基于流水印和随机采样的SDN流迹追踪方法、装置及系统制造方法及图纸

本发明专利技术涉及SDN交换机的安全防御技术领域。基于流水印和随机采样的SDN流迹追踪方法，包括：构造SDN交换机拓扑图；为数据流生成唯一能够标识该数据流的流水印；制定转发数据流的流规则；为数据流嵌入流水印；为数据流去除流水印；如果发现转发异常，则追溯产生异常转发行为的SDN交换机。基于流水印和随机采样的SDN流迹追踪装置，包括：拓扑信息收集模块；流水印生成模块；流规则安装模块；流水印嵌入模块；流水印去除模块；异常转发发现模块。基于流水印和随机采样的SDN流迹追踪系统，包括：多个SDN交换机及任一基于流水印和随机采样的SDN流迹追踪装置。本发明专利技术能够有效检测多种SDN网络中的恶意转发行为。

【技术实现步骤摘要】
基于流水印和随机采样的SDN流迹追踪方法、装置及系统
本专利技术涉及SDN交换机的安全防御
，尤其涉及基于流水印和随机采样的SDN流迹追踪方法、装置及系统。
技术介绍
当前威胁SDN网络数据平面的恶意转发行为主要有以下七种：(1)丢包恶意交换机可以随机或选择性地丢弃所流经的数据包，造成网络性能的严重下降或者拒绝服务攻击等。(2)流量伪造恶意交换机能够任意制造数据包并转发到控制平面或者数据平面。(3)流量修改恶意交换机可以修改流量的内容，即数据包的开销或有效负载。流量修改常常可以引发其他的流量异常，如修改IP(InternetProtocol)报文头部的生存时间(TimetoLive，TTL)值可以让该数据包在其他SDN交换机被正常丢掉。(4)流量复制恶意交换机可以复制一个端口流入的流量或者某个特定的流，送往某个指定的端口，或者指定地址，达到监听或嗅探的目的。(5)流量偏路由恶意交换机修改流经流量的目的地址并在转发时偏离了原转发端口。(6)流量延迟恶意交换机可以延迟流量并增加抖动，这对时间敏感的流量是致命的。另外，TCP(TransmissionControlProtocol，传输控制协议)流的延迟会导致虚假超时和不必要的重传，由此严重破坏TCP的吞吐量。(7)流量重排序恶意交换机可以改变包的顺序，同时在内容、路由和延迟上是合法的(或至少在延迟在误差范围内造成的重排序)，也可看作是流量延迟的一种表现，即某些数据包延迟发送，而后续数据包提前发送，导致包顺序打乱。就流量延迟来说，持续的TCP包重排序尤其会严重破坏TCP吞吐量。在检测SDN恶意交换机的研究中，当前主流数据平面提取技术包含以下三种：(1)基于OpenFlow流表计数器的统计信息提取技术SDN交换机通常会维护一些计数器，包含端口计数器和流计数器，来追踪端口和流接收以及转发的包数和字节数。端口计数器在交换机每个端口分别对接收到的、转发的以及丢弃的数据包的数量和字节数进行统计。虽然这些计数器不直接提供流经每个链路的流的情况，但随着时间推移，它们可以周期性轮询以推断链路的利用率。(2)主动流探测技术主动流探测技术就是向网络发送特定的流量，对流量的转发路径、转发状态以及流量内容进行检查，用来发现流量在转发过程中发生的异常。(3)网络测量技术从数据平面提取数据的方式还有包采样和端口镜像技术等网络测量技术，这些网络测量技术多应用在流量的计费、流量工程、攻击/入侵检测、网络服务质量的监控等。计数器值统计技术应用最多，但获取计数器值本身存在对快速轮询方式不友好以及同步难的缺点，在检测异常过程中效率和准确率上难以满足要求。主动流探测技术以探测包来探测指定流路径的异常转发行为，适用于指定路径的流量转发异常检测，不适用于整个数据平面异常行为的检测。包采样与端口镜像技术在数据平面信息提取方面比较高效，但很难应用到SDN恶意交换机检测当中。
技术实现思路
本专利技术针对当前数据平面提取技术难以检测数据流在非原路径上出现的情况，提出基于流水印和随机采样的SDN流迹追踪方法、装置及系统，将能够唯一标识数据流的流水印隐藏在数据报文中，达到监控数据流流向的目的，根据采样特点，给出在线检测流量复制、流量偏路由及流量伪造方法。能够有效检测多种SDN网络中的恶意转发行为，并且在性能上优于目前主流的数据平面提取技术。为了实现上述目的，本专利技术采用以下技术方案：基于流水印和随机采样的SDN流迹追踪方法，包括以下步骤：步骤1：通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息，构造SDN交换机拓扑图；步骤2：为数据流生成唯一能够标识该数据流的流水印，并将流水印与对应数据流的流路径保存到流水印-流路径散列表中；步骤3：为数据流的流路径上的SDN交换机流表制定转发数据流的流规则，同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表，将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表；步骤4：为数据流嵌入流水印；步骤5：为数据流去除流水印；步骤6：向流水印-流路径散列表请求流水印对应的数据流的流路径，以此验证数据流是否在正确的数据路径上转发，如果发现转发异常，则追溯产生异常转发行为的SDN交换机。优选地，所述流水印为32位，即4字节；所述流水印嵌入在IPv4报文头部字段中，且IPv4报文头部选项域至少剩4字节未使用。优选地，所述流规则为入口处流规则和非入口处流规则，非入口处流规则的安装时间在入口处流规则的安装时间之前。优选地，所述入口处流规则在所述非入口处流规则起效的最早时间之前起效，且在所述非入口处流规则起效的最晚时间之后到期。优选地，在所述步骤4之前还包括：为每个SDN交换机开启sFlow随机采样，收集采样包。优选地，所述步骤4包括：步骤4.1：修改IPv4报文头部长度；步骤4.2：修改IPv4报文总长度；步骤4.3：在IPv4报文头部末尾和报文数据之间插入流水印。优选地，所述步骤5包括：步骤5.1：修改IPv4报文头部长度；步骤5.2：修改IPv4报文总长度；步骤5.3：删除IPv4报文头部末尾的流水印。基于流水印和随机采样的SDN流迹追踪装置，包括：拓扑信息收集模块，用于通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息，构造SDN交换机拓扑图；流水印生成模块，用于为数据流生成唯一能够标识该数据流的流水印，并将流水印与对应数据流的流路径保存到流水印-流路径散列表中；流规则安装模块，用于为数据流的流路径上的SDN交换机流表制定转发数据流的流规则，同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表，将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表；流水印嵌入模块，用于为数据流嵌入流水印；流水印去除模块，用于为数据流去除流水印；异常转发发现模块，用于向流水印-流路径散列表请求流水印对应的数据流的流路径，以此验证数据流是否在正确的数据路径上转发，如果发现转发异常，则追溯产生异常转发行为的SDN交换机。优选地，还包括：采样包收集模块，用于为每个SDN交换机开启sFlow随机采样，收集采样包。优选地，所述流水印嵌入模块包括：第一修改模块，用于修改IPv4报文头部长度；第二修改模块，用于修改IPv4报文总长度；流水印插入子模块，用于在IPv4报文头部末尾和报文数据之间插入流水印。优选地，所述流水印去除模块包括：第三修改模块，用于修改IPv4报文头部长度；第四修改模块，用于修改IPv4报文总长度；流水印去除子模块，用于删除IPv4报文头部末尾的流水印。基于流水印和随机采样的SDN流迹追踪系统，包括：多个SDN交换机及上述任一所述基于流水印和随机采样的SDN流迹追踪装置。与现有技术相比，本专利技术具有的有益效果：1、本专利技术结合流水印与sFlow随机采样的方式，有效解决了传统SDN恶意交换机检测技术难以检测每个数据流偏离原始流路径的异常转发行为的问题，扩展了SDN恶意交换机检测技术的适用范围。2、本专利技术采用流水印嵌入方式，使得流水印机制网络用户透明，且数据流中流水印的添加与去除不会影响数据流的转发行为。3、本专利技术能够有效检测SDN网络中恶意交换机上的流量偏路由、流量复制、流量伪造转发行为。4、基于流水印和随机采样的S本文档来自技高网...

