[发明专利]一种面向软件定义网络的控制器安全性定量分析方法

摘要

本发明公开了一种面向软件定义网络的控制器安全性定量分析方法，克服了现有技术中，网络环境中控制器的实用性和指导性有所欠缺的问题。该发明包括：对控制器源码进行预处理，筛选出需要进行量化分析的代码模块；根据代码模块生成所有入口点和出口点函数的调用图，从图中得出每个入口点和出口点的前置和后置序列数；将源码插装编译并执行，监控执行过程，根据生成的调用图得出协议接口、数据项资源的前置和后置序列数；根据前置和后置序列数，计算入口点、出口点、协议接口，数据项资源的TE值；对得到的TE值加权计算得到控制器脆弱集的TE值。本发明分析不同类型控制器的安全性，为控制器的选择和安全开发提供参考。

主权项

1.一种面向软件定义网络的控制器安全性定量分析方法，其特征是：包括下述步骤：1)对控制器源码进行预处理，筛选出需要进行量化分析的代码模块；2)根据1)中代码模块生成所有入口点和出口点函数的调用图，从图中得出每个入口点和出口点的前置和后置序列数；3)将源码插装编译并执行，监控执行过程，根据2)中生成的调用图得出协议接口、数据项资源的前置和后置序列数；4)根据2)和3)中的前置和后置序列数，计算入口点、出口点、协议接口，以及数据项资源的TE值；TE值定义：为实现脆弱集的量化度量，引入经济学中的效费比模型对控制器资源的脆弱集进行度量，效费比包含两个方面：一是攻击者利用该资源能够对控制器造成的损害大小，即threat，T值，用r.th表示；二是攻击者为获取该资源需要付出的努力程度，即effort，E值，r.ef；前者越高，同时后者越低，那么该资源对控制器的安全威胁越大；资源TE值定义：给定控制器c，以及c的两个资源r₁和r₂，当且仅当满足下述三个条件之一时r₁≥r₂成立：(1)r₁.th≥r₂.th∧r₂.ef≥r₁.ef；(2)r₁.th＝r₂.th∧r₂.ef≥r₁.ef；(3)r₁.th≥r₂.th∧r₂.ef＝r₁.ef；5)对4)中得到的TE值加权计算得到控制器脆弱集的TE值；脆弱集定义：给定控制器c，网络环境N_c，则c的脆弱集可用以下三元组表示，其中是入口点和出口点集合，是协议接口集合，是数据资源集合；脆弱集TE值定义：给定控制器c，其中的两个函数a₁和a₂，两个协议接口p₁和p₂，两个数据项d₁和d₂，属性at∈{th,ef}，当且仅当满足下述三个条件之一时＜a₁,p₁,d₁＞＞＜a₂,p₂,d₂＞成立：(1)a₁.at＞a₂.at∧p₁.at≥p₂.at∧d₁.at≥d₂.at；(2)a₁.at≥a₂.at∧p₁.at＞p₂.at∧d₁.at≥d₂.at；(3)a₁.at≥a₂.at∧p₁.at≥p₂.at∧d₁.at＞d₂.at。