软件定义网络(SDN)技术将网络控制转移到专用SDN控制器上，由它负责管理和控制虚拟网络和物理网络的所有功能。由于SDN安全策略实现了这种隔离和控制，所以它支持更深层次的数据包分析、网络监控和流量控制，对于防御网络攻击有很大帮助。

软件定义监控的兴起

最近，微软宣布了它在内部使用了一种自行开发且基于OpenFlow的网络分流聚合平台(称为分布式以太网监控，DEMON)。这个工具可用于处理微软云网络的大规模流量。以前，其内部的成千上万个连接与网络流已经超出了传统分流与捕捉机制(如SPAN或端口镜像)的处理能力。

通过使用可编程的灵活交换机和其他网络设备，让它们作为数据包拦截和重定向平台，安全团队就可以检测和防御目前的各种常见攻击。许多行业将SDN驱动的安全分析技术称为软件定义监控(SDM)。在SDM中，SDN交换机作为数据包分析设备，而控制器则作为监控和分析设备。

使用SDN监控安全性和分析数据包

首先，来自IBM、Juniper、惠普和Arista Networks等供应商的相对较便宜的消费类可编程SDN交换机，可用于取代较昂贵的数据包分析设备。与微软的用例类似，大量的个人连接和数据流聚合到一起发送到多个安全数据包捕捉与分析平台。第一层交换机可用于捕捉和转发数据包，然后第二层(或者第三层)设备终止第一层的监控端口。此外，这些交换机还可以聚集流量，将数据流和统计数据发送到其他监控设备和平台。

兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于编程实现和管理多种兼容SDN的交换机，如Big Switch控制器。同时，安全监控堆叠软件产品(Big Switch的Big Tap)可以帮助工程师编程实现更加细粒度的过滤和端口分配功能，从而在SDN交换机上模拟出传统分流功能。

在这种环境中，多个层次的数据包分析工具可以从SDM端口接收流量。SDM端口可以连接各种硬件工具，如数据包分析设备和网络侦测设备，也可以连接基于软件的协议分析器，如Wireshark。