CN108289099A - 一种基于时间的sdn网络细粒度控制信息探测方法 - Google Patents
一种基于时间的sdn网络细粒度控制信息探测方法 Download PDFInfo
- Publication number
- CN108289099A CN108289099A CN201810069201.5A CN201810069201A CN108289099A CN 108289099 A CN108289099 A CN 108289099A CN 201810069201 A CN201810069201 A CN 201810069201A CN 108289099 A CN108289099 A CN 108289099A
- Authority
- CN
- China
- Prior art keywords
- host
- time
- packet
- domain
- experiment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于时间的SDN网络细粒度控制信息探测方法,其步骤:设置两台能够相互通信的第一主机和第二主机,两台主机互相发送UDP数据包,并分别采集记录UDP数据包的发送时间和接收时间,得到时间数据;根据采集到的时间数据进行时间特征分析,判断被探测域是否为匹配域。本发明基于时间特征分析方法探测得到SDN环境中的流规则匹配域信息,该信息属于网络环境中的细粒度控制信息,并且该方法不依赖于控制器类型等先验知识,在一般SDN环境中具有通用性。
Description
技术领域
本发明涉及一种细粒度控制信息探测方法,特别是关于一种基于时间的SDN网络细粒度控制信息探测方法。
背景技术
SDN即软件定义网络,是一种新型的网络架构,相比于传统网络,SDN架构将控制与转发解耦合,具有更强的灵活性、开放性和可编程性,在校园网络和云数据中心得到广泛应用,SDN技术也被一些运营商认为是的未来网络的发展方向。SDN具有集中化控制的特点,控制层通过向数据层交换机发送指令或安装规则,决定如何转发网络中的数据包。
网络信息探测技术主要用于探测和收集目标网络或目标网络中的特定主机的基本特征、网络或系统配置、运行状态等信息。常见的网络信息探测技术有端口扫描、拓扑扫描等。网络中的恶意用户或攻击者在发起攻击之前一般要对目标网络进行信息探测。通常,根据探测目标的不同,所采用的探测技术也相应不同。已有的在SDN网络中的信息探测技术主要探测的信息内容为目标SDN运行的控制器类型以及已经安装在交换机上的流规则的相关信息。
已有的SDN网络信息探测方法存在的主要问题有:1、需要控制网络中的基础设施,例如OpenFlow交换机等。在实际应用环境中,基础设施通常由网络服务提供者管理和维护,信息探测者要攻破并利用网络设备难度较大。2、探测得到的信息量有限。一些工作针对已经安装在交换设备上的流规则进行探测,所能得到的信息量有限。3、探测方法需要基于一定的先验知识。已有的一些技术虽然可以探测到如网络安全策略等敏感度较高的信息,但是探测方法基于控制器类型、能够流经控制器的流量类型等先验知识,在实际的探测中获取这些先验知识有一定难度。
发明内容
针对上述问题,本发明的目的是提供一种基于时间的SDN网络细粒度控制信息探测方法,该方法不基于网络环境的先验知识,在一般SDN环境中具有通用性,揭示了SDN网络中存在的控制信息泄露风险,为安全网络建设者提供启发。
为实现上述目的,本发明采取以下技术方案:一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于包括以下步骤:1)设置两台能够相互通信的第一主机和第二主机,两台主机互相发送UDP数据包,并分别采集记录UDP数据包的发送时间和接收时间,得到时间数据;2)根据采集到的时间数据进行时间特征分析,判断被探测域是否为匹配域。
进一步,所述步骤1)中,针对非目标地址域的探测,时间数据采集的方法包括以下步骤:1.1)选取一个待探测的包头域MF,以及该包头域的合法域值范围F,确定测试样本数N;1.2)初始化当前实验组数Num=0,假设第一主机H1为发送方主机,第二主机H2为接收方主机,且发送方主机与接收方主机都开启TCPDUMP,记录经过网卡的数据包;1.3)发送方主机在合法域值范围F内随机选取一个值V,采用Scapy工具构造UDP包P,其中UDP包P的包头域MF的值为V,其他域值保持默认值;1.4)以1秒的时间间隔发送四次相同的UDP包;1.5)以步骤1.3)和步骤1.4)的两步操作为一组实验,重复N组实验;当前实验组数Num加一,若Num>=N时,当前被探测域的探测包全部发送完成;反之,返回步骤1.3);1.6)从发送方主机H1和接收方主机H2上分别导出TCPDUMP抓取的UDP包数据,根据UDP包的信息段内容,分别取出属于各组实验的数据包,并提取UDP包P在网卡上出现的时间。
进一步,所述步骤1.1)中,样本数应小于包头域能选取的合法域值数量。
进一步,所述步骤1.3)中,UDP包的信息段为此UDP包的标识符,记录该UDP包是第n组实验的第m个UDP包,n=1,…,N;m=1,2,3,4。
