[发明专利]基于流规则分析的SDN数据平面异常行为检测方法及系统

权利要求书

1.一种基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，包含如下内容：

收集并获取SDN网络区域范围内数据平面交换机流规则；

分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；

结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为；

依据流规则变化率和流规则匹配率分析流规则数量在时间段内的变化量，通过设定阈值判定流规则数量变化异常趋势；

流规则变化率FCR和流规则匹配率FMR分别表示为：

其中，Δall_rules_num为Δt时间段内流规则总数变化量，matched_rules_num和all_rules_num分别为当前时刻匹配到数据包的规则总数和所有流规则数量；若满足FCR大于设定阈值α、FMR小于设定阈值β，则判定流规则数量变化异常。

2.根据权利要求1所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，利用交换机标准接口在设定时间周期内遍历网络区域范围内的所有交换机来获取数据平面交换机流规则。

3.根据权利要求1所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，构建数据流路径时，首先获取流路径的起始交换机和流规则，然后，对于每一对起始交换机和流规则，结合网络拓扑结构获取下一跳交换机，依据流表中是否有处理对应数据包的流规则，将交换机添加至对应流路径中，迭代添加交换机，直至路径结束。

4.根据权利要求3所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，路径结束的判断标准包含：不存在下一跳交换机和/或数据包被丢弃或被转发至主机。

5.根据权利要求3所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，获取流路径的起始交换机和流规则时，对于每一台交换机，结合网络拓扑来获取其相邻交换机集合；检查交换机的每一条流规则，依据相邻交换机流规则匹配域及是否存在转发到交换机的流规则来判定交换机和流规则否为数据流路径的起始交换机和流规则。

6.根据权利要求1所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，流规则冲突检测包括如下情形的检测：同一台交换机流表中流规则之间的冲突；及多条流规则构成的跨交换机数据流路径之间存在的冲突。

7.根据权利要求1所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，流规则行为异常检测包括如下情形：造成交换机恶意丢包行为的流规则错误检测；及造成交换机恶意转发行为的流规则错误检测。

8.一种基于流规则分析的SDN数据平面异常行为检测系统，其特征在于，基于权利要求1所述的方法实现，包含：数据收集模块、数据分析模块和行为检测模块，其中，

数据收集模块，用于收集并获取SDN网络区域范围内数据平面交换机流规则；

数据分析模块，用于分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；

行为检测模块，用于结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为。