【技术保护点】
基于流水印和随机采样的SDN流迹追踪方法，其特征在于，包括以下步骤：步骤1：通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息，构造SDN交换机拓扑图；步骤2：为数据流生成唯一能够标识该数据流的流水印，并将流水印与对应数据流的流路径保存到流水印‑流路径散列表中；步骤3：为数据流的流路径上的SDN交换机流表制定转发数据流的流规则，同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表，将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表；步骤4：为数据流嵌入流水印；步骤5：为数据流去除流水印；步骤6：向流水印‑流路径散列表请求流水印对应的数据流的流路径，以此验证数据流是否在正确的数据路径上转发，如果发现转发异常，则追溯产生异常转发行为的SDN交换机。

【技术特征摘要】
1.基于流水印和随机采样的SDN流迹追踪方法，其特征在于，包括以下步骤：步骤1：通过OpenFlow协议和LLDP协议从数据平面收集拓扑信息，构造SDN交换机拓扑图；步骤2：为数据流生成唯一能够标识该数据流的流水印，并将流水印与对应数据流的流路径保存到流水印-流路径散列表中；步骤3：为数据流的流路径上的SDN交换机流表制定转发数据流的流规则，同时将具有嵌入流水印操作的流规则安装到数据流的流路径首个SDN交换机流表，将具有去除流水印操作的流规则安装到数据流路径末端SDN交换机流表；步骤4：为数据流嵌入流水印；步骤5：为数据流去除流水印；步骤6：向流水印-流路径散列表请求流水印对应的数据流的流路径，以此验证数据流是否在正确的数据路径上转发，如果发现转发异常，则追溯产生异常转发行为的SDN交换机。2.根据权利要求1所述的基于流水印和随机采样的SDN流迹追踪方法，其特征在于，所述流水印为32位，即4字节；所述流水印嵌入在IPv4报文头部字段中，且IPv4报文头部选项域至少剩4字节未使用。3.根据权利要求1所述的基于流水印和随机采样的SDN流迹追踪方法，其特征在于，所述流规则为入口处流规则和非入口处流规则，非入口处流规则的安装时间在入口处流规则的安装时间之前。4.根据权利要求3所述的基于流水印和随机采样的SDN流迹追踪方法，其特征在于，所述入口处流规则在所述非入口处流规则起效的最早时间之前起效，且在所述非入口处流规则起效的最晚时间之后到期。5.根据权利要求1所述的基于流水印和随机采样的SDN流迹追踪方法，其特征在于，在所述步骤4之前还包括：为每个SDN交换机开启sFlow随机采样，收集采样包。6.根据权利要求1所述的基于流水印和随机采样的SDN流迹追踪方法，其特征在于，所述步骤4包括：步骤4.1：修改IPv4报文头部长度；步骤4.2：修改IPv4报文总长度；步骤4.3：在IPv4报文头部末尾和报文数据之间插入流水印。7.根据权利要求1所述的基于...

【专利技术属性】
技术研发人员：张连成，宇文慧强，王振兴，郭毅，孔亚洲，辜苛峻，
申请(专利权)人：中国人民解放军信息工程大学，
类型：发明
国别省市：河南,41