【技术实现步骤摘要】
基于区块链的虚假流规则注入攻击检测与预防系统和方法
[0001]本专利技术涉及计算机网络
,尤其涉及一种基于区块链的虚假流规则注入攻击检测与预防系统和方法。
技术介绍
[0002]软件定义网络(Software
‑
Defined Networking,SDN)作为一种新型网络范式,实现了数据平面和控制平面的完全解耦,设计控制器实施集中式控制。一方面,控制器开放北向接口与应用程序进行交互;另一方面,控制器基于OpenFlow通道与数据平面交换机进行通信,包括交换机上传流请求,控制器下发流规则等。
[0003]基于OpenFlow通道,控制器通过发送流规则给数据平面交换机来管理网络行为。交换机基于控制器规则转发数据流,实现流量传输。因此,流规则完整性对于保证正确SDN网络功能是十分重要的。
[0004]通常,TLS协议用于保证控制器和交换机之间OpenFlow通道的安全性。然而,TLS协议是官方推荐并非强制实施。即使开启了TLS,攻击者可以利用TLS存在的漏洞发起中间人攻击,即攻击者可以将...
【技术保护点】
【技术特征摘要】
1.基于区块链的虚假流规则注入攻击检测与预防系统,其特征在于,包括:控制器、交换机和区块链节点;控制器,用于承载SDN应用,以及为交换机中未匹配的流生成流规则;交换机,用于根据控制器生成的流规则处理流,与区块链节点进行流规则交互,包括:将交换机内部存储的流规则传递给区块链节点,或者从区块链节点处请求流规则副本;以及比较流规则和流规则副本;区块链节点,用于保存控制器发送的流规则副本,将存储的流规则副本传递给交换机,请求交换机内部的流规则,以及比较流规则和流规则副本。2.基于区块链的虚假流规则注入攻击检测与预防方法,其特征在于,采用如权利要求1所述的基于区块链的虚假流规则注入攻击检测与预防系统,所述方法包括:在时延敏感的网络场景中,当一个新流到达交换机时,交换机通过OpenFlow协议向控制器发送一个请求,请求控制器为该流提供合适的流规则;控制器基于相应的SDN应用处理收到的请求,并为该请求生成相应的流规则,下发流规则给交换机,同时复制该流规则并将流规则副本发送给区块链节点;交换机收到控制器下发的流规则后立即执行该流规则;区块链节点接收到控制器发送的流规则副本之后,向交换机请求控制器下发的流规则;在区块链节点内部,比较交换机发送的流规则和存储在区块链节点的流规则副本,若两个规则不一致,区块链节点则告知网络管理员发现虚假流规则注入攻击。3.根据权利要求2所述的基于区块链的虚假流规则注入攻击检测与预防方法,其特征在于,还包括:在非时延敏感的网络场景中,当一个新流到达交换机时,交换机通过OpenFlow...
【专利技术属性】
技术研发人员:伊鹏,胡涛,陈祥,张震,袁征,张鹏,任权,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。