基于SDN云环境检测和缓解ARP攻击的系统及方法技术方案

本发明专利技术提供了一种基于SDN云环境检测和缓解ARP攻击的系统及其方法，系统包括：网络信息维护模块、实时检测和防御模块、定时监测和缓解模块和流表项控制模块；方法包括：启动阶段；获取网络信息阶段；实时检测和防御ARP攻击阶段；定时监测和缓解ARP攻击阶段。本发明专利技术使用SDN技术，检测ARP请求包和ARP回复包，通过分析ARP包实时地检测到ARP欺骗攻击，然后丢弃伪造的包防止ARP欺骗攻击对主机的危害，还能够通过定时获取ARP流量，检测边缘SDN交换机的端口的流量统计数据，辨别出ARP风暴攻击，并能及时地阻塞相应端口的流量，缓解ARP风暴攻击对云网络的影响，全面地保护了云计算网络的安全。

System and Method of Detecting and Mitigating ARP Attacks Based on SDN Cloud Environment

【技术实现步骤摘要】
基于SDN云环境检测和缓解ARP攻击的系统及方法
本专利技术属于网络安全
，涉及一种云网络安全技术，具体涉及一种基于软件定义的网络(SDN)的地址解析协议(ARP)攻击检测和缓解系统及其实现方法。
技术介绍
云计算是被广泛使用的提供服务的形式，用户可以按需从云供应商提供的资源池中，获取服务器、平台、应用和其它的计算资源。在云上，用户能够方便且安全地存储数据和使用服务，因为云供应商会负责云平台的维护，也会使用各种技术来保证用户所使用的服务的安全。因此，云计算成为了当前全球各个公司依赖的最基础的技术，同时，云网络的安全也是当前的热点问题。传统网络是没有中心化的控制节点的分布式网络，其中，每个网络设备都使用自己的配置和算法，来处理数据和转发网络包。但是，SDN把网络中的控制平面和数据平面分离开来，其中的控制器负责执行所有算法，也负责在SDN交换机上安装流表项，来引导SDN交换机的行为；其中的网络设备(一般为SDN交换机)只需要负责根据自身的流表项处理接收到的网络包。通过使用SDN，云网络的管理者就能够更加方便地控制和管理整个网络中的所有设备。并且，SDN中的控制器为软件开发者们提供了开源的应用程序编程接口(API)，于是，开发者们就能开发不同的应用，来实现各不相同的网络功能，满足用户的需求。云计算非常需要SDN这种使用可编程设备快速地变更网络架构的能力，它能够以此实现网络弹性和计算弹性。除此之外，云网络的管理者可以通过对整个网络进行更加细化的控制，来改善云计算的性能。并且，SDN也能用来在云中增强网络的安全，因为它可以被用来分析网络的流量，控制网络设备去检测攻击并且做出应对措施。ARP是TCP/IP协议簇中位于网络层中的一种协议，负责为IP地址寻找对应的MAC地址。在网络中，一个主机只有知道了目标主机的MAC地址的时候，才能直接和其它主机进行通信。而ARP的最基本的功能就是：在知道了目标主机的IP地址的时候，ARP能找出对应的MAC地址，保证主机之间的通信。每个安装了TCP/IP协议的主机，都拥有自己的ARP缓存表，缓存表中维护着其它主机的IP地址和MAC地址的映射。当主机接收到ARP请求的时候，它会在自己的ARP缓存表中查询，并且将ARP请求包中的映射更新到缓存表中。当主机接收到ARP回复的时候，它会把ARP回复包中的映射更新到自己的ARP缓存表中。在这个过程中，主机不会检测ARP包的真假，都会将映射更新到自己的ARP缓存表中，也就是说，ARP本身不存在安全机制，去保证数据的安全性和完整性。作为网络中每个主机都会使用的基础协议，ARP可能带来的负面影响是很大的，并且，它可能导致其它更加严重的攻击，比如：拒绝服务(DoS)攻击和中间人攻击(MITM)。现有的对抗网络中的ARP攻击的方法，有的需要对ARP包的内容进行增加或者修改，有的需要对ARP的机制进行修改，有的需要增加加密解密过程来保证数据安全，这些方法都破坏了ARP原本拥有的便携性，也影响了整个网络的性能。现有的解决ARP攻击的方法中，也有使用SDN技术的。有的方案是针对特定的动态IP分配情景或者针对特定的静态IP分配情景，都不能满足云网络的灵活性和多变性。有的方案需要设立独立的服务器，来协助控制器处理云网络中的ARP安全，更加增加了复杂的云网络环境的复杂性。还有的方案从大量的ARP攻击中提取出了攻击的流量特征，以此检测ARP流量的安全性，但是，这样的方案的准确度不是百分之百的。显然，现有的防范ARP攻击的方法都各有缺陷，无法满足日益提升的网络安全需求。
