本發(fā)明專利技術(shù)涉及SDN交換機(jī)的安全防御技術(shù)領(lǐng)域。基于流水印和隨機(jī)采樣的SDN流跡追蹤方法,包括:構(gòu)造SDN交換機(jī)拓?fù)鋱D;為數(shù)據(jù)流生成唯一能夠標(biāo)識(shí)該數(shù)據(jù)流的流水印;制定轉(zhuǎn)發(fā)數(shù)據(jù)流的流規(guī)則;為數(shù)據(jù)流嵌入流水印;為數(shù)據(jù)流去除流水印;如果發(fā)現(xiàn)轉(zhuǎn)發(fā)異常,則追溯產(chǎn)生異常轉(zhuǎn)發(fā)行為的SDN交換機(jī)。基于流水印和隨機(jī)采樣的SDN流跡追蹤裝置,包括:拓?fù)湫畔⑹占K;流水印生成模塊;流規(guī)則安裝模塊;流水印嵌入模塊;流水印去除模塊;異常轉(zhuǎn)發(fā)發(fā)現(xiàn)模塊。基于流水印和隨機(jī)采樣的SDN流跡追蹤系統(tǒng),包括:多個(gè)SDN交換機(jī)及任一基于流水印和隨機(jī)采樣的SDN流跡追蹤裝置。本發(fā)明專利技術(shù)能夠有效檢測(cè)多種SDN網(wǎng)絡(luò)中的惡意轉(zhuǎn)發(fā)行為。
【技術(shù)實(shí)現(xiàn)步驟摘要】
基于流水印和隨機(jī)采樣的SDN流跡追蹤方法、裝置及系統(tǒng)
本專利技術(shù)涉及SDN交換機(jī)的安全防御
,尤其涉及基于流水印和隨機(jī)采樣的SDN流跡追蹤方法、裝置及系統(tǒng)。
技術(shù)介紹
當(dāng)前威脅SDN網(wǎng)絡(luò)數(shù)據(jù)平面的惡意轉(zhuǎn)發(fā)行為主要有以下七種:(1)丟包惡意交換機(jī)可以隨機(jī)或選擇性地丟棄所流經(jīng)的數(shù)據(jù)包,造成網(wǎng)絡(luò)性能的嚴(yán)重下降或者拒絕服務(wù)攻擊等。(2)流量偽造惡意交換機(jī)能夠任意制造數(shù)據(jù)包并轉(zhuǎn)發(fā)到控制平面或者數(shù)據(jù)平面。(3)流量修改惡意交換機(jī)可以修改流量的內(nèi)容,即數(shù)據(jù)包的開(kāi)銷或有效負(fù)載。流量修改常常可以引發(fā)其他的流量異常,如修改IP(InternetProtocol)報(bào)文頭部的生存時(shí)間(TimetoLive,TTL)值可以讓該數(shù)據(jù)包在其他SDN交換機(jī)被正常丟掉。(4)流量復(fù)制惡意交換機(jī)可以復(fù)制一個(gè)端口流入的流量或者某個(gè)特定的流,送往某個(gè)指定的端口,或者指定地址,達(dá)到監(jiān)聽(tīng)或嗅探的目的。(5)流量偏路由惡意交換機(jī)修改流經(jīng)流量的目的地址并在轉(zhuǎn)發(fā)時(shí)偏離了原轉(zhuǎn)發(fā)端口。(6)流量延遲惡意交換機(jī)可以延遲流量并增加抖動(dòng),這對(duì)時(shí)間敏感的流量是致命的。另外,TCP(TransmissionControlProtocol,傳輸控制協(xié)議)流的延遲會(huì)導(dǎo)致虛假超時(shí)和不必要的重傳,由此嚴(yán)重破壞TCP的吞吐量。(7)流量重排序惡意交換機(jī)可以改變包的順序,同時(shí)在內(nèi)容、路由和延遲上是合法的(或至少在延遲在誤差范圍內(nèi)造成的重排序),也可看作是流量延遲的一種表現(xiàn),即某些數(shù)據(jù)包延遲發(fā)送,而后續(xù)數(shù)據(jù)包提前發(fā)送,導(dǎo)致包順序打亂。就流量延遲來(lái)說(shuō),持續(xù)的TCP包重排序尤其會(huì)嚴(yán)重破壞TCP吞吐量。在檢測(cè)SDN惡意交換機(jī)的研究中,當(dāng)前主流數(shù)據(jù)平面提取技術(shù)包含以下三種:(1)基于OpenFlow流表計(jì)數(shù)器的統(tǒng)計(jì)信息提取技術(shù)SDN交換機(jī)通常會(huì)維護(hù)一些計(jì)數(shù)器,包含端口計(jì)數(shù)器和流計(jì)數(shù)器,來(lái)追蹤端口和流接收以及轉(zhuǎn)發(fā)的包數(shù)和字節(jié)數(shù)。端口計(jì)數(shù)器在交換機(jī)每個(gè)端口分別對(duì)接收到的、轉(zhuǎn)發(fā)的以及丟棄的數(shù)據(jù)包的數(shù)量和字節(jié)數(shù)進(jìn)行統(tǒng)計(jì)。雖然這些計(jì)數(shù)器不直接提供流經(jīng)每個(gè)鏈路的流的情況,但隨著時(shí)間推移,它們可以周期性輪詢以推斷鏈路的利用率。(2)主動(dòng)流探測(cè)技術(shù)主動(dòng)流探測(cè)技術(shù)就是向網(wǎng)絡(luò)發(fā)送特定的流量,對(duì)流量的轉(zhuǎn)發(fā)路徑、轉(zhuǎn)發(fā)狀態(tài)以及流量?jī)?nèi)容進(jìn)行檢查,用來(lái)發(fā)現(xiàn)流量在轉(zhuǎn)發(fā)過(guò)程中發(fā)生的異常。(3)網(wǎng)絡(luò)測(cè)量技術(shù)從數(shù)據(jù)平面提取數(shù)據(jù)的方式還有包采樣和端口鏡像技術(shù)等網(wǎng)絡(luò)測(cè)量技術(shù),這些網(wǎng)絡(luò)測(cè)量技術(shù)多應(yīng)用在流量的計(jì)費(fèi)、流量工程、攻擊/入侵檢測(cè)、網(wǎng)絡(luò)服務(wù)質(zhì)量的監(jiān)控等。計(jì)數(shù)器值統(tǒng)計(jì)技術(shù)應(yīng)用最多,但獲取計(jì)數(shù)器值本身存在對(duì)快速輪詢方式不友好以及同步難的缺點(diǎn),在檢測(cè)異常過(guò)程中效率和準(zhǔn)確率上難以滿足要求。主動(dòng)流探測(cè)技術(shù)以探測(cè)包來(lái)探測(cè)指定流路徑的異常轉(zhuǎn)發(fā)行為,適用于指定路徑的流量轉(zhuǎn)發(fā)異常檢測(cè),不適用于整個(gè)數(shù)據(jù)平面異常行為的檢測(cè)。包采樣與端口鏡像技術(shù)在數(shù)據(jù)平面信息提取方面比較高效,但很難應(yīng)用到SDN惡意交換機(jī)檢測(cè)當(dāng)中。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)針對(duì)當(dāng)前數(shù)據(jù)平面提取技術(shù)難以檢測(cè)數(shù)據(jù)流在非原路徑上出現(xiàn)的情況,提出基于流水印和隨機(jī)采樣的SDN流跡追蹤方法、裝置及系統(tǒng),將能夠唯一標(biāo)識(shí)數(shù)據(jù)流的流水印隱藏在數(shù)據(jù)報(bào)文中,達(dá)到監(jiān)控?cái)?shù)據(jù)流流向的目的,根據(jù)采樣特點(diǎn),給出在線檢測(cè)流量復(fù)制、流量偏路由及流量偽造方法。能夠有效檢測(cè)多種SDN網(wǎng)絡(luò)中的惡意轉(zhuǎn)發(fā)行為,并且在性能上優(yōu)于目前主流的數(shù)據(jù)平面提取技術(shù)。為了實(shí)現(xiàn)上述目的,本專利技術(shù)采用以下技術(shù)方案:基于流水印和隨機(jī)采樣的SDN流跡追蹤方法,包括以下步驟:步驟1:通過(guò)OpenFlow協(xié)議和LLDP協(xié)議從數(shù)據(jù)平面收集拓?fù)湫畔ⅲ瑯?gòu)造SDN交換機(jī)拓?fù)鋱D;步驟2:為數(shù)據(jù)流生成唯一能夠標(biāo)識(shí)該數(shù)據(jù)流的流水印,并將流水印與對(duì)應(yīng)數(shù)據(jù)流的流路徑保存到流水印-流路徑散列表中;步驟3:為數(shù)據(jù)流的流路徑上的SDN交換機(jī)流表制定轉(zhuǎn)發(fā)數(shù)據(jù)流的流規(guī)則,同時(shí)將具有嵌入流水印操作的流規(guī)則安裝到數(shù)據(jù)流的流路徑首個(gè)SDN交換機(jī)流表,將具有去除流水印操作的流規(guī)則安裝到數(shù)據(jù)流路徑末端SDN交換機(jī)流表;步驟4:為數(shù)據(jù)流嵌入流水印;步驟5:為數(shù)據(jù)流去除流水印;步驟6:向流水印-流路徑散列表請(qǐng)求流水印對(duì)應(yīng)的數(shù)據(jù)流的流路徑,以此驗(yàn)證數(shù)據(jù)流是否在正確的數(shù)據(jù)路徑上轉(zhuǎn)發(fā),如果發(fā)現(xiàn)轉(zhuǎn)發(fā)異常,則追溯產(chǎn)生異常轉(zhuǎn)發(fā)行為的SDN交換機(jī)。優(yōu)選地,所述流水印為32位,即4字節(jié);所述流水印嵌入在IPv4報(bào)文頭部字段中,且IPv4報(bào)文頭部選項(xiàng)域至少剩4字節(jié)未使用。優(yōu)選地,所述流規(guī)則為入口處流規(guī)則和非入口處流規(guī)則,非入口處流規(guī)則的安裝時(shí)間在入口處流規(guī)則的安裝時(shí)間之前。優(yōu)選地,所述入口處流規(guī)則在所述非入口處流規(guī)則起效的最早時(shí)間之前起效,且在所述非入口處流規(guī)則起效的最晚時(shí)間之后到期。優(yōu)選地,在所述步驟4之前還包括:為每個(gè)SDN交換機(jī)開(kāi)啟sFlow隨機(jī)采樣,收集采樣包。優(yōu)選地,所述步驟4包括:步驟4.1:修改IPv4報(bào)文頭部長(zhǎng)度;步驟4.2:修改IPv4報(bào)文總長(zhǎng)度;步驟4.3:在IPv4報(bào)文頭部末尾和報(bào)文數(shù)據(jù)之間插入流水印。優(yōu)選地,所述步驟5包括:步驟5.1:修改IPv4報(bào)文頭部長(zhǎng)度;步驟5.2:修改IPv4報(bào)文總長(zhǎng)度;步驟5.3:刪除IPv4報(bào)文頭部末尾的流水印。基于流水印和隨機(jī)采樣的SDN流跡追蹤裝置,包括:拓?fù)湫畔⑹占K,用于通過(guò)OpenFlow協(xié)議和LLDP協(xié)議從數(shù)據(jù)平面收集拓?fù)湫畔ⅲ瑯?gòu)造SDN交換機(jī)拓?fù)鋱D;流水印生成模塊,用于為數(shù)據(jù)流生成唯一能夠標(biāo)識(shí)該數(shù)據(jù)流的流水印,并將流水印與對(duì)應(yīng)數(shù)據(jù)流的流路徑保存到流水印-流路徑散列表中;流規(guī)則安裝模塊,用于為數(shù)據(jù)流的流路徑上的SDN交換機(jī)流表制定轉(zhuǎn)發(fā)數(shù)據(jù)流的流規(guī)則,同時(shí)將具有嵌入流水印操作的流規(guī)則安裝到數(shù)據(jù)流的流路徑首個(gè)SDN交換機(jī)流表,將具有去除流水印操作的流規(guī)則安裝到數(shù)據(jù)流路徑末端SDN交換機(jī)流表;流水印嵌入模塊,用于為數(shù)據(jù)流嵌入流水印;流水印去除模塊,用于為數(shù)據(jù)流去除流水印;異常轉(zhuǎn)發(fā)發(fā)現(xiàn)模塊,用于向流水印-流路徑散列表請(qǐng)求流水印對(duì)應(yīng)的數(shù)據(jù)流的流路徑,以此驗(yàn)證數(shù)據(jù)流是否在正確的數(shù)據(jù)路徑上轉(zhuǎn)發(fā),如果發(fā)現(xiàn)轉(zhuǎn)發(fā)異常,則追溯產(chǎn)生異常轉(zhuǎn)發(fā)行為的SDN交換機(jī)。優(yōu)選地,還包括:采樣包收集模塊,用于為每個(gè)SDN交換機(jī)開(kāi)啟sFlow隨機(jī)采樣,收集采樣包。優(yōu)選地,所述流水印嵌入模塊包括:第一修改模塊,用于修改IPv4報(bào)文頭部長(zhǎng)度;第二修改模塊,用于修改IPv4報(bào)文總長(zhǎng)度;流水印插入子模塊,用于在IPv4報(bào)文頭部末尾和報(bào)文數(shù)據(jù)之間插入流水印。優(yōu)選地,所述流水印去除模塊包括:第三修改模塊,用于修改IPv4報(bào)文頭部長(zhǎng)度;第四修改模塊,用于修改IPv4報(bào)文總長(zhǎng)度;流水印去除子模塊,用于刪除IPv4報(bào)文頭部末尾的流水印。基于流水印和隨機(jī)采樣的SDN流跡追蹤系統(tǒng),包括:多個(gè)SDN交換機(jī)及上述任一所述基于流水印和隨機(jī)采樣的SDN流跡追蹤裝置。與現(xiàn)有技術(shù)相比,本專利技術(shù)具有的有益效果:1、本專利技術(shù)結(jié)合流水印與sFlow隨機(jī)采樣的方式,有效解決了傳統(tǒng)SDN惡意交換機(jī)檢測(cè)技術(shù)難以檢測(cè)每個(gè)數(shù)據(jù)流偏離原始流路徑的異常轉(zhuǎn)發(fā)行為的問(wèn)題,擴(kuò)展了SDN惡意交換機(jī)檢測(cè)技術(shù)的適用范圍。2、本專利技術(shù)采用流水印嵌入方式,使得流水印機(jī)制網(wǎng)絡(luò)用戶透明,且數(shù)據(jù)流中流水印的添加與去除不會(huì)影響數(shù)據(jù)流的轉(zhuǎn)發(fā)行為。3、本專利技術(shù)能夠有效檢測(cè)SDN網(wǎng)絡(luò)中惡意交換機(jī)上的流量偏路由、流量復(fù)制、流量偽造轉(zhuǎn)發(fā)行為。4、基于流水印和隨機(jī)采樣的S本文檔來(lái)自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
基于流水印和隨機(jī)采樣的SDN流跡追蹤方法,其特征在于,包括以下步驟:步驟1:通過(guò)OpenFlow協(xié)議和LLDP協(xié)議從數(shù)據(jù)平面收集拓?fù)湫畔ⅲ瑯?gòu)造SDN交換機(jī)拓?fù)鋱D;步驟2:為數(shù)據(jù)流生成唯一能夠標(biāo)識(shí)該數(shù)據(jù)流的流水印,并將流水印與對(duì)應(yīng)數(shù)據(jù)流的流路徑保存到流水印?流路徑散列表中;步驟3:為數(shù)據(jù)流的流路徑上的SDN交換機(jī)流表制定轉(zhuǎn)發(fā)數(shù)據(jù)流的流規(guī)則,同時(shí)將具有嵌入流水印操作的流規(guī)則安裝到數(shù)據(jù)流的流路徑首個(gè)SDN交換機(jī)流表,將具有去除流水印操作的流規(guī)則安裝到數(shù)據(jù)流路徑末端SDN交換機(jī)流表;步驟4:為數(shù)據(jù)流嵌入流水印;步驟5:為數(shù)據(jù)流去除流水印;步驟6:向流水印?流路徑散列表請(qǐng)求流水印對(duì)應(yīng)的數(shù)據(jù)流的流路徑,以此驗(yàn)證數(shù)據(jù)流是否在正確的數(shù)據(jù)路徑上轉(zhuǎn)發(fā),如果發(fā)現(xiàn)轉(zhuǎn)發(fā)異常,則追溯產(chǎn)生異常轉(zhuǎn)發(fā)行為的SDN交換機(jī)。
