一种分布式流表项有效时间动态跳变的实现方法技术

本发明专利技术公开了一种分布式流表项有效时间动态跳变的实现方法，包括分布式流表项有效时间动态跳变的定义、实现，以及平衡安全性、性能和资源消耗等三个特征。这种方法，将流表项在流表的存在时间视为隐私，通过差分隐私的阶梯随机响应机制在SDN转发设备本地对流表项在流表的存在时间进行动态扰动，形成动态移动的流表项攻击面，使低速流表溢出攻击无法同步流表项的攻击面，对该攻击实现了有效的主动防御。该方法无需升级现有SDN接口协议和控制器软件，不需要引入可信任的第三方，在兼顾网络安全性的同时，保证网络的性能和扩展性，特别适用于各类需要支持高安全性和大并发用户，且对延时和扩展性有特别要求的应用，保障其服务质量和用户体验。量和用户体验。量和用户体验。

【技术实现步骤摘要】
一种分布式流表项有效时间动态跳变的实现方法


[0001]本专利技术涉及一种时间的动态跳变方法，具体是一种分布式流表项有效时间动态跳变的实现方法。

技术介绍

[0002]流表项是软件定义网络(Software Defined Networking，简称SDN)的转发规则，由SDN控制器创建并下发、保存在SDN交换机的流表。由于SDN交换机需要支持灵活的转发策略，SDN交换机的流表必须使用三态内容寻址存储器，耗电量大且价格昂贵，导致流表空间有限，成为网络攻击的主要目标。在SDN网络中，当SDN交换机接收到新数据分组且不能在流表中找到匹配的流表项时，会请求控制器生成并下发匹配的流表项到该流表。如果流表空间被耗尽，下发的流表项将被丢弃，对应的数据分组因缺少匹配的转发规则也将被丢弃，引发常规的转发服务被拒绝。这类攻击称为SDN流表溢出攻击。
[0003]SDN流表溢出攻击主要包含饱和攻击、低速流表溢出攻击和慢饱和攻击。饱和攻击在短时间内发送大量的数据分组，淹没目标转发设备的流表，使常规的转发服务被拒绝。饱和攻击无需嗅探网络设置，操作难度小，但包速极大，易于侦测，对网络的破坏有限。低速流表溢出攻击和慢饱和攻击需要嗅探流表设置，构造攻击分组，同步攻击分组和流表设置，使攻击分组能以较低生成率和发送率占满目标设备流表。低速流表溢出的攻击分组无需使用真实IP，攻击分组总发送率通常不变且大小通常不超过合法分组总发送率的0.2倍，以避免触发饱和攻击的侦测机制。慢饱和攻击则需构造带合法IP的攻击分组，缓慢增加攻击分组发送率，以便在饱和攻击侦测机制下生存的同时尽可能消耗流表资源。所以，低速流表溢出攻击的难度比慢饱和攻击稍小，且其攻击分组的统计特性与网络合法短流、设备状态检测信息流、物联网传感设备的数据流非常相似，隐蔽性更强，侦测难度更高，对网络的破坏力更大。
[0004]SDN低速流表溢出攻击的防御方法可分为被动防御和主动防御两类。被动防御指攻击发生后为降低攻击的破坏而采取的措施，主要分为侦测和缓解两大类。侦测方法主要包括阈值法和机器学习法。阈值法首先建立攻击预测公式并设定阈值，再比较预测值和阈值，确定流表是否受到攻击；机器学习法首先将带攻击流的数据集输入机器学习算法训练模型，再依赖模型对攻击进行识别。缓解措施通常指攻击发生后用以缓解攻击破坏的方法。由于缓解低速流表溢出攻击的核心是降低流表的溢出程度，所以缓解方法通常分为3类：(1)限制流表项的安装速度；(2)重定向受攻击设备的流分组到相邻设备；(3)删除受攻击流表中的流表项以腾出空间安装新流表项，避免所有新流的转发服务被拒绝。这些缓解措施通常只能降低但不能避免攻击的破环。
[0005]低速流表溢出攻击的主动防御指攻击发生前构建的预警或弹性防御机制，力求消除网络安全隐患，降低损害。传统主动防御是以防火墙、入侵检测、主机监控、身份认证、防病毒软件、漏洞修补等多种手段构筑的堡垒式体系，但受制于网络系统的静态性，攻防信息、时间和成本的不对称性，在对抗未知攻击时往往力不从心且开销巨大，当前还没有应用
传统主动防御手段成功抵御低速流表溢出攻击的成功案例。
[0006]移动目标防御(Moving Target Defense,简称MTD)是一种革命性主动防御技术。与传统主动防御试图消灭所有安全隐患不同，MTD通过不断改变目标系统的形态特征，增加系统属性的多样性、动态性和随机性，限制漏洞持续暴露和被利用的机会，增加攻击难度和攻击代价，提高系统的主动防御能力。
[0007]在SDN领域，MTD主要依赖控制器进行集中式实现，可以通过控制器随机化流表项的有效时间，通过虚拟化对转发设备或主机的IP和MAC地址、转发路径、拓扑结构进行动态跳变，或维护一个控制器池对异常控制器进行分流。尽管集中式MTD增加了低速流表溢出攻击的难度，例如：对主机地址进行动态跳变增加了获取攻击源的难度；转发路径和拓扑的动态跳变增加了锁定目标流表的难度，这种集中式方法对控制器本身的资源和安全性要求过高，在实际中很难满足具有大用户量并对扩展性和安全性要求高的应用，如线上医疗、线上银行、线上保险证券等的需求。

