理应用的控制下， 需要对流量进行审计时， 将流量引入到预定好的审计 UPF通道中， 如果没有审计任务， 则审计UPF通道空闲； 同时， 本发明为了降低对原链路的影 响， 采用旁路分光的方式获得无线接入网中需要审计的原始流量的一份拷贝， 不会影响现 有的网络结构。 0025 需要说明的是， 运营商接口根据业务管理应用下发的运营商引流标准， 将无线接 入网的流量划分为待审计流量和无需审计的常规流量， 其中所述的运营商引流标准可以根 据与运营商预定几种编排方式得到， 例如手机号(特定人)、 源IP地址集合(特定区域)、 目的 IP地址集合(特定应用)或其它一些业务关心的流量； 此。

14、外， 如果所述无线接入网为5G网络， 需要把5G网络承载网中需要进行审计的流量引入到审计UPF通道中时， 还可以按照网络切 片ID将流量划分为待审计流量和常规流量； 以此实现流量的按需引流， 之后再把流量返回 到交换机CE， 由交换机CE将全部流量转发到运营商数据网络DN中。 0026 需要说明的是， 网络切片为现有5G网络条件下， 根据实际需求切出的不同功能网 络， 应用于不同的场景， 并且相互独立， 且每个网络切片都有相对性的默认切片ID进行区 分， 因此， 本发明若应用于5G网络， 还可通过5G网络特有的网络切片ID进行按需引流。 0027 进一步地， 如图2所示， 流量审计平台主要由流。

15、量采集、 协议还原、 规则匹配、 元数 据提取和输出监测日志等几个功能； 流量审计平台通过分光器获取审计UPF通道中的流量， 能够在不影响无线接入网上的原始流量的基础上对审计UPF通道中的流量进行审计； 通过 解析出流量中的大量通信元数据， 产生监测日志， 然后进行数据库的存储或向后端进行转 发， 由后端系统进行挖掘、 关联以及深度分析等工作， 以便对安全事件、 犯罪行为等进行发 现。 0028 由此可见， 本发明提出了一种基于SDN引流的灵活流量审计方法， 通过基于SDN的 引流策略， 结合SDN和5G网络的开放接口， 采用旁路分光的方式对流量进行审计； 支持SDN的 交换机CE根据业务管理。

16、应用下发的标准把需要审计的流量牵引到审计UPF通道， 实现流量 的灵活引流； 流量审计平台利用分光器获得审计UPF通道中流量的一份拷贝， 并对其进行采 集、 解析、 归类及分析， 并生成监测日志， 实现完整的流量审计体系。 0029 也就是说， 本发明充分考虑了5G的网络架构所具备的灵活性， 针对现有的流量审 计方法不能实现按需审计的问题， 利用SDN和5G的网络开放接口， 实现流量的按需牵引， 对 比其他流量审计技术， 更加适应5G网络。 0030 当然， 本发明还可有其他多种实施例， 在不背离本发明精神及其实质的情况下， 熟 悉本领域的技术人员当然可根据本发明作出各种相应的改变和变形， 但这些相应的改变和 变形都应属于本发明所附的权利要求的保护范围。 说明书 3/3 页 5 CN 112073989 A 5 图1 图2 说明书附图 1/1 页 6 CN 112073989 A 6 。