The invention discloses a method for detecting SDN in table consistency method and system, according to the field features custom flow table tampering attacks need to monitor detection based on, as long as the door known flow meter tampering with the type of eavesdropping attacks can achieve a detection rate of one hundred percent; at the same time, the contents of the counting methods only need to switch back to the specified the field, which occupy the network bandwidth occupied by small, controller, switch side processing time is less. Therefore, the present invention provides a more targeted, higher detection rate and faster detection speed detection method and system with low network transmission load, high detection rate of convection table consistency, to make up for the lack of the layered structure of SDN convection table rules consistency detection measures, is complementary to the table and the improvement of protection the consistency of detection of SDN flow, improve the reliability of SDN control network, providing security for SDN network data transmission.
【技术实现步骤摘要】
一种检测SDN中流表一致性的方法和系统
本专利技术涉及SDN安全领域。更为具体的,本专利技术涉及一种检测SDN中流表一致性的方法和系统。
技术介绍
软件定义网络(Software-definedNetworking,SDN),其核心的思想是将复杂的网络设备一分为二。转发功能由单一的硬件来实现,称之为数据面;而较为复杂的控制、管理、服务功能由软件来实现,称之为控制面。分离的控制层和数据层使得SDN架构存在转发规则不一致的隐患。由于中央控制器将数据平面转发规则安装到下层交换机,以指导数据包转发或其他操作,一旦交换机端的规则被恶意篡改,而控制器没有察觉,则下层网络的实际运转情况将不受控制器控制。SDN中的转发规则称作流表,以现在主流的SDN南向接口OpenFlow协议v1.3.0为例,一条流表包含以下字段:(1)MatchFields字段,表示需要匹配的数据包的具体包头字段,当流经数据包的包头特定字段的数值等于该流表项指明的数值时,则将对该数据包做出流表项规定的后续操作;(2)Priority,表示该流表项的优先级,优先级越高的流表项最先匹配;(3)Counters,表明该流表项已经匹配的数据包的个数;(4)Instructions,为将要对数据包进行的操作,如丢弃、转发等;(5)Cookie,是被远程控制器用来筛选FlowStatistics、FlowModification或者FlowDeletion行为的指示值。由于现在主流的OpenFlow协议各版本都没有对流表一致性问题进行处理,且一些OpenFlow交换机留有监听模式,即网络管理者可以通过未认证的TC ...
【技术保护点】
一种检测SDN中流表一致性的方法,其步骤包括:1)用户在控制器端配置待检测流表的目标字段以及查询频率;2)在控制器端备份已下发过的所有流表以及所有流表对应的目标字段的数目;3)根据步骤1)的配置向交换机发起查询请求;4)交换机根据接收到查询请求,将待检测流表的目标字段的实时统计信息返回控制器端;5)将步骤4)返回的实时统计信息中目标字段的数目与步骤2)备份的目标字段的数目进行比对,完成对SDN中流表一致性的检测。
【技术特征摘要】
1.一种检测SDN中流表一致性的方法,其步骤包括:1)用户在控制器端配置待检测流表的目标字段以及查询频率;2)在控制器端备份已下发过的所有流表以及所有流表对应的目标字段的数目;3)根据步骤1)的配置向交换机发起查询请求;4)交换机根据接收到查询请求,将待检测流表的目标字段的实时统计信息返回控制器端;5)将步骤4)返回的实时统计信息中目标字段的数目与步骤2)备份的目标字段的数目进行比对,完成对SDN中流表一致性的检测。2.如权利要求1所述的检测SDN中流表一致性的方法,其特征在于,步骤1)中用户根据检测需要,基于流表篡改的监听攻击的特征选择目标字段;步骤2)中,在控制器端针对每一个交换机进行备份。3.如权利要求1所述的检测SDN中流表一致性的方法,其特征在于,所述查询请求包括:消息编号值,当次查询中需查询的目标字段的数目以及需查询的目标字段的编号列表;所述实时统计信息包括:消息编号值,当次查询中需回复的目标字段的数目,以及需回复的目标字段的信息列表。4.如权利要求3所述的检测SDN中流表一致性的方法,其特征在于,需回复的目标字段的信息列表包括需回复的目标字段的编号以及该编号对应的目标字段的计数值。5.如权利要求3所述的检测SDN中流表一致性的方法,其特征在于,每次查询中控制器端的实时统计信息中的消息编号值与查询请求中的消息编号值是对应一致的。6.如权利要求1所述的检测SDN中流表一致性的方法,其特征在于,步骤4)中所述交换机通过对检测前已有的待检测流表的目标字段进行计数,且每当待检测...
【专利技术属性】
技术研发人员:王利明,宋晨,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。