■ 文/滕征岑 可為 陳國松 崔瀚彬 北京中油瑞飛信息技術有限責任公司

1.引言

隨著云技術與大數據技術的發(fā)展，互聯網以超高速的節(jié)奏滲透并影響著多個領域前進的腳步。由于網絡用戶的爆炸式增長，以及網絡服務的多樣性與復雜性不斷提升，其對網絡數據的超高速穩(wěn)定傳輸有了越來越高的要求。同時，隨著網絡高速化、低成本、虛擬化的趨勢，以及對于靈活可擴展性的需求日益提升，傳統結構的網絡也逐漸暴露出各種問題。

SDN(Software Defined Network，軟件定義網絡)是傳統網絡架構的一個顛覆性概念革新，其引發(fā)了學術界和工業(yè)界的廣泛研究與開發(fā)，被認為是未來網絡發(fā)展的新方向。由于其自身優(yōu)越的可控制性與可管理性，受到了越來越多互聯網公司的重視，以期通過SDN技術來提高產品的性能，迅速的提高市場占有率與競爭力。SDN將傳統數據傳輸與控制一體的網絡架構解耦，其核心理念是講數據控制與轉發(fā)分離，將網絡架構抽象為三個層面，從下向上依次為設備層、控制層、應用層，如圖1所示。

圖1 SDN三層網絡架構

SDN將所有的硬件設備集中到設備層，負責數據的傳輸，而控制層通過控制層數據接口與之進行交流。對于用戶使用的各種應用，存在與最上面的應用層，應用層通過各種開放的API端口與控制層互通。SDN架構實現了數據轉發(fā)與控制的分離，而且集中控制也使得可以從全局的角度進行資源的調配。對外的API端口也使得系統有更高的擴展能力，用戶可以根據需要進行定制。

企業(yè)為了實現高效的網絡管理，規(guī)范化用戶使用互聯網的行為，加強保護企業(yè)內部敏感數據，防止泄露，并與此同時追溯用戶的違規(guī)操作，網絡審計系統發(fā)揮了至關重要的作用。審計系統一般是對鏡像流量進行分析，所以根據企業(yè)規(guī)模的不同，用戶數量會有數量級的變化，因而鏡像流量也會有巨大的差別。對于大型企業(yè)的審計系統，因為大規(guī)模用戶訪問互聯網，同一時間內需要備份的流量不但對審計系統是個巨大的考驗，對于存儲系統的實時大數據寫入也有非常高的要求。

此外，對于物理跨地域的企業(yè)廣域網，因為網絡分布離散，對于審計系統實時高效的記錄用戶上網行為，要求更加之高。與此同時，因網絡多區(qū)域分布，所以審計系統的統一維護，數據庫的維護與用戶上網行為的審計更加繁瑣，勢必需要新的解決方案來高效的實現數據備份與分析，系統硬件資源配置，策略下發(fā)等一系列要求。

圖2 傳統網絡審計系統架構

圖3大型企業(yè)廣域網下的審計系統架構

圖4基于SDN架構的審計系統

2.傳統網絡審計系統

傳統的審計系統基本采用互聯網出口鏡像流量的方式，即并聯的方式進行系統搭建，不采用串聯的方式的好處是防止審計系統故障而導致網絡中斷，使得用戶訪問互聯網受限。傳統審計系統的基本架構，可以參見圖2。

傳統的網絡審計系統部署于局域網出口邊界，主要可分為三個部分，即數據收集引擎、數據庫與數據處理設備、數據分析與控制中心。其中，數據收集引擎負責抓取鏡像流量，并按照用戶的規(guī)則進行簡單歸類，然后將抓取到的數據發(fā)送至數據庫，在此數據會進行一定的預處理，如源、目的端口的識別，以及源、目的IP的識別，然后將數據進行分類的存儲。當需要對數據進行審計時，數據分析與控制中心會從數據庫中調取數據，然后進行一系列特征的識別，如通信協議、應用種類的識別，并進行協議還原，從而查看數據包反應于應用層時的內容。

