近年来,互联网的迅猛发展给人们带来巨大便利的同时,网络的安全防护、部署运维等领域面临着巨大的压力,但是传统网络很难从根本上解决这个问题,软件定义网络的出现打破了这个瓶颈。软件定义网络的核心思想就是将控制层与数据层分离,将控制层单独出来就为集中管理与控制可编程化提供了可能。将软件定义网络的这种思想引申到安全领域,用这种新的思想去设计、部署、管理安全机制就形成了软件定义安全的概念。软件定义安全提供了一种通过将安全机制从硬件层面抽象到软件层面,从而实现灵活且集中控制安全解决方案,吸引着很多研究人员深入研究。但是软件定义安全实现调度、管理自动化与智能化存在两个关键挑战:一个是安全智能信息交互问题,即如何通过处理系统中大量异构的威胁信息来实现众多安全应用的灵活调度和编排,另一个是安全能力抽象问题,即繁多的安全设备缺少统一的标准化接口供安全系统集中控制。为了解决这两个问题,这篇文章提出了一种数据驱动的软件定义安全架构。为了集中管理架构中所有的数据,我们采用了结构化的威胁信息表达(STIX)模型和相应的工具来规范架构中的所有安全信息。在这个架构中,为了实现安全设备的统一编排以及他们产生的数据可以能够统一收集和分析,我们为安全设备提出了统一的接口标准。这两个改进点的实现使软件定义安全中的实时动态编排功能成为了可能。最后,我们还提供了一个编排场景实验演示来说明数据驱动的软件定义安全架构在实践中是如何工作的,并通过性能测试证明这种架构的可实施性。