CN108011865B - 基于流水印和随机采样的sdn流迹追踪方法、装置及*** - Google Patents

基于流水印和随机采样的sdn流迹追踪方法、装置及*** Download PDF

Info

Publication number
CN108011865B
CN108011865B CN201711036813.6A CN201711036813A CN108011865B CN 108011865 B CN108011865 B CN 108011865B CN 201711036813 A CN201711036813 A CN 201711036813A CN 108011865 B CN108011865 B CN 108011865B
Authority
CN
China
Prior art keywords
flow
watermark
stream
sdn
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711036813.6A
Other languages
English (en)
Other versions
CN108011865A (zh
Inventor
张连成
宇文慧强
王振兴
郭毅
孔亚洲
辜苛峻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201711036813.6A priority Critical patent/CN108011865B/zh
Publication of CN108011865A publication Critical patent/CN108011865A/zh
Application granted granted Critical
Publication of CN108011865B publication Critical patent/CN108011865B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • H04L45/7453Address table lookup; Address filtering using hashing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及SDN交换机的安全防御技术领域。基于流水印和随机采样的SDN流迹追踪方法,包括:构造SDN交换机拓扑图;为数据流生成唯一能够标识该数据流的流水印;制定转发数据流的流规则;为数据流嵌入流水印;为数据流去除流水印;如果发现转发异常,则追溯产生异常转发行为的SDN交换机。基于流水印和随机采样的SDN流迹追踪装置,包括:拓扑信息收集模块;流水印生成模块;流规则安装模块;流水印嵌入模块;流水印去除模块;异常转发发现模块。基于流水印和随机采样的SDN流迹追踪***,包括:多个SDN交换机及任一基于流水印和随机采样的SDN流迹追踪装置。本发明能够有效检测多种SDN网络中的恶意转发行为。

