一种基于openflow交换机端口混淆的移动目标防御方法技术

一种基于openflow交换机端口混淆的移动目标防御方法。其包括构建网络系统；控制器与openflow交换机连接，并初始化；用户端发送数据包；控制器处理数据包；openflow进行数据转发等步骤。本发明专利技术效果：交换机流表项显示的数据输出端口号是虚假的、动态的，真实的数据输出端口号是不显现于流表项，因此攻击者无法利用流表项构造网络拓扑或构造伪流表项针对特定链路或主机进行攻击。利用openflow交换机与控制器之间flow_mod消息的通信次数可实现发送、接收双方的端口混淆同步，省却了同步开销。通信信道内只有控制器与openflow交换机间的控制消息，没有其他的访问数据流干扰。

【技术实现步骤摘要】
一种基于openflow交换机端口混淆的移动目标防御方法
本专利技术属于网络安全
，尤其涉及一种基于openflow交换机端口混淆的移动目标防御方法。
技术介绍
软件定义网络(SDN)是一种新型的基于软件定义的网络架构及技术，其是将网络的控制平面和数据转发平面进行分离，逻辑上的集中控制层面具备网络全局视角，进行资源的全局调配和优化，以提升网络控制的便捷性。利用SDN重构传统网络架构及安全体系，可以实现高效的网络管控和资源调度，其控制平面与数据转发平面分离、集中控制、开放可编程、流表转发等特性，有利于提升安全防护的灵活性、智能性和协同性，推动网络能力便捷调用，支持网络业务创新，给网络安全领域带来了新机遇。但是，用于数据转发平面的转发设备只是简单地转发元素，容易引发诸多安全问题，并且转发设备需要在控制平面下发的数据流处理规则前进行数据缓存，因此容易受到存储器饱和攻击，在遭受DDoS攻击时，流表存储空间迅速耗尽，后续数据流被丢弃，导致拒绝服务；伪openflow交换机可以发动窃听和篡改攻击，如非法篡改控制器下发的数据流处理规则会导致数据本文档来自技高网...

【技术保护点】
1.一种基于openflow交换机端口混淆的移动目标防御方法，其特征在于：所述的移动目标防御方法包括按顺序进行的下列步骤：/n1)构建由控制器(1)、多个openflow交换机(2)和多个用户端(3)构成的网络系统；/n2)控制器(1)与openflow交换机(2)通过握手消息进行连接，双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化；/n3)某一用户端(3)向网络系统中发送目标地址为另一用户端(3)的数据包，与发送数据包的用户端(3)相连的openflow交换机(2)接收到该数据包后，将数据包中的数据报文包头信息与自身的流表项进行匹配，若匹配成功则进行转发，若匹配失败则将数据包...

【技术特征摘要】
1.一种基于openflow交换机端口混淆的移动目标防御方法，其特征在于：所述的移动目标防御方法包括按顺序进行的下列步骤：
1)构建由控制器(1)、多个openflow交换机(2)和多个用户端(3)构成的网络系统；
2)控制器(1)与openflow交换机(2)通过握手消息进行连接，双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化；
3)某一用户端(3)向网络系统中发送目标地址为另一用户端(3)的数据包，与发送数据包的用户端(3)相连的openflow交换机(2)接收到该数据包后，将数据包中的数据报文包头信息与自身的流表项进行匹配，若匹配成功则进行转发，若匹配失败则将数据包封装在Packet_in消息中并上传给控制器(1)，由控制器(1)决定数据包的转发策略；
4)控制器(1)接收到openflow交换机(2)上传的packet_in消息后，根据openflow交换机(2)真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值，将混淆端口的生存时间衰减，并判断是否进行端口混淆；若是，则利用端口混淆算法进行端口混淆，生成数据流处理规则并下发到openflow交换机(2)，否则直接生成数据流处理规则并下发到openflow交换机(2)；更新端口混淆表；
5)openflow交换机(2)接收到控制器(1)下发的flow_mod消息并进行数据转发时，根据该消息中的混淆端口变换值查找更新后的端口混淆表以确定出真实的数据输出端口号，并进行相应的数据转发，将混淆端口的生存时间衰减，然后判断是否进行端口混淆；若是，则利用端口混淆算法进行端口混淆，更新端口混淆表；否则直接更新端口混淆表。


2.根据权利要求1所述的基于openflow交换机端口混淆的移动目标防御方法，其特征在于：在步骤2)中，所述的控制器(1)与openflow交换机(2)通过握手消息进行连接，双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化的方法是：
控制器(1)与openflow交换机(2)通过握手消息进行连接时，控制器(1)接收到openflow交换机(2)设置的信息后，双方通过网络系统预设的值对端口混淆表中的混淆端口变换值和混淆端口的生存时间进行初始化。


3.根据权利要求1所述的基于openflow交换机端口混淆的移动目标防御方法，其特征在于：在步骤4)中，所述的控制器(1)接收到openflow交换机(2)上传的packet_in消息后，根据openflow交换机(2)真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值，将混淆端口的生存时间衰减，并判断是否进行端口混淆；若是，则利用端口混淆算法进行端口混淆，生成数据流处理规则并下发到openflow交换机(2)，否则直接生成数据流处理规则并下发到openflow交换机(2)；更新端口混淆表的具体步骤如下：
4.1、控制器(1)接收到openflow交换机(2)上传的packet_in消息后，计算出该消息转发的下一跳路径，然后根据openflow交换机(2)真实的数据输出端口号查找初始化后的端口混淆表而确定...

【专利技术属性】
技术研发人员：韩俐，张昭俊，孙士民，
申请(专利权)人：天津理工大学，
类型：发明
国别省市：天津;12