傳統的網絡審計系統數據收集引擎與控制中心完全分離，需要不同的應用系統去分別管理，同時由于數據引擎設備固定，其決定了數據前往數據庫存儲時的吞吐量，當局域網用戶明顯增長，超過其負荷，將會出現大量數據積壓，甚至丟數據的情況。而當用戶減少，設備則低負荷運轉，資源無法有效利用。一般企業(yè)夜間網絡流量明顯下降，此時數據處理設備也是低負荷運轉，不能實現大規(guī)模預存數據的離線解析入庫。

另外，當企業(yè)內網是跨地理，包含多個局域網的架構時，為了實時有效的記錄各局域網的數據流量，勢必要求部署多套審計系統，在不同的端口進行監(jiān)測，如圖3所示。

這樣的結構除了單一審計系統面臨的系統資源分配、數據吞吐瓶頸問題，眾多的數據分析與控制中心在使用時格外繁瑣，同時設備的地理分離使得后期運維難度和成本也加大。

3.基于SDN架構的審計系統

鑒于傳統審計系統面臨的眾多問題，結合SDN網絡建構卓越的可擴展性與靈活性，我們提出了新型的基于SDN架構的審計系統，如圖4所示。

根據圖4，審計系統需要的存儲設備、數據處理設備完全集中與SDN架構的底層設備層。數據流的控制通過SDN控制器進行，上層為網絡審計系統的APP。

審計系統因為要進行大量的數據備份，所以存儲系統的支持倍加重要。因為采用SDN架構，系統的存儲系統可以靈活的配置，可以依據企業(yè)用戶數量分配存儲資源，從而使得存儲資源得到有效的利用。此外，對于數據處理設備，其可以集成傳統審計系統數據收集引擎以及數據分析中心的功能，可以將網絡出口的數據進行分析、歸類存儲，同時依據業(yè)務需要，也可以靈活的變化數據處理設備的數量，對于實時性要求高的企業(yè)，可以對實時數據進行解析存儲。而對實時性要求一般的企業(yè)，可以加大存儲的部署，而縮減數據處理設備的投入，按需對數據進行解析，可以進行數據預存，然后離線解析，充分利用數據處理設備資源，這也不再受傳統審計系統數據收集引擎數據吞吐瓶頸的限制。當需要對數據進行審計時，審計系統的APP直接可以通過策略解析，然后到SDN控制器向存儲設備調用數據，之后數據回傳給應用界面。

對于大型的企業(yè)網絡，存儲與數據處理設備也可以集中部署，而審計系統APP統一管理所有局域網的數據，不再需要維護多個管理客戶端，多地域分散的維護大量設備。同時，由于SDN架構對外多功能的API接口，網絡審計系統APP的功能擴展，也會更加的便捷。系統整體的運維難度與成本均得到有效的降低。

與此同時，企業(yè)一般除了審計系統會用到互聯網出口鏡像流量，IDS(入侵檢測系統)也是根據鏡像流量進行網絡行為判斷，采用SDN架構后，SDN控制器下發(fā)策略進行鏡像的流量不但可以給審計系統使用，IDS也可以共用，而不必再向傳統網絡架構進行多端口鏡像。

4.結束語

由于網絡迅速發(fā)展，大數據、虛擬化、云計算技術的推進，傳統網絡架構的問題逐漸顯現?；趥鹘y網絡的審計系統也會因為用戶數量龐大，數據流量超負荷而難以滿足要求。文章提出了基于SDN架構的審計系統，通過整合物理硬件資源，并依靠SDN控制器流量的獲取，可以實現大規(guī)模的數據審計服務。此系統不但可以有效的利用物理資源，其優(yōu)越的可擴展能力和靈活性也較傳統審計系統給為出色，試用對多種應用的集成。