[发明专利]一种适用于SDN网络的混合包标记溯源系统和方法

权利要求书

1.一种适用于SDN网络的混合数据包标记溯源系统，其特征在于，所述系统是由区域代理模块、异常检测模块、数据处理模块和溯源管理模块组成，其中

所述区域代理模块包括：

(1)与控制器通信功能

一旦在SDN网络部署该溯源系统，溯源系统中的区域代理模块利用OpenFlow协议与控制器进行通信，要求获得某个区域内所有交换机的信息；同时，区域代理模块需要以一定的周期向控制器发送消息，当网络拓扑发生变化时，区域代理模块能够较快获取所管理区域内发生变化的交换机信息；

(2)生成交换机映射表功能

在与控制器通信的基础上，区域代理模块根据所获得的关于某个区域内交换机信息生成交换机映射表，同时记录生成交换机映射表的时间；当网络拓扑发生变化时，能及时更新交换机映射表，记录更新的时间，同时还需要维护原来的交换机映射表；

所述异常检测模块对经过该溯源系统管辖区域内所有数据包进行异常检测分析；

所述数据处理模块实现数据包标记功能，假定该溯源系统是安全的，数据处理模块既能对数据包某些字段进行标记，也能对数据包自身信息进行记录，当某个数据包经过交换机时，数据处理模块将检查数据包的标记字段，如果标记字段未被填满，且余下标记空间能存储所标记的信息，数据处理模块将标记信息写入数据包标记字段，并将数据包按照正常流程进行转发；当数据处理模块发现标记字段已被填满或者余下空间不足，数据处理模块将提取该数据包标记字段及其他信息，并将提取的信息进行存储，同时清空该数据包的标记字段，再将数据包按照正常流程转发出去；

所述溯源管理模块包括：

(1)与控制器通信功能

当确定某可疑数据包确实是攻击数据包时，通过控制器向溯源管理模块发出溯源请求，在溯源信息中包含攻击信息，溯源管理模块收到溯源请求后给予回应，告知控制器该溯源请求已被受理；当溯源管理模块根据攻击信息重构其攻击路径后，将攻击路径发送至控制器，控制器收到攻击路径后，向溯源管理模块给予回应；

(2)重构攻击路径功能

当溯源管理模块收到控制器发出的溯源请求后，系统调用数据处理模块，根据溯源请求包含的攻击信息，与数据处理模块存储的数据包标记信息进行匹配，分析匹配成功的标记信息，然后系统调用区域代理模块，通过查询交换机映射表，获取各标记信息所对应的交换机，根据到达各交换机的顺序重构攻击路径，最后系统利用溯源管理模块将重构的攻击路径发送给控制器。

2.根据权利要求1所述的一种适用于SDN网络的混合数据包标记溯源系统，其特征在于：所述系统的区域代理模块与控制器通信时获得某个区域内所有交换机的信息是指可以用来唯一识别和确定各个交换机的信息。

3.根据权利要求1所述的一种适用于SDN网络的混合数据包标记溯源系统，其特征在于：所述系统的区域代理模块生成交换机映射表时，需要不同交换机的识别信息能唯一确定对应的交换机，且识别信息较交换机本身信息存储量小，便于存储。

4.根据权利要求1所述的一种适用于SDN网络的混合数据包标记溯源系统，其特征在于：所述异常检测模块设定的匹配规则分为两种：白名单和模式识别，白名单包含目前技术上能检测出正常数据包的报文格式和特征，模式识别包含数据包分析、匹配和评估。

5.根据权利要求1所述的一种适用于SDN网络的混合数据包标记溯源系统，其特征在于：所述系统的数据处理模块对数据包某些字段进行标记时该数据包是由异常检测模块分析出的可疑数据包。

6.根据权利要求1所述的一种适用于SDN网络的混合数据包标记溯源系统，其特征在于：所述系统的溯源管理模块在向控制器发送攻击路径时，需将重构攻击路径时使用的标记信息和记录信息一并发送给控制器。