针对SDN的虫洞攻击的检测方法技术

本发明专利技术公开了一种针对SDN的虫洞攻击的检测方法，其包括通过使用Packet‑Out报文、Packet‑In报文和心跳包，来计算各交换机之间路径的延迟数据，比较新加入链路的延迟超过已有路径延迟的150％所占的比例，当比例超过所设定的阈值时，控制器认定此路径为恶意链路，链路两端的交换机为虫洞攻击中的恶意交换机。通过模拟实验，本发明专利技术的检测方法，对于SDN中的虫洞攻击，具有较好的检测结果。

【技术实现步骤摘要】
针对SDN的虫洞攻击的检测方法
本专利技术涉及网络安全
，尤其涉及一种针对SDN的虫洞攻击检测方法。
技术介绍
软件定义网络(SoftwareDefinedNetwork，SDN)的出现为未来的网络提供了一种新的网络设计结构。与传统网络不同，SDN将控制面与数据面分离，从而提供了整体的网络逻辑可见性和灵活的可编程性。许多企业都对其展现了极大地兴趣，以谷歌为代表的一些企业，已经在他们的网络中部署了SDN。在正常的SDN网络中，控制器通过与链路层发现协议(LLDP)相关的OpenFlow发现协议(OFDP)来发现网络拓扑。但是，在LLDP中，存在两个缺点：(1)、LLDP的语法简单，伪造LLDP包并不困难；(2)、没有关于LLDP包的认证机制。由于这些缺点，SDN的链路发现服务已经被证实并不安全。Hong等人利用这些缺陷伪造了LLDP包，从而宣称两个实际并不相连的远程交换机通过一条伪造的链路。这样，SDN控制器将获取到一个错误的网络拓扑，并且将数据流导向这条伪造链路。攻击者进一步可以借助辅助带内通路，便能在SDN中实现伪造链路上的信息本文档来自技高网...

【技术保护点】
1.一种针对SDN的虫洞攻击的检测方法，其特征在于该方法包括：/n(1)当有新链路请求加入时，控制器判断SDN是否处于初始化状态，若是，则执行步骤(2)，若否，则执行步骤(4)；/n(2)判断新链路的起点交换机和终点交换机之间是否只有一条路径，若是，则判定新链路为正常链路，若否，则执行步骤(3)；/n(3)控制器获取起点交换机和终点交换机之间的最短路径，并通过报文时间戳和心跳包时间计算该最短路径的路径延迟，执行步骤(5)；/n(4)控制器根据已保存的链路延迟，计算新链路的起点交换机和终点交换机之间最短路径的路径延迟，执行步骤(5)；/n(5)控制器获取所有流经新链路的数据流，并提取出每个数据流...

【技术特征摘要】
1.一种针对SDN的虫洞攻击的检测方法，其特征在于该方法包括：
(1)当有新链路请求加入时，控制器判断SDN是否处于初始化状态，若是，则执行步骤(2)，若否，则执行步骤(4)；
(2)判断新链路的起点交换机和终点交换机之间是否只有一条路径，若是，则判定新链路为正常链路，若否，则执行步骤(3)；
(3)控制器获取起点交换机和终点交换机之间的最短路径，并通过报文时间戳和心跳包时间计算该最短路径的路径延迟，执行步骤(5)；
(4)控制器根据已保存的链路延迟，计算新链路的起点交换机和终点交换机之间最短路径的路径延迟，执行步骤(5)；
(5)控制器获取所有流经新链路的数据流，并提取出每个数据流中新链路的链路延迟，执行步骤(6)；
(6)根据新链路的链路延迟和最短路径的路径延迟计算该新链路的可疑程度，若可疑程度小于预设阈值，则判定该新链路为正常链路，否则判定该新链路为恶意链路，判定起点交换机和终点交换机为恶意交换机。


2.根据权利要求1所述的针对SDN的虫洞攻击的检测方法，其特征在于：步骤(3)具体包括：
(3-1)控制器获取起点交换机和终点交换机之间的最短路径；
(3-2)控制器获取下发往给起点交换机的Packet-Out报文时间戳；
(3-3)当控制器接收到第二交换机返回的对应Packet-In报文时，获取该Packet-In报文时间戳，其中所述第二交换机为最短路径中与起点交换机直接相连的交换机；
(3-4)控制器分别向起点交换机和第二交换机发送心跳包，并记录发送与接收心跳包的时间戳；
(3-5)根据获取的时间戳计算起点交换机和第二交换机之间链路的链路延迟为：



其中，T12为起点交换机和第二交换机之间链路延迟，t1为Packet-Out报文时间戳，t2为Packet-In报文时间戳；t1r、t1s分别为控制器向起点交换机发送与接收心跳包的时间戳；t2r、t2s分别为控制器向第二交换机发送与接收心跳包的时间戳；
(3-6)按照步骤(3-2)到(3-5)计算最短路径中所有相邻两个交换机之间链路的链路延迟；
(3-7)将最短路径中所有直接相连的两...

【专利技术属性】
技术研发人员：周子栋，华景煜，仲盛，
申请(专利权)人：南京大学，
类型：发明
国别省市：江苏;32