[发明专利]一种适用于SDN网络的混合包标记溯源系统和方法

说明书

本发明公开了一种适用于SDN网络的混合包标记溯源系统和方法，系统包括区域代理模块、异常检测模块、数据处理模块和溯源管理模块，其中数据处理模块是整个系统的核心，用来确定相关数据包的标记方法和标记过程；区域代理模块用来生成交换机映射表，为数据包标记字段提供标记信息依据；异常检测模块主要用来对转发的数据包进行行为分析，为是否选择调用数据标记模块提供判断；溯源管理模块主要筛选和分析数据处理模块对数据包标记的信息，重构某些数据包的转发路径并可视化展示。本发明提升了溯源的准确率，加快了溯源的效率，特别是对恶意数据包攻击具有很好的溯源效果，为后续网络防火墙、流量过滤等其他相关安全机制的部署提供了良好的条件。

技术领域

本发明涉及数据溯源领域，尤其是SDN网络下数据溯源领域，具体是指一种适用于SDN网络的混合包标记溯源系统。混合包标记主要是指数据包标记和日志记录技术。

背景技术

SDN(Software Defined Networking,软件定义网络)是一种新型的网络架构，为了解决传统网络难以满足云计算、大数据，以及相关业务提出的灵活的资源需求，SDN提出了将控制平面和数据平面分离的理念，支持集中化的网络状态控制，实现底层网络设施对上层应用的透明。SDN的出现使得网络技术工作者(包括网络管理者、科研者、网络服务提供商等)能够根据实际需求更加灵活方便地配置和管理网络，能够更加自由友好地定制和优化网络等；但毫无疑问的，SDN的集中特性也使得网络攻击者蠢蠢欲动，一旦SDN控制器被攻破，网络攻击者将会获得操控整个网络的最高权限，这意味着一旦SDN网络沦陷将面临着比传统网络更大的危机。为了应对此类威胁，提高SDN控制器的健壮性，目前大多数研究都围绕防御和检测展开，然而，当攻击发生时，这些技术无法定位攻击源头，有效地缓解和扼止攻击。因此，如何在防御和检测的基础上，设计一种有效合理的溯源方法帮助定位攻击源，加强SDN控制器的鲁棒性是目前SDN网络亟待解决的问题和挑战。

一种适用于SDN网络的混合包标记溯源系统和方法主要需考虑两个方面的问题：(1)如何设计一种新的安全理论架构，即如何在结合SDN集中特性的基础上，融合检测、溯源和缓解等不同的安全机制多方位加强SDN网络安全；(2)如何设计一种有效的溯源技术，即如何在尽可能不增加网络负担、影响网络性能的前提下，提出一种准确高效的溯源方法快速定位攻击源头，重构攻击路径，为后续执行应对策略提供理论基础。总之，由于SDN还处于初步发展阶段，研究和完善SDN网络下的安全机制对加快SDN的推广与普及意义深远。

发明内容

本发明的目的在于提供了一种适用于SDN网络的混合包标记溯源系统和方法，将传统网络下的入侵检测技术与溯源技术结合起来，并应用于SDN网络。入侵检测技术主要是根据设定好的规则或策略对网络行为进行检测和分析，并对异常行为实施相应操作；溯源技术强调的是一种追本溯源的技术，根据追踪路径重现数据的历史状态和演变过程，实现数据历史档案的追溯；在该系统中，数据溯源更多的是指利用标记信息确定数据包在网络传输过程中所转发的路径。当SDN遭受分布式拒绝服务攻击或恶意数据包攻击时，在数据包标记的基础上，能够准确又高效地实现数据包的溯源，并在数据包攻击路径节点处部署相应的安全策略，这在一定程度上能够比较快速地缓解或防御分布式拒绝服务攻击或恶意数据包攻击。

为达到上述目的，本发明所采用的技术方案为一种适用于SDN网络的混合数据包标记溯源系统，所述系统是由区域代理模块、异常检测模块、数据处理模块和溯源管理模块组成，其中

所述区域代理模块包括：

(1)与控制器通信功能

一旦在SDN网络部署该溯源系统，溯源系统中的区域代理模块利用OpenFlow协议与控制器进行通信，要求获得某个区域内所有交换机的信息；同时，区域代理模块需要以一定的周期向控制器发送消息，当网络拓扑发生变化时，区域代理模块能够较快获取所管理区域内发生变化的交换机信息；

(2)生成交换机映射表功能