基于概率延迟的SDN网络主动防御系统及其方法技术方案

技术编号:14773278 阅读:115 留言:0更新日期:2017-03-09 11:19
本发明专利技术涉及一种基于概率延迟的SDN网络主动防御系统及其方法,该系统包含与交换机连接的SDN控制器,所述SDN控制器包含延迟管理模块、数据包处理模块,其中,延迟管理模块,通过随机概率延迟策略对交换机反馈的数据包进行延迟;数据包处理模块,对接收到的数据包进行报文处理并反馈给交换机。本发明专利技术针对SDN网络所面临的探测扫描,提出一种基于概率的数据包延迟策略,以可调整的概率去延迟SDN网络对数据包的响应;该策略旨在干扰探测者接收到的时间差信息,并尽可能降低延迟策略给SDN网络带来的额外负载;该策略能够有效影响SDN探测的统计结果,且给SDN网络造成的性能影响较小,有效保证SDN网络安全。

【技术实现步骤摘要】

本专利技术属于计算机网络安全
,特别涉及一种基于概率延迟的SDN网络主动防御系统及其方法
技术介绍
软件定义网络SDN旨在抽象并解耦控制平面与数据转发平面,并提供更加灵活的管理与扩展。数据平面根据转发规则高速地转发包,而控制平面要么将流规则下发给数据平面,要么根据需要处理一部分包。SDN架构中的控制和转发元件是控制器和转发设备(如交换机),可以看到,控制器是SDN网络的核心,负责下发转发规则到数据转发平面。SDN网络探测方法利用SDN控制器处理数据包比数据转发平面转发数据包慢一个数量级的特点,通过发送一系列探测数据包,根据其响应时间或往返时间来推测该网络是否为SDN网络或者推测该SDN网络控制器的配置信息。SDN网络扫描探测存在两种攻击方式,一种是SDN网络指纹探测,一种是SDN控制平面时间探测,两者均利用了SDN控制平面制定策略下发来转发数据包的时间比数据平面直接转发数据包的时间多的特点来实施探测。指纹探测通过发送一系列的流量到网络中,如图1所示,利用SDN网络控制平面首次处理数据流时需要安装相应的流规则而造成较大的时延,之后数据转发平面直接处理该数据流的数据包时则时延较小的特点,探测SDN网络的流程图,由于SDN网络在接收到新的数据流时,需要上传到SDN控制器制定新的流规则下发到流表中,而之后该数据流进入SDN网络的数据包就由数据平面直接根据流表进行转发,前后转发需要的时间不在一个数量级上,因此可以根据数据流前后数据包的转发响应时间来判断该网络是否为SDN网络。SDN控制平面时间探测是SDN网络指纹探测的升级版本,通过发送时间探测数据包和测试数据包两种数据包来探测SDN控制器上的流策略以及控制器配置,该探测方式根据控制平面的负载以及测试数据包的种类,能够判断控制平面是否处理未知源/目的MAC(媒体访问控制)地址、哪些流量被控制器处理、哪些流规则已经安装在OpenFlow交换机的流表中、流规则的哪些域设置了通配符等信息。这两种探测严重影响到SDN网络的安全,因此,需要一种新的针对软件定义网络SDN扫描探测的主动防御技术,来保证SDN网络使用中的安全性能。
技术实现思路
针对现有技术中的不足,本专利技术提供一种基于概率延迟的SDN网络主动防御系统及其方法,通过基于随机概率的数据包延迟策略,可以动态调整SDN网络中数据包的响应,干扰探测者接收到的时间差信息,尽可能降低延迟策略对SDN网络带来的额外负载,能够有效影响SDN网络探测的统计结果,保证SDN网络的安全性能。按照本专利技术所提供的设计方案,一种基于概率延迟的SDN网络主动防御系统,包含与交换机连接的SDN控制器,所述SDN控制器包含延迟管理模块、数据包处理模块,其中,延迟管理模块,通过随机概率延迟策略对交换机反馈的数据包进行延迟;数据包处理模块,对接收到的数据包进行报文处理并反馈给交换机。上述的,延迟管理模块包含数据接收模块、Hash模块、策略管理模块、优先级队列模块,其中,数据接收模块,用于接收交换机反馈的数据包,并将其发送给Hash模块;Hash模块,用于提取数据流五元组,生成哈希值,并存储在哈希表中;策略管理模块,通过随机概率延迟策略来判决数据包是否需要延迟,若需要延迟,计算其延迟时间,并将数据包及其对应的延迟时间反馈至优先级队列模块,否则,将数据包反馈至数据包处理模块;优先级队列模块,用于存储数据包及其对应的延迟时间和入队时间,并根据优先级将相应的数据包反馈至数据包处理模块。