CN106992982B - 一种基于sdn的动态路由协议执行体实现装置及方法 - Google Patents
一种基于sdn的动态路由协议执行体实现装置及方法 Download PDFInfo
- Publication number
- CN106992982B CN106992982B CN201710206898.1A CN201710206898A CN106992982B CN 106992982 B CN106992982 B CN 106992982B CN 201710206898 A CN201710206898 A CN 201710206898A CN 106992982 B CN106992982 B CN 106992982B
- Authority
- CN
- China
- Prior art keywords
- routing
- layer
- network
- scheduling
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,具体的涉及一种基于SDN的动态路由协议执行体实现装置及方法,装置包括:虚拟层、调度管理层、控制层和数据转发层,虚拟层负责路由计算生成路由转发表,控制层通过应用程序完成控制和管理网络的功能,调度管理层负责监控虚拟层运行,并基于感知结果动态调度路由协议执行体的输出,数据转发层由Openflow交换机组成,实现网络数据分组的转发。本发明具有感知动态调度路由协议执行体的管理机制,可有效应对针对路由漏洞和后门所发起的攻击,且使得外来攻击难以持续发起有效攻击,有效的提高了网络路由的安全性能;通过利用不同路由协议执行体的异构特性,使得网络有效应对漏洞与后门的威胁,能更好保证网络运行的鲁棒性、弹性和生存能力。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种基于SDN的动态路由协议执行体实现装置及方法。
背景技术
路由器在网络数据分组交换中扮演着重要的角色,通过路由查找和数据转发,实现端到端的互连互通。由于路由器的特殊地位,针对其漏洞和后门的攻击会导致整个网络运行异常甚至瘫痪。因此,路由器的安全防护成为网络空间安全的重要内容。近年来,路由器厂商因为漏洞和后门引发的安全事件层出不穷。如2016年6月,Netgear路由器存在能泄露登录管理界面密码的漏洞。
而现有的路由保护机制一般为被动防御,在应对上述安全威胁时还存在很大不足,对未知的漏洞与后门无能无力,因此急需一种安全可靠的路由实现方法及装置。
发明内容
本发明针对现有技术的路由保护机制存在一般为被动防御,在应对上述安全威胁时还存在很大不足,对未知的漏洞与后门无能无力等问题,提出一种基于SDN的动态路由协议执行体实现装置及方法。
本发明的技术方案是:一种基于SDN的动态路由协议执行体实现装置,包括虚拟层、调度管理层、控制层和数据转发层,虚拟层负责路由计算生成路由转发表,控制层通过应用程序完成控制和管理网络的功能,调度管理层负责监控虚拟层运行,并基于感知结果动态调度路由协议执行体的输出,数据转发层由Openflow交换机组成,实现网络数据分组的转发;其中,
虚拟层:包含n个路由平面,每个路由平面由多个VM组成,各个路由平面的VM之间通过OVS相连组成虚拟网络与底层物理网络分别一一对应;
调度管理层:由路由服务器、调度器、感知器、调度策略库四部分组成,负责监控上层虚拟网络运行状态,并基于感知结果动态调度路由平面的路由输出作为流表的更新源;
控制层:提供网络的可编程接口,通过编写应用程序完成控制和管理网络的功能;收集底层物理拓扑和交换机状态信息并将该信息转发到路由服务器;接收流表更新,过滤转发到路由服务器的相关事件;
数据转发层:由OpenFlow交换机组成,实现网络数据分组的转发。
所述的基于 SDN的动态路由协议执行体实现装置,所述虚拟层的每个VM上运行路由平台和路由代理,通过路由平台计算路由,路由代理用于管理和配置VM,将路由转发表转换为流表。
所述的基于 SDN的动态路由协议执行体实现装置,所述路由服务器:用于配置上层的虚拟环境,将底层交换机与上层的VM之间建立一一对应关系,负责接收来自控制层的网络事件,负责控制层与上层路由平面之间的信息交互,将底层拓扑变化信息转发到相应的VM上,将路由更新消息转换为流表信息下发到控制层。
所述的基于 SDN的动态路由协议执行体实现装置,所述感知器:实时监测感知上层各路由平面的运行状态并进行异常监测,并根据监测结果修改路由协议执行体的安全等级,若安全等级发生变化则将该变化信息通告给调度器。
所述的基于 SDN的动态路由协议执行体实现装置,所述调度策略库:包含多种调度策略供调度器选择,如定时切换以及触发式切换。
所述的基于 SDN的动态路由协议执行体实现装置,所述调度器:依据设定的调度模式从调度策略库中选择相应的调度策略,基于感知器的感知结果对上层路由平面进行调度管理。
一种基于SDN的动态路由协议执行体实现方法,包括以下步骤:
根据先验知识初始化n个OSPF协议执行体的安全等级;
选定安全等级最高的OSPF协议执行体的输出作为流表更新源;
根据感知器的检测结果更新各个路由执行体的安全等级,然后将感知信息转发到调度器中;
调度器根据感知结果,选择相应的策略,对路由协议执行体进行动态调度;
根据调度结果更新流表并下发。
所述的基于 SDN的动态路由协议执行体实现方法,所述初始化包括:
控制层收集底层物理网络的拓扑信息;
路由服务器和VM上的路由代理协作完成VM与底层的交换机的一一对应关系;
随机选择某一路由平面的输出作为流表更新源。
