■ 文/滕征岑 可为 陈国松 崔瀚彬 北京中油瑞飞信息技术有限责任公司

1.引言

随着云技术与大数据技术的发展，互联网以超高速的节奏渗透并影响着多个领域前进的脚步。由于网络用户的爆炸式增长，以及网络服务的多样性与复杂性不断提升，其对网络数据的超高速稳定传输有了越来越高的要求。同时，随着网络高速化、低成本、虚拟化的趋势，以及对于灵活可扩展性的需求日益提升，传统结构的网络也逐渐暴露出各种问题。

SDN(Software Defined Network，软件定义网络)是传统网络架构的一个颠覆性概念革新，其引发了学术界和工业界的广泛研究与开发，被认为是未来网络发展的新方向。由于其自身优越的可控制性与可管理性，受到了越来越多互联网公司的重视，以期通过SDN技术来提高产品的性能，迅速的提高市场占有率与竞争力。SDN将传统数据传输与控制一体的网络架构解耦，其核心理念是讲数据控制与转发分离，将网络架构抽象为三个层面，从下向上依次为设备层、控制层、应用层，如图1所示。

图1 SDN三层网络架构

SDN将所有的硬件设备集中到设备层，负责数据的传输，而控制层通过控制层数据接口与之进行交流。对于用户使用的各种应用，存在与最上面的应用层，应用层通过各种开放的API端口与控制层互通。SDN架构实现了数据转发与控制的分离，而且集中控制也使得可以从全局的角度进行资源的调配。对外的API端口也使得系统有更高的扩展能力，用户可以根据需要进行定制。

企业为了实现高效的网络管理，规范化用户使用互联网的行为，加强保护企业内部敏感数据，防止泄露，并与此同时追溯用户的违规操作，网络审计系统发挥了至关重要的作用。审计系统一般是对镜像流量进行分析，所以根据企业规模的不同，用户数量会有数量级的变化，因而镜像流量也会有巨大的差别。对于大型企业的审计系统，因为大规模用户访问互联网，同一时间内需要备份的流量不但对审计系统是个巨大的考验，对于存储系统的实时大数据写入也有非常高的要求。

此外，对于物理跨地域的企业广域网，因为网络分布离散，对于审计系统实时高效的记录用户上网行为，要求更加之高。与此同时，因网络多区域分布，所以审计系统的统一维护，数据库的维护与用户上网行为的审计更加繁琐，势必需要新的解决方案来高效的实现数据备份与分析，系统硬件资源配置，策略下发等一系列要求。

图2 传统网络审计系统架构

图3大型企业广域网下的审计系统架构

图4基于SDN架构的审计系统

2.传统网络审计系统

传统的审计系统基本采用互联网出口镜像流量的方式，即并联的方式进行系统搭建，不采用串联的方式的好处是防止审计系统故障而导致网络中断，使得用户访问互联网受限。传统审计系统的基本架构，可以参见图2。

传统的网络审计系统部署于局域网出口边界，主要可分为三个部分，即数据收集引擎、数据库与数据处理设备、数据分析与控制中心。其中，数据收集引擎负责抓取镜像流量，并按照用户的规则进行简单归类，然后将抓取到的数据发送至数据库，在此数据会进行一定的预处理，如源、目的端口的识别，以及源、目的IP的识别，然后将数据进行分类的存储。当需要对数据进行审计时，数据分析与控制中心会从数据库中调取数据，然后进行一系列特征的识别，如通信协议、应用种类的识别，并进行协议还原，从而查看数据包反应于应用层时的内容。

传统的网络审计系统数据收集引擎与控制中心完全分离，需要不同的应用系统去分别管理，同时由于数据引擎设备固定，其决定了数据前往数据库存储时的吞吐量，当局域网用户明显增长，超过其负荷，将会出现大量数据积压，甚至丢数据的情况。而当用户减少，设备则低负荷运转，资源无法有效利用。一般企业夜间网络流量明显下降，此时数据处理设备也是低负荷运转，不能实现大规模预存数据的离线解析入库。

另外，当企业内网是跨地理，包含多个局域网的架构时，为了实时有效的记录各局域网的数据流量，势必要求部署多套审计系统，在不同的端口进行监测，如图3所示。

这样的结构除了单一审计系统面临的系统资源分配、数据吞吐瓶颈问题，众多的数据分析与控制中心在使用时格外繁琐，同时设备的地理分离使得后期运维难度和成本也加大。

3.基于SDN架构的审计系统

鉴于传统审计系统面临的众多问题，结合SDN网络建构卓越的可扩展性与灵活性，我们提出了新型的基于SDN架构的审计系统，如图4所示。

根据图4，审计系统需要的存储设备、数据处理设备完全集中与SDN架构的底层设备层。数据流的控制通过SDN控制器进行，上层为网络审计系统的APP。

审计系统因为要进行大量的数据备份，所以存储系统的支持倍加重要。因为采用SDN架构，系统的存储系统可以灵活的配置，可以依据企业用户数量分配存储资源，从而使得存储资源得到有效的利用。此外，对于数据处理设备，其可以集成传统审计系统数据收集引擎以及数据分析中心的功能，可以将网络出口的数据进行分析、归类存储，同时依据业务需要，也可以灵活的变化数据处理设备的数量，对于实时性要求高的企业，可以对实时数据进行解析存储。而对实时性要求一般的企业，可以加大存储的部署，而缩减数据处理设备的投入，按需对数据进行解析，可以进行数据预存，然后离线解析，充分利用数据处理设备资源，这也不再受传统审计系统数据收集引擎数据吞吐瓶颈的限制。当需要对数据进行审计时，审计系统的APP直接可以通过策略解析，然后到SDN控制器向存储设备调用数据，之后数据回传给应用界面。

对于大型的企业网络，存储与数据处理设备也可以集中部署，而审计系统APP统一管理所有局域网的数据，不再需要维护多个管理客户端，多地域分散的维护大量设备。同时，由于SDN架构对外多功能的API接口，网络审计系统APP的功能扩展，也会更加的便捷。系统整体的运维难度与成本均得到有效的降低。

与此同时，企业一般除了审计系统会用到互联网出口镜像流量，IDS(入侵检测系统)也是根据镜像流量进行网络行为判断，采用SDN架构后，SDN控制器下发策略进行镜像的流量不但可以给审计系统使用，IDS也可以共用，而不必再向传统网络架构进行多端口镜像。

4.结束语

由于网络迅速发展，大数据、虚拟化、云计算技术的推进，传统网络架构的问题逐渐显现。基于传统网络的审计系统也会因为用户数量庞大，数据流量超负荷而难以满足要求。文章提出了基于SDN架构的审计系统，通过整合物理硬件资源，并依靠SDN控制器流量的获取，可以实现大规模的数据审计服务。此系统不但可以有效的利用物理资源，其优越的可扩展能力和灵活性也较传统审计系统给为出色，试用对多种应用的集成。