[发明专利]一种针对SDN指纹攻击的防御方法、系统、装置及介质

说明书

本发明公开了一种针对SDN指纹攻击的防御方法、系统、装置及介质，其中方法包括以下步骤：在SDN控制器上设置指纹攻击防御模块，所述指纹攻击防御模块包括新流判断模块和时间特性隐藏模块；采用所述新流判断模块从网络的数据流中获取新流；采用时间特性隐藏模块对新流的数据包进行时间特性隐藏操作，从而防御利用SDN新流首包时延特性的指纹攻击；其中，所述指纹攻击防御模块由SDN控制器的转发模块触发启动。本发明通过SDN控制器平台进行指纹攻击防御，不需要对数据层的交换机做修改，而且不需要考虑时延设置问题就能实现有效的时间特性隐藏，可广泛应用于SDN网络上的安全技术。

技术领域

本发明涉及SDN网络上的安全技术，尤其涉及一种针对SDN指纹攻击的防御方法、系统、装置及介质。

背景技术

软件定义网络(Software-Defined Networking，SDN)是一种新型网络概念，它区别于传统网络，将网络的控制平面和数据平面分离，通过集中的控制层面给网络带来了更高的灵活性和扩展性。但随着基于OpenFlow协议实现的SDN技术在越来越多的领域得到了应用，其所存在的安全问题就越发显得重要。而针对SDN的指纹攻击就是其中一个重要的SDN安全问题。

指纹攻击在网络安全中是一种通过各种手段，嗅探出对象的关键表征性信息，如同套取指纹一样。而该防御方法主要是针对的是攻击利用SDN中流表机制中的时延特征来获取网络流表信息的指纹攻击。

OpenFlow协议是如今实现SDN最为常见通用的方法，在OpenFlow实现的SDN架构中，交换机通过安装在上面的流表进行匹配转发。流表中用于和数据流进行匹配的字段称为匹配域，一般为数据包的头字段，比如目的mac地址、目的ip地址等。而当新的流进入交换机后，交换机没有与该流匹配的流表，就会向控制器发送Packet-In消息。控制器通过全局的拓扑视图得出源主机到目的主机的转发路径，并向路径中的交换机发送Flow-Mod流表消息，让交换机安装对应的流表。

因此可以看出，一个新流的第一个数据包需要完成转发过程，除了需要经过各个交换机的转发外，还需要等待控制器对转发路径的交换机进行流表下发，因此这个过程除了数据层交换机的传输时间外，还会引入跟控制器交互的时间。而新流的后续数据包由于交换机已经安装了对应的转发流表了，所以只会有数据层交换机的传输时间。

所以，攻击者利用流表转发机制的这一特性，通过发送两个时间探针包传输时间的差异来判断产生的探针包是否触发了新流的下发，从而进一步分析获取SDN的指纹信息。

比如说，攻击者发送了两个探针包，得到传输时间有明显差异，所以他知道这个探针包对应的流是一个网络中的新流触发了流表的下发，因此第一个数据包的传输时间更长。而当攻击者修改了探针包的头字段的其中一个时，再次发送仍然会得到明显不同的延时，他就可以知道这个包头字段是这个SDN所采用的流表匹配域字段。用同样的方法就可以嗅探出更多的匹配域，利用这些匹配域信息攻击者就可以精确地触发流表下发，实施诸如耗尽交换机流表的拒绝服务(Denial of Service，DOS)攻击。

而现有针对SDN指纹攻击的防御方法，主要是通过对新流若干个的数据进行延时转发，来隐藏去新流只有第一个数据包会有额外传输延时的特性。从而防御基于这个特性实施的各类SDN指纹攻击。但是现有的防御方法仍然存在一些问题。

其中一种现有防御方法存在的问题是，它需要通过修改交换机的运行逻辑，才能判断数据流是否是新流和进行相应的延时转发操作。那么要实现这种防御方法，就需要对数据层的每一个交换机进行改动，不仅工作量巨大，并且由于并非所有SDN交换机都提供可以修改的编程接口，所以这种防御方法的通用性和灵活性都非常低。