[发明专利]一种适用于SDN网络的混合包标记溯源系统和方法

摘要

本发明公开了一种适用于SDN网络的混合包标记溯源系统和方法，系统包括区域代理模块、异常检测模块、数据处理模块和溯源管理模块，其中数据处理模块是整个系统的核心，用来确定相关数据包的标记方法和标记过程；区域代理模块用来生成交换机映射表，为数据包标记字段提供标记信息依据；异常检测模块主要用来对转发的数据包进行行为分析，为是否选择调用数据标记模块提供判断；溯源管理模块主要筛选和分析数据处理模块对数据包标记的信息，重构某些数据包的转发路径并可视化展示。本发明提升了溯源的准确率，加快了溯源的效率，特别是对恶意数据包攻击具有很好的溯源效果，为后续网络防火墙、流量过滤等其他相关安全机制的部署提供了良好的条件。

主权项

一种适用于SDN网络的混合数据包标记溯源系统，其特征在于，所述系统是由区域代理模块、异常检测模块、数据处理模块和溯源管理模块组成，其中所述区域代理模块包括：(1)与控制器通信功能一旦在SDN网络部署该溯源系统，溯源系统中的区域代理模块利用OpenFlow协议与控制器进行通信，要求获得某个区域内所有交换机的信息；同时，区域代理模块需要以一定的周期向控制器发送消息，当网络拓扑发生变化时，区域代理模块能够较快获取所管理区域内发生变化的交换机信息；(2)生成交换机映射表功能在与控制器通信的基础上，区域代理模块根据所获得的关于某个区域内交换机信息生成交换机映射表，同时记录生成交换机映射表的时间；当网络拓扑发生变化时，能及时更新交换机映射表，记录更新的时间，同时还需要维护原来的交换机映射表；所述异常检测模块对经过该溯源系统管辖区域内所有数据包进行异常检测分析；所述数据处理模块实现数据包标记功能，假定该溯源系统是安全的，数据处理模块既能对数据包某些字段进行标记，也能对数据包自身信息进行记录，当某个数据包经过交换机时，数据处理模块将检查数据包的标记字段，如果标记字段未被填满，且余下标记空间能存储所标记的信息，数据处理模块将标记信息写入数据包标记字段，并将数据包按照正常流程进行转发；当数据处理模块发现标记字段已被填满或者余下空间不足，数据处理模块将提取该数据包标记字段及其他信息，并将提取的信息进行存储，同时清空该数据包的标记字段，再将数据包按照正常流程转发出去；所述溯源管理模块包括：(1)与控制器通信功能当确定某可疑数据包确实是攻击数据包时，通过控制器向溯源管理模块发出溯源请求，在溯源信息中包含攻击信息，溯源管理模块收到溯源请求后给予回应，告知控制器该溯源请求已被受理；当溯源管理模块根据攻击信息重构其攻击路径后，将攻击路径发送至控制器，控制器收到攻击路径后，向溯源管理模块给予回应；(2)重构攻击路径功能当溯源管理模块收到控制器发出的溯源请求后，系统调用数据处理模块，根据溯源请求包含的攻击信息，与数据处理模块存储的数据包标记信息进行匹配，分析匹配成功的标记信息，然后系统调用区域代理模块，通过查询交换机映射表，获取各标记信息所对应的交换机，根据到达各交换机的顺序重构攻击路径，最后系统利用溯源管理模块将重构的攻击路径发送给控制器。