一种基于区域增长算法的SDN流规则探测方法技术

本发明专利技术公开了一种基于区域增长算法的SDN流规则探测方法，其主要包括：通过判断MAC地址、IP地址和TCP/UDP协议端口是否在流规则中启用，确定流规则空间的维度；采用区域增长算法基于流规则空间的维度在流规则空间中搜索流规则并进行空间分割，将分割得到的子空间作为新的待探测空间进行循环探测，将探测得到的流规则作为输出，完成基于区域增长算法的SDN流规则探测。本发明专利技术能够极大地降低探测流量的大小，缩短探测的时间，具有较强的隐蔽性。且本发明专利技术不需要知晓目标网络的结构信息，也不需要具备SDN控制器及其他网络组件的管理和操作权限，具有较强的适用性。

A Detection Method of SDN Flow Rules Based on Region Growth Algorithms

【技术实现步骤摘要】
一种基于区域增长算法的SDN流规则探测方法
本专利技术涉及流规则探测方法，具体涉及一种基于区域增长算法的SDN流规则探测方法。
技术介绍
软件定义网络(SDN)是一种新型网络架构，相较于传统网络，SDN将控制平面从数据平面中分离出来，数据平面仅仅负责最基本的数据转发功能，由集中式的控制代替传统的分布式控制方式，提高了网络控制的灵活性。控制平面北向的可编程接口更加适应如今网络需求不断变化的时代背景，使未来网络逐步走向高效、智能。同时，SDN网络的灵活和开放的特点也给自身的安全带来诸多隐患。自SDN网络诞生以来，学术界和工业界进行了大量的SDN安全方面的研究，但针对SDN的攻击技术水平和攻击后的影响仍然不断升级。网络探测技术往往作用在对网络发动攻击之前，利用网络探测技术能够找到网络存在的漏洞和容易突破的弱点所在，对网络攻击的防御而言，为了提前对网络攻击进行防范，提高网络的安全性和健壮性，通常也需要网络探测技术发现自身网络上的安全隐患，从而降低网络因受到攻击而遭受的损失。在SDN网络中，由于数据平面和控制平面的分离以及SDN网络的配置具有的高度定制化、精细化以及灵活性等特点，使得SDN网络本文档来自技高网...

【技术保护点】
1.一种基于区域增长算法的SDN流规则探测方法，其特征在于，包括以下步骤：S1、通过判断MAC地址、IP地址和TCP/UDP协议端口是否在流规则中启用，确定流规则空间的维度；S2、将一条流规则是否存在于目标网络内记为sign，sign的值为‑a或a，分别表示该条流规则不存在于目标网络中和存在于目标网络中，将整个流规则空间的sign默认为‑a；其中a≠0；S3、在流规则空间中进行随机采样构造探测数据包，直至找到一条流规则的sign值为a；S4、获取以sign值为a的流规则的具体边界；S5、根据sign值为a的流规则的具体边界将流规则空间分割为若干个流规则子空间；S6、将sign值为a的流规则所在...

【技术特征摘要】
1.一种基于区域增长算法的SDN流规则探测方法，其特征在于，包括以下步骤：S1、通过判断MAC地址、IP地址和TCP/UDP协议端口是否在流规则中启用，确定流规则空间的维度；S2、将一条流规则是否存在于目标网络内记为sign，sign的值为-a或a，分别表示该条流规则不存在于目标网络中和存在于目标网络中，将整个流规则空间的sign默认为-a；其中a≠0；S3、在流规则空间中进行随机采样构造探测数据包，直至找到一条流规则的sign值为a；S4、获取以sign值为a的流规则的具体边界；S5、根据sign值为a的流规则的具体边界将流规则空间分割为若干个流规则子空间；S6、将sign值为a的流规则所在的流规则子空间的sign值设为a，将其余流规则子空间的sign值设为-a；S7、判断是否达到探测上限，若是则将所有sign值为a对应的流规则作为探测结果进行输出，并结束探测；否则进入步骤S8；S8、将每个sign值为-a的流规则子空间作为新的待探测的流规则空间，返回步骤S3。2.根据权利要求1所述的基于区域增长算法的SDN流规则探测方法，其特征在于，所述步骤S1中判断MAC地址是否在流规则中启用的具体包括以下子步骤：S1-1-1、保留实际MAC地址的前三个字节并将后三个字节使用随机数字进行代替，完成伪造MAC地址；S1-1-2、将带有伪造MAC地址的数据包发往目的主机，判断是否收到探测响应或来自目的主机的ARP请求，若是则表示该源MAC地址字段在流规则中没有作为匹配项启用并进入步骤S1-1-4；否则进入步骤S1-1-3；S1-1-3、判断伪造MAC地址的次数是否达到上限，若是则表示该源MAC地址字段在流规则中已作为匹配项启用，结束MAC地址是否在流规则中启用的判定；否则返回步骤S1-1-1；S1-1-4、构造一个ARP响应报文，填入IP地址和伪造的MAC地址井发送至目的主机；发送具有正确地址的探测包至目的主机，判断是否接收到来着目的主机基于该伪造MAC地址的响应报文，若是则表示该伪造MAC地址字段在流规则中没有作为匹配项启用，并结束MAC地址是否在流规则中启用的判定；否则进入步骤S1-1-5；S1-1-5、判断构造ARP响应报文的次数是否达到上限，若是则表示该伪造MAC地址字段在流规则中已作为匹配项启用，结束MAC地址是否在流规则中启用的判定；否则返回步骤S1-1-4。3.根据权利要求1所述的基于区域增长算法的SDN流规则探测方法，其特征在于，所述步骤S1中判断IP地址是否在流规则中启用的具体方法包括以下子步骤：S1-2-1、保留原IP地址的网络前缀并随机选择主机号，完成伪造IP地址；S1-2-2、将带有伪造IP地址的数据包发往目的主机，判断是否收到来自目的主机的ARP请求报文，若是则表示该源IP地址未作为流规则的匹配项启用，进入步骤S1-2-4；否则进入步骤S1-2-3；S1-2-3、判断伪造IP地址的次数是否达到上限，若是则表示该源IP地址在流规则中已作为匹配项启用，结束IP地址是否在流规则中启用的判定；否则返回步骤S1-2-1；S1-2-4、构造一个ARP响应报文，将伪造的IP地址和自身MAC地址对应并发送至目的主机；发送探测包至目的主机，判定是否接收到探测响应报文，若是则表示该伪造的IP地址未作为流规则的匹配项启用，结束IP地址是否在流规则中启用的判定；否则进入步骤S1-2-5；判断构造ARP响应...

【专利技术属性】
技术研发人员：虞红芳，张鑫刚，孙罡，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：四川,51