本发明的有益效果是:本发明具有感知动态调度路由协议执行体的管理机制,可有效应对针对路由漏洞和后门所发起的攻击,且使得外来攻击难以持续发起有效攻击,有效的提高了网络路由的安全性能。本发明通过利用不同路由协议执行体的异构特性,综合各自的安全优势,并结合感知动态的调度方法,使得网络有效应对漏洞与后门的威胁,能更好保证网络运行的鲁棒性、弹性和生存能力,从而提升了网络路由的安全性能。
附图说明
图1为本发明的装置布置示意图;
图2为本发明的一种动态路由协议执行体实现方法流程图;
图3为本发明的一种系统初始化流程图;
图4为本发明的一种报文处理流程图;
图中,1为虚拟层,2为调度管理层,3为控制层,4为数据转发层。
具体实施方式
实施例1:结合图1-图4,一种基于SDN的动态路由协议执行体实现装置,包括虚拟层、调度管理层、控制层和数据转发层,虚拟层负责路由计算生成路由转发表,控制层通过应用程序完成控制和管理网络的功能,调度管理层负责监控虚拟层运行,并基于感知结果动态调度路由协议执行体的输出,数据转发层由Openflow交换机组成,实现网络数据分组的转发;其中,
虚拟层:包含n个路由平面,每个路由平面由多个VM组成,各个路由平面的VM之间通过OVS相连组成虚拟网络与底层物理网络分别一一对应;虚拟层的每个VM上运行路由平台和路由代理,通过路由平台计算路由,路由代理用于管理和配置VM,将路由转发表转换为流表。
调度管理层:由路由服务器、调度器、感知器、调度策略库四部分组成,负责监控上层虚拟网络运行状态,并基于感知结果动态调度路由平面的路由输出作为流表的更新源。
路由服务器:用于配置上层的虚拟环境,将底层交换机与上层的VM之间建立一一对应关系,负责接收来自控制层的网络事件,负责控制层与上层路由平面之间的信息交互,将底层拓扑变化信息转发到相应的VM上,将路由更新消息转换为流表信息下发到控制层。
感知器:实时监测感知上层各路由平面的运行状态并进行异常监测,并根据监测结果修改路由协议执行体的安全等级,若安全等级发生变化则将该变化信息通告给调度器。
调度策略库:包含多种调度策略供调度器选择,如定时切换以及触发式切换。
所述的基于 SDN的动态路由协议执行体实现装置,所述调度器:依据设定的调度模式从调度策略库中选择相应的调度策略,基于感知器的感知结果对上层路由平面进行调度管理。
控制层:提供网络的可编程接口,通过编写应用程序完成控制和管理网络的功能;收集底层物理拓扑和交换机状态信息并将该信息转发到路由服务器;接收流表更新,过滤转发到路由服务器的相关事件。
数据转发层:由OpenFlow交换机组成,实现网络数据分组的转发。
一种基于SDN的动态路由协议执行体实现方法,包括以下步骤:
步骤101:根据先验知识初始化n个OSPF协议执行体的安全等级;
步骤102:选定安全等级最高的OSPF协议执行体的输出作为流表更新源;
步骤103:根据感知器的检测结果更新各个路由执行体的安全等级,然后将感知信息转发到调度器中;
步骤104:调度器根据感知结果,选择相应的策略,对路由协议执行体进行动态调度;
步骤105:根据调度结果更新流表并下发。
所述的基于 SDN的动态路由协议执行体实现方法,所述初始化包括:
步骤201:控制层收集底层物理网络的拓扑信息;
步骤202:路由服务器和VM上的路由代理协作完成VM与底层的交换机的一一对应关系;
步骤203:随机选择某一路由平面的输出作为流表更新源。
具体的,一种报文处理方法,这里假设已经选定一路由平面,且系统的初始化已经完成。
该流程包括:
步骤301:交换机接收到数据报文,对该报文进行解析以确定具体的转发去向;
具体地,若报文为协议报,则将数据报文转发到上层的相对应的VM上进行后续协议的交互处理;若报文为一般的数据报,查找并匹配流表项,若存在相应的流表项,则执行相应的动作;若无对应的流表项,则将该事件消息通过控制器转发到路由服务器,服务器向路由平面发起流表请求;
步骤302:路由平面的路由代理收到流表请求,通过当前的路由表查找相关表项并将该表项转换为流表项。
步骤303:路由服务器接收来自路由平面的流表更新项,并将其转发到控制器,控制器下发该流表项到对应的交换机。
Claims (7)
1.一种基于SDN的动态路由协议执行体实现装置,包括虚拟层、调度管理层、控制层和数据转发层,其特征在于:虚拟层负责路由计算生成路由转发表,控制层通过应用程序完成控制和管理网络的功能,调度管理层负责监控虚拟层运行,并基于感知结果动态调度路由协议执行体的输出,数据转发层由Openflow交换机组成,实现网络数据分组的转发;其中,
虚拟层:包含n个路由平面,每个路由平面由多个VM组成,各个路由平面的VM之间通过OVS相连组成虚拟网络与底层物理网络分别一一对应;
调度管理层:由路由服务器、调度器、感知器、调度策略库四部分组成,负责监控上层虚拟网络运行状态,并基于感知结果动态调度路由平面的路由输出作为流表的更新源;
控制层:提供网络的可编程接口,通过编写应用程序完成控制和管理网络的功能;收集底层物理拓扑和交换机状态信息并将该信息转发到路由服务器;接收流表更新,过滤转发到路由服务器的相关事件;
数据转发层:由OpenFlow交换机组成,实现网络数据分组的转发;
所述路由服务器:用于配置上层的虚拟环境,将底层交换机与上层的VM之间建立一一对应关系,负责接收来自控制层的网络事件,负责控制层与上层路由平面之间的信息交互,将底层拓扑变化信息转发到相应的VM上,将路由更新消息转换为流表信息下发到控制层。
2.根据权利要求1所述的基于 SDN的动态路由协议执行体实现装置,其特征在于:所述虚拟层的每个VM上运行路由平台和路由代理,通过路由平台计算路由,路由代理用于管理和配置VM,将路由转发表转换为流表。
3.根据权利要求1所述的基于SDN的动态路由协议执行体实现装置,其特征在于:所述感知器:实时监测感知上层各路由平面的运行状态并进行异常监测,并根据监测结果修改路由协议执行体的安全等级,若安全等级发生变化则将该变化信息通告给调度器。
4.根据权利要求1所述的基于SDN的动态路由协议执行体实现装置,其特征在于:所述调度策略库:包含多种调度策略供调度器选择,所述调度策略包括定时切换以及触发式切换。
5.根据权利要求1所述的基于SDN的动态路由协议执行体实现装置,其特征在于:所述调度器:依据设定的调度模式从调度策略库中选择相应的调度策略,基于感知器的感知结果对上层路由平面进行调度管理。
6.一种基于SDN的动态路由协议执行体实现方法,其特征在于,所述方法采用如权利要求1所述的基于SDN的动态路由协议执行体实现装置实现,包括以下步骤:
根据先验知识初始化n个OSPF协议执行体的安全等级;
选定安全等级最高的OSPF协议执行体的输出作为流表更新源;
根据感知器的检测结果更新各个路由执行体的安全等级,然后将感知信息转发到调度器中;
调度器根据感知结果,选择相应的策略,对路由协议执行体进行动态调度;
根据调度结果更新流表并下发。
7.根据权利要求6所述的基于 SDN的动态路由协议执行体实现方法,其特征在于,所述初始化包括:
控制层收集底层物理网络的拓扑信息;
路由服务器和VM上的路由代理协作完成VM与底层的交换机的一一对应关系;
随机选择某一路由平面的输出作为流表更新源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710206898.1A CN106992982B (zh) | 2017-03-31 | 2017-03-31 | 一种基于sdn的动态路由协议执行体实现装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710206898.1A CN106992982B (zh) | 2017-03-31 | 2017-03-31 | 一种基于sdn的动态路由协议执行体实现装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106992982A CN106992982A (zh) | 2017-07-28 |
CN106992982B true CN106992982B (zh) | 2020-06-26 |
Family
ID=59414681
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710206898.1A Active CN106992982B (zh) | 2017-03-31 | 2017-03-31 | 一种基于sdn的动态路由协议执行体实现装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106992982B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107809381B (zh) * | 2017-10-19 | 2021-08-10 | 北京邮电大学 | 一种实现基于sdn中路由环路主动审计方法 |
CN109617804B (zh) * | 2018-12-11 | 2020-10-13 | 广东省新一代通信与网络创新研究院 | 路由协议的定义方法、装置、计算机可读存储介质及系统 |
CN111416865B (zh) * | 2020-03-24 | 2022-12-13 | 河南信大网御科技有限公司 | 一种基于拟态防御的协议代理处理方法及系统 |
US11469998B2 (en) * | 2020-05-27 | 2022-10-11 | Juniper Networks, Inc. | Data center tenant network isolation using logical router interconnects for virtual network route leaking |
CN111901238B (zh) * | 2020-07-09 | 2022-10-18 | 中移(杭州)信息技术有限公司 | 动态路由服务方法、装置、电子设备及存储介质 |
CN113079096B (zh) * | 2021-03-19 | 2022-06-03 | 烽火通信科技股份有限公司 | 一种转发流表的内生安全实现装置与方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105791279A (zh) * | 2016-02-29 | 2016-07-20 | 中国人民解放军信息工程大学 | 一种拟态化sdn控制器构建方法 |
CN105847151A (zh) * | 2016-05-25 | 2016-08-10 | 安徽大学 | 一种面向软件定义网络的多约束QoS路由策略设计方法 |
CN106341337A (zh) * | 2016-08-31 | 2017-01-18 | 上海交通大学 | 一种sdn下可实现应用感知的流量检测与控制机构及方法 |
-
2017
- 2017-03-31 CN CN201710206898.1A patent/CN106992982B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105791279A (zh) * | 2016-02-29 | 2016-07-20 | 中国人民解放军信息工程大学 | 一种拟态化sdn控制器构建方法 |
CN105847151A (zh) * | 2016-05-25 | 2016-08-10 | 安徽大学 | 一种面向软件定义网络的多约束QoS路由策略设计方法 |