技术实现思路
为解决上述问题，本专利技术公开了一种基于SDN云环境检测和缓解ARP攻击的系统及其方法，实现了一个控制器集群，检测网络中的ARP包，防止和缓解ARP攻击。为了达到上述目的，本专利技术提供如下技术方案：一种基于SDN云环境检测和缓解ARP攻击的系统，包括网络信息维护模块、实时检测和防御模块、定时监测和缓解模块和流表项控制模块；所述网络信息维护模块用于提取包中的网络设备和主机信息并存储，根据网络中主机变更更新存储信息，并为实时检测和防御模块、定时监测和缓解模块以及流表项控制模块提供数据；所述实时检测和防御模块用于检测控制器接收到的ARP包，检测ARP包是否为伪造的ARP包，并给SDN交换机发送控制消息；所述定时监测和缓解模块用于定期监测每个SDN交换机的每个和主机相连的端口的流量信息，检测是否存在ARP攻击，并给SDN交换机发送控制消息；所述流表项控制模块用于在SDN交换机上安装流表项。进一步的，所述系统基于由主机、控制器集群和SDN交换机组成的机构实现，每个SDN交换机都和若干个控制器相连接。进一步的，所述SDN交换机包括边缘SDN交换机和内部SDN交换机；所述边缘SDN交换机网络中主机直接连接；所述内部SDN交换机不和网络中主机连接。进一步的，所述SDN交换机将包通过‘Packet_in’消息转发给控制器，控制器通过回复‘Packet_out’消息给SDN交换机和在SDN交换机上安装流表项来控制SDN交换机的行为。进一步的，所述定时监测和缓解模块包含定时器，所述定时器定期触发，当定时器触发的时执行定时监测和缓解模块。本专利技术还提供了一种基于SDN云环境检测和缓解ARP攻击的方法，具体步骤如下：步骤一、启动阶段系统初始化，流表项控制模块在每个SDN交换机上安装流表项，要求SDN交换机将网络包转发给控制器；步骤二、获取网络信息阶段网络信息维护模块提取网络包中的主机信息和SDN交换机端口信息，并检测提取的信息是否已存储在数据库，如果已存储在数据库，则进入步骤三；否则，将提取的信息存入数据库后再进入步骤三；步骤三、实时检测和防御ARP攻击阶段当控制器接收到的是ARP请求包或ARP回复包时，实时检测和防御模块将ARP包中的地址信息和数据库中的地址信息进行比较，当比较结果一致的时候，控制器给SDN交换机发送回复消息，并且调用流表项控制模块在SDN交换机上安装流表项，要求SDN交换机之后按照命令转发网络包；当比较结果不一致的时候，控制器给SDN交换机发送回复消息，命令交换机丢弃该网络包，并且增加发送ARP包的源主机为攻击者的可能性；步骤四、定时监测和缓解ARP攻击阶段定时监测和缓解模块定时向边缘SDN交换机发送获取端口流量的请求，获得边缘SDN交换机的回复数据，使用回复数据和主机为攻击者的可能性，判断是否有ARP攻击发生，如果无攻击发生，则将主机为攻击者的可能性清零；否则，调用流表项控制模块在边缘SDN交换机上安装流表项，要求边缘SDN交换机在一段指定的时间内阻塞发出ARP攻击的端口的流量，然后将主机为攻击者的可能性清零。进一步的，所述数据库中存储的信息包括：地址映射表：主机的MAC地址，主机的IP地址；交换机转发表：SDN交换机的ID，主机的MAC地址，SDN交换机转发包给主机的端口；设备可疑性表：边缘SDN交换机的ID，SDN交换机和主机相连的端口，端口网络包个数，主机发送错误ARP包的次数。进一步的，所述步骤三实时检测和防御ARP攻击阶段包括针对ARP请求包的实时检测和防御ARP请求攻击步骤、以及针对ARP回复包的实时检测和防御ARP回复攻击步骤；所述实时检测和防御ARP请求攻击步骤具体包括如本文档来自技高网...

【技术保护点】
1.一种基于SDN云环境检测和缓解ARP攻击的系统，其特征在于：包括网络信息维护模块、实时检测和防御模块、定时监测和缓解模块和流表项控制模块；所述网络信息维护模块用于提取包中的网络设备和主机信息并存储，根据网络中主机变更更新存储信息，并为实时检测和防御模块、定时监测和缓解模块以及流表项控制模块提供数据；所述实时检测和防御模块用于检测控制器接收到的ARP包，检测ARP包是否为伪造的ARP包，并给SDN交换机发送控制消息；所述定时监测和缓解模块用于定期监测每个SDN交换机的每个和主机相连的端口的流量信息，检测是否存在ARP攻击，并给SDN交换机发送控制消息；所述流表项控制模块用于在SDN交换机上安装流表项。

【技术特征摘要】
1.一种基于SDN云环境检测和缓解ARP攻击的系统，其特征在于：包括网络信息维护模块、实时检测和防御模块、定时监测和缓解模块和流表项控制模块；所述网络信息维护模块用于提取包中的网络设备和主机信息并存储，根据网络中主机变更更新存储信息，并为实时检测和防御模块、定时监测和缓解模块以及流表项控制模块提供数据；所述实时检测和防御模块用于检测控制器接收到的ARP包，检测ARP包是否为伪造的ARP包，并给SDN交换机发送控制消息；所述定时监测和缓解模块用于定期监测每个SDN交换机的每个和主机相连的端口的流量信息，检测是否存在ARP攻击，并给SDN交换机发送控制消息；所述流表项控制模块用于在SDN交换机上安装流表项。2.根据权利要求1所述的基于SDN云环境检测和缓解ARP攻击的系统，其特征在于：所述系统基于由主机、控制器集群和SDN交换机组成的机构实现，每个SDN交换机都和若干个控制器相连接。3.根据权利要求2所述的基于SDN云环境检测和缓解ARP攻击的系统，其特征在于：所述SDN交换机包括边缘SDN交换机和内部SDN交换机；所述边缘SDN交换机网络中主机直接连接；所述内部SDN交换机不和网络中主机连接。4.根据权利要求1所述的基于SDN云环境检测和缓解ARP攻击的系统，其特征在于：所述SDN交换机将包通过‘Packet_in’消息转发给控制器，控制器通过回复‘Packet_out’消息给SDN交换机和在SDN交换机上安装流表项来控制SDN交换机的行为。5.根据权利要求1所述的基于SDN云环境检测和缓解ARP攻击的系统，其特征在于：所述定时监测和缓解模块包含定时器，所述定时器定期触发，当定时器触发的时执行定时监测和缓解模块。6.一种基于SDN云环境检测和缓解ARP攻击的方法，其特征在于，具体步骤如下：步骤一、启动阶段系统初始化，流表项控制模块在每个SDN交换机上安装流表项，要求SDN交换机将网络包转发给控制器；步骤二、获取网络信息阶段网络信息维护模块提取网络包中的主机信息和SDN交换机端口信息，并检测提取的信息是否已存储在数据库，如果已存储在数据库，则进入步骤三；否则，将提取的信息存入数据库后再进入步骤三；步骤三、实时检测和防御ARP攻击阶段当控制器接收到的是ARP请求包或ARP回复包时，实时检测和防御模块将ARP包中的地址信息和数据库中的地址信息进行比较，当比较结果一致的时候，控制器给SDN交换机发送回复消息，并且调用流表项控制模块在SDN交换机上安装流表项，要求SDN交换机之后按照命令转发网络包；当比较结果不一致的时候，控制器给SDN交换机发送回复消息，命令交换机丢弃该网络包，并且增加发送ARP包的源主机为攻击者的可能性；步骤四、定时监测和缓解ARP攻击阶段定时监测和缓解模块定时向边缘SDN交换机发送获取端口流量的请求，获得边缘SDN交换机的回复数据，使用回复数据和主机为攻击者的可能性，判断是否有ARP攻击发生，如果无攻击发生，则将主机为攻击者的可能性清零；否则，调用流表项控制模块在边缘SDN交换机上安装流表项，要求边缘SDN交换机在一段指定的时间内阻塞发出ARP攻击的端口的流量，然后将主机为攻击者的可能性清零。7.根据权利要求6所述的基于SDN云环境检测和缓解ARP攻击的方法，其特征在于，所述数据库中存储的信息包括：地址映射表：主机的MAC地址，主机的IP地址；交换机转发表：SDN交换机的ID，主机的MAC地址，SDN交换机转发包给主机的端口；设备可疑性表：边缘SDN交换机的ID，SDN交...

【专利技术属性】
技术研发人员：伏晓，孙思娴，骆斌，
申请(专利权)人：南京大学，
类型：发明
国别省市：江苏,32