技术实现思路

[0008]本专利技术针对现有技术中存在的不足提供一种分布式流表项有效时间动态跳变的实现方法。这种方法能够有效防御低速流表溢出攻击，实现有效的主动防御，可以调节系统的安全性，最终平衡SDN系统安全性、性能和资源消耗。
[0009]实现本专利技术目的的技术方案是：
[0010]一种分布式流表项有效时间动态跳变的实现方法，包括如下步骤：
[0011]1)分布式流表项有效时间动态跳变的定义：
[0012]1.1)流表项有效时间的定义：流表项是软件定义网络转发设备的转发规则，由软件定义网络的控制器创建，下发到软件定义网络的交换机，存储在交换机的流表中，由于软件定义网络的转发设备需要支持灵活的转发策略，交换机的流表需要保存在三态内容寻址存储器中；因为三态内容寻址存储器耗电量大且价格昂贵，且每条软件定义网络流表项通常包含的内容多，占用的内存空间大，软件定义网络交换机的流表通常容量有限，为了有效利用交换机有限的流表资源，软件定义网络架构规定每个流表项在流表有一个有效时间，超时的流表项将被清理出流表，以便腾出空间存储新下发的流表项，该时间被称为流表项有效时间；
[0013]1.2)流表项有效时间动态跳变的定义：流表项有效时间通常在控制器创建流表项时，由控制器预先设定并写入流表项相关字段，当流表项经控制器下发并存储到交换机的流表后，交换机通常不会更改流表项，也不会改变流表项有效时间，但交换机会对流表项进行管理，即定时检查流表项在流表的存活时间，并与写入流表项相关字段的、控制器设定的流表项有效时间比较，确定该流表项是否已在流表中失效，进而从流表中删除，所以写入流表项的有效时间通常是静态的，但是，控制器能通过特定的命令修改该有效时间，当控制器持续改变写入流表项的有效时间时，该有效时间成为动态跳变的有效时间，这种通过控制器实现流表项有效时间动态跳变的方法称为集中式流表项有效时间动态跳变，因为控制器在软件定义网络中是一个逻辑集中的单元，对所有转发设备进行集中和统一的控制和管理；
[0014]1.3)分布式流表项有效时间动态跳变的定义：与通过控制器使流表项有效时间形
成跳变的集中式方法不同，分布式流表项有效时间动态跳变是指通过转发设备使流表项有效时间实现动态跳变的方法；
[0015]2)分布式流表项有效时间动态跳变的实现：
[0016]2.1)将流表项的老化模型化为差分隐私中的阶梯随机响应机制，步骤如下：
[0017]2.1.1)确定流表项老化动作集合A＝[A1,A2,
…
,A
m
]，A1到A
m
的取值都不相同，老化动作集合包含的老化动作总数为m＝|A|，每个老化动作A
i
在老化集合中表现为一个实数，表示了老化的快慢，假设T为当前流表项在流表的存在时间，TT为老化定时器的触发周期，当A<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分布式流表项有效时间动态跳变的实现方法，其特征在于，包括如下步骤：1)分布式流表项有效时间动态跳变的定义：1.1)流表项有效时间的定义：流表项是软件定义网络转发设备的转发规则，由软件定义网络的控制器创建，下发到软件定义网络的交换机，存储在交换机的流表中，由于软件定义网络的转发设备需要支持灵活的转发策略，交换机的流表需要保存在三态内容寻址存储器中；因为三态内容寻址存储器耗电量大且价格昂贵，且每条软件定义网络流表项通常包含的内容多，占用的内存空间大，软件定义网络交换机的流表通常容量有限，为了有效利用交换机有限的流表资源，软件定义网络架构规定每个流表项在流表有一个有效时间，超时的流表项将被清理出流表，以便腾出空间存储新下发的流表项，该时间被称为流表项有效时间；1.2)流表项有效时间动态跳变的定义：流表项有效时间通常在控制器创建流表项时，由控制器预先设定并写入流表项相关字段，当流表项经控制器下发并存储到交换机的流表后，交换机通常不会更改流表项，也不会改变流表项有效时间，但交换机会对流表项进行管理，即定时检查流表项在流表的存活时间，并与写入流表项相关字段的、控制器设定的流表项有效时间比较，确定该流表项是否已在流表中失效，进而从流表中删除，所以写入流表项的有效时间通常是静态的，但是，控制器能通过特定的命令修改该有效时间，当控制器持续改变写入流表项的有效时间时，该有效时间成为动态跳变的有效时间，这种通过控制器实现流表项有效时间动态跳变的方法称为集中式流表项有效时间动态跳变，因为控制器在软件定义网络中是一个逻辑集中的单元，对所有转发设备进行集中和统一的控制和管理；1.3)分布式流表项有效时间动态跳变的定义：与通过控制器使流表项有效时间形成跳变的集中式方法不同，分布式流表项有效时间动态跳变是指通过转发设备使流表项有效时间实现动态跳变的方法；2)分布式流表项有效时间动态跳变的实现：2.1)将流表项的老化模型化为差分隐私中的阶梯随机响应机制，步骤如下：2.1.1)确定流表项老化动作集合A＝[A1，A2，...，A
m
]，A1到A
m
的取值都不相同，老化动作集合包含的老化动作总数为m＝|A|，每个老化动作A
i
在老化集合中表现为一个实数，表示了老化的快慢，假设T为当前流表项在流表的存在时间，TT为老化定时器的触发周期，当A
i
＝1时，表示按定时器触发周期进行正常老化，即T＝T+TT；当A
i
＝0时，表示流表项不老化，即T＝T+0；当A
i
＞1时，表示流表比正常老化速度块；当0＜A
i
＜1时，表示流表项在流表的存在时间变长但比正常老化速度慢；当A
i
＜0时，表示流表项在流表的存在时间变短；2.1.2)确定老化动作对应的被采用的概率集合概率集合包含的概率总数为m2＝|P|＝m，其中，老化动作集合的第一个老化动作A1对应的概率...

【专利技术属性】
技术研发人员：廖灵霞，赵长青，马晓航，陆信任，
申请(专利权)人：桂林航天工业学院，
类型：发明
国别省市：