一种适用于SDN网络的混合包标记溯源系统和方法技术方案
A hybrid packet label traceability system and method for SDN networks
The invention discloses a method for SDN network hybrid marking traceability system and method system, including regional proxy module, anomaly detection module, data processing module and traceability management module, data processing module is the core of the whole system, used to determine the marking method and marking process related data packet; regional proxy module is used to generate switch table, provide the basis for marker information packet marking field; anomaly detection module is mainly used to conduct analysis on packet forwarding data, provide for the judgment of whether you choose to call the data labeling module; traceability management module mainly screening and analysis of the data processing module of packet marking data, some data packet forwarding path reconstruction and visualization show. The invention improves the accuracy of traceability, accelerate the tracing efficiency, especially due to the good effect of malicious packets for subsequent attacks, network firewall, traffic filtering and other related security deployment provides a good condition.
【技术实现步骤摘要】
一种适用于SDN网络的混合包标记溯源系统和方法
本专利技术涉及数据溯源领域,尤其是SDN网络下数据溯源领域,具体是指一种适用于SDN网络的混合包标记溯源系统。混合包标记主要是指数据包标记和日志记录技术。
技术介绍
SDN(SoftwareDefinedNetworking,软件定义网络)是一种新型的网络架构,为了解决传统网络难以满足云计算、大数据,以及相关业务提出的灵活的资源需求,SDN提出了将控制平面和数据平面分离的理念,支持集中化的网络状态控制,实现底层网络设施对上层应用的透明。SDN的出现使得网络技术工作者(包括网络管理者、科研者、网络服务提供商等)能够根据实际需求更加灵活方便地配置和管理网络,能够更加自由友好地定制和优化网络等;但毫无疑问的,SDN的集中特性也使得网络攻击者蠢蠢欲动,一旦SDN控制器被攻破,网络攻击者将会获得操控整个网络的最高权限,这意味着一旦SDN网络沦陷将面临着比传统网络更大的危机。为了应对此类威胁,提高SDN控制器的健壮性,目前大多数研究都围绕防御和检测展开,然而,当攻击发生时,这些技术无法定位攻击源头,有效地缓解和扼止攻击。因此,如何在防御和检测的基础上,设计一种有效合理的溯源方法帮助定位攻击源,加强SDN控制器的鲁棒性是目前SDN网络亟待解决的问题和挑战。一种适用于SDN网络的混合包标记溯源系统和方法主要需考虑两个方面的问题:(1)如何设计一种新的安全理论架构,即如何在结合SDN集中特性的基础上,融合检测、溯源和缓解等不同的安全机制多方位加强SDN网络安全;(2)如何设计一种有效的溯源技术,即如何在尽可能不增加网络负担、影...
【技术保护点】
一种适用于SDN网络的混合数据包标记溯源系统,其特征在于,所述系统是由区域代理模块、异常检测模块、数据处理模块和溯源管理模块组成,其中所述区域代理模块包括:(1)与控制器通信功能一旦在SDN网络部署该溯源系统,溯源系统中的区域代理模块利用OpenFlow协议与控制器进行通信,要求获得某个区域内所有交换机的信息;同时,区域代理模块需要以一定的周期向控制器发送消息,当网络拓扑发生变化时,区域代理模块能够较快获取所管理区域内发生变化的交换机信息;(2)生成交换机映射表功能在与控制器通信的基础上,区域代理模块根据所获得的关于某个区域内交换机信息生成交换机映射表,同时记录生成交换机映射表的时间;当网络拓扑发生变化时,能及时更新交换机映射表,记录更新的时间,同时还需要维护原来的交换机映射表;所述异常检测模块对经过该溯源系统管辖区域内所有数据包进行异常检测分析;所述数据处理模块实现数据包标记功能,假定该溯源系统是安全的,数据处理模块既能对数据包某些字段进行标记,也能对数据包自身信息进行记录,当某个数据包经过交换机时,数据处理模块将检查数据包的标记字段,如果标记字段未被填满,且余下标记空间能存储所标记...
【技术特征摘要】
1.一种适用于SDN网络的混合数据包标记溯源系统,其特征在于,所述系统是由区域代理模块、异常检测模块、数据处理模块和溯源管理模块组成,其中所述区域代理模块包括:(1)与控制器通信功能一旦在SDN网络部署该溯源系统,溯源系统中的区域代理模块利用OpenFlow协议与控制器进行通信,要求获得某个区域内所有交换机的信息;同时,区域代理模块需要以一定的周期向控制器发送消息,当网络拓扑发生变化时,区域代理模块能够较快获取所管理区域内发生变化的交换机信息;(2)生成交换机映射表功能在与控制器通信的基础上,区域代理模块根据所获得的关于某个区域内交换机信息生成交换机映射表,同时记录生成交换机映射表的时间;当网络拓扑发生变化时,能及时更新交换机映射表,记录更新的时间,同时还需要维护原来的交换机映射表;所述异常检测模块对经过该溯源系统管辖区域内所有数据包进行异常检测分析;所述数据处理模块实现数据包标记功能,假定该溯源系统是安全的,数据处理模块既能对数据包某些字段进行标记,也能对数据包自身信息进行记录,当某个数据包经过交换机时,数据处理模块将检查数据包的标记字段,如果标记字段未被填满,且余下标记空间能存储所标记的信息,数据处理模块将标记信息写入数据包标记字段,并将数据包按照正常流程进行转发;当数据处理模块发现标记字段已被填满或者余下空间不足,数据处理模块将提取该数据包标记字段及其他信息,并将提取的信息进行存储,同时清空该数据包的标记字段,再将数据包按照正常流程转发出去;所述溯源管理模块包括:(1)与控制器通信功能当确定某可疑数据包确实是攻击数据包时,通过控制器向溯源管理模块发出溯源请求,在溯源信息中包含攻击信息,溯源管理模块收到溯源请求后给予回应,告知控制器该溯源请求已被受理;当溯源管理模块根据攻击信息重构其攻击路径后,将攻击路径发送至控制器,控制器收到攻击路径后,向溯源管理模块给予回应;(2)重构攻击路径功能当溯源管理模块收到控制器发出的溯源请求后,系统调用数据处理模块,根据溯源请求包含的攻击信息,与数据处理模块存储的数据包标记信息进行匹配,分析匹配成功的标记信息,然后系统调用区域代理模块,通过查询交换机映射表,获取各标记信息所对应的交换机,根据到达各交换机的顺序重构攻击路径,最后系统利用溯源管理模块将重构的攻击路径发送给控制器。2.根据权利要求1所述的一种适用于SDN网络的混合包标记溯源系统,其特征在于:所述系统的区域代理模块与控制器通信时获得某个区域内所有交换机的信息是指可以用来唯一识别和确定各个交换机的信息。3.根据权利要求1所述的一种适用于SDN网络的混合包标记溯源系统,其特征在于:所述系统的区域代理模块生成交换机映射表时,需要不同交换机的识...
【专利技术属性】
技术研发人员:孙国梓,任丹妮,李华康,贾雪松,姜文醍,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。