CN104394140B - 一种基于sdn的虚拟网络优化方法 - Google Patents
一种基于sdn的虚拟网络优化方法 Download PDFInfo
- Publication number
- CN104394140B CN104394140B CN201410677532.9A CN201410677532A CN104394140B CN 104394140 B CN104394140 B CN 104394140B CN 201410677532 A CN201410677532 A CN 201410677532A CN 104394140 B CN104394140 B CN 104394140B
- Authority
- CN
- China
- Prior art keywords
- main frame
- network
- host
- new
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
- H04L12/4679—Arrangements for the registration or de-registration of VLAN attribute values, e.g. VLAN identifiers, port VLAN membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN的虚拟网络优化方法,以解决日常DDOS攻击中,攻击源主机难以定位,网络灾难恢复速度慢的问题。本发明针对传统的静态VLAN,提出一种基于SDN的多层次VLAN优化方法,在不改动原有的VLAN配置的情况下,使用基于SDN的OpenFlow技术将VLAN的配置实现动态化,对每个主机的网络身份加入置信标签,来实现SDN对每台网络主机的身份识别,减少网络风暴发生时所需的人工干预,增加了整个网络的健壮性和稳定性,大大提高了遭遇特定网络攻击后整个网络恢复正常的收敛速度。
Description
技术领域
本发明涉及一种虚拟网络管理的优化方法,属于SDN安全技术领域。
背景技术
随着网络信息技术的飞速发展,互联网在四十多年的历史里,已经成为了整个世界不可或缺的基础设施,互联网深入到人们生活的各个方面,给人们的学习、生活带来了巨大的便利。
经过几十年的发展,互联网的体积越来越大,基于网络的各种业务对互联网的要求越来越高,过于巨大的压力之下,安全问题,性能瓶颈等也随着互联网的发展逐渐暴露出来。SDN的产生实现了网络控制和物理网络拓扑的分离,从而摆脱了硬件对网络构架的限制,可以灵活动态的堆网络构架进行修改。
网络信息技术的不断发展,网络的攻击技术也层出不穷,各种DOS,DDoS,MAC欺骗,流量劫持无时无刻威胁到人们在互联网生活中的安全。由于传统的网络设备对一个主机端口加入网络时,需要将端口与事先定义好的VLAN号进行绑定,当主机进入网络时,该主机所连接的端口就会自动的被分配到实现定义好的VLAN中,实现VLAN的管理,但是这样存在的问题就在于,当一台恶意主机试图通过该端口加入到VLAN中,并且试图控制其他主机进行DDoS攻击时,传统网络并不能及时区分可疑和可信主机,对网络攻击的抵抗力也会非常小。
发明内容
本次发明是针对传统的静态VLAN提出的一种基于SDN的多层次VLAN优化方法,其目的在于实现在不改动原有的VLAN配置的情况下,使用基于SDN的OpenFlow技术将VLAN的配置实现动态化,来解决日常DDoS攻击中,攻击源主机难以定位,网络灾难恢复速度慢的问题,大大减轻了配置人员的工作量,加快在动态配置中整个VLAN的收敛速度,从而达到优化的目的。
本发明采用双controller的网络拓扑,分别标记为C1、C2;就本发明的安全策略中针对新主机在虚拟网络分片slice间动态迁移情况,需要建立一个slice的单向传输通道,建立两个slice都可见的list_host[]列表。本发明的技术方案具体为:
在slice1层建立一个list_host_slice1[]列表,当新主机进入局域网,在控制器C1上新建映射,并对每台主机设立一个初始加入时间t_init字段;
再将该新主机的MAC地址与相应的端口建立映射;
对该新主机的流表进行修改,使其指向预先做好镜像的Nginx服务器;将每个主机设立的“初始加入时间”加上可信期(该可信期为每台主机在slice1层的停留时间,用户可自行定义)形成新的结束时间,若该结束时间>当前系统时间,则新主机将停留在slice1层上;
若主机结束时间>当前时间且无发生DDoS攻击,则slice1层的监视线程每隔一个时间间隔(考虑到网络系统性能,时间间隔最好设置在30秒左右,以保证高效且安全的扫描效率)会扫描一次主机列表,将该主机的ip和mac以及对应该主机为源的所有的流表,以一种主机参数列表list_host[]的形式传入slice2层,同时删除slice1上的主机信息和流表配置;
上述新主机在slice2进行泛洪处理寻找C2控制器,将slice2层设定一个同样的主机列表list_host_slice2[],用于每台主机的初始加入时间t_init字段,状态字段0,1。
若主机结束时间>当前时间,当网络发生DDoS时,会对最后一个进入的,即t_init时间与当前时间差最小的主机进行VLANID的修改,该主机将会被划分到一个预先设置好的VLAN中,隔离与其他主机的通信,但是能够提供最基本的服务和外网的访问;若DDoS仍然未停止,则继续加入置信时间未到的主机,直到没有新主机为止。
若slice2层没有发生DDoS攻击,则新主机将停留在所属的正常VLAN中,在置信时间到达以后删除对应的生存时间。
进一步,本方法将真实网络环境一分为二,将可信的和不可信的主机分开放置。
进一步,本方法把不可信的主机放置在临时局域网中,而不是直接删除。
本发明是基于SDN网络环境的开放性和传统网络DDoS攻击具有一定的潜伏期所设计的网络策略,对每个主机的网络身份加入置信标签,来实现SDN对每台网络主机的身份识别。将真实网络环境一分为二,可信的和不可信的主机分开放置,并把不可信的主机放置在临时局域网中,而不是直接删除。本方法能够减少网络风暴发生时所需的人工干预,增加了整个网络的健壮性和稳定性,大大提高了遭遇特定网络攻击后整个网络恢复正常的收敛速度。
附图说明
图1是网络平面物理拓扑图。
图2是虚拟网络分片之间的通信示意图。
图3是本发明流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步详细说明。
实施例1
如图1所示,本发明的拓扑为双controller的网络拓扑,两个controller汇聚在一个基于OpenFlow协议开发的FlowVisor开源虚拟化工具上,FlowVisor虚拟化工具可以对同一个网络进行的流量或者拓扑进行分片化管理,实现每个分片的逻辑策略都独立的运行在各自的虚拟网络分片中互不影响。由于分片管理独立化的关系,每个controller只能控制一个slice,不同slice之间的controller不能共享流表或者主机信息,所以这是本发明必须采用双controller的原因,就本发明的安全策略中针对新主机在slice间动态迁移情况,需要建立一个slice的单向传输通道,用于迁移满足迁移条件的主机(如图2所示)。
本发明建立两个slice都可见的list_host[]列表,列表中包含的字段有一个每台主机的初始加入时间t_init字段,状态字段0,1,主机的host_ip字段和host_mac字段以及对应该主机为源的所有流表,slice1层中会始终启动一个监视线程watch_thread_1,每过一定的时间(不会太长),便会把满足条件的主机状态字段置为1。
在slice2层会另起一个监视线程watch_thread_2定时将所有的满足条件的主机状态字段为1的主机配置建立相应的流表,并将其从list_host[]中删除,同时重新设置一个加入slice2层的加入时间给每个新进主机,用于完成对slice2层新主机的置信期的判断。
将slice2层设定一个同样的主机列表list_host_slice2[],用于每台主机的初始加入时间t_init字段,状态字段0,1,主机的host_ip字段和host_mac字段以及对应该主机为源的所有流表,当网络发生DDoS时,会对最后一个进入的,即t_init时间与当前时间差最小的主机进行VLANID的修改,该主机将会被划分到一个预先设置好的VLAN中(该VLAN只能访问特定的服务器,不能对主服务器进行任何访问),若DDoS仍然未停止,则继续加入置信时间未到的主机,直到没有新主机为止,若没有发生DDoS攻击,则在置信时间到达以后会对list_host_slice2[]中对于的主机列表进行删除。
实施例2
本发明的流程如图3所示,假设有一台台式或者移动网络设备加入网络,该情景仅对TCP协议的80端口的syn攻击进行防护,其他单一方法攻击均可,那么具体实施方式为:
(1)首先为新建主机建立一个字典表项,用于存储新进主机的各个参数,只要是新进主机未达到时间标准的都必须从slice1层,也就是基础层开始进入,并为其创建Nginx镜像服务器重定向流表,使其访问重定向的Nginx服务器:
(2)将新进主机形成一个字典加入list_host_slice1中,在slice1层利用一段监听线程host_notifier对list_host_slice1[]进行扫描,将满足置信时间(TIME_DDOS)的条件的主机对应的列表现的状态字段state置为1。
for host in list_host_slice1:
if(host.t_init+TIME_DDOS>time.time())
host.state=1
(3)在slice2层也将list_host_slice1[]数据直接进行扫描,将满足state为1的主机配置列表移至该层的list_host_slice2[]:
(4)平面层VLAN管理。
本发明不限于上述实施例,一切采用等同替换或等效替换形成的技术方案均属于本发明要求保护的范围。
Claims (3)
1.一种基于SDN的虚拟网络优化方法,其特征在于,包括如下步骤:
步骤1)当新主机进入局域网,在控制器C1上新建映射,并对加入该局域网中的该新主机设立一个初始加入时间t_init字段;
步骤2)将所述新主机的MAC地址与相应的端口建立映射;
步骤3)对所述新主机的流表进行修改,使其指向预先做好镜像的Nginx服务器;
步骤4)对每个主机设立的初始加入时间加上可信期形成新的结束时间,若该结束时间>当前时间,则所述新主机将停留在slice1层上;
步骤5)若所述新主机的结束时间>当前时间且无发生DDoS攻击,则所述slice1层的监视线程每隔一个时间间隔会扫描一次主机列表,将该新主机的ip和mac以及对应的流表以一种主机参数列表list_host[]的形式传入slice2层,同时删除slice1上的主机信息和流表配置;
步骤6)所述新主机在slice2层进行泛洪处理寻找C2控制器,并重新对所述新主机设立新的加入时间;
步骤7)若所述新主机的结束时间>当前时间且slice2层无发生DDoS攻击,则所述新主机将停留在所属的正常VLAN中并删除对应的生存时间;
步骤8)若所述新主机的结束时间>当前时间且发生DDoS攻击,则所述新主机的流表将被修改VLANID,将其导入至提前定义好的VLAN中,隔离与其他主机的通信。
2.根据权利要求1所述的方法,其特征是,本方法将真实网络环境一分为二,将可信的和不可信的主机分开放置。
3.根据权利要求1或2所述的方法,其特征是,步骤8)中把不可信的主机放置在临时局域网中,而不是直接删除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410677532.9A CN104394140B (zh) | 2014-11-21 | 2014-11-21 | 一种基于sdn的虚拟网络优化方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410677532.9A CN104394140B (zh) | 2014-11-21 | 2014-11-21 | 一种基于sdn的虚拟网络优化方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104394140A CN104394140A (zh) | 2015-03-04 |
CN104394140B true CN104394140B (zh) | 2018-03-06 |
Family
ID=52611976
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410677532.9A Active CN104394140B (zh) | 2014-11-21 | 2014-11-21 | 一种基于sdn的虚拟网络优化方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104394140B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105978875B (zh) * | 2016-05-11 | 2019-04-05 | 中国人民解放军国防信息学院 | 一种基于服务跳变和智能清洗的动态服务实现方法及系统 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106940696B (zh) * | 2016-01-05 | 2021-12-14 | 中兴通讯股份有限公司 | 一种用于sdn多层控制器的信息查询方法及系统 |
CN108289099B (zh) * | 2018-01-24 | 2021-07-02 | 中国人民大学 | 一种基于时间的sdn网络细粒度控制信息探测方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101414927A (zh) * | 2008-11-20 | 2009-04-22 | 浙江大学 | 用于内网网络攻击检测的报警和响应系统 |
CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
CN102571738A (zh) * | 2010-12-08 | 2012-07-11 | 中国电信股份有限公司 | 基于虚拟局域网交换的入侵防御方法与系统 |
CN104158800A (zh) * | 2014-07-21 | 2014-11-19 | 南京邮电大学 | 一种面向软件定义网络的分布式拒绝服务攻击检测方法 |
-
2014
- 2014-11-21 CN CN201410677532.9A patent/CN104394140B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101414927A (zh) * | 2008-11-20 | 2009-04-22 | 浙江大学 | 用于内网网络攻击检测的报警和响应系统 |
CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
CN102571738A (zh) * | 2010-12-08 | 2012-07-11 | 中国电信股份有限公司 | 基于虚拟局域网交换的入侵防御方法与系统 |
CN104158800A (zh) * | 2014-07-21 | 2014-11-19 | 南京邮电大学 | 一种面向软件定义网络的分布式拒绝服务攻击检测方法 |
Non-Patent Citations (2)
Title |
---|
OpenFlow网络中虚拟网络分片的动态迁移;许逸飞;《网络安全技术与应用》;20131231;全文 * |
虚拟网络构建可靠性研究;蔡进科;《中国优秀硕士学位论文全文数据库 信息科技辑》;20141115;全文 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105978875B (zh) * | 2016-05-11 | 2019-04-05 | 中国人民解放军国防信息学院 | 一种基于服务跳变和智能清洗的动态服务实现方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104394140A (zh) | 2015-03-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230040556A1 (en) | System and method for network policy simulation | |
US11201800B2 (en) | On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints | |
US11533257B2 (en) | Policy plane integration across multiple domains | |
EP2776925B1 (en) | Dynamic policy based interface configuration for virtualized environments | |
US9444634B2 (en) | Miscabling detection protocol | |
US8201168B2 (en) | Virtual input-output connections for machine virtualization | |
EP2845350B1 (en) | Method and apparatus for providing tenant information for network flows | |
CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
Chen et al. | Collaborative network security in multi-tenant data center for cloud computing | |
CN109862045B (zh) | 一种基于sdn的工业控制系统动态防御方法及装置 | |
KR101586469B1 (ko) | 클라우드 카토그래피 방지 | |
EP3594808A1 (en) | Virtual machine migration method, switch, and virtual machine system | |
US10567344B2 (en) | Automatic firewall configuration based on aggregated cloud managed information | |
US20180109429A1 (en) | Intuitive approach to visualize health of microservice policies | |
CN103607399A (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
CN104394140B (zh) | 一种基于sdn的虚拟网络优化方法 | |
US11888876B2 (en) | Intelligent quarantine on switch fabric for physical and virtualized infrastructure | |
Odi et al. | The proposed roles of VLAN and inter-VLAN routing in effective distribution of network services in Ebonyi State University | |
CN105376231A (zh) | 一种实现业务隔离的方法及装置 | |
Higuchi et al. | A Verification Based Flow Space Management Scheme for Multi-Tenant Virtualized Network | |
US20240214402A1 (en) | Intelligent quarantine on switch fabric for physical and virtualized infrastructure | |
Tsai et al. | Discussion on Network Security under SDN Architecture | |
Li et al. | Ouroboros: protocol independent forwarding for sdn |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |