[发明专利]SDN网络攻击检测方法、装置、设备和系统

说明书

本发明公开了一种SDN网络攻击检测方法，包括：每隔预设的检测时间段响应于参考统计操作时，统计任意两台主机转发数据包的参考时间，直至当前转发次数超过转发次数阈值；根据所参考时间建立参考时间集；其中，所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集；判断所述参考时间集是否在预设的标准时间集内；若是，则更新所述检测时间段；若否，则累加当前判断次数；当连续累加的所述判断次数超过判断次数阈值时，判定当前SDN网络发生中间人攻击。本发明还公开了一种SDN网络攻击检测装置、设备和系统。采用本发明实施例，能减少单个主机安全开销，还能快速判断SDN网络中是否存在中间人攻击。

技术领域

本发明涉及通信网络技术领域，尤其涉及一种SDN网络攻击检测方法、装置、设备和系统。

背景技术

SDN(Software Defined Network)，即软件定义网络。一般来说，传统网络中每一台主机都有控制面与转发面，紧密耦合，每台主机都要自定义转发策略。与传统网络结构不同，SDN网络的控制面与转发面完全分离，其中的全部主机的转发行为均由Controller控制，管理员可以通过Controller制定主机的转发策略。中间人攻击(Man-in-the-MiddleAttack，简称“MITM攻击”)是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。

在传统网络中，由于每台主机控制与转发紧密耦合的特性，每台主机都需要制定一定的安全策略或者遵循一些协议标准来防范中间人攻击。目前比较常见的防范办法就是找一个通信双方都信任的数字证书认证机构(CA)来为双方确认身份。通信主机会向CA申请数字证书，CA通过各种方法验证主机确实是其声称的本人之后，CA会用私钥加密通信主机的申请信息并形成数字签名，再将附有签名的证书颁发给通信主机，这样主机就可以用这个证书证明自己的身份

但是在传统网络中，每个主机的安全策略一般都是由使用者自己、操作系统或者安全防护软件制定，主机的安全性由主机自身保证，主机在通信过程中是否遭受到中间人攻击，会话是否遭到劫持或者篡改也是由主机自行判断，而这些防护过程需要消耗一定的主机性能。一旦主机的量级增加，网络结构的复杂程度增加，从整体网络的角度来看，要防护中间人攻击就比较复杂了。每个设备或者软件厂商可以用各种各样的方法防范中间人攻击，但是网络中的主机来自不同的厂商，而这些不同的主机需要互联并且组成网络，这就势必会产生一些兼容性方面问题，导致检测中间人攻击的时间缓慢。

发明内容

本发明实施例的目的是提供一种SDN网络攻击检测方法、装置、设备和系统充分利用了SDN网络中Controller的特性，减少单个主机安全开销，还能快速判断SDN网络中是否存在中间人攻击。

为实现上述目的，本发明实施例提供了一种SDN网络攻击检测方法，包括：

每隔预设的检测时间段响应于参考统计操作时，统计任意两台主机转发数据包的参考时间，直至当前转发次数超过转发次数阈值；

根据所参考时间建立参考时间集；其中，所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集；

判断所述参考时间集是否在预设的标准时间集内；

若是，则更新所述检测时间段；若否，则累加当前判断次数；

当连续累加的所述判断次数超过判断次数阈值时，判定当前SDN网络发生中间人攻击。