CN108289099A

CN108289099A - 一种基于时间的sdn网络细粒度控制信息探测方法

Info

Publication number: CN108289099A
Application number: CN201810069201.5A
Authority: CN
Inventors: 张敏健; 侯健玮; 张子琦; 石文昌; 秦波; 梁彬
Original assignee: Renmin University of China
Current assignee: Renmin University of China
Priority date: 2018-01-24
Filing date: 2018-01-24
Publication date: 2018-07-17
Anticipated expiration: 2038-01-24
Also published as: CN108289099B

Abstract

本发明涉及一种基于时间的SDN网络细粒度控制信息探测方法，其步骤：设置两台能够相互通信的第一主机和第二主机，两台主机互相发送UDP数据包，并分别采集记录UDP数据包的发送时间和接收时间，得到时间数据；根据采集到的时间数据进行时间特征分析，判断被探测域是否为匹配域。本发明基于时间特征分析方法探测得到SDN环境中的流规则匹配域信息，该信息属于网络环境中的细粒度控制信息，并且该方法不依赖于控制器类型等先验知识，在一般SDN环境中具有通用性。

Description

一种基于时间的SDN网络细粒度控制信息探测方法

技术领域

本发明涉及一种细粒度控制信息探测方法，特别是关于一种基于时间的SDN网络细粒度控制信息探测方法。

背景技术

SDN即软件定义网络，是一种新型的网络架构，相比于传统网络，SDN架构将控制与转发解耦合，具有更强的灵活性、开放性和可编程性，在校园网络和云数据中心得到广泛应用，SDN技术也被一些运营商认为是的未来网络的发展方向。SDN具有集中化控制的特点，控制层通过向数据层交换机发送指令或安装规则，决定如何转发网络中的数据包。

网络信息探测技术主要用于探测和收集目标网络或目标网络中的特定主机的基本特征、网络或系统配置、运行状态等信息。常见的网络信息探测技术有端口扫描、拓扑扫描等。网络中的恶意用户或攻击者在发起攻击之前一般要对目标网络进行信息探测。通常，根据探测目标的不同，所采用的探测技术也相应不同。已有的在SDN网络中的信息探测技术主要探测的信息内容为目标SDN运行的控制器类型以及已经安装在交换机上的流规则的相关信息。

已有的SDN网络信息探测方法存在的主要问题有：1、需要控制网络中的基础设施，例如OpenFlow交换机等。在实际应用环境中，基础设施通常由网络服务提供者管理和维护，信息探测者要攻破并利用网络设备难度较大。2、探测得到的信息量有限。一些工作针对已经安装在交换设备上的流规则进行探测，所能得到的信息量有限。3、探测方法需要基于一定的先验知识。已有的一些技术虽然可以探测到如网络安全策略等敏感度较高的信息，但是探测方法基于控制器类型、能够流经控制器的流量类型等先验知识，在实际的探测中获取这些先验知识有一定难度。

发明内容

针对上述问题，本发明的目的是提供一种基于时间的SDN网络细粒度控制信息探测方法，该方法不基于网络环境的先验知识，在一般SDN环境中具有通用性，揭示了SDN网络中存在的控制信息泄露风险，为安全网络建设者提供启发。

为实现上述目的，本发明采取以下技术方案：一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于包括以下步骤：1)设置两台能够相互通信的第一主机和第二主机，两台主机互相发送UDP数据包，并分别采集记录UDP数据包的发送时间和接收时间，得到时间数据；2)根据采集到的时间数据进行时间特征分析，判断被探测域是否为匹配域。

进一步，所述步骤1)中，针对非目标地址域的探测，时间数据采集的方法包括以下步骤：1.1)选取一个待探测的包头域MF，以及该包头域的合法域值范围F，确定测试样本数N；1.2)初始化当前实验组数Num＝0，假设第一主机H1为发送方主机，第二主机H2为接收方主机，且发送方主机与接收方主机都开启TCPDUMP，记录经过网卡的数据包；1.3)发送方主机在合法域值范围F内随机选取一个值V，采用Scapy工具构造UDP包P，其中UDP包P的包头域MF的值为V，其他域值保持默认值；1.4)以1秒的时间间隔发送四次相同的UDP包；1.5)以步骤1.3)和步骤1.4)的两步操作为一组实验，重复N组实验；当前实验组数Num加一，若Num>＝N时，当前被探测域的探测包全部发送完成；反之，返回步骤1.3)；1.6)从发送方主机H1和接收方主机H2上分别导出TCPDUMP抓取的UDP包数据，根据UDP包的信息段内容，分别取出属于各组实验的数据包，并提取UDP包P在网卡上出现的时间。

进一步，所述步骤1.1)中，样本数应小于包头域能选取的合法域值数量。

进一步，所述步骤1.3)中，UDP包的信息段为此UDP包的标识符，记录该UDP包是第n组实验的第m个UDP包，n＝1，…，N；m＝1,2,3,4。

进一步，所述步骤1.6)中，提取过程如下：1.6.1)在发送方主机H1网卡上出现的时刻分别记为si，在接收方主机H2网卡上出现的时刻分别记为rti；如果其中某一个包没有如预期出现在包记录中，则该时间变量记为空，其中，i＝m＝1,2,3,4；1.6.2)针对每组实验的4个UDP包计算传输时延ti＝rti-sti，若sti或rti任意一个为空，则ti记为空；1.6.3)针对每组实验，根据ti计算△t1＝t2-t1，△t2＝t4-t3，若ti中任意一个为空，则△ti记为空；1.6.4)按照以上步骤，每组实验数据对应一对△t1和△t2，记△t1的数据集合为TC1，记△t2的数据集合为TC2。

进一步，所述步骤1)中，针对目标地址域的探测，时间数据采集的方法包括以下步骤：1.1)选取一个待探测的目标地址域MFD，以及该目标地址域的合法域值范围FD，目标地址域MFD对应的源地址域为MFS，确定测试样本数N，且第一主机H1与第二主机H2分别开启TCPDUMP，记录经过网卡的数据包；1.2)在合法域值范围FD内随机选取一个值V，第一主机H1使用Scapy工具构造UDP包PS，其中PS的MFS域的值为V，其他域值保持默认值；UDP包的信息段为此UDP包的标识符，记录该UDP包是第n组实验的第m个包；第二主机H2接收到UDP包PS后，调换UDP包PS的MFS与MFD域值，构造UDP包PD；其中，n＝1，…，N；m＝1,2,3,4；1.3)第一主机H1与第二主机H2开启TCPDUMP分别抓取各自网卡上经过的数据包，第一主机H1以1秒为时间间隔向第二主机H2连续发送4次包PS；相应地，第二主机H2向第一主机H1发送4次包PD；1.4)以步骤1.2)和步骤1.3)两步操作为一组实验，重复N组实验；1.5)从第一主机H1和第二主机H2上分别导出TCPDUMP抓取的包数据，根据包的信息段内容，分别取出属于各组实验的数据包，并提取包P在网卡上出现的时间。

进一步，所述步骤1.1)中，样本数应小于该目标地址域能选取的合法域值数量。

进一步，所述步骤1.5)中，提取过程如下：1.5.1)在第二主机H2网卡上出现的时刻分别记为si，在第一主机H1网卡上出现的时刻分别记为rti；如果其中某一个包没有如预期出现在包记录中，则该时间变量记为空，i＝m＝1,2,3,4；1.5.2)针对每组实验的4个包计算ti＝rti-sti，若sti或rti任意一个为空，则ti记为空；1.5.3)针对每组实验，根据ti计算△t1＝t2-t1，△t2＝t4-t3，若ti中任意一个为空，△ti记为空；1.5.4)按照以上步骤，每组实验数据对应一对△t1和△t2，记△t1的数据集合为TC1，记△t2的数据集合为TC2。

进一步，所述时间特征分析对象为数据集TC1和TC2，两个数据集分别对应统计变量T1和T2，分析过程包括以下步骤：2.1)数据预处理：去除数据集合中的空元素；2.2)确定可接受误差△x：第一主机H1向第二主机H2发送5～10个Ping包，获得响应时间均值RTT，计算可接受误差△x＝RTT/2；2.3)计算T1分布在T2均值±△x范围内的概率P；2.4)判断被探测域是否为匹配域：若P<0.05，则判断该被探测域为匹配域，否则判断该被探测域不是匹配域。

进一步，所述步骤2.3)中，概率P的计算方法为：首先根据TC2计算得到平均值μ，然后计算得到TC1中的数据分布在(μ-△x，μ+△x)区间内的概率P。

本发明由于采取以上技术方案，其具有以下优点：1、本发明基于时间特征分析方法探测得到SDN环境中的流规则匹配域信息，该信息属于网络环境中的细粒度控制信息，具有较高价值。2、本发明使用SDN环境中的两台具备互相通信能力的主机完成探测，在实际场景中易于实现。3、本发明中的探测方法不依赖于控制器类型等先验知识，在一般SDN环境中具有通用性。4、本发明的探测方法揭示了SDN网络中存在的控制信息泄露风险，为安全网络建设者提供启发。

附图说明

图1是本发明的总体流程示意图；

图2是本发明实施时间数据采集方法的流程示意图。

具体实施方式

下面结合附图和实施例对本发明进行详细的描述。

如图1所示，本发明提供一种基于时间的SDN网络细粒度控制信息探测方法，该方法探测的目标是基于OpenFlow协议的SDN环境中的流规则匹配域信息，且该方法不依赖于网络环境先验知识，只需使用SDN内两台能够互相通信的主机。具体包括以下步骤：

1)设置两台能够相互通信的第一主机和第二主机，两台主机互相发送UDP(用户数据报协议)数据包，并分别采集记录UDP数据包的发送时间和接收时间，得到时间数据；

2)根据采集到的时间数据进行时间特征分析，判断被探测域是否为匹配域，进而探测得到SDN环境中的流规则匹配域信息，该信息属于网络环境中的细粒度控制信息。

上述步骤1)中，在一个优选的实施例中，如图2所示，针对一般包头域(即非目标地址域)的探测，时间数据采集的方法包括以下步骤：

1.1)选取一个待探测的包头域MF，以及该包头域的合法域值范围F。同时确定测试样本数N，样本数理论上应小于该包头域可选取的合法域值数量。

1.2)初始化当前实验组数Num＝0，假设第一主机H1为发送方主机，第二主机H2为接收方主机，且发送方主机与接收方主机都开启TCPDUMP，记录经过网卡的数据包。

1.3)发送方主机在合法域值范围F内随机选取一个值V，采用Scapy工具构造UDP包P，其中UDP包P的包头域MF的值为V，其他域值保持默认值。UDP包的信息段为此UDP包的标识符，记录该UDP包是第n组实验的第m个UDP包(n＝1，…，N；m＝1,2,3,4)。

1.4)以1秒的时间间隔发送四次相同的UDP包。

1.5)以步骤1.3)和步骤1.4)的两步操作为一组实验，每完成一组实验，当前实验组数Num加一，若Num>＝N时，当前被探测域的探测包全部发送完成；反之，返回步骤1.3)。

在发送方主机发送数据包的整个过程中，接收方主机H2始终开启TCPDUMP接收并抓取上接收到的数据包。

1.6)获取时间信息。从发送方主机H1和接收方主机H2上分别导出TCPDUMP抓取的UDP包数据，根据UDP包的信息段内容，分别取出属于各组实验的数据包，并提取UDP包P在网卡上出现的时间；

提取过程如下：

1.6.1)在发送方主机H1网卡上出现的时刻分别记为sti(i＝m＝1,2,3,4)，在接收方主机H2网卡上出现的时刻分别记为rti(i＝m＝1,2,3,4)。如果其中某一个包没有如预期出现在包记录中，则该时间变量记为空。

1.6.2)针对每组实验的4个UDP包计算传输时延ti＝rti-sti(i＝1,2,3,4)，若sti或rti任意一个为空，则ti记为空。

1.6.3)针对每组实验，根据ti计算△t1＝t2-t1，△t2＝t4-t3，若ti中任意一个为空，则△ti记为空。

1.6.4)按照以上步骤，每组实验数据对应一对△t1和△t2。记△t1的集合为TC1，记△t2的集合为TC2，完成一般包头域的探测。

上述步骤1)中，在一个优选的实施例中，若探测的包头域是目标地址域，则时间数据采集的方法包括以下步骤：

1.1)选取一个待探测的目标地址域MFD，以及该目标地址域的合法域值范围FD，目标地址域MFD对应的源地址域为MFS。同时确定测试样本数N，样本数理论上应小于该目标地址域可选取的合法域值数量。第一主机H1与第二主机H2分别开启TCPDUMP，记录经过网卡的数据包。

1.2)在合法域值范围FD内随机选取一个值V。第一主机H1采用Scapy工具构造UDP包PS，其中UDP包PS的MFS域的值为V，其他域值保持默认值。UDP包的信息段为此UDP包的标识符，记录该UDP包是第n组实验的第m个包(n＝1，…，N；m＝1,2,3,4)。第二主机H2接收到UDP包PS后，调换UDP包PS的源地址域MFS与目标地址域MFD域值，构造UDP包PD。

1.3)第一主机H1以1秒为时间间隔向第二主机H2连续发送4次包PS。相应地，第二主机H2向第一主机H1发送4次包PD。

1.4)以步骤1.2)和步骤1.3)两步操作为一组实验，重复N组实验。

1.5)获取时间信息。从第一主机H1和第二主机H2上分别导出TCPDUMP抓取的包数据，根据包的信息段内容，分别取出属于各组实验的数据包，并提取包P在网卡上出现的时间；

提取过程如下：

1.5.1)在第二主机H2网卡上出现的时刻分别记为si(i＝m＝1,2,3,4)，在第一主机H1网卡上出现的时刻分别记为rti(i＝m＝1,2,3,4)。如果其中某一个包没有如预期出现在包记录中，则该时间变量记为空。

1.5.2)针对每组实验的4个包计算ti＝rti-sti(i＝1,2,3,4)，若sti或rti任意一个为空，则ti记为空。

1.5.3)针对每组实验，根据ti计算△t1＝t2-t1，△t2＝t4-t3，若ti中任意一个为空，△ti记为空。

1.5.4)按照以上步骤，每组实验数据对应一对△t1和△t2。记△t1的数据集合为TC1，记△t2的数据集合为TC2。

上述步骤2)中，时间特征分析对象为数据集合TC1和TC2，两个数据集合分别对应统计变量T1和T2，具体分析过程包括以下步骤：

2.1)数据预处理：去除集合中的空元素。

2.2)确定可接受误差△x：第一主机H1向第二主机H2发送5～10个Ping包，获得响应时间均值RTT，计算可接受误差△x＝RTT/2。

2.3)计算统计变量T1分布在统计变量T2均值±△x范围内的概率P：首先根据TC2计算得到平均值μ，然后计算得到TC1中的数据分布在(μ-△x，μ+△x)区间内的概率P。

2.4)判断被探测域是否为匹配域：若P<0.05，则判断该被探测域为匹配域，否则判断该被探测域不是匹配域。

上述各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于包括以下步骤：

1)设置两台能够相互通信的第一主机和第二主机，两台主机互相发送UDP数据包，并分别采集记录UDP数据包的发送时间和接收时间，得到时间数据；

2)根据采集到的时间数据进行时间特征分析，判断被探测域是否为匹配域。

2.如权利要求1所述的一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于，所述步骤1)中，针对非目标地址域的探测，时间数据采集的方法包括以下步骤：

1.1)选取一个待探测的包头域MF，以及该包头域的合法域值范围F，确定测试样本数N；

1.2)初始化当前实验组数Num＝0，假设第一主机H1为发送方主机，第二主机H2为接收方主机，且发送方主机与接收方主机都开启TCPDUMP，记录经过网卡的数据包；

1.3)发送方主机在合法域值范围F内随机选取一个值V，采用Scapy工具构造UDP包P，其中UDP包P的包头域MF的值为V，其他域值保持默认值；

1.4)以1秒的时间间隔发送四次相同的UDP包；

1.5)以步骤1.3)和步骤1.4)的两步操作为一组实验，重复N组实验；当前实验组数Num加一，若Num>＝N时，当前被探测域的探测包全部发送完成；反之，返回步骤1.3)；

1.6)从发送方主机H1和接收方主机H2上分别导出TCPDUMP抓取的UDP包数据，根据UDP包的信息段内容，分别取出属于各组实验的数据包，并提取UDP包P在网卡上出现的时间。

3.如权利要求2所述的一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于，所述步骤1.1)中，样本数应小于包头域能选取的合法域值数量。

4.如权利要求2所述的一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于：所述步骤1.3)中，UDP包的信息段为此UDP包的标识符，记录该UDP包是第n组实验的第m个UDP包，n＝1，…，N；m＝1,2,3,4。

5.如权利要求2所述的一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于，所述步骤1.6)中，提取过程如下：

1.6.1)在发送方主机H1网卡上出现的时刻分别记为si，在接收方主机H2网卡上出现的时刻分别记为rti；如果其中某一个包没有如预期出现在包记录中，则该时间变量记为空，其中，i＝m＝1,2,3,4；

1.6.2)针对每组实验的4个UDP包计算传输时延ti＝rti-sti，若sti或rti任意一个为空，则ti记为空；

1.6.3)针对每组实验，根据ti计算△t1＝t2-t1，△t2＝t4-t3，若ti中任意一个为空，则△ti记为空；

1.6.4)按照以上步骤，每组实验数据对应一对△t1和△t2，记△t1的数据集合为TC1，记△t2的数据集合为TC2。

6.如权利要求1所述的一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于，所述步骤1)中，针对目标地址域的探测，时间数据采集的方法包括以下步骤：

1.1)选取一个待探测的目标地址域MFD，以及该目标地址域的合法域值范围FD，目标地址域MFD对应的源地址域为MFS，确定测试样本数N，且第一主机H1与第二主机H2分别开启TCPDUMP，记录经过网卡的数据包；

1.2)在合法域值范围FD内随机选取一个值V，第一主机H1使用Scapy工具构造UDP包PS，其中PS的MFS域的值为V，其他域值保持默认值；UDP包的信息段为此UDP包的标识符，记录该UDP包是第n组实验的第m个包；第二主机H2接收到UDP包PS后，调换UDP包PS的MFS与MFD域值，构造UDP包PD；其中，n＝1，…，N；m＝1,2,3,4；

1.3)第一主机H1与第二主机H2开启TCPDUMP分别抓取各自网卡上经过的数据包，第一主机H1以1秒为时间间隔向第二主机H2连续发送4次包PS；相应地，第二主机H2向第一主机H1发送4次包PD；

1.4)以步骤1.2)和步骤1.3)两步操作为一组实验，重复N组实验；

1.5)从第一主机H1和第二主机H2上分别导出TCPDUMP抓取的包数据，根据包的信息段内容，分别取出属于各组实验的数据包，并提取包P在网卡上出现的时间。

7.如权利要求6所述的一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于，所述步骤1.1)中，样本数应小于该目标地址域能选取的合法域值数量。

8.如权利要求6所述的一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于，所述步骤1.5)中，提取过程如下：

1.5.1)在第二主机H2网卡上出现的时刻分别记为si，在第一主机H1网卡上出现的时刻分别记为rti；如果其中某一个包没有如预期出现在包记录中，则该时间变量记为空，i＝m＝1,2,3,4；

1.5.2)针对每组实验的4个包计算ti＝rti-sti，若sti或rti任意一个为空，则ti记为空；

1.5.3)针对每组实验，根据ti计算△t1＝t2-t1，△t2＝t4-t3，若ti中任意一个为空，△ti记为空；

1.5.4)按照以上步骤，每组实验数据对应一对△t1和△t2，记△t1的数据集合为TC1，记△t2的数据集合为TC2。

9.如权利要求5或8所述的一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于：所述时间特征分析对象为数据集TC1和TC2，两个数据集分别对应统计变量T1和T2，分析过程包括以下步骤：

2.1)数据预处理：去除数据集合中的空元素；

2.2)确定可接受误差△x：第一主机H1向第二主机H2发送5～10个Ping包，获得响应时间均值RTT，计算可接受误差△x＝RTT/2；

2.3)计算T1分布在T2均值±△x范围内的概率P；

10.如权利要求9所述的一种基于时间的SDN网络细粒度控制信息探测方法，其特征在于：所述步骤2.3)中，概率P的计算方法为：首先根据TC2计算得到平均值μ，然后计算得到TC1中的数据分布在(μ-△x，μ+△x)区间内的概率P。