【技術(shù)特征摘要】
1.基于流水印和隨機(jī)采樣的SDN流跡追蹤方法,其特征在于,包括以下步驟:步驟1:通過(guò)OpenFlow協(xié)議和LLDP協(xié)議從數(shù)據(jù)平面收集拓?fù)湫畔ⅲ瑯?gòu)造SDN交換機(jī)拓?fù)鋱D;步驟2:為數(shù)據(jù)流生成唯一能夠標(biāo)識(shí)該數(shù)據(jù)流的流水印,并將流水印與對(duì)應(yīng)數(shù)據(jù)流的流路徑保存到流水印-流路徑散列表中;步驟3:為數(shù)據(jù)流的流路徑上的SDN交換機(jī)流表制定轉(zhuǎn)發(fā)數(shù)據(jù)流的流規(guī)則,同時(shí)將具有嵌入流水印操作的流規(guī)則安裝到數(shù)據(jù)流的流路徑首個(gè)SDN交換機(jī)流表,將具有去除流水印操作的流規(guī)則安裝到數(shù)據(jù)流路徑末端SDN交換機(jī)流表;步驟4:為數(shù)據(jù)流嵌入流水印;步驟5:為數(shù)據(jù)流去除流水印;步驟6:向流水印-流路徑散列表請(qǐng)求流水印對(duì)應(yīng)的數(shù)據(jù)流的流路徑,以此驗(yàn)證數(shù)據(jù)流是否在正確的數(shù)據(jù)路徑上轉(zhuǎn)發(fā),如果發(fā)現(xiàn)轉(zhuǎn)發(fā)異常,則追溯產(chǎn)生異常轉(zhuǎn)發(fā)行為的SDN交換機(jī)。2.根據(jù)權(quán)利要求1所述的基于流水印和隨機(jī)采樣的SDN流跡追蹤方法,其特征在于,所述流水印為32位,即4字節(jié);所述流水印嵌入在IPv4報(bào)文頭部字段中,且IPv4報(bào)文頭部選項(xiàng)域至少剩4字節(jié)未使用。3.根據(jù)權(quán)利要求1所述的基于流水印和隨機(jī)采樣的SDN流跡追蹤方法,其特征在于,所述流規(guī)則為入口處流規(guī)則和非入口處流規(guī)則,非入口處流規(guī)則的安裝時(shí)間在入口處流規(guī)則的安裝時(shí)間之前。4.根據(jù)權(quán)利要求3所述的基于流水印和隨機(jī)采樣的SDN流跡追蹤方法,其特征在于,所述入口處流規(guī)則在所述非入口處流規(guī)則起效的最早時(shí)間之前起效,且在所述非入口處流規(guī)則起效的最晚時(shí)間之后到期。5.根據(jù)權(quán)利要求1所述的基于流水印和隨機(jī)采樣的SDN流跡追蹤方法,其特征在于,在所述步驟4之前還包括:為每個(gè)SDN交換機(jī)開(kāi)啟sFlow隨機(jī)采樣,收集采樣包。6.根據(jù)權(quán)利要求1所述的基于流水印和隨機(jī)采樣的SDN流跡追蹤方法,其特征在于,所述步驟4包括:步驟4.1:修改IPv4報(bào)文頭部長(zhǎng)度;步驟4.2:修改IPv4報(bào)文總長(zhǎng)度;步驟4.3:在IPv4報(bào)文頭部末尾和報(bào)文數(shù)據(jù)之間插入流水印。7.根據(jù)權(quán)利要求1所述的基于...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:張連成,宇文慧強(qiáng),王振興,郭毅,孔亞洲,辜苛峻,
申請(qǐng)(專利權(quán))人:中國(guó)人民解放軍信息工程大學(xué),
類型:發(fā)明
國(guó)別省市:河南,41
還沒(méi)有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。