[发明专利]基于流规则分析的SDN数据平面异常行为检测方法及系统

说明书

本发明属于网络安全技术领域，特别涉及一种基于流规则分析的SDN数据平面异常行为检测方法及系统，包含：收集并获取SDN网络区域范围内数据平面交换机流规则；分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为。本发明能够有效提高全面异常检测的精确度，降低检测时计算及资源使用量，可独立部署在多种SDN环境中实现异常行为检测。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于流规则分析的SDN数据平面异常行为检测方法及系统。

背景技术

作为一种新兴的网络架构，软件定义网络(Software Defined Networking,SDN)采用软件编程的方式控制网络，提高了网络配置的灵活性。但是，SDN的攻击面却比传统网络更大，三个平面以及南北向通道都存在脆弱点，其中针对数据平面的攻击尤为重要，攻击会干扰基础的数据转发行为，导致整个网络数据传输功能的失效。SDN采用数据控制分离的网络架构，取代了传统网络设备数据和控制的耦合机制。数据平面不再具有决策功能，作为网络智能中心的控制平面通过下发流规则控制着数据平面数据转发行为。标准化南向接口(例如Openflow)简化了对网络设备进行管理的复杂性，使得通过编程定义网络功能成为可能。SDN数据平面由交换机组成。与传统网络交换机不同，SDN交换机只负责数据转发而不具有决策能力。当端口接收到陌生数据包时候，交换机将数据包信息通过南向接口发送给控制平面询问处理方法，控制平面应用程序根据自身策略制定流规则并下发到交换机流表。此后遇到相同数据包时候，交换机根据已有规则对数据包进行处理并转发。因此，数据平面是流规则驱动的。作为SDN网络架构的底层，数据平面与网络的实际行为紧密相关，是整个网络正常运行的基础。作为SDN网络架构的底层，数据平面与网络的实际行为紧密相关，是整个网络正常运行的基础。因此，检测数据平面异常行为并维护数据平面的安全状态十分必要。数据平面面临着拒绝服务、数据篡改等攻击威胁。从根本上看，针对数据平面的攻击都是通过安装恶意流规则来实现。这些攻击可以从数据平面主机发起，也可能由恶意应用程序发起。此外，由于控制平面的复杂性，不同功能的非恶意应用程序生成的流规则也可能会产生冲突，导致数据平面执行异常转发或丢包行为，危害网络安全。

针对SDN数据平面安全问题，现有工作主要从流规则冲突方面进行研究。一种方法是实时动态策略冲突检测与解决方法，该方法通过获取实时的SDN网络状态，能够检测数据流是否直接或间接违反防火墙策略，并且当发现冲突时候，可以进行自动化和细粒度的冲突解决。另一种方法是利用控制器掌握全局视图的特点，在控制器中通过对全网规则的匹配域进行编码，实现对流表的压缩，并以端口为节点建立端到端网络路径，对全网规则进行快速冲突检测。另一种方法将冲突检测转化为了有向图连通性判断和连通节点搜索问题，提出了一种应用有向无环图模型检测分布式系统中安全策略冲突的定量方法。针对应用程序流规则与防火墙和访问控制规则之间的冲突以及网络配置方面的问题进行研究，没有深入分析其他流规则异常类型和导致异常的原因，无法全面地对SDN数据平面异常行为进行检测。

发明内容

为此，本发明提供一种基于流规则分析的SDN数据平面异常行为检测方法及系统，提高异常检测精确度，降低检测时计算及资源使用量，能够部署在多种SDN环境中实现异常行为检测。

按照本发明所提供的设计方案，一种基于流规则分析的SDN数据平面异常行为检测方法，包含如下内容：

收集并获取SDN网络区域范围内数据平面交换机流规则；

分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；

结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为。