[发明专利]一种软件定义网络中异常转发流量的自动化过滤方法

说明书

本发明公开了一种软件定义网络中异常转发流量的自动化过滤方法，属于网络安全技术领域，通过采用数据包头部分析方法，构建规则依赖关系图，为存在匹配域重叠的不同优先级规则添加标签值以进行区分；进而，通过预先向数据包头部编码路径规则标签值的方法，确保流量转发的合法性，可以检测出数据平面规则安装错误并阻断异常流量的转发。本发明的方法，在模拟器环境下进行了原型系统验证，能够实现预期功能，经开源数据集测评，规则更新和检测的效率能满足实际需求，单跳设备标签编码值最多仅需4比特，具有在实际中推广的可行性。

技术领域

本发明涉及安络安全领域，尤其是涉及一种面向软件定义网络中硬件交换机的异常流量的自动化转发检测与过滤方法。

背景技术

软件定义网络中数据平面存在异常转发流量的问题，导致数据包在发送者无法知晓的情况下，被转发到异常的目的地而丢失。例如，规则R₁和R₂均可以匹配数据包P，但是规则R₁的优先级更高。因此正常状况下，数据包P应该被规则R₁处理，但是在某些异常状况下，数据包错误的被规则R₂处理。异常出现的可能原因有很多，主要分为以下几种：(1)数据层缺乏有效反馈(Methodology,measurement and analysis of flow table updatecharacteristics in hardware openflow switches,Computer Networks,2018)。由控制器向网络设备下发规则，但是设备并不能做到实时向控制器反馈规则的安装情况。这就导致多台设备间的更新是不一致的，甚至有些规则安装失败控制器也无法感知。反馈机制难以实现的主要原因在于设备的存储和计算资源有限，设计和实现有效的反馈机制会降低设备的转发性能。(2)交换机软件程序错误。统计显示，交换机/路由器软件错误是大量网络错误的直接来源。例如，Pronto-Pica8交换机会忽略规则之间的优先级依赖关系，直接导致控制器规则无法被正确安装(Cacheflow:Dependency-aware rule-caching for software-defined networks,SOSR,2016)。(3)外部规则注入。多数网络设备不仅支持写入由控制器下发的规则，还可以连接控制端口直接通过设备自身的控制程序写入规则。假如攻击者可以直接操作设备，那么就可以在躲避控制器的检测程序而在设备中注入恶意规则，从而操纵数据层转发，实现攻击目的。(4)硬件出错。因为交换机的硬件缺乏校验机制，因而无法检测出硬件错误。而异常转发的直接原因往往是规则的错误匹配，即数据包错误匹配了某条低优先级的规则，因此执行了错误的动作。

在目前的研究工作中，检测转发异常的方法大致分为两类，包含数据包探测(Probing)和流量监控(Monitoring)两种。

数据包探测的基本思路是向网络中注入以匹配某条具体规则为目标的探测数据包，并根据数据包被处理的结果来验证被检测的目标规则是否生效。例如，为检测设备B上某条将流量从设备A转发到设备C的规则，控制器会先在设备A和C上预先安装对探测数据包的处理规则，然后将探测数据包发送给设备A。设备A根据预处理规则将数据包转发给B，如果规则生效，那么数据包会继续经C回到控制器，控制器重新接收到发出的探测数据包。否则，当设定的时间间隔到达，控制器还没有接收到探测数据包，就证明设备B上的规则安装失败。使用数据包探测的方法，虽然思路清晰，但是也面临很多挑战：

1)必须要安装处理探测数据包的规则，这会导致正常规则的更新速率降低，而且探测规则本身也可能不生效。

2)同一设备中的规则匹配域互相重叠，为探测某条规则生成的数据包必须不能被优先级更高的规则处理，这样的计算问题理论上具有NP的复杂度(RuleScope:Inspectingforwarding faults for software-defined networking,TON,2017)。而且当被检测的规则与某条优先级更低的规则执行相同动作时，即使控制器最终收到探测数据包，也无法判断是因为匹配了哪条规则。