Description

基于流水印和随机采样的SDN流迹追踪方法、装置及***
技术领域
本发明涉及SDN交换机的安全防御技术领域,尤其涉及基于流水印和随机采样的SDN流迹追踪方法、装置及***。
背景技术
当前威胁SDN网络数据平面的恶意转发行为主要有以下七种:
(1)丢包
恶意交换机可以随机或选择性地丢弃所流经的数据包,造成网络性能的严重下降或者拒绝服务攻击等。
(2)流量伪造
恶意交换机能够任意制造数据包并转发到控制平面或者数据平面。
(3)流量修改
恶意交换机可以修改流量的内容,即数据包的开销或有效负载。流量修改常常可以引发其他的流量异常,如修改IP(Internet Protocol)报文头部的生存时间(Time toLive,TTL)值可以让该数据包在其他SDN交换机被正常丢掉。
(4)流量复制
恶意交换机可以复制一个端口流入的流量或者某个特定的流,送往某个指定的端口,或者指定地址,达到监听或嗅探的目的。
(5)流量偏路由
恶意交换机修改流经流量的目的地址并在转发时偏离了原转发端口。
(6)流量延迟
恶意交换机可以延迟流量并增加抖动,这对时间敏感的流量是致命的。另外,TCP(Transmission Control Protocol,传输控制协议)流的延迟会导致虚假超时和不必要的重传,由此严重破坏TCP的吞吐量。
(7)流量重排序
恶意交换机可以改变包的顺序,同时在内容、路由和延迟上是合法的(或至少在延迟在误差范围内造成的重排序),也可看作是流量延迟的一种表现,即某些数据包延迟发送,而后续数据包提前发送,导致包顺序打乱。就流量延迟来说,持续的TCP包重排序尤其会严重破坏TCP吞吐量。
在检测SDN恶意交换机的研究中,当前主流数据平面提取技术包含以下三种:
(1)基于OpenFlow流表计数器的统计信息提取技术
SDN交换机通常会维护一些计数器,包含端口计数器和流计数器,来追踪端口和流接收以及转发的包数和字节数。端口计数器在交换机每个端口分别对接收到的、转发的以及丢弃的数据包的数量和字节数进行统计。虽然这些计数器不直接提供流经每个链路的流的情况,但随着时间推移,它们可以周期性轮询以推断链路的利用率。
(2)主动流探测技术
主动流探测技术就是向网络发送特定的流量,对流量的转发路径、转发状态以及流量内容进行检查,用来发现流量在转发过程中发生的异常。
(3)网络测量技术
从数据平面提取数据的方式还有包采样和端口镜像技术等网络测量技术,这些网络测量技术多应用在流量的计费、流量工程、攻击/入侵检测、网络服务质量的监控等。
计数器值统计技术应用最多,但获取计数器值本身存在对快速轮询方式不友好以及同步难的缺点,在检测异常过程中效率和准确率上难以满足要求。主动流探测技术以探测包来探测指定流路径的异常转发行为,适用于指定路径的流量转发异常检测,不适用于整个数据平面异常行为的检测。包采样与端口镜像技术在数据平面信息提取方面比较高效,但很难应用到SDN恶意交换机检测当中。
发明内容
本发明针对当前数据平面提取技术难以检测数据流在非原路径上出现的情况,提出基于流水印和随机采样的SDN流迹追踪方法、装置及***,将能够唯一标识数据流的流水印隐藏在数据报文中,达到监控数据流流向的目的,根据采样特点,给出在线检测流量复制、流量偏路由及流量伪造方法。能够有效检测多种SDN网络中的恶意转发行为,并且在性能上优于目前主流的数据平面提取技术。
为了实现上述目的,本发明采用以下技术方案:
基于流水印和随机采样的SDN流迹追踪方法,包括以下步骤:
步骤1:通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息,构造SDN交换机拓扑图;
步骤2:为数据流生成唯一能够标识该数据流的流水印,并将流水印与对应数据流的流路径保存到流水印-流路径散列表中;
步骤3:为数据流的流路径上的SDN交换机流表制定转发数据流的流规则,同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表,将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表;
步骤4:为数据流嵌入流水印;
步骤5:为数据流去除流水印;
步骤6:向流水印-流路径散列表请求流水印对应的数据流的流路径,以此验证数据流是否在正确的数据路径上转发,如果发现转发异常,则追溯产生异常转发行为的SDN交换机。
优选地,所述流水印为32位,即4字节;所述流水印嵌入在IPv4报文头部字段中,且IPv4报文头部选项域至少剩4字节未使用。
优选地,所述流规则为入口处流规则和非入口处流规则,非入口处流规则的安装时间在入口处流规则的安装时间之前。
优选地,所述入口处流规则在所述非入口处流规则起效的最早时间之前起效,且在所述非入口处流规则起效的最晚时间之后到期。
优选地,在所述步骤4之前还包括:为每个SDN交换机开启sFlow随机采样,收集采样包。
优选地,所述步骤4包括:
步骤4.1:修改IPv4报文头部长度;
步骤4.2:修改IPv4报文总长度;
步骤4.3:在IPv4报文头部末尾和报文数据之间***流水印。
优选地,所述步骤5包括:
步骤5.1:修改IPv4报文头部长度;
步骤5.2:修改IPv4报文总长度;
步骤5.3:删除IPv4报文头部末尾的流水印。
基于流水印和随机采样的SDN流迹追踪装置,包括:
拓扑信息收集模块,用于通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息,构造SDN交换机拓扑图;
流水印生成模块,用于为数据流生成唯一能够标识该数据流的流水印,并将流水印与对应数据流的流路径保存到流水印-流路径散列表中;
流规则安装模块,用于为数据流的流路径上的SDN交换机流表制定转发数据流的流规则,同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表,将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表;
流水印嵌入模块,用于为数据流嵌入流水印;
流水印去除模块,用于为数据流去除流水印;
异常转发发现模块,用于向流水印-流路径散列表请求流水印对应的数据流的流路径,以此验证数据流是否在正确的数据路径上转发,如果发现转发异常,则追溯产生异常转发行为的SDN交换机。
优选地,还包括:
采样包收集模块,用于为每个SDN交换机开启sFlow随机采样,收集采样包。
优选地,所述流水印嵌入模块包括:
第一修改模块,用于修改IPv4报文头部长度;
第二修改模块,用于修改IPv4报文总长度;
流水印***子模块,用于在IPv4报文头部末尾和报文数据之间***流水印。
优选地,所述流水印去除模块包括:
第三修改模块,用于修改IPv4报文头部长度;
第四修改模块,用于修改IPv4报文总长度;
流水印去除子模块,用于删除IPv4报文头部末尾的流水印。
基于流水印和随机采样的SDN流迹追踪***,包括:多个SDN交换机及上述任一所述基于流水印和随机采样的SDN流迹追踪装置。
与现有技术相比,本发明具有的有益效果:
1、本发明结合流水印与sFlow随机采样的方式,有效解决了传统SDN恶意交换机检测技术难以检测每个数据流偏离原始流路径的异常转发行为的问题,扩展了SDN恶意交换机检测技术的适用范围。
2、本发明采用流水印嵌入方式,使得流水印机制网络用户透明,且数据流中流水印的添加与去除不会影响数据流的转发行为。
3、本发明能够有效检测SDN网络中恶意交换机上的流量偏路由、流量复制、流量伪造转发行为。
4、基于流水印和随机采样的SDN流迹追踪方法采用在IPv4报文头部字段中嵌入流水印的方式。这种方式能够通过OpenFlow流表操作完成,不需要额外部署新的软件在交换机上。另一方面这种方式对网络以及流量转发性能影响很小。
5、通过这种方式,数据流在流经SDN网络时,将会携带32位唯一标识的流水印,并在离开SDN网络后去除流水印。这种嵌入流水印的好处一方面是隐蔽性,网络用户不会发现流水印的存在,另一方面是不会破坏数据包本身完整性。
附图说明
图1为本发明基于流水印和随机采样的SDN流迹追踪方法的基本流程示意图之一。
图2为本发明基于流水印和随机采样的SDN流迹追踪方法的基本流程示意图之二。
图3为本发明基于流水印和随机采样的SDN流迹追踪方法的IPv4报文头部格式示意图。
图4为本发明基于流水印和随机采样的SDN流迹追踪方法的入口处流规则和非入口处流规则的安装与到期时间示意图。
图5为本发明基于流水印和随机采样的SDN流迹追踪装置的结构示意图之一。
图6为本发明基于流水印和随机采样的SDN流迹追踪装置的结构示意图之二。
具体实施方式
为了便于理解,对本发明的具体实施方式中出现的部分名词作以下解释说明:
SDN控制器:是SDN中,即软件定义网络中的应用程序,负责流量控制以确保智能网络,SDN控制器是基于如OpenFlow等协议的,允许服务器告诉交换机向哪里发送数据包。
下面结合附图和具体的实施例对本发明做进一步的解释说明:
实施例一:
如图1所示,本发明的一种基于流水印和随机采样的SDN流迹追踪方法,包括以下步骤:步骤S101:通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息,构造SDN交换机拓扑图;
步骤S102:为数据流生成唯一能够标识该数据流的流水印,并将流水印与对应数据流的流路径保存到流水印-流路径散列表中;