进一步,所述步骤1.6)中,提取过程如下:1.6.1)在发送方主机H1网卡上出现的时刻分别记为si,在接收方主机H2网卡上出现的时刻分别记为rti;如果其中某一个包没有如预期出现在包记录中,则该时间变量记为空,其中,i=m=1,2,3,4;1.6.2)针对每组实验的4个UDP包计算传输时延ti=rti-sti,若sti或rti任意一个为空,则ti记为空;1.6.3)针对每组实验,根据ti计算△t1=t2-t1,△t2=t4-t3,若ti中任意一个为空,则△ti记为空;1.6.4)按照以上步骤,每组实验数据对应一对△t1和△t2,记△t1的数据集合为TC1,记△t2的数据集合为TC2。
进一步,所述步骤1)中,针对目标地址域的探测,时间数据采集的方法包括以下步骤:1.1)选取一个待探测的目标地址域MFD,以及该目标地址域的合法域值范围FD,目标地址域MFD对应的源地址域为MFS,确定测试样本数N,且第一主机H1与第二主机H2分别开启TCPDUMP,记录经过网卡的数据包;1.2)在合法域值范围FD内随机选取一个值V,第一主机H1使用Scapy工具构造UDP包PS,其中PS的MFS域的值为V,其他域值保持默认值;UDP包的信息段为此UDP包的标识符,记录该UDP包是第n组实验的第m个包;第二主机H2接收到UDP包PS后,调换UDP包PS的MFS与MFD域值,构造UDP包PD;其中,n=1,…,N;m=1,2,3,4;1.3)第一主机H1与第二主机H2开启TCPDUMP分别抓取各自网卡上经过的数据包,第一主机H1以1秒为时间间隔向第二主机H2连续发送4次包PS;相应地,第二主机H2向第一主机H1发送4次包PD;1.4)以步骤1.2)和步骤1.3)两步操作为一组实验,重复N组实验;1.5)从第一主机H1和第二主机H2上分别导出TCPDUMP抓取的包数据,根据包的信息段内容,分别取出属于各组实验的数据包,并提取包P在网卡上出现的时间。
进一步,所述步骤1.1)中,样本数应小于该目标地址域能选取的合法域值数量。
进一步,所述步骤1.5)中,提取过程如下:1.5.1)在第二主机H2网卡上出现的时刻分别记为si,在第一主机H1网卡上出现的时刻分别记为rti;如果其中某一个包没有如预期出现在包记录中,则该时间变量记为空,i=m=1,2,3,4;1.5.2)针对每组实验的4个包计算ti=rti-sti,若sti或rti任意一个为空,则ti记为空;1.5.3)针对每组实验,根据ti计算△t1=t2-t1,△t2=t4-t3,若ti中任意一个为空,△ti记为空;1.5.4)按照以上步骤,每组实验数据对应一对△t1和△t2,记△t1的数据集合为TC1,记△t2的数据集合为TC2。
进一步,所述时间特征分析对象为数据集TC1和TC2,两个数据集分别对应统计变量T1和T2,分析过程包括以下步骤:2.1)数据预处理:去除数据集合中的空元素;2.2)确定可接受误差△x:第一主机H1向第二主机H2发送5~10个Ping包,获得响应时间均值RTT,计算可接受误差△x=RTT/2;2.3)计算T1分布在T2均值±△x范围内的概率P;2.4)判断被探测域是否为匹配域:若P<0.05,则判断该被探测域为匹配域,否则判断该被探测域不是匹配域。
进一步,所述步骤2.3)中,概率P的计算方法为:首先根据TC2计算得到平均值μ,然后计算得到TC1中的数据分布在(μ-△x,μ+△x)区间内的概率P。
本发明由于采取以上技术方案,其具有以下优点:1、本发明基于时间特征分析方法探测得到SDN环境中的流规则匹配域信息,该信息属于网络环境中的细粒度控制信息,具有较高价值。2、本发明使用SDN环境中的两台具备互相通信能力的主机完成探测,在实际场景中易于实现。3、本发明中的探测方法不依赖于控制器类型等先验知识,在一般SDN环境中具有通用性。4、本发明的探测方法揭示了SDN网络中存在的控制信息泄露风险,为安全网络建设者提供启发。
附图说明
图1是本发明的总体流程示意图;
图2是本发明实施时间数据采集方法的流程示意图。
具体实施方式
下面结合附图和实施例对本发明进行详细的描述。
如图1所示,本发明提供一种基于时间的SDN网络细粒度控制信息探测方法,该方法探测的目标是基于OpenFlow协议的SDN环境中的流规则匹配域信息,且该方法不依赖于网络环境先验知识,只需使用SDN内两台能够互相通信的主机。具体包括以下步骤:
1)设置两台能够相互通信的第一主机和第二主机,两台主机互相发送UDP(用户数据报协议)数据包,并分别采集记录UDP数据包的发送时间和接收时间,得到时间数据;
2)根据采集到的时间数据进行时间特征分析,判断被探测域是否为匹配域,进而探测得到SDN环境中的流规则匹配域信息,该信息属于网络环境中的细粒度控制信息。
上述步骤1)中,在一个优选的实施例中,如图2所示,针对一般包头域(即非目标地址域)的探测,时间数据采集的方法包括以下步骤:
1.1)选取一个待探测的包头域MF,以及该包头域的合法域值范围F。同时确定测试样本数N,样本数理论上应小于该包头域可选取的合法域值数量。
1.2)初始化当前实验组数Num=0,假设第一主机H1为发送方主机,第二主机H2为接收方主机,且发送方主机与接收方主机都开启TCPDUMP,记录经过网卡的数据包。
1.3)发送方主机在合法域值范围F内随机选取一个值V,采用Scapy工具构造UDP包P,其中UDP包P的包头域MF的值为V,其他域值保持默认值。UDP包的信息段为此UDP包的标识符,记录该UDP包是第n组实验的第m个UDP包(n=1,…,N;m=1,2,3,4)。
1.4)以1秒的时间间隔发送四次相同的UDP包。
1.5)以步骤1.3)和步骤1.4)的两步操作为一组实验,每完成一组实验,当前实验组数Num加一,若Num>=N时,当前被探测域的探测包全部发送完成;反之,返回步骤1.3)。
在发送方主机发送数据包的整个过程中,接收方主机H2始终开启TCPDUMP接收并抓取上接收到的数据包。
1.6)获取时间信息。从发送方主机H1和接收方主机H2上分别导出TCPDUMP抓取的UDP包数据,根据UDP包的信息段内容,分别取出属于各组实验的数据包,并提取UDP包P在网卡上出现的时间;
提取过程如下:
1.6.1)在发送方主机H1网卡上出现的时刻分别记为sti(i=m=1,2,3,4),在接收方主机H2网卡上出现的时刻分别记为rti(i=m=1,2,3,4)。如果其中某一个包没有如预期出现在包记录中,则该时间变量记为空。
1.6.2)针对每组实验的4个UDP包计算传输时延ti=rti-sti(i=1,2,3,4),若sti或rti任意一个为空,则ti记为空。
1.6.3)针对每组实验,根据ti计算△t1=t2-t1,△t2=t4-t3,若ti中任意一个为空,则△ti记为空。
1.6.4)按照以上步骤,每组实验数据对应一对△t1和△t2。记△t1的集合为TC1,记△t2的集合为TC2,完成一般包头域的探测。
上述步骤1)中,在一个优选的实施例中,若探测的包头域是目标地址域,则时间数据采集的方法包括以下步骤:
1.1)选取一个待探测的目标地址域MFD,以及该目标地址域的合法域值范围FD,目标地址域MFD对应的源地址域为MFS。同时确定测试样本数N,样本数理论上应小于该目标地址域可选取的合法域值数量。第一主机H1与第二主机H2分别开启TCPDUMP,记录经过网卡的数据包。
1.2)在合法域值范围FD内随机选取一个值V。第一主机H1采用Scapy工具构造UDP包PS,其中UDP包PS的MFS域的值为V,其他域值保持默认值。UDP包的信息段为此UDP包的标识符,记录该UDP包是第n组实验的第m个包(n=1,…,N;m=1,2,3,4)。第二主机H2接收到UDP包PS后,调换UDP包PS的源地址域MFS与目标地址域MFD域值,构造UDP包PD。
1.3)第一主机H1以1秒为时间间隔向第二主机H2连续发送4次包PS。相应地,第二主机H2向第一主机H1发送4次包PD。
1.4)以步骤1.2)和步骤1.3)两步操作为一组实验,重复N组实验。
1.5)获取时间信息。从第一主机H1和第二主机H2上分别导出TCPDUMP抓取的包数据,根据包的信息段内容,分别取出属于各组实验的数据包,并提取包P在网卡上出现的时间;
提取过程如下:
1.5.1)在第二主机H2网卡上出现的时刻分别记为si(i=m=1,2,3,4),在第一主机H1网卡上出现的时刻分别记为rti(i=m=1,2,3,4)。如果其中某一个包没有如预期出现在包记录中,则该时间变量记为空。
1.5.2)针对每组实验的4个包计算ti=rti-sti(i=1,2,3,4),若sti或rti任意一个为空,则ti记为空。
1.5.3)针对每组实验,根据ti计算△t1=t2-t1,△t2=t4-t3,若ti中任意一个为空,△ti记为空。
1.5.4)按照以上步骤,每组实验数据对应一对△t1和△t2。记△t1的数据集合为TC1,记△t2的数据集合为TC2。
上述步骤2)中,时间特征分析对象为数据集合TC1和TC2,两个数据集合分别对应统计变量T1和T2,具体分析过程包括以下步骤:
2.1)数据预处理:去除集合中的空元素。
2.2)确定可接受误差△x:第一主机H1向第二主机H2发送5~10个Ping包,获得响应时间均值RTT,计算可接受误差△x=RTT/2。
2.3)计算统计变量T1分布在统计变量T2均值±△x范围内的概率P:首先根据TC2计算得到平均值μ,然后计算得到TC1中的数据分布在(μ-△x,μ+△x)区间内的概率P。
2.4)判断被探测域是否为匹配域:若P<0.05,则判断该被探测域为匹配域,否则判断该被探测域不是匹配域。
上述各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于包括以下步骤:
1)设置两台能够相互通信的第一主机和第二主机,两台主机互相发送UDP数据包,并分别采集记录UDP数据包的发送时间和接收时间,得到时间数据;
2)根据采集到的时间数据进行时间特征分析,判断被探测域是否为匹配域。
2.如权利要求1所述的一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于,所述步骤1)中,针对非目标地址域的探测,时间数据采集的方法包括以下步骤:
1.1)选取一个待探测的包头域MF,以及该包头域的合法域值范围F,确定测试样本数N;
1.2)初始化当前实验组数Num=0,假设第一主机H1为发送方主机,第二主机H2为接收方主机,且发送方主机与接收方主机都开启TCPDUMP,记录经过网卡的数据包;
1.3)发送方主机在合法域值范围F内随机选取一个值V,采用Scapy工具构造UDP包P,其中UDP包P的包头域MF的值为V,其他域值保持默认值;
1.4)以1秒的时间间隔发送四次相同的UDP包;
1.5)以步骤1.3)和步骤1.4)的两步操作为一组实验,重复N组实验;当前实验组数Num加一,若Num>=N时,当前被探测域的探测包全部发送完成;反之,返回步骤1.3);
1.6)从发送方主机H1和接收方主机H2上分别导出TCPDUMP抓取的UDP包数据,根据UDP包的信息段内容,分别取出属于各组实验的数据包,并提取UDP包P在网卡上出现的时间。
3.如权利要求2所述的一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于,所述步骤1.1)中,样本数应小于包头域能选取的合法域值数量。
4.如权利要求2所述的一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于:所述步骤1.3)中,UDP包的信息段为此UDP包的标识符,记录该UDP包是第n组实验的第m个UDP包,n=1,…,N;m=1,2,3,4。
5.如权利要求2所述的一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于,所述步骤1.6)中,提取过程如下:
1.6.1)在发送方主机H1网卡上出现的时刻分别记为si,在接收方主机H2网卡上出现的时刻分别记为rti;如果其中某一个包没有如预期出现在包记录中,则该时间变量记为空,其中,i=m=1,2,3,4;
1.6.2)针对每组实验的4个UDP包计算传输时延ti=rti-sti,若sti或rti任意一个为空,则ti记为空;
1.6.3)针对每组实验,根据ti计算△t1=t2-t1,△t2=t4-t3,若ti中任意一个为空,则△ti记为空;
1.6.4)按照以上步骤,每组实验数据对应一对△t1和△t2,记△t1的数据集合为TC1,记△t2的数据集合为TC2。
6.如权利要求1所述的一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于,所述步骤1)中,针对目标地址域的探测,时间数据采集的方法包括以下步骤:
1.1)选取一个待探测的目标地址域MFD,以及该目标地址域的合法域值范围FD,目标地址域MFD对应的源地址域为MFS,确定测试样本数N,且第一主机H1与第二主机H2分别开启TCPDUMP,记录经过网卡的数据包;
1.2)在合法域值范围FD内随机选取一个值V,第一主机H1使用Scapy工具构造UDP包PS,其中PS的MFS域的值为V,其他域值保持默认值;UDP包的信息段为此UDP包的标识符,记录该UDP包是第n组实验的第m个包;第二主机H2接收到UDP包PS后,调换UDP包PS的MFS与MFD域值,构造UDP包PD;其中,n=1,…,N;m=1,2,3,4;
1.3)第一主机H1与第二主机H2开启TCPDUMP分别抓取各自网卡上经过的数据包,第一主机H1以1秒为时间间隔向第二主机H2连续发送4次包PS;相应地,第二主机H2向第一主机H1发送4次包PD;
1.4)以步骤1.2)和步骤1.3)两步操作为一组实验,重复N组实验;
1.5)从第一主机H1和第二主机H2上分别导出TCPDUMP抓取的包数据,根据包的信息段内容,分别取出属于各组实验的数据包,并提取包P在网卡上出现的时间。
7.如权利要求6所述的一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于,所述步骤1.1)中,样本数应小于该目标地址域能选取的合法域值数量。
8.如权利要求6所述的一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于,所述步骤1.5)中,提取过程如下:
1.5.1)在第二主机H2网卡上出现的时刻分别记为si,在第一主机H1网卡上出现的时刻分别记为rti;如果其中某一个包没有如预期出现在包记录中,则该时间变量记为空,i=m=1,2,3,4;
1.5.2)针对每组实验的4个包计算ti=rti-sti,若sti或rti任意一个为空,则ti记为空;
1.5.3)针对每组实验,根据ti计算△t1=t2-t1,△t2=t4-t3,若ti中任意一个为空,△ti记为空;
1.5.4)按照以上步骤,每组实验数据对应一对△t1和△t2,记△t1的数据集合为TC1,记△t2的数据集合为TC2。
9.如权利要求5或8所述的一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于:所述时间特征分析对象为数据集TC1和TC2,两个数据集分别对应统计变量T1和T2,分析过程包括以下步骤:
2.1)数据预处理:去除数据集合中的空元素;
2.2)确定可接受误差△x:第一主机H1向第二主机H2发送5~10个Ping包,获得响应时间均值RTT,计算可接受误差△x=RTT/2;
2.3)计算T1分布在T2均值±△x范围内的概率P;
2.4)判断被探测域是否为匹配域:若P<0.05,则判断该被探测域为匹配域,否则判断该被探测域不是匹配域。
10.如权利要求9所述的一种基于时间的SDN网络细粒度控制信息探测方法,其特征在于:所述步骤2.3)中,概率P的计算方法为:首先根据TC2计算得到平均值μ,然后计算得到TC1中的数据分布在(μ-△x,μ+△x)区间内的概率P。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810069201.5A CN108289099B (zh) | 2018-01-24 | 2018-01-24 | 一种基于时间的sdn网络细粒度控制信息探测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810069201.5A CN108289099B (zh) | 2018-01-24 | 2018-01-24 | 一种基于时间的sdn网络细粒度控制信息探测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108289099A true CN108289099A (zh) | 2018-07-17 |
CN108289099B CN108289099B (zh) | 2021-07-02 |
Family
ID=62835697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810069201.5A Active CN108289099B (zh) | 2018-01-24 | 2018-01-24 | 一种基于时间的sdn网络细粒度控制信息探测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108289099B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109818834A (zh) * | 2019-03-25 | 2019-05-28 | 国家计算机网络与信息安全管理中心 | 一种轻量级的sdn流表规则探测工具及探测方法 |
CN110138777A (zh) * | 2019-05-15 | 2019-08-16 | 电子科技大学 | 一种基于区域增长算法的sdn流规则探测方法 |
CN113765728A (zh) * | 2020-06-04 | 2021-12-07 | 深信服科技股份有限公司 | 网络探测方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104394140A (zh) * | 2014-11-21 | 2015-03-04 | 南京邮电大学 | 一种基于sdn的虚拟网络优化方法 |
CN104486159A (zh) * | 2014-12-18 | 2015-04-01 | 东南大学 | 一种基于软件定义网络的交换机间链路时延测量方法 |
CN104780095A (zh) * | 2015-04-30 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种sdn网络中的路径探测方法和装置 |
US20150256397A1 (en) * | 2014-03-04 | 2015-09-10 | International Business Machines Corporation | Route Tracing in Software Defined Networks |
CN105357046A (zh) * | 2015-11-23 | 2016-02-24 | 北京邮电大学 | 一种用于软件定义网络sdn的网络信息探测的方法 |
-
2018
- 2018-01-24 CN CN201810069201.5A patent/CN108289099B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150256397A1 (en) * | 2014-03-04 | 2015-09-10 | International Business Machines Corporation | Route Tracing in Software Defined Networks |
CN104394140A (zh) * | 2014-11-21 | 2015-03-04 | 南京邮电大学 | 一种基于sdn的虚拟网络优化方法 |
CN104486159A (zh) * | 2014-12-18 | 2015-04-01 | 东南大学 | 一种基于软件定义网络的交换机间链路时延测量方法 |
CN104780095A (zh) * | 2015-04-30 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种sdn网络中的路径探测方法和装置 |
CN105357046A (zh) * | 2015-11-23 | 2016-02-24 | 北京邮电大学 | 一种用于软件定义网络sdn的网络信息探测的方法 |
Non-Patent Citations (3)
Title |
---|
MINJIAN ZHANG等: ""Fine-Grained Fingerprinting Threats to Software-Defined Networks"", 《2017 IEEE TRUSTCOM/BIGDATASE/ICESS》 * |
候海军: ""基于SDN的DoS攻击检测技术研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
