【技术实现步骤摘要】
软件定义网络流规则安全检测及溯源方法、装置
[0001]本申请涉及计算机
,特别涉及一种软件定义网络流规则安全检测及溯源方法、装置。
技术介绍
[0002]为了解决传统网络体系难以部署、监控、管理等问题,软件定义网络(software
‑
defined networking,SDN)的架构被提出,该架构将传统网络中存在于同一网络设备中的数据平面与控制平面解耦,其中,由分组转发设备构成的数据平面实现数据传输,由控制器构成的控制平面则在逻辑上实现对网络的集中控制。在软件定义网络架构及处理流程中,控制平面对底层硬件设备的配置管理主要依靠动态下发的流规则(flow entry)实现,交换机则完全信任接收的流规则并依此对数据包执行转发、丢弃等操作。流规则的合法性、一致性与安全性是保证软件定义网络可用性与可靠性的基础。
[0003]然而,流规则在动态管理网络同时,也可能引入安全隐患,例如控制平面下发的流规则可能违反网络的顶层安全策略,进而引起不安全的网络行为。造成此类安全问题的原因是多样的,一方面,第三方应用程序可以恶意构造流规则实施安全攻击。具体来说,控制平面中存在大量应用程序,却不存在针对这些应用程序的成熟的来源管理、内容审核、权限控制机制,攻击者可以利用此特点,通过编写恶意第三方应用程序或利用应用程序漏洞等方式向底层网络设备下发带有安全隐患的流规则,导致中间人攻击、黑洞攻击等各种主动网络攻击,或绕过安全相关规则。另一方面,由于获取的网络数据种类不同,且流规则计算逻辑各异、通信协调机制缺乏,控...
【技术保护点】
【技术特征摘要】
1.一种软件定义网络流规则安全检测及溯源方法,其特征在于,包括以下步骤:从预设的软件定义网络控制器拦截当前网络顶层安全策略、转发规则和数据平面存储的流规则,并基于预设的转化规则将所述安全策略转化为具象化安全规则;基于预设的数据结构,编码并存储所述安全规则、所述转发规则和所述流规则,并计算每条规则的实际作用域;以及通过预先建立的网络拓扑
‑
硬件设备
‑
逻辑功能网络行为模型,模拟数据包在网络中的实际行为及符合安全策略要求的安全行为,识别不安全网络行为,并溯源至造成该行为的不安全网络规则。2.根据权利要求1所述的方法,其特征在于,所述从预设的软件定义网络控制器拦截当前网络顶层安全策略、转发规则和数据平面存储的流规则,并基于预设的转化规则将所述安全策略转化为具象化安全规则,包括:从所述预设的软件定义网络控制器提取所述当前网络顶层安全策略、转发规则和数据平面存储的流规则,并基于预设的网络行为特征提取策略,分别从所述安全策略、所述转发规则和所述流规则中提取网络行为特征,以通过二元组形式表示所述安全策略,并通过第一四元组形式表示所述转发规则,第二四元组形式表示所述流规则;基于预设的抽象的网络行为规范,将所述安全策略中每条安全策略转化为具象化安全规则,并通过第三四元组形式表示所述具象化安全规则。3.根据权利要求2所述的方法,其特征在于,所述从预设的软件定义网络控制器拦截当前网络顶层安全策略、转发规则和数据平面存储的流规则,并基于预设的转化规则将所述安全策略转化为具象化安全规则,还包括:在所述安全策略、所述转发规则和/或所述流规则出现变更时,提取变更后的所述安全策略、所述转发规则和/或所述流规则;基于预设的网络行为特征提取策略,分别从所述变更后的所述安全策略、所述转发规则和所述流规则中提取网络行为特征。4.根据权利要求1所述的方法,其特征在于,所述基于预设的数据结构,编码并存储所述安全规则、所述转发规则和所述流规则,并计算每条规则的实际作用域,包括:将每条规则基于任意多个字段的matchfield编码为唯一的匹配域逻辑谓词;从所述每条规则的匹配域逻辑谓词中剔除优先级更高的流规则已覆盖的范围,得到所述每条规则的实际作用域逻辑谓词;分别建立所述安全规则、所述转发规则和所述流规则与所述实际作用域逻辑谓词之间的双向映射关系。5.根据权利要求1所述的方法,其特征在于,在通过所述预先建立的网络拓扑
‑
硬件设备
‑
逻辑功能网络行为模型,模拟数据包在网络中的实际行为及符合安全策略要求的安全行为,识别不安全网络行为,并溯源至造成该行为的不安全网络规则之前,还包括:根据所述预设的软件定义网络控制器信息确定硬件设备的种类、数量,并根据所述硬件设备的种类和数量建立硬件间拓扑关系,得到网络拓扑模型;构建硬件内的每个逻辑功能模块,为每个数据包及其对应的逻辑操作建立映射,得到逻辑功能模型;根据网络实际行为和网络安全行为,建立逻辑功能间及逻辑功能逻辑端口与所...
【专利技术属性】
技术研发人员:毛剑,熊婉寅,刘子雯,刘建伟,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。