步骤S103:为数据流的流路径上的SDN交换机流表制定转发数据流的流规则,同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表,将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表;
步骤S104:为数据流嵌入流水印;
步骤S105:为数据流去除流水印;
步骤S106:向流水印-流路径散列表请求流水印对应的数据流的流路径,以此验证数据流是否在正确的数据路径上转发,如果发现转发异常,则追溯产生异常转发行为的SDN交换机。
值得说明的是,所述流水印为32位,即4字节;所述流水印嵌入在IPv4报文头部字段中,且IPv4报文头部选项域至少剩4字节未使用。所述流规则为入口处流规则和非入口处流规则,非入口处流规则的安装时间在入口处流规则的安装时间之前。所述入口处流规则在所述非入口处流规则起效的最早时间之前起效,且在所述非入口处流规则起效的最晚时间之后到期。
实施例二:
如图2-4所示,本发明的另一种基于流水印和随机采样的SDN流迹追踪方法,包括以下步骤:
步骤S201:通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息,构造SDN交换机拓扑图,包括:
步骤S2011:SDN控制器将LLDP报文封装到PACKET_OUT消息中,分发给各SDN交换机;
步骤S2012:SDN交换机根据PACKET_OUT消息中的指令,将LLDP报文广播至各端口,与该SDN交换机相连的其他SDN交换机会接收到该SDN交换机发出的LLDP报文;
步骤S2013:接收到LLDP报文的SDN交换机查找流表,但由于此时SDN交换机流表中没有内容,SDN交换机会将将该报文封装到PACKET_IN消息中,转发至SDN控制器;
步骤S2014:SDN控制器接收到SDN交换机上传的PACKET_IN消息,并从中提出LLDP报文,通过分析在保存的链路发现表中创建两台SDN交换机之间的链接记录,从而得到各SDN交换机之间的拓扑关系,从而根据链路发现表构造交换机拓扑图。
步骤S202:为每一个数据流生成唯一能够标识该数据流的流水印,并将该流水印与该数据流的流路径保存到流水印-流路径散列表中;所述流水印为32位,即4字节;所述流水印嵌入在IPv4报文头部字段中,且IPv4报文头部选项域至少剩4字节未使用,IPv4报文头部选项字段是可扩充字段,最长可达40字节,并且在现实中该字段很难全部利用。IPv4报文头部格式如图3所示,其中与选项字段有关的是报文头部长度IHL(Internet HeaderLength,IHL)字段和报文总长度TL(Total Length,TL)字段。IHL用4位来表示,用来表示IPv4报文头部长度。TL字段16位,表示IPv4报文总长度。选项域长度为4字节的倍数。作为一种可实施方式,IPv4报文头部选项域剩余8字节未使用。
步骤S203:为每个数据流的流路径上的SDN交换机流表制定转发该数据流的流规则,同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表,将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表,所述流规则为入口处流规则和非入口处流规则,非入口处流规则的安装时间在入口处流规则的安装时间之前,所述入口处流规则在所述非入口处流规则起效的最早时间之前起效,且在所述非入口处流规则起效的最晚时间之后到期;
对每个数据流在生成转发规则的基础上,为流路径入口处的流规则添加嵌入流水印的动作,为流路径出口处的流规则添加去除流水印的动作。这些流规则分为两类,第一类是入口处流规则rin,第二类是非入口处流规则rrest。可知rrest包含除流路径第一个交换机外所有其他交换机的流规则。这两种流规则分别以不同的硬超时安装到交换机上。先安装rrest,后安装rin,i1与i2分别表示安装rrest与rin的时间,t1和t2分别表示其硬超时。使用dmax表示网络设备间最大转发延迟,例如主机、交换机和控制器。如图4所示,则rrest的起效时间和到期时间范围分别为[i1,i1+dmax]和[i1+t1,i1+t1+dmax]。相应rin的起效时间和到期时间范围分别为[i2,i2+dmax]和[i2+t2,i2+t2+dmax]。为保证被rin添加了流水印的数据流能够被rrest正确的去除流水印,需要保证rin在i1前起效,这里i1是rrest起效的最早时间,rin在i1+dmax+t1+dmax后到期,其中i1+dmax+t1是rrest到期的最晚时间。这种约束可以表示为:
