[发明专利]一种检测SDN中流表一致性的方法和系统

说明书

本发明公开了一种检测SDN中流表一致性的方法和系统，可根据基于流表篡改的监听攻击的特征定制需要检测的字段，只要是防护已知流表篡改类型的监听攻击就能实现百分之百的检测率；同时，由于该方法只需要交换机返回指定字段的计数内容，因而占用网络传输带宽小，占用控制器、交换机端处理时间也更少。因而，本发明提出了一种针对性更强、检测率更高、检测效率更快的方法和系统，以较低的网络传输负荷、较高检测率对流表的一致性进行检测，弥补了SDN分层结构缺乏对流表规则一致性检测措施的不足，是对SDN流表一致性检测防护方面的补充和改进，提高SDN网络控制的可靠性，为SDN网络数据传输提供安全保证。

技术领域

本发明涉及SDN安全领域。更为具体的，本发明涉及一种检测SDN中流表一致性的方法和系统。

背景技术

软件定义网络(Software-defined Networking,SDN)，其核心的思想是将复杂的网络设备一分为二。转发功能由单一的硬件来实现，称之为数据面；而较为复杂的控制、管理、服务功能由软件来实现，称之为控制面。

分离的控制层和数据层使得SDN架构存在转发规则不一致的隐患。由于中央控制器将数据平面转发规则安装到下层交换机，以指导数据包转发或其他操作，一旦交换机端的规则被恶意篡改，而控制器没有察觉，则下层网络的实际运转情况将不受控制器控制。SDN中的转发规则称作流表，以现在主流的SDN南向接口OpenFlow协议v1.3.0为例，一条流表包含以下字段：(1)Match Fields字段，表示需要匹配的数据包的具体包头字段，当流经数据包的包头特定字段的数值等于该流表项指明的数值时，则将对该数据包做出流表项规定的后续操作；(2)Priority，表示该流表项的优先级，优先级越高的流表项最先匹配；(3)Counters，表明该流表项已经匹配的数据包的个数；(4)Instructions，为将要对数据包进行的操作，如丢弃、转发等；(5)Cookie，是被远程控制器用来筛选Flow Statistics、FlowModification或者Flow Deletion行为的指示值。

由于现在主流的OpenFlow协议各版本都没有对流表一致性问题进行处理，且一些OpenFlow交换机留有监听模式，即网络管理者可以通过未认证的TCP端口来操纵交换机上的流表数据，进而攻击者可以通过预留接口，为交换机的特定数据流添加镜像端口，从而窃听数据流。

国外研究人员Markku等人在《Spook in Your Network:Attacking an SDN witha Compromised OpenFlow Switch》分析了该种威胁的具体实现细节，并指出其可造成网络监听，但未提出有效的防护措施。Kevin等人在《Openflow vulnerability assessment》指出当前可行的检测流表一致性的方案，需要导出并检测交换机所有流表是否被改动，该方法计算量大，且占用较多网络传输带宽，可行性低。关于检测交换机是否被入侵而导致其行为违反了控制器所下发的转发规则，Chi等人在文章《How to detect a compromised SDNswitch》提出了一种周期性的抽样检测方法，从全网随机选定一些交换机，并从每个交换机上随机抽取小部分流表项，并向网络中发送与该流表项匹配的数据包，如果相应的交换机未按照流表规则来处理数据包，则认为该交换机遭到了入侵。

然而，上述已有的解决方案在检测效率、检测准确性、检测覆盖范围方面均有一定限制。

发明内容

针对上述问题，本发明提供了一种检测SDN中流表一致性的方法和系统，以较低的网络传输负荷、较高检测率对流表的一致性进行检测，弥补了SDN分层结构缺乏对流表规则一致性检测措施的不足，提高SDN网络控制的可靠性，为SDN网络数据传输提供安全保证。

为实现上述目的，本发明采用如下技术方案：

一种检测SDN中流表一致性的方法，其步骤包括：