其中,Hash模块还包含计数器,通过哈希值遍历哈希表,若哈希值已存在于哈希表中,则计数器加1。其中,随机概率延迟策略通过数学模型生成相应的延迟概率,并将延迟概率与随机变量r进行比对来判决对应数据包是否需要被延迟,其中,r=Random(0,1)。其中,数学模型表示为:p=θ×(α×βγ×c×cosγc+δc+ε),其中,p是延迟概率值,c是计数器值,θ,α,β,γ,δ,ε是非负常数。一种基于概率延迟的SDN网络主动防御方法,包含如下步骤:步骤A、SDN控制器接收交换机反馈至的数据包,并通过随机概率延迟策略对数据包进行延迟;步骤B、对数据包进行报文处理并反馈至交换机。上述的,步骤A中通过随机概率延迟策略对数据包进行延迟,具体包含如下内容:步骤A1:提取数据流中的五元组,生成哈希值,并存储在哈希表中;步骤A2:通过概率计算数学模型及随机变量r判决数据包是否需要被延迟,若需要被延迟,则计算其延迟时间dt,并将数据包、其延迟时间及入队时间存储至优先级队列,进入步骤A3,其中,随机变量r=Random(0,1);否则,进入步骤B;步骤A3:优先级队列根据存储的数据包、延迟时间及入队时间进行处理,其中数据包元素满足延迟时间,则进入步骤B。上述的,步骤A1还包含如下内容:通过哈希值遍历哈希表,若该哈希值已存在哈希表中,则计数器计数加1。上述的,步骤A2具体包含如下内容:步骤A21:根据数学模型p=θ×(α×βγ×c×cosγc+δc+ε),计算延迟概率,其中,p是延迟概率值,c是计数器计数值,θ,α,β,γ,δ,ε是非负常数;步骤A22:判断该数据包是否属于SDN控制器处理类型,若属于,则执行步骤A23;否则,根据r=Random(0,1)获取随机变量r,并将延迟概率p与随机变量r进行比对,如果r≤p,则生成包含数据包输出动作、控制器去向值的流规则,并将该流规则安装到相应的交换机上,否则进行步骤A23;步骤A23:根据r=Random(0,1)获取随机变量r,并将延迟概率p与随机变量r进行比对,如果r≤p,则计算数据包延迟时间dt,并将数据包、其延迟时间dt及入队时间存储至优先级队列,进入步骤A3执行;否则,直接执行步骤A3。上述的,步骤A23中计算数据包延迟时间dt,通过SDN控制器中数据包平均往返时间t,并根据dt=Random(0,t/2)计算出数据包延迟时间。本专利技术的有益效果:1、本专利技术针对SDN网络所面临的探测扫描,提出一种基于概率的数据包延迟策略,以可调整的概率去延迟SDN网络对数据包的响应;该策略旨在干扰探测者接收到的时间差信息,并尽可能降低延迟策略给SDN网络带来的额外负载;该策略能够有效影响SDN探测的统计结果,且给SDN网络造成的性能影响较小。2、本专利技术通过随机概率延迟策略,对OpenFlow协议和OpenFlow交换机自身功能没有影响,且更容易部署与应用;通过SDN控制器灵活地实现概率延迟;对OpenFlow交换机转发队列影响不大;本专利技术考虑网络流量的特点,针对SDN网络探测,提出一个低消耗且可有效干扰探测结果的策略,便于实现,对抗SDN网络探测效果显著,具有很高的实用价值。附图说明:图1为SDN网络探测流程图;图2为本专利技术的系统架构图;图3为实施例二的系统架构图;图4为本专利技术的方法流程图;图5为数据包流经SDN网络中的OpenFlow交换机时正常转发示意图;图6为数据包流经SDN网络中的OpenFlow交换机时被上传到SDN控制器处理导致延迟情况示意图;图7为需要SDN控制器处理的数据包被SDN控制器正常处理情况的示意图;图8为需要SDN控制器处理的数据包在SDN控制器中被延迟一段时间后再处理情况的示意图;图9为随机概率延迟策略中延迟概率取值数学本文档来自技高网
...
基于概率延迟的SDN网络主动防御系统及其方法

【技术保护点】
一种基于概率延迟的SDN网络主动防御系统,包含与交换机连接的SDN控制器,其特征在于:所述SDN控制器包含延迟管理模块、数据包处理模块;延迟管理模块,通过随机概率延迟策略对交换机反馈的数据包进行延迟;数据包处理模块,对接收到的数据包进行报文处理并反馈给交换机。

【技术特征摘要】
1.一种基于概率延迟的SDN网络主动防御系统,包含与交换机连接的SDN控制器,其特征在于:所述SDN控制器包含延迟管理模块、数据包处理模块;延迟管理模块,通过随机概率延迟策略对交换机反馈的数据包进行延迟;数据包处理模块,对接收到的数据包进行报文处理并反馈给交换机。2.根据权利要求1所述的基于概率延迟的SDN网络主动防御系统,其特征在于:所述的延迟管理模块包含数据接收模块、Hash模块、策略管理模块、优先级队列模块;数据接收模块,用于接收交换机反馈的数据包,并将其发送给Hash模块;Hash模块,用于提取数据流五元组,生成哈希值,并存储在哈希表中;策略管理模块,通过随机概率延迟策略来判决数据包是否需要延迟,若需要延迟,计算其延迟时间,并将数据包及其对应的延迟时间反馈至优先级队列模块,否则,将数据包反馈至数据包处理模块;优先级队列模块,用于存储数据包及其对应的延迟时间和入队时间,并根据优先级将相应的数据包反馈至数据包处理模块。3.根据权利要求2所述的基于概率延迟的SDN网络主动防御系统,其特征在于:所述Hash模块还包含计数器,通过哈希值遍历哈希表,若哈希值已存在于哈希表中,则计数器加1。4.根据权利要求3所述的基于概率延迟的SDN网络主动防御系统,其特征在于:所述随机概率延迟策略通过数学模型生成相应的延迟概率,并将延迟概率与随机变量r进行比对来判决对应数据包是否需要被延迟,其中,r=Random(0,1)。5.根据权利要求4所述的基于概率延迟的SDN网络主动防御系统,其特征在于:所述数学模型表示为:p=θ×(α×βγ×c×cosγc+δc+ε),其中,p是延迟概率值,c是计数器值,θ,α,β,γ,δ,ε是非负常数。6.一种基于概率延迟的SDN网络主动防御方法,其特征在于:包含如下步骤:步骤A、SDN控制器接收交换机反馈至的数据包,并通过随机概率延迟策略对数据包进行延迟;步骤B、对数据包进行报文处理并反馈至交换机。7.根据权利要求6所述的基...

【专利技术属性】
技术研发人员:张连成宇文慧强王振兴魏强孔亚洲房家保
申请(专利权)人:中国人民解放军信息工程大学
类型:发明
国别省市:河南;41

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1