Figure GDA0002411560090000071
步骤S204:为每个SDN交换机开启sFlow随机采样,收集采样包。
步骤S205:利用OpenFlow多流表特点,在数据流的所有数据包进入网络第一个SDN交换机时,除了执行转发行为,还要嵌入流水印,嵌入流水印分为3个步骤,包括:
步骤S2051:修改IPv4报文头部长度,即修改IHL,IHL=IHL+1;
步骤S2052:修改IPv4报文总长度,即修改TL,TL=TL+4;
步骤S2053:在IPv4报文头部末尾和报文数据之间***32位的流水印。
步骤S206:当数据流的所有数据包流经数据路径最后一个SDN交换机时,去除流水印,去除流水印分为3个步骤:
步骤S2061:修改IPv4报文头部长度,即修改IHL,IHL=IHL+1;
步骤S2062:修改IPv4报文总长度,即修改TL,TL=TL+4;
步骤S2063:删除IPv4报文头部末尾的32位的流水印。
步骤S207:向流水印-流路径散列表请求该流水印对应的数据流的流路径,以此验证该数据流是否在正确的数据路径上转发,如果发现转发异常,则追溯产生异常转发行为的交换机。
实施例三:
如图5所示,本发明的一种基于流水印和随机采样的SDN流迹追踪装置,包括:
拓扑信息收集模块301,用于通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息,构造SDN交换机拓扑图;
流水印生成模块302,用于为数据流生成唯一能够标识该数据流的流水印,并将流水印与对应数据流的流路径保存到流水印-流路径散列表中;
流规则安装模块303,用于为数据流的流路径上的SDN交换机流表制定转发数据流的流规则,同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表,将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表;
流水印嵌入模块304,用于为数据流嵌入流水印;
流水印去除模块305,用于为数据流去除流水印;
异常转发发现模块306,用于向流水印-流路径散列表请求流水印对应的数据流的流路径,以此验证数据流是否在正确的数据路径上转发,如果发现转发异常,则追溯产生异常转发行为的SDN交换机。
实施例四:
如图6所示,本发明的另一种基于流水印和随机采样的SDN流迹追踪装置,包括:
拓扑信息收集模块401,用于通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息,构造SDN交换机拓扑图;
流水印生成模块402,用于为数据流生成唯一能够标识该数据流的流水印,并将流水印与对应数据流的流路径保存到流水印-流路径散列表中;
流规则安装模块403,用于为数据流的流路径上的SDN交换机流表制定转发数据流的流规则,同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表,将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表;
采样包收集模块404,用于为每个SDN交换机开启sFlow随机采样,收集采样包;
流水印嵌入模块405,用于为数据流嵌入流水印;
流水印去除模块406,用于为数据流去除流水印;
异常转发发现模块407,用于向流水印-流路径散列表请求流水印对应的数据流的流路径,以此验证数据流是否在正确的数据路径上转发,如果发现转发异常,则追溯产生异常转发行为的SDN交换机。
所述流水印嵌入模块405进一步包括:
第一修改模块,用于修改IPv4报文头部长度;
第二修改模块,用于修改IPv4报文总长度;
流水印***子模块,用于在IPv4报文头部末尾和报文数据之间***流水印。
所述流水印去除模块406进一步包括:
第三修改模块,用于修改IPv4报文头部长度;
第四修改模块,用于修改IPv4报文总长度;
流水印去除子模块,用于删除IPv4报文头部末尾的流水印。
实施例五:
本发明的一种基于流水印和随机采样的SDN流迹追踪***,包括:多个SDN交换机及实施例三及实施例四中任一所述装置;作为一种可实施方式,SDN交换机的数目为20。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.基于流水印和随机采样的SDN流迹追踪方法,其特征在于,包括以下步骤:
步骤1:通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息,构造SDN交换机拓扑图;
步骤2:为数据流生成唯一能够标识该数据流的流水印,并将流水印与对应数据流的流路径保存到流水印-流路径散列表中;