杨梦婷: ""基于OpenFlow的SDN网络仿真平台设计与DoS攻击检测"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109818834A (zh) * | 2019-03-25 | 2019-05-28 | 国家计算机网络与信息安全管理中心 | 一种轻量级的sdn流表规则探测工具及探测方法 |
CN109818834B (zh) * | 2019-03-25 | 2020-09-15 | 国家计算机网络与信息安全管理中心 | 一种轻量级的sdn流表规则探测工具及探测方法 |
CN110138777A (zh) * | 2019-05-15 | 2019-08-16 | 电子科技大学 | 一种基于区域增长算法的sdn流规则探测方法 |
CN110138777B (zh) * | 2019-05-15 | 2020-03-17 | 电子科技大学 | 一种基于区域增长算法的sdn流规则探测方法 |
CN113765728A (zh) * | 2020-06-04 | 2021-12-07 | 深信服科技股份有限公司 | 网络探测方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108289099B (zh) | 2021-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Mittal et al. | Stealthy traffic analysis of low-latency anonymous communication using throughput fingerprinting | |
CN102307123B (zh) | 基于传输层流量特征的nat流量识别方法 | |
Xing et al. | Ripple: A programmable, decentralized {Link-Flooding} defense against adaptive adversaries | |
CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
JP5228936B2 (ja) | オーバレイトラヒック検出システム及びトラヒック監視・制御システム | |
CN105721318B (zh) | 一种软件定义网络sdn中发现网络拓扑的方法和装置 | |
CN100370757C (zh) | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 | |
CN101562534B (zh) | 一种网络行为分析系统 | |
KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
CN106357673A (zh) | 一种多租户云计算系统DDoS攻击检测方法及系统 | |
Law et al. | You can run, but you can't hide: an effective statistical methodology to trace back DDoS attackers | |
CN108289099A (zh) | 一种基于时间的sdn网络细粒度控制信息探测方法 | |
KR20050085604A (ko) | 상관함수를 사용하여 네트워크 공격을 검출하기 위한네트워크 대역폭 이상 검출 장치 및 방법 | |
CN106375157B (zh) | 一种基于相空间重构的网络流关联方法 | |
CN106899978B (zh) | 一种无线网络攻击定位方法 | |
CN108965248A (zh) | 一种基于流量分析的p2p僵尸网络检测系统及方法 | |
CN105429940A (zh) | 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法 | |
GB2428534A (en) | Measuring a transit metric in a network | |
CN106131153B (zh) | 基于智能网关的业务识别方法和装置 | |
Mizrak et al. | Detecting compromised routers via packet forwarding behavior | |
CN108667804A (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
KR20170054215A (ko) | 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법 | |
CN105404797B (zh) | 一种基于双重冗余的主动网络流数字水印方法 | |
Rinaldi et al. | Softwarization of SCADA: lightweight statistical SDN-agents for anomaly detection | |
Swinnen et al. | ProtoLeaks: A reliable and protocol-independent network covert channel |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |