[发明专利]一种针对SDN指纹攻击的防御方法、系统、装置及介质

权利要求书

1.一种针对SDN指纹攻击的防御方法，其特征在于，包括以下步骤：

在SDN控制器上设置指纹攻击防御模块，所述指纹攻击防御模块包括新流判断模块和时间特性隐藏模块；

采用所述新流判断模块从网络的数据流中获取新流；

采用时间特性隐藏模块对新流的数据包进行时间特性隐藏操作，从而防御利用SDN新流首包时延特性的指纹攻击；

其中，所述指纹攻击防御模块由SDN控制器的转发模块触发启动；

所述采用所述新流判断模块从网络中的数据流获取新流，包括：

SDN控制器获取数据流对应的Packet-In消息，并将所述Packet-In消息发给新流判断模块；

新流判断模块根据Packet-In消息和新流信息表判断所述数据流是否为新流，并根据判断结果更新新流信息表；

所述采用时间特性隐藏模块对新流的数据包进行时间特性隐藏操作，包括：

提取新流对应的Packet-In消息的来源信息，以及根据Packet-In消息的流信息生成匹配域字段；所述来源信息包括发送Packet-In消息的交换机标识号和触发Packet-In消息数据进入交换机的端口；

根据所述匹配域字段和所述来源信息构造并下发流表，所述流表下发的交换机为Packet-In消息的来源交换机，流表的动作字段设置为Controller，优先级设置为比转发模块产生的流表优先级高；

所述防御方法还包括以下步骤：

在所述流表下发后，当网络中再次出现所述流表对应的数据包，由于所述流表比普通转发流表的优先级高，因此所述数据包会先匹配到所述流表；由于动作字段为Controller，因此交换机会再次触发Packet-In消息，将与所述流表对应的数据包传送到SDN控制器进行处理，从而使所述数据包与新流出现的第一个数据包一样，传输时间引入与控制层的交互延时；

如果新流判断模块判定输入的Packet-In消息对应的数据流不是新流，无需将所述Packet-In消息对应的下一个数据包重新导入控制器以隐藏时间特性，根据Packet-In消息获取匹配信息，根据匹配信息删除交换机中有对应匹配域字段的动作为导向控制器的流表。

2.根据权利要求1所述的一种针对SDN指纹攻击的防御方法，其特征在于，判断所述数据流是否为新流的步骤，包括：

若Packet-In消息的流信息不存在于所述新流信息表中，判定所述数据流为新流，将流信息加入所述新流信息表中，并生成阈值Threshold和计数器Counter，将计数器Counter的计数值初始化为1；

若Packet-In消息的流信息存在于所述新流信息表中，判断流信息对应的计数器Counter的计数值是否大于阈值Threshold；

如果计数值大于阈值Threshold，判断所述数据流不是新流，在新流信息表中删除所述数据流对应的流信息；

如果计数值小于或等于阈值Threshold，判定所述数据流为新流，将计数器Counter的计数值增加1。

3.根据权利要求1所述的一种针对SDN指纹攻击的防御方法，其特征在于，所述新流判断模块用于决定一个新流需要进行时间特性隐藏的数据包个数；

由于每个数据流需要隐藏数据包的个数是由所述新流的阈值所决定，故每个新流初始数据包的时延特性是不固定的，以隐藏新流的时间特性。

4.根据权利要求1所述的一种针对SDN指纹攻击的防御方法，其特征在于，所述防御方法还包括以下步骤：

时间特性隐藏模块结束流程后，回到SDN控制器的转发模块；

转发模块继续转发流表的下发，并且发送Packet-Out消息，将数据包转发到转发路径的下一个交换机中，因此不会出现下发重导向控制器的流表后，使得一个数据重复导向控制器的情况。