步骤3:为数据流的流路径上的SDN交换机流表制定转发数据流的流规则,同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表,将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表;
步骤4:为数据流嵌入流水印;
步骤5:为数据流去除流水印;
步骤6:向流水印-流路径散列表请求流水印对应的数据流的流路径,以此验证数据流是否在正确的数据路径上转发,如果发现转发异常,则追溯产生异常转发行为的SDN交换机。
2.根据权利要求1所述的基于流水印和随机采样的SDN流迹追踪方法,其特征在于,所述流水印为32位,即4字节;所述流水印嵌入在IPv4报文头部字段中,且IPv4报文头部选项域至少剩4字节未使用。
3.根据权利要求1所述的基于流水印和随机采样的SDN流迹追踪方法,其特征在于,所述流规则为入口处流规则和非入口处流规则,非入口处流规则的安装时间在入口处流规则的安装时间之前。
4.根据权利要求3所述的基于流水印和随机采样的SDN流迹追踪方法,其特征在于,所述入口处流规则在所述非入口处流规则起效的最早时间之前起效,且在所述非入口处流规则起效的最晚时间之后到期。
5.根据权利要求1所述的基于流水印和随机采样的SDN流迹追踪方法,其特征在于,在所述步骤4之前还包括:为每个SDN交换机开启sFlow随机采样,收集采样包。
6.根据权利要求1所述的基于流水印和随机采样的SDN流迹追踪方法,其特征在于,所述步骤4包括:
步骤4.1:修改IPv4报文头部长度;
步骤4.2:修改IPv4报文总长度;
步骤4.3:在IPv4报文头部末尾和报文数据之间***流水印。
7.根据权利要求1所述的基于流水印和随机采样的SDN流迹追踪方法,其特征在于,所述步骤5包括:
步骤5.1:修改IPv4报文头部长度;
步骤5.2:修改IPv4报文总长度;
步骤5.3:删除IPv4报文头部末尾的流水印。
8.基于流水印和随机采样的SDN流迹追踪装置,其特征在于,包括:
拓扑信息收集模块,用于通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息,构造SDN交换机拓扑图;
流水印生成模块,用于为数据流生成唯一能够标识该数据流的流水印,并将流水印与对应数据流的流路径保存到流水印-流路径散列表中;
流规则安装模块,用于为数据流的流路径上的SDN交换机流表制定转发数据流的流规则,同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表,将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表;
流水印嵌入模块,用于为数据流嵌入流水印;
流水印去除模块,用于为数据流去除流水印;
异常转发发现模块,用于向流水印-流路径散列表请求流水印对应的数据流的流路径,以此验证数据流是否在正确的数据路径上转发,如果发现转发异常,则追溯产生异常转发行为的SDN交换机。
9.根据权利要求8所述的基于流水印和随机采样的SDN流迹追踪装置,其特征在于,还包括:
采样包收集模块,用于为每个SDN交换机开启sFlow随机采样,收集采样包;
优选地,所述流水印嵌入模块包括:
第一修改模块,用于修改IPv4报文头部长度;
第二修改模块,用于修改IPv4报文总长度;
流水印***子模块,用于在IPv4报文头部末尾和报文数据之间***流水印;
优选地,所述流水印去除模块包括:
第三修改模块,用于修改IPv4报文头部长度;
第四修改模块,用于修改IPv4报文总长度;
流水印去除子模块,用于删除IPv4报文头部末尾的流水印。
10.基于流水印和随机采样的SDN流迹追踪***,其特征在于,包括:多个SDN交换机及权利要求8和权利要求9中任一所述装置。
CN201711036813.6A 2017-10-28 2017-10-28 基于流水印和随机采样的sdn流迹追踪方法、装置及*** Active CN108011865B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711036813.6A CN108011865B (zh) 2017-10-28 2017-10-28 基于流水印和随机采样的sdn流迹追踪方法、装置及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711036813.6A CN108011865B (zh) 2017-10-28 2017-10-28 基于流水印和随机采样的sdn流迹追踪方法、装置及***

Publications (2)

Publication Number Publication Date
CN108011865A CN108011865A (zh) 2018-05-08
CN108011865B true CN108011865B (zh) 2020-05-05

Family

ID=62052057

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711036813.6A Active CN108011865B (zh) 2017-10-28 2017-10-28 基于流水印和随机采样的sdn流迹追踪方法、装置及***

Country Status (1)

Country Link
CN (1) CN108011865B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600167A (zh) * 2018-03-19 2018-09-28 中国电子科技集团公司第三十研究所 一种基于OpenFlow的网络水印的通信装置及方法
CN108965288A (zh) * 2018-07-09 2018-12-07 中国人民解放军战略支援部队信息工程大学 一种基于流指纹的跨域溯源的方法
CN110912895B (zh) * 2019-11-26 2022-03-04 华侨大学 一种基于感知哈希的网络数据流溯源方法
CN114338568B (zh) * 2020-09-30 2024-03-01 中车株洲电力机车研究所有限公司 数据流统计方法及以太网交换机
CN112261052B (zh) * 2020-10-23 2022-10-25 中国人民解放军战略支援部队信息工程大学 基于流规则分析的sdn数据平面异常行为检测方法及***
CN112887984B (zh) * 2020-12-25 2022-05-17 广州中海电信有限公司 一种用于无线通讯的数据监控***及其监控方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777091A (zh) * 2004-11-17 2006-05-24 英特尔公司 管理数字媒体的技术
CN106411820A (zh) * 2015-07-29 2017-02-15 中国科学院沈阳自动化研究所 一种基于sdn架构的工业通信流传输安全控制方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160006663A1 (en) * 2014-07-02 2016-01-07 Telefonaktiebolaget L M Ericsson (Publ) Method and system for compressing forward state of a data network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777091A (zh) * 2004-11-17 2006-05-24 英特尔公司 管理数字媒体的技术
CN106411820A (zh) * 2015-07-29 2017-02-15 中国科学院沈阳自动化研究所 一种基于sdn架构的工业通信流传输安全控制方法

Also Published As

Publication number Publication date
CN108011865A (zh) 2018-05-08

Similar Documents

Publication Publication Date Title
CN108011865B (zh) 基于流水印和随机采样的sdn流迹追踪方法、装置及***
US7729271B2 (en) Detection method for abnormal traffic and packet relay apparatus
US9009830B2 (en) Inline intrusion detection
US7843827B2 (en) Method and device for configuring a network device
CN108063765B (zh) 适于解决网络安全的sdn***
CN106416171B (zh) 一种特征信息分析方法及装置
US8732833B2 (en) Two-stage intrusion detection system for high-speed packet processing using network processor and method thereof
US9722926B2 (en) Method and system of large flow control in communication networks
CN108282497A (zh) 针对SDN控制平面的DDoS攻击检测方法
JP2007184799A (ja) パケット通信装置
JP2012050090A5 (zh)
WO2016110273A1 (zh) 一种对访问请求进行限制的***和方法
CN104243237B (zh) P2p流检测方法和设备
JP4988632B2 (ja) パケット中継装置およびトラフィックモニタシステム
WO2009059504A1 (fr) Procédé et système de défense contre des attaques tcp
CN108141387B (zh) 对于分组报头采样的长度控制
CN111970211A (zh) 一种基于ipfix的大象流处理方法及装置
CN112637015A (zh) 一种基于psn实现rdma网络的丢包检测方法及装置
US8964763B2 (en) Inter-router communication method and module
Wang et al. A bandwidth-efficient int system for tracking the rules matched by the packets of a flow
KR101408032B1 (ko) 실시간 대용량 트래픽 분석 분산시스템 및 분산시스템에서 트래픽을 실시간으로 분석하는 방법
CN115664833B (zh) 基于局域网安全设备的网络劫持检测方法
CN109495311B (zh) 一种网络故障检测方法及装置
CN114938308B (zh) 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置
CN106817268B (zh) 一种ddos攻击的检测方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant