[发明专利]一种基于openflow交换机端口混淆的移动目标防御方法

说明书

一种基于openflow交换机端口混淆的移动目标防御方法。其包括构建网络系统；控制器与openflow交换机连接，并初始化；用户端发送数据包；控制器处理数据包；openflow进行数据转发等步骤。本发明效果：交换机流表项显示的数据输出端口号是虚假的、动态的，真实的数据输出端口号是不显现于流表项，因此攻击者无法利用流表项构造网络拓扑或构造伪流表项针对特定链路或主机进行攻击。利用openflow交换机与控制器之间flow_mod消息的通信次数可实现发送、接收双方的端口混淆同步，省却了同步开销。通信信道内只有控制器与openflow交换机间的控制消息，没有其他的访问数据流干扰。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于openflow交换机端口混淆的移动目标防御方法。

背景技术

软件定义网络(SDN)是一种新型的基于软件定义的网络架构及技术，其是将网络的控制平面和数据转发平面进行分离，逻辑上的集中控制层面具备网络全局视角，进行资源的全局调配和优化，以提升网络控制的便捷性。利用SDN重构传统网络架构及安全体系，可以实现高效的网络管控和资源调度，其控制平面与数据转发平面分离、集中控制、开放可编程、流表转发等特性，有利于提升安全防护的灵活性、智能性和协同性，推动网络能力便捷调用，支持网络业务创新，给网络安全领域带来了新机遇。

但是，用于数据转发平面的转发设备只是简单地转发元素，容易引发诸多安全问题，并且转发设备需要在控制平面下发的数据流处理规则前进行数据缓存，因此容易受到存储器饱和攻击，在遭受DDoS攻击时，流表存储空间迅速耗尽，后续数据流被丢弃，导致拒绝服务；伪openflow交换机可以发动窃听和篡改攻击，如非法篡改控制器下发的数据流处理规则会导致数据流处理规则不一致，丧失可靠性，使网络不稳定。若伪openflow交换机长期存在于网络中，可以窃听用户通信数据，截获用户口令；错误或拒绝执行数据流处理规则，造成拒绝服务攻击。

发明内容

为了解决上述问题，本发明的目的在于提供一种基于openflow交换机端口混淆的移动目标防御方法。

为了达到上述目的，本发明提供的基于openflow交换机端口混淆的移动目标防御方法包括按顺序进行的下列步骤：

1)构建由控制器、多个openflow交换机和多个用户端构成的网络系统；

2)控制器与openflow交换机通过握手消息进行连接，双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化；

3)某一用户端向网络系统中发送目标地址为另一用户端的数据包，与发送数据包的用户端相连的openflow交换机接收到该数据包后，将数据包中的数据报文包头信息与自身的流表项进行匹配，若匹配成功则进行转发，若匹配失败则将数据包封装在Packet_in消息中并上传给控制器，由控制器决定数据包的转发策略；

4)控制器接收到openflow交换机上传的packet_in消息后，根据openflow交换机真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值，将混淆端口的生存时间衰减，并判断是否进行端口混淆；若是，则利用端口混淆算法进行端口混淆，生成数据流处理规则并下发到openflow交换机，否则直接生成数据流处理规则并下发到openflow交换机；更新端口混淆表；

5)openflow交换机接收到控制器下发的flow_mod消息并进行数据转发时，根据该消息中的混淆端口变换值查找更新后的端口混淆表以确定出真实的数据输出端口号，并进行相应的数据转发，将混淆端口的生存时间衰减，然后判断是否进行端口混淆；若是，则利用端口混淆算法进行端口混淆，更新端口混淆表；否则直接更新端口混淆表。

在步骤2)中，所述的控制器与openflow交换机通过握手消息进行连接，双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化的方法是：