一种SDN网络中间人攻击的检测方法技术

本发明专利技术针对现有技术的局限性，提出了一种SDN网络中间人攻击的检测方法，通过在待检测流经过各节点时，首先利用功能更强的布谷过滤器对节点进行认证。并利用更加轻量的布隆过滤器存储待检测流的包的控制信息，通过收集比对所述布隆过滤器对流经各个交换机中的包实现了轻量化的一致性的检测，得出SDN网络中是否存在中间人攻击的检测结果；其充分适应了SDN网络环境下交换机资源有限的情况，可以大幅降低存储要求，同时又能保证必要信息的存储，在保证性能的前提下，实现需要的安全性。实现需要的安全性。实现需要的安全性。

【技术实现步骤摘要】
一种SDN网络中间人攻击的检测方法


[0001]本专利技术涉及软件定义网络
，具体地，涉及一种SDN网络中间人攻击的检测方法。

技术介绍

[0002]相对于传统网络，软件定义网络(Software Defined Network，SDN)的最大特点为将网络中的控制与管理层集中到一个称为SDN控制器的网络单元中，实现了管理平面、控制平面与数据平面之间的一种分离，达到了网络可编程的效果。其灵活的特性却也带来了特别的安全问题，甚至制约了SDN的进一步广泛应用。SDN有着逻辑非常集中的控制平面，以及较为开放、且可编程的接口，更容易受到攻击，且攻击所带来的影响也更加严重。
[0003]中间人攻击(Man
‑
in
‑
the
‑
Middle，MITM)的攻击者会分别对网关和受害主机进行ARP欺骗，让受害主机误以为攻击者的硬件地址为网关的硬件地址；同时让网关误以为攻击者的硬件地址为受害主机的硬件地址，转发网关与主机之间的信息，从而难以检测。而在SDN这种新的网络结构下则出现了一种新的针对SDN本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种SDN网络中间人攻击的检测方法，对于包含控制器与交换机的SDN网络，其特征在于：在初始阶段，包括以下步骤：S11，为SDN网络中的各交换机分别生成一个密钥，分发到对应的交换机中；将包含交换机的身份信息、以对应密钥作为指纹的元素保存进布谷过滤器CF中；在检测阶段，包括以下步骤：S21，向待检测流在SDN网络传播过程中经过的w个交换机发送检测请求；S22，收集该w个交换机根据所述检测请求对所述待检测流中的包进行映射保存，并经过对应密钥加密后的布隆过滤器BF；S23，利用所述布谷过滤器CF检测所述布隆过滤器BF对应的交换机身份的合法性，获得对应的密钥；S24，通过对所述布隆过滤器BF进行解密与比对，判断是否发生了中间人攻击。2.根据权利要求1所述的SDN网络中间人攻击的检测方法，其特征在于，在初始阶段进行如下映射过程：h1(x
i
)＝hash(x
i
)；其中，k
i
(i∈[1，W])表示分别与W个交换机对应的密钥；x
i
(i∈[1，W])表示包含交换机的身份信息的元素。3.根据权利要求1所述的SDN网络中间人攻击的检测方法，其特征在于，在所述步骤S24中，若该w个交换机提交的布隆过滤器BF解密结果都相同，则认为没有发生中间人攻击；若其中有交换机的解密结果与其它交换机的解密结果不同，则认为该交换机可能受到了中间人攻击。4.根据权利要求1所述的SDN网络中间人攻击的检测方法，其特征在于，所述检测请求由五元组{f，s，e，m，n}构成，其中，f为所述待检测流的身份信息，即匹配域的完整内容；s和e分别为所述待检测流的包的开始编号和结束编号；m用于指定匹配域中用于保存进布隆过滤器BF的部分；n为将要保存进布隆过滤器BF的元素的个数，用于辅助构建布隆过滤器BF。5.根据权利要求4所述的SDN网络中...

【专利技术属性】
技术研发人员：陈权，谢明浩，王涛，
申请(专利权)人：广东工业大学，
类型：发明
国别省市：