CN106341337A (zh) * | 2016-08-31 | 2017-01-18 | 上海交通大学 | 一种sdn下可实现应用感知的流量检测与控制机构及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106992982A (zh) | 2017-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106992982B (zh) | 一种基于sdn的动态路由协议执行体实现装置及方法 | |
CN109587168B (zh) | 软件定义网络中基于拟态防御的网络功能部署方法 | |
US10341378B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
Seresht et al. | MAIS-IDS: A distributed intrusion detection system using multi-agent AIS approach | |
US10887340B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
US11265336B2 (en) | Detecting anomalies in networks | |
Carlin et al. | Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges | |
WO2018022901A1 (en) | Regeneration and generational mutation for security and fidelity in software defined networks | |
US8898784B1 (en) | Device for and method of computer intrusion anticipation, detection, and remediation | |
US10193868B2 (en) | Safe security proxy | |
US9491190B2 (en) | Dynamic selection of network traffic for file extraction shellcode detection | |
Guha Roy et al. | A blockchain‐based cyber attack detection scheme for decentralized Internet of Things using software‐defined network | |
Beigi-Mohammadi et al. | CAAMP: Completely automated DDoS attack mitigation platform in hybrid clouds | |
EP3035636B1 (en) | Computer defenses and counterattacks | |
Machado et al. | ANSwer: Combining NFV and SDN features for network resilience strategies | |
Iannucci et al. | A probabilistic approach to autonomic security management | |
Chung et al. | SeReNe: on establishing secure and resilient networking services for an SDN-based multi-tenant datacenter environment | |
CA3041865A1 (en) | High-fidelity model-driven deception platform for cyber-physical systems | |
Tariq et al. | Context-aware autonomous security assertion for industrial IoT | |
Patra et al. | Using online planning and acting to recover from cyberattacks on software-defined networks | |
Zhuang | A theory for understanding and quantifying moving target defense | |
US20220303290A1 (en) | Systems and methods for utilizing a machine learning model to detect anomalies and security attacks in software-defined networking | |
Mukhopadhyay et al. | Heuristic intrusion detection and prevention system | |
EP2815350B1 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
Rawski | Network topology mutation as moving target defense for corporate networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |