CN106992982B - 一种基于sdn的动态路由协议执行体实现装置及方法 - Google Patents

一种基于sdn的动态路由协议执行体实现装置及方法 Download PDF

Info

Publication number
CN106992982B
CN106992982B CN201710206898.1A CN201710206898A CN106992982B CN 106992982 B CN106992982 B CN 106992982B CN 201710206898 A CN201710206898 A CN 201710206898A CN 106992982 B CN106992982 B CN 106992982B
Authority
CN
China
Prior art keywords
routing
layer
network
scheduling
forwarding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710206898.1A
Other languages
English (en)
Other versions
CN106992982A (zh
Inventor
陈鸿昶
艾健健
程国振
扈红超
刘文彦
霍树民
赵硕
李锦玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201710206898.1A priority Critical patent/CN106992982B/zh
Publication of CN106992982A publication Critical patent/CN106992982A/zh
Application granted granted Critical
Publication of CN106992982B publication Critical patent/CN106992982B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全技术领域,具体的涉及一种基于SDN的动态路由协议执行体实现装置及方法,装置包括:虚拟层、调度管理层、控制层和数据转发层,虚拟层负责路由计算生成路由转发表,控制层通过应用程序完成控制和管理网络的功能,调度管理层负责监控虚拟层运行,并基于感知结果动态调度路由协议执行体的输出,数据转发层由Openflow交换机组成,实现网络数据分组的转发。本发明具有感知动态调度路由协议执行体的管理机制,可有效应对针对路由漏洞和后门所发起的攻击,且使得外来攻击难以持续发起有效攻击,有效的提高了网络路由的安全性能;通过利用不同路由协议执行体的异构特性,使得网络有效应对漏洞与后门的威胁,能更好保证网络运行的鲁棒性、弹性和生存能力。

Description

一种基于SDN的动态路由协议执行体实现装置及方法
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种基于SDN的动态路由协议执行体实现装置及方法。
背景技术
路由器在网络数据分组交换中扮演着重要的角色,通过路由查找和数据转发,实现端到端的互连互通。由于路由器的特殊地位,针对其漏洞和后门的攻击会导致整个网络运行异常甚至瘫痪。因此,路由器的安全防护成为网络空间安全的重要内容。近年来,路由器厂商因为漏洞和后门引发的安全事件层出不穷。如2016年6月,Netgear路由器存在能泄露登录管理界面密码的漏洞。
而现有的路由保护机制一般为被动防御,在应对上述安全威胁时还存在很大不足,对未知的漏洞与后门无能无力,因此急需一种安全可靠的路由实现方法及装置。
发明内容
本发明针对现有技术的路由保护机制存在一般为被动防御,在应对上述安全威胁时还存在很大不足,对未知的漏洞与后门无能无力等问题,提出一种基于SDN的动态路由协议执行体实现装置及方法。
本发明的技术方案是:一种基于SDN的动态路由协议执行体实现装置,包括虚拟层、调度管理层、控制层和数据转发层,虚拟层负责路由计算生成路由转发表,控制层通过应用程序完成控制和管理网络的功能,调度管理层负责监控虚拟层运行,并基于感知结果动态调度路由协议执行体的输出,数据转发层由Openflow交换机组成,实现网络数据分组的转发;其中,
虚拟层:包含n个路由平面,每个路由平面由多个VM组成,各个路由平面的VM之间通过OVS相连组成虚拟网络与底层物理网络分别一一对应;
调度管理层:由路由服务器、调度器、感知器、调度策略库四部分组成,负责监控上层虚拟网络运行状态,并基于感知结果动态调度路由平面的路由输出作为流表的更新源;
控制层:提供网络的可编程接口,通过编写应用程序完成控制和管理网络的功能;收集底层物理拓扑和交换机状态信息并将该信息转发到路由服务器;接收流表更新,过滤转发到路由服务器的相关事件;
数据转发层:由OpenFlow交换机组成,实现网络数据分组的转发。
所述的基于 SDN的动态路由协议执行体实现装置,所述虚拟层的每个VM上运行路由平台和路由代理,通过路由平台计算路由,路由代理用于管理和配置VM,将路由转发表转换为流表。
所述的基于 SDN的动态路由协议执行体实现装置,所述路由服务器:用于配置上层的虚拟环境,将底层交换机与上层的VM之间建立一一对应关系,负责接收来自控制层的网络事件,负责控制层与上层路由平面之间的信息交互,将底层拓扑变化信息转发到相应的VM上,将路由更新消息转换为流表信息下发到控制层。
所述的基于 SDN的动态路由协议执行体实现装置,所述感知器:实时监测感知上层各路由平面的运行状态并进行异常监测,并根据监测结果修改路由协议执行体的安全等级,若安全等级发生变化则将该变化信息通告给调度器。
所述的基于 SDN的动态路由协议执行体实现装置,所述调度策略库:包含多种调度策略供调度器选择,如定时切换以及触发式切换。
所述的基于 SDN的动态路由协议执行体实现装置,所述调度器:依据设定的调度模式从调度策略库中选择相应的调度策略,基于感知器的感知结果对上层路由平面进行调度管理。
一种基于SDN的动态路由协议执行体实现方法,包括以下步骤:
根据先验知识初始化n个OSPF协议执行体的安全等级;
选定安全等级最高的OSPF协议执行体的输出作为流表更新源;
根据感知器的检测结果更新各个路由执行体的安全等级,然后将感知信息转发到调度器中;
调度器根据感知结果,选择相应的策略,对路由协议执行体进行动态调度;
根据调度结果更新流表并下发。
所述的基于 SDN的动态路由协议执行体实现方法,所述初始化包括:
控制层收集底层物理网络的拓扑信息;
路由服务器和VM上的路由代理协作完成VM与底层的交换机的一一对应关系;
随机选择某一路由平面的输出作为流表更新源。
本发明的有益效果是:本发明具有感知动态调度路由协议执行体的管理机制,可有效应对针对路由漏洞和后门所发起的攻击,且使得外来攻击难以持续发起有效攻击,有效的提高了网络路由的安全性能。本发明通过利用不同路由协议执行体的异构特性,综合各自的安全优势,并结合感知动态的调度方法,使得网络有效应对漏洞与后门的威胁,能更好保证网络运行的鲁棒性、弹性和生存能力,从而提升了网络路由的安全性能。
附图说明
图1为本发明的装置布置示意图;
图2为本发明的一种动态路由协议执行体实现方法流程图;
图3为本发明的一种系统初始化流程图;
图4为本发明的一种报文处理流程图;
图中,1为虚拟层,2为调度管理层,3为控制层,4为数据转发层。
具体实施方式
实施例1:结合图1-图4,一种基于SDN的动态路由协议执行体实现装置,包括虚拟层、调度管理层、控制层和数据转发层,虚拟层负责路由计算生成路由转发表,控制层通过应用程序完成控制和管理网络的功能,调度管理层负责监控虚拟层运行,并基于感知结果动态调度路由协议执行体的输出,数据转发层由Openflow交换机组成,实现网络数据分组的转发;其中,
虚拟层:包含n个路由平面,每个路由平面由多个VM组成,各个路由平面的VM之间通过OVS相连组成虚拟网络与底层物理网络分别一一对应;虚拟层的每个VM上运行路由平台和路由代理,通过路由平台计算路由,路由代理用于管理和配置VM,将路由转发表转换为流表。
调度管理层:由路由服务器、调度器、感知器、调度策略库四部分组成,负责监控上层虚拟网络运行状态,并基于感知结果动态调度路由平面的路由输出作为流表的更新源。
路由服务器:用于配置上层的虚拟环境,将底层交换机与上层的VM之间建立一一对应关系,负责接收来自控制层的网络事件,负责控制层与上层路由平面之间的信息交互,将底层拓扑变化信息转发到相应的VM上,将路由更新消息转换为流表信息下发到控制层。
感知器:实时监测感知上层各路由平面的运行状态并进行异常监测,并根据监测结果修改路由协议执行体的安全等级,若安全等级发生变化则将该变化信息通告给调度器。
调度策略库:包含多种调度策略供调度器选择,如定时切换以及触发式切换。
所述的基于 SDN的动态路由协议执行体实现装置,所述调度器:依据设定的调度模式从调度策略库中选择相应的调度策略,基于感知器的感知结果对上层路由平面进行调度管理。
控制层:提供网络的可编程接口,通过编写应用程序完成控制和管理网络的功能;收集底层物理拓扑和交换机状态信息并将该信息转发到路由服务器;接收流表更新,过滤转发到路由服务器的相关事件。
数据转发层:由OpenFlow交换机组成,实现网络数据分组的转发。
一种基于SDN的动态路由协议执行体实现方法,包括以下步骤:
步骤101:根据先验知识初始化n个OSPF协议执行体的安全等级;
步骤102:选定安全等级最高的OSPF协议执行体的输出作为流表更新源;
步骤103:根据感知器的检测结果更新各个路由执行体的安全等级,然后将感知信息转发到调度器中;
步骤104:调度器根据感知结果,选择相应的策略,对路由协议执行体进行动态调度;
步骤105:根据调度结果更新流表并下发。
所述的基于 SDN的动态路由协议执行体实现方法,所述初始化包括:
步骤201:控制层收集底层物理网络的拓扑信息;
步骤202:路由服务器和VM上的路由代理协作完成VM与底层的交换机的一一对应关系;
步骤203:随机选择某一路由平面的输出作为流表更新源。
具体的,一种报文处理方法,这里假设已经选定一路由平面,且系统的初始化已经完成。
该流程包括:
步骤301:交换机接收到数据报文,对该报文进行解析以确定具体的转发去向;
具体地,若报文为协议报,则将数据报文转发到上层的相对应的VM上进行后续协议的交互处理;若报文为一般的数据报,查找并匹配流表项,若存在相应的流表项,则执行相应的动作;若无对应的流表项,则将该事件消息通过控制器转发到路由服务器,服务器向路由平面发起流表请求;
步骤302:路由平面的路由代理收到流表请求,通过当前的路由表查找相关表项并将该表项转换为流表项。
步骤303:路由服务器接收来自路由平面的流表更新项,并将其转发到控制器,控制器下发该流表项到对应的交换机。

Claims (7)

1.一种基于SDN的动态路由协议执行体实现装置,包括虚拟层、调度管理层、控制层和数据转发层,其特征在于:虚拟层负责路由计算生成路由转发表,控制层通过应用程序完成控制和管理网络的功能,调度管理层负责监控虚拟层运行,并基于感知结果动态调度路由协议执行体的输出,数据转发层由Openflow交换机组成,实现网络数据分组的转发;其中,
虚拟层:包含n个路由平面,每个路由平面由多个VM组成,各个路由平面的VM之间通过OVS相连组成虚拟网络与底层物理网络分别一一对应;
调度管理层:由路由服务器、调度器、感知器、调度策略库四部分组成,负责监控上层虚拟网络运行状态,并基于感知结果动态调度路由平面的路由输出作为流表的更新源;
控制层:提供网络的可编程接口,通过编写应用程序完成控制和管理网络的功能;收集底层物理拓扑和交换机状态信息并将该信息转发到路由服务器;接收流表更新,过滤转发到路由服务器的相关事件;
数据转发层:由OpenFlow交换机组成,实现网络数据分组的转发;
所述路由服务器:用于配置上层的虚拟环境,将底层交换机与上层的VM之间建立一一对应关系,负责接收来自控制层的网络事件,负责控制层与上层路由平面之间的信息交互,将底层拓扑变化信息转发到相应的VM上,将路由更新消息转换为流表信息下发到控制层。
2.根据权利要求1所述的基于 SDN的动态路由协议执行体实现装置,其特征在于:所述虚拟层的每个VM上运行路由平台和路由代理,通过路由平台计算路由,路由代理用于管理和配置VM,将路由转发表转换为流表。
3.根据权利要求1所述的基于SDN的动态路由协议执行体实现装置,其特征在于:所述感知器:实时监测感知上层各路由平面的运行状态并进行异常监测,并根据监测结果修改路由协议执行体的安全等级,若安全等级发生变化则将该变化信息通告给调度器。
4.根据权利要求1所述的基于SDN的动态路由协议执行体实现装置,其特征在于:所述调度策略库:包含多种调度策略供调度器选择,所述调度策略包括定时切换以及触发式切换。
5.根据权利要求1所述的基于SDN的动态路由协议执行体实现装置,其特征在于:所述调度器:依据设定的调度模式从调度策略库中选择相应的调度策略,基于感知器的感知结果对上层路由平面进行调度管理。
6.一种基于SDN的动态路由协议执行体实现方法,其特征在于,所述方法采用如权利要求1所述的基于SDN的动态路由协议执行体实现装置实现,包括以下步骤:
根据先验知识初始化n个OSPF协议执行体的安全等级;
选定安全等级最高的OSPF协议执行体的输出作为流表更新源;
根据感知器的检测结果更新各个路由执行体的安全等级,然后将感知信息转发到调度器中;
调度器根据感知结果,选择相应的策略,对路由协议执行体进行动态调度;
根据调度结果更新流表并下发。
7.根据权利要求6所述的基于 SDN的动态路由协议执行体实现方法,其特征在于,所述初始化包括:
控制层收集底层物理网络的拓扑信息;
路由服务器和VM上的路由代理协作完成VM与底层的交换机的一一对应关系;
随机选择某一路由平面的输出作为流表更新源。
CN201710206898.1A 2017-03-31 2017-03-31 一种基于sdn的动态路由协议执行体实现装置及方法 Active CN106992982B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710206898.1A CN106992982B (zh) 2017-03-31 2017-03-31 一种基于sdn的动态路由协议执行体实现装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710206898.1A CN106992982B (zh) 2017-03-31 2017-03-31 一种基于sdn的动态路由协议执行体实现装置及方法

Publications (2)

Publication Number Publication Date
CN106992982A CN106992982A (zh) 2017-07-28
CN106992982B true CN106992982B (zh) 2020-06-26

Family

ID=59414681

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710206898.1A Active CN106992982B (zh) 2017-03-31 2017-03-31 一种基于sdn的动态路由协议执行体实现装置及方法

Country Status (1)

Country Link
CN (1) CN106992982B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107809381B (zh) * 2017-10-19 2021-08-10 北京邮电大学 一种实现基于sdn中路由环路主动审计方法
CN109617804B (zh) * 2018-12-11 2020-10-13 广东省新一代通信与网络创新研究院 路由协议的定义方法、装置、计算机可读存储介质及系统
CN111416865B (zh) * 2020-03-24 2022-12-13 河南信大网御科技有限公司 一种基于拟态防御的协议代理处理方法及系统
US11469998B2 (en) * 2020-05-27 2022-10-11 Juniper Networks, Inc. Data center tenant network isolation using logical router interconnects for virtual network route leaking
CN111901238B (zh) * 2020-07-09 2022-10-18 中移(杭州)信息技术有限公司 动态路由服务方法、装置、电子设备及存储介质
CN113079096B (zh) * 2021-03-19 2022-06-03 烽火通信科技股份有限公司 一种转发流表的内生安全实现装置与方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105791279A (zh) * 2016-02-29 2016-07-20 中国人民解放军信息工程大学 一种拟态化sdn控制器构建方法
CN105847151A (zh) * 2016-05-25 2016-08-10 安徽大学 一种面向软件定义网络的多约束QoS路由策略设计方法
CN106341337A (zh) * 2016-08-31 2017-01-18 上海交通大学 一种sdn下可实现应用感知的流量检测与控制机构及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105791279A (zh) * 2016-02-29 2016-07-20 中国人民解放军信息工程大学 一种拟态化sdn控制器构建方法
CN105847151A (zh) * 2016-05-25 2016-08-10 安徽大学 一种面向软件定义网络的多约束QoS路由策略设计方法
CN106341337A (zh) * 2016-08-31 2017-01-18 上海交通大学 一种sdn下可实现应用感知的流量检测与控制机构及方法

Also Published As

Publication number Publication date
CN106992982A (zh) 2017-07-28

Similar Documents

Publication Publication Date Title
CN106992982B (zh) 一种基于sdn的动态路由协议执行体实现装置及方法
CN109587168B (zh) 软件定义网络中基于拟态防御的网络功能部署方法
US10341378B2 (en) Methods, systems, and media for inhibiting attacks on embedded devices
Seresht et al. MAIS-IDS: A distributed intrusion detection system using multi-agent AIS approach
US10887340B2 (en) Methods, systems, and media for inhibiting attacks on embedded devices
US11265336B2 (en) Detecting anomalies in networks
Carlin et al. Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges
WO2018022901A1 (en) Regeneration and generational mutation for security and fidelity in software defined networks
US8898784B1 (en) Device for and method of computer intrusion anticipation, detection, and remediation
US10193868B2 (en) Safe security proxy
US9491190B2 (en) Dynamic selection of network traffic for file extraction shellcode detection
Guha Roy et al. A blockchain‐based cyber attack detection scheme for decentralized Internet of Things using software‐defined network
Beigi-Mohammadi et al. CAAMP: Completely automated DDoS attack mitigation platform in hybrid clouds
EP3035636B1 (en) Computer defenses and counterattacks
Machado et al. ANSwer: Combining NFV and SDN features for network resilience strategies
Iannucci et al. A probabilistic approach to autonomic security management
Chung et al. SeReNe: on establishing secure and resilient networking services for an SDN-based multi-tenant datacenter environment
CA3041865A1 (en) High-fidelity model-driven deception platform for cyber-physical systems
Tariq et al. Context-aware autonomous security assertion for industrial IoT
Patra et al. Using online planning and acting to recover from cyberattacks on software-defined networks
Zhuang A theory for understanding and quantifying moving target defense
US20220303290A1 (en) Systems and methods for utilizing a machine learning model to detect anomalies and security attacks in software-defined networking
Mukhopadhyay et al. Heuristic intrusion detection and prevention system
EP2815350B1 (en) Methods, systems, and media for inhibiting attacks on embedded devices
Rawski Network topology mutation as moving target defense for corporate networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant