[发明专利]一种基于区域增长算法的SDN流规则探测方法

说明书

本发明公开了一种基于区域增长算法的SDN流规则探测方法，其主要包括：通过判断MAC地址、IP地址和TCP/UDP协议端口是否在流规则中启用，确定流规则空间的维度；采用区域增长算法基于流规则空间的维度在流规则空间中搜索流规则并进行空间分割，将分割得到的子空间作为新的待探测空间进行循环探测，将探测得到的流规则作为输出，完成基于区域增长算法的SDN流规则探测。本发明能够极大地降低探测流量的大小，缩短探测的时间，具有较强的隐蔽性。且本发明不需要知晓目标网络的结构信息，也不需要具备SDN控制器及其他网络组件的管理和操作权限，具有较强的适用性。

技术领域

本发明涉及流规则探测方法，具体涉及一种基于区域增长算法的SDN流规则探测方法。

背景技术

软件定义网络(SDN)是一种新型网络架构，相较于传统网络，SDN将控制平面从数据平面中分离出来，数据平面仅仅负责最基本的数据转发功能，由集中式的控制代替传统的分布式控制方式，提高了网络控制的灵活性。控制平面北向的可编程接口更加适应如今网络需求不断变化的时代背景，使未来网络逐步走向高效、智能。同时，SDN网络的灵活和开放的特点也给自身的安全带来诸多隐患。自SDN网络诞生以来，学术界和工业界进行了大量的SDN安全方面的研究，但针对SDN的攻击技术水平和攻击后的影响仍然不断升级。

网络探测技术往往作用在对网络发动攻击之前，利用网络探测技术能够找到网络存在的漏洞和容易突破的弱点所在，对网络攻击的防御而言，为了提前对网络攻击进行防范，提高网络的安全性和健壮性，通常也需要网络探测技术发现自身网络上的安全隐患，从而降低网络因受到攻击而遭受的损失。

在SDN网络中，由于数据平面和控制平面的分离以及SDN网络的配置具有的高度定制化、精细化以及灵活性等特点，使得SDN网络具备和传统网络不一样的行为特征。在传统网络下的探测技术并不能直接移植并应用于SDN网络，同时，SDN流规则匹配项众多，传统的SDN扫描探测方法在探测数据包的数量和探测时间上会带来巨大的开销。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于区域增长算法的SDN流规则探测方法解决了现有SDN流规则探测方法开销大的问题。

为了达到上述发明目的，本发明采用的技术方案为：

提供一种基于区域增长算法的SDN流规则探测方法，其包括以下步骤：

S1、通过判断MAC地址、IP地址和TCP/UDP协议端口是否在流规则中启用，确定流规则空间的维度；

S2、将一条流规则是否存在于目标网络内记为sign，sign的值为-a或a，分别表示该条流规则不存在于目标网络中和存在于目标网络中，将整个流规则空间的sign默认为-a；其中a≠0；

S3、在流规则空间中进行随机采样构造探测数据包，直至找到一条流规则的sign值为a；

S4、获取以sign值为a的流规则的具体边界；

S5、根据sign值为a的流规则的具体边界将流规则空间分割为若干个流规则子空间；

S6、将sign值为a的流规则所在的流规则子空间的sign值设为a，将其余流规则子空间的sign值设为-a；

S7、判断是否达到探测上限，若是则将所有sign值为a对应的流规则作为探测结果进行输出，并结束探测；否则进入步骤S8；

S8、将每个sign值为-a的流规则子空间作为新的待探测的流规则空间，返回步骤S3。

进一步地，步骤S1中判断MAC地址是否在流规则中启用的具体包括以下子步骤：

S1-1-1、保留实际MAC地址的前三个字节并将后三个字节使用随机数字进行代替，完成伪造MAC地址；