CN108881241B - 一种面向软件定义网络的动态源地址验证方法 - Google Patents
一种面向软件定义网络的动态源地址验证方法 Download PDFInfo
- Publication number
- CN108881241B CN108881241B CN201810670822.9A CN201810670822A CN108881241B CN 108881241 B CN108881241 B CN 108881241B CN 201810670822 A CN201810670822 A CN 201810670822A CN 108881241 B CN108881241 B CN 108881241B
- Authority
- CN
- China
- Prior art keywords
- host
- source address
- hosts
- verification
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向软件定义网络的动态源地址验证方法,包括:对所有已绑定主机源IP的交换机物理端口生成动态验证规则并执行;经过时间t后,收集交换机统计信息并探测源地址伪造行为,将异常主机加入到异常主机集合中,将正常主机加入到正常主机集合中;从正常主机集合中随机选择一批主机并转移到待观察主机集合中;对于待观察主机集合和异常主机集合中的主机,根据主机直连端口的状态生成相应的SAVI验证规则并执行;经过一个时间窗口后,收集交换机统计信息并探测源地址伪造行为,进而更新三个主机集合;重复上述探测和更新集合的步骤。本发明能够根据网络实时状态动态生成SAVI验证规则,从而减小设备执行源地址验证的负载并保障不同用户的QoS。
Description
技术领域
本发明属于IP源地址验证的网络安全领域,更具体地,涉及一种面向软件定义网络的动态源地址验证方法。
背景技术
随着互联网的普及和高速发展,部分网络协议的缺陷也逐渐显露,其中只根据目的地址转发数据包而不验证源地址就是一个重要问题。当前网络环境越来越复杂,黑客们利用这个漏洞,借助伪造的源地址发起网络攻击,会对政府、企业和个人造成极大的经济损失。因此,源地址验证(SAVI,Source Address Validation Improvement)成为当前急需解决的问题。
软件定义网络(Software Defined Network,SDN)架构分离了网络的控制平面和数据转发平面,原本耦合在交换机上的控制功能被抽取出来,集中到控制器上;控制器拥有全局的网络视角,能根据特定的业务下发灵活的策略;支持SDN的交换机根据控制器下发的策略,专注于数据的高效转发。借助于SDN网络架构,控制器根据全局的网络信息,制定源地址验证的规则,下发到各个Openflow交换机,由交换机对数据包进行源地址验证,验证通过才转发数据包,因此能从源头上确保安全。
目前,已有大量面向SDN网络的SAVI研究,但存在以下几个问题:
1.目前的研究中,如果由控制器来执行源地址验证,那么所有新出现数据包都会上传到控制器以验证IP地址的真伪,控制器则成为明显的系统瓶颈;如果由交换机执行源地址验证,由于SAVI目前的静态部署,openflow交换机中的验证规则会持续地对接收到的每一个数据包进行源地址验证,而在一般的网络环境下伪造源地址的数据包毕竟是少数,大量正常数据包的转发会受到影响,并且越是大流量的情况交换机的转发性能下降越明显。因此,源地址验证会增加设备的负载,特别是大流量环境下网络设备性能下降明显。
2.目前SAVI的部署是静态的,并没能考虑到网络、流量等环境的动态变化情况,因此缺少一个根据网络状态动态决策的过程,一方面无法根据网络状态对不同用户执行不同程度的源地址验证策略,另一方面也无法保障不同用户的QoS(Quality of Service,服务质量)。
3.目前源地址验证的思路着重考虑的是安全性问题,而不能在不同网络状态下对安全性和转发性能进行有选择性的考虑。
发明内容
针对现有技术的缺陷和改进需求,本发明提供了一种面向软件定义网络的动态源地址验证方法,其目的在于,实时分析网络、流量的动态变化情况,只针对需要执行源地址验证的主机的直连端口生成相应的动态验证规则,从而减小设备执行源地址验证的负载并保障不同用户的QoS。
为实现上述目的,本发明提供了一种面向软件定义网络的动态源地址验证方法,包括:
(1)获得SDN网络中交换机直连主机的源IP与交换机物理端口的绑定关系,并对所有已绑定主机源IP的物理端口生成动态验证规则,由交换机执行动态验证规则;
(2)经过时间t后,收集交换机统计信息并探测源地址伪造行为,从而定位异常主机,其余主机为正常主机;将异常主机加入到异常主机集合中,将正常主机加入到正常主机集合中;
(3)从正常主机集合中随机选择一批主机并转移到待观察主机集合中;
(4)对于待观察主机集合和异常主机集合中的主机,根据主机直连直连的状态生成相应的SAVI验证规则,以减少源地址验证查找规则的时间开销,并保障不同用户的QoS;
(5)由交换机执行SAVI验证规则;经过一个时间窗口后,重新收集交换机统计信息并探测源地址伪造行为,然后根据探测结果更新正常主机集合、待观察主机集合以及异常主机集合;
(6)重复步骤(3)~(5),使得源地址验证过程能够适应动态变化的网络环境;
其中,动态验证规则包括一条验证规则和一条通配规则,其中,验证规则用于对经物理端口流入的数据包进行源地址验证并转发验证成功的数据包,通配规则用于将经验证规则验证失败的数据包丢弃,且通配规则的优先级低于验证规则的优先级;t的取值尽可能短,以保证源地址验证的实时性,同时t的取值保证获取到完整的源IP与物理端口的绑定关系且步骤(1)中的源地址验证能够执行完成;时间窗口为一个固定长度的时间段;正常主机集合、异常主机集合以及待观察主机集合均在初始时刻创建,且初始时刻,三个集合均为空集。
优选地,时间窗口长度的设定应尽可能短,以保证源地址验证的实时性,同时时间窗口长度的设定应保证一个时间窗口内所有的操作能够执行完成;从正常主机集合选择主机转移到待观察主机集合时,被选择主机的数量可根据三个主机集合的长度比例进行调整,以保证待观察主机集合中主机的数量不会超过另外两个主机集合中主机数量之和。
进一步地,步骤(4)中,对于待观察主机集合和异常主机集合中的主机,根据主机直连端口的状态生成相应的SAVI验证规则,具体包括:对于与待观察主机集合和异常主机集合中主机的直连端口,为其中每一个端口生成动态验证规则,并获得上一个时间窗口每个物理端口的入流量大小,其中,入流量越大的物理端口,对应的验证规则的优先级越高;通过对大流量端口生成优先级较高的验证规则,能够实现不同交换机物理端口的QoS保障。
更进一步地,步骤(4)中,对于待观察主机集合和异常主机集合中的主机,根据主机直连端口的状态生成相应的SAVI验证规则,还包括:对于与待观察主机集合和异常主机集合中主机的直连端口,为其中每一个端口生成静态验证规则;若动态验证规则的规则数量多于静态验证规则,则采用静态验证规则作为SAVI验证规则,否则,采用动态验证规则作为SAVI验证规则;通过选择动态验证规则和静态验证规则中规则数较少的作为SAVI验证规则,能够减少源地址验证查找规则的时间开销。
进一步地,步骤(5)中,根据探测结果更新正常主机集合、待观察主机集合以及异常主机集合的方法包括:若待观察主机集合中的主机在连续N个时间窗口内都被判定为正常主机,则将其转移到正常主机集合中;若待观察主机集合中的主机在当前时间窗口内被判定为异常主机,则将其转移到异常主机集合中;若异常主机集合中的主机在当前时间窗口内被验证为正常主机,则将其转移到待观察主机集合;若一台主机的源地址伪造行为的探测结果为其他情况,则该主机所属的集合保持不变;其中,N为正整数。
进一步地,步骤(2)和步骤(5)中,收集交换机统计信息并探测源地址伪造行为,包括:对于一个需要进行源地址验证的主机,获得上一个时间窗口内该主机的直连端口的丢包数,若超过预设的阈值C,则判定该主机为异常主机;否则,判定该主机为正常主机;其中,上一个时间窗口内该主机的直连端口的丢包数为上一时间窗口内该端口处通配规则丢弃的数据包数。
更进一步地,步骤(5)中,收集交换机统计信息并探测源地址伪造行为时,还会计算交换机物理端口的丢包率,并由此设置探测源地址伪造行为时待观察主机集合中的主机需要连续验证的窗口数,使得丢包率越大,需要连续验证的窗口数多;端口丢包率越大,说明正常通信越少,端口的直连主机则越可能成为DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的僵尸主机,根据端口丢包率设置直连主机需要连续验证的窗口数,能够探测出有可能成为僵尸主机的主机;丢包率的计算公式如下:
其中,dropRate为端口的丢包率,dropCount为上一时间窗口内该端口处通配规则丢弃的数据包数,saviCount为上一时间窗口内该端口处匹配验证规则的数据包数,α为常数,用于避免除零异常。
进一步地,步骤(2)和步骤(5)中,收集交换机统计信息并探测源地址伪造行为,包括:获得最近M个连续时间窗口内各物理端口的入流量大小并计算标准差;对于任一个物理端口,如果其入流量的标准差超过上一时间窗口内该端口的入流量标准差的1.2倍,则判定该端口的直连主机为异常主机;
对于待观察主机集合和异常主机集合中主机的直连端口,上一时间窗口内,若一股流量的入流量和出口流量同步变化,则判定该流量的入端口的直连主机为正常主机;若一股流量的出口流量维持不变,说明有伪造数据包被因源地址验证失败而被交换机过滤掉了,因此判定该流量的入端口的直连主机为异常主机;
其中,M为正整数。
更进一步地,计算流量的出口流量时,利用同一交换机的其他端口的出流量之和作为流量的出口流量;或者,根据转发规则统计信息,查询流量入口所对应的出端口,从而得到出口流量。
更进一步地,若待观察主机集合的大小大于正常主机集合的大小和异常主机集合的大小之和,则M的取值发生衰减,以避免需要执行源地址验证的主机数量过多,从而减小执行源地址验证的负载。
总体而言,通过本发明所构思的以上技术方案,能够取得以下有益效果:
(1)本发明所提供的面向软件定义网络的动态源地址验证方法,按照时间窗口收集交换机统计信息并探测源地址伪造行为,然后根据探测结果更新正常主机集合、待观察主机集合以及异常主机集合,并且每次仅针对待观察主机集合和异常主机集合中主机的直连端口生成SAVI验证规则,因此能够实时地、动态地分析网络状态,有效减少不必要的源地址验证规则,从而减小设备执行源地址验证的负载,并提高验证速度。
(2)本发明所提供的面向软件定义网络的动态源地址验证方法,以交换机物理端口为源地址验证的粒度,并为入流量较大的端口的生成优先级较高的验证规则,因此能够保证对不同用户的QoS。
(3)本发明所提供的面向软件定义网络的动态源地址验证方法,在生成SAVI验证规则时,会对于需要进行源地址验证的主机的直连端口同时生成静态验证规则和动态验证规则,并选择其中规则数较少的作为SAVI验证规则,通过采用规则数较少的SAVI验证规则,能够减少源地址验证查找规则的时间开销,从而减少源地址验证对网络设备转发性能的负面影响。
附图说明
图1为本发明实施例提供的SDN网络拓扑示意图;
图2为本发明实施例提供的面向软件定义网络的动态源地址验证方法的流程图;
图3为本发明实施例提供的根据主机直连端口的状态生成相应的SAVI验证规则的流程图;
图4为本发明实施例提供的更新三个主机集合的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
在详细解释本发明的技术方案之前,先对采用本发明所提供的动态验证规则执行源地址验证的机制进行解释。
图1所示为一个SDN网络的拓扑结构示意图,其中,C为SDN控制器,S1为接入层交换机,H1~H3分别为三台与交换机S1直连的主机,且H1是源地址伪造主机,H2和H3是正常主机,p1~p4是交换机S1的四个物理端口;S2为其他层交换机,不与主机直连。
交换机S1采用OpenFlow二级流表,SAVI验证规则放到第一级流表,转发规则放到第二级流表,数据包进入交换机必须先经过第一级流表的验证,成功后才进入第二级流表进行转发。在网络初始化时,SDN控制器侦听了主机IP地址分配的结果,以此维护了主机源IP地址和直连交换机端口的绑定表作为验证依据。假设经过后续的动态决策发现只需要对主机H1执行源地址验证,此时交换机S1的第一级流表只有针对主机H1的直连端口p1的两条规则:一条验证规则和一条通配规则,其中,验证规则表示“从交换机S1的p1端口进入的数据包,如果源IP地址是H1,那么就移交第二级流表正常转发”,通配规则表示“从p1端口进来的数据包源地址验证失败,应当丢掉该伪造包”,并且验证规则的优先级高于通配规则的优先级。数据包经端口p1进入交换机S1时,优先与验证规则进行匹配,若数据包为正常数据包,则会匹配验证规则,并正常转发;否则,数据包会匹配通配规则,因而被丢弃。
上述动态验证规则能仅针对某一个交换机端口进行源地址验证,因此规则粒度是交换机端口级别的,和已有的源地址验证机制的交换机级别的规则粒度相比,更加灵活可控。这样的规则产生的交换机流表统计信息对后面的网络状态分析也具有一定帮助。
本发明所提供的面向软件定义网络的动态源地址验证方法,如图2所示,包括:
(1)获得SDN网络中交换机直连主机的源IP与交换机物理端口的绑定关系,并对所有已绑定物理端口生成动态验证规则,由交换机执行动态验证规则;
(2)经过时间t后,收集交换机统计信息并探测源地址伪造行为,从而定位异常主机,其余主机为正常主机;将异常主机加入到异常主机集合中,将正常主机加入到正常主机集合中;
(3)从正常主机集合中随机选择一批主机并转移到待观察主机集合中;被选择主机的数量可根据三个主机集合的长度比例进行调整,以保证待观察主机集合中主机的数量不会超过另外两个主机集合中主机数量之和;
(4)对于待观察主机集合和异常主机集合中的主机,根据主机直连端口的状态生成相应的SAVI验证规则,以减少源地址验证查找规则的时间开销,并实现不同交换机物理端口的QoS保障;
(5)由交换机执行SAVI验证规则;经过一个时间窗口后,重新收集交换机统计信息并探测源地址伪造行为,然后根据探测结果更新正常主机集合、待观察主机集合以及异常主机集合;
(6)重复步骤(3)~(5),使得源地址验证过程能够适应动态变化的网络环境;
其中,动态验证规则包括一条验证规则和一条通配规则,其中,验证规则用于对经物理端口流入的数据包进行源地址验证并转发验证成功的数据包,通配规则用于将经验证规则验证失败的数据包丢弃,且通配规则的优先级低于验证规则的优先级;t的取值尽可能短,以保证源地址验证的实时性,同时t的取值保证获取到完整的源IP与物理端口的绑定关系且步骤(1)中的源地址验证能够执行完成;时间窗口为一个固定长度的时间段,时间窗口长度的设定应尽可能短,以保证源地址验证的实时性,同时时间窗口长度的设定应保证一个时间窗口内所有的操作能够执行完成;正常主机集合、异常主机集合以及待观察主机集合均在初始时刻创建,且初始时刻,三个集合均为空集。
如图3所示,步骤(4)中,对于待观察主机集合和异常主机集合中的主机,根据主机直连端口的状态生成相应的SAVI验证规则,具体包括:对于与待观察主机集合和异常主机集合中主机的直连端口,为其中每一个端口生成动态验证规则,并获得上一个时间窗口每个物理端口的入流量大小,其中,入流量越大的物理端口,对应的验证规则的优先级越高;通过对大流量端口生成优先级较高的验证规则,能够实现不同交换机物理端口的QoS保障;步骤(4)中,对于待观察主机集合和异常主机集合中的主机,根据主机直连端口的状态生成相应的SAVI验证规则,还包括:对于与待观察主机集合和异常主机集合中主机的直连端口,为其中每一个端口生成静态验证规则,静态规则的生成可采用论文《Source AddressValidation in SoftwareDefinedNetworks》中所公开的方法;若动态验证规则的规则数量多于静态验证规则,则采用静态验证规则作为SAVI验证规则,否则,采用动态验证规则作为SAVI验证规则;通过选择动态验证规则和静态验证规则中规则数较少的作为SAVI验证规则,能够减少源地址验证查找规则的时间开销。
如图4所示,步骤(5)中,根据探测结果更新正常主机集合、待观察主机集合以及异常主机集合的方法包括:若待观察主机集合中的主机在连续N个时间窗口内都被判定为正常主机,则将其转移到正常主机集合中;若待观察主机集合中的主机在当前时间窗口内被判定为异常主机,则将其转移到异常主机集合中;若异常主机集合中的主机在当前时间窗口内被验证为正常主机,则将其转移到待观察主机集合;若一台主机的源地址伪造行为的探测结果为其他情况,则该主机所属的集合保持不变;其中,N为正整数。
步骤(2)和步骤(5)中,收集交换机统计信息并探测源地址伪造行为的方法可采用丢包率分析法或者数据流量变化分析法;
丢包率分析法包括:
对于一个需要进行源地址验证的主机,获得上一个时间窗口内该主机的直连端口的丢包数,若超过预设的阈值C,则判定该主机为异常主机;否则,判定该主机为正常主机;其中,上一个时间窗口内该主机的直连端口的丢包数为上一时间窗口内该端口处通配规则丢弃的数据包数;
若采用丢包率分析法探测源地址伪造行为,则步骤(5)中,收集交换机统计信息并探测源地址伪造行为时,还会计算交换机物理端口的丢包率,并由此设置探测源地址伪造行为时待观察主机集合中的主机需要连续验证的窗口数,使得丢包率越大,需要连续验证的窗口数多;端口丢包率越大,说明正常通信越少,端口的直连主机则越可能成为DDos攻击的僵尸主机,根据端口丢包率设置直连主机需要连续验证的窗口数,能够探测出有可能成为僵尸主机的主机;丢包率的计算公式如下:
其中,dropRate为端口的丢包率,dropCount为上一时间窗口内该端口处通配规则丢弃的数据包数,saviCount为上一时间窗口内该端口处匹配验证规则的数据包数,α为常数,用于避免除零异常,且α的常用取值范围为0<α<0.1;
数据流量变化分析法包括:
获得最近M个连续时间窗口内各物理端口的入流量大小并计算标准差;对于任一个物理端口,如果其入流量的标准差超过上一时间窗口内该端口的入流量标准差的1.2倍,则判定该端口的直连主机为异常主机;
对于待观察主机集合和异常主机集合中主机的直连端口,上一时间窗口内,若一股流量的入流量和出口流量同步变化,则判定该流量的入端口的直连主机为正常主机;若一股流量的出口流量维持不变,说明有伪造数据包被因源地址验证失败而被交换机过滤掉了,因此判定该流量的入端口的直连主机为异常主机;
其中,M为正整数;
计算流量的出口流量时,可以利用同一交换机的其他端口的出流量之和作为流量的出口流量;例如,在图1所示的拓扑结构中,从端口p1进入的大流量用Vp1,in表示,如果被正常转发,那必定是从p2、p3和p4三个端口转发出去,所以其对应的出口流量Vp1,sp-out可以用p2、p3、p4端口的出流量之和代替,即Vp1,sp-out=Vp2,out+Vp3,out+Vp4,out;
计算流量的出口流量时,还可以根据转发规则统计信息,查询流量入口所对应的出端口,从而得到出口流量;
采用数据流量变化分析法探测源地址伪造行为时,若待观察主机集合的大小大于正常主机集合的大小和异常主机集合的大小之和,则M的取值发生衰减;例如,数据流量分析默认连续验证3个时间窗口,根据三种主机个数比例进行动态调整,如果待观察主机个数超过另外两种主机个数之和,连续验证的时间窗口数衰减为2;在待观察主机个数超过另外两种主机个数之和时,使得数据流量分析的过程中连续验证的时间窗口数量发生衰减,能够避免需要执行源地址验证的主机数量过多,从而减小执行源地址验证的负载。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种面向软件定义网络的动态源地址验证方法,其特征在于,包括:
(1)获得SDN网络中交换机直连主机的源IP与交换机物理端口的绑定关系,并对所有已绑定主机源IP的物理端口生成动态验证规则,由交换机执行动态验证规则;
(2)经过时间t后,收集交换机统计信息并探测源地址伪造行为,从而定位异常主机,其余主机为正常主机;将异常主机加入到异常主机集合中,将正常主机加入到正常主机集合中;
(3)从所述正常主机集合中随机选择一批主机并转移到待观察主机集合中;
(4)对于所述待观察主机集合和所述异常主机集合中的主机,根据主机直连端口的状态生成相应的SAVI验证规则,以减少源地址验证查找规则的时间开销,并保障不同用户的QoS;
(5)由交换机执行SAVI验证规则;经过一个时间窗口后,重新收集交换机统计信息并探测源地址伪造行为,然后根据探测结果更新所述正常主机集合、所述待观察主机集合以及所述异常主机集合;
(6)重复步骤(3)~(5),使得源地址验证过程能够适应动态变化的网络环境;
其中,所述动态验证规则包括一条验证规则和一条通配规则,其中,验证规则用于对经物理端口流入的数据包进行源地址验证并转发验证成功的数据包,通配规则用于将经验证规则验证失败的数据包丢弃,且通配规则的优先级低于验证规则的优先级;t的取值尽可能短,以保证源地址验证的实时性,同时t的取值保证获取到完整的源IP与物理端口的绑定关系且所述步骤(1)中的源地址验证能够执行完成;所述时间窗口为一个固定长度的时间段;所述正常主机集合、所述异常主机集合以及所述待观察主机集合均在初始时刻创建,且初始时刻,三个集合均为空集。
2.如权利要求1所述的面向软件定义网络的动态源地址验证方法,其特征在于,所述步骤(4)中,对于所述待观察主机集合和所述异常主机集合中的主机,根据主机直连端口的状态生成相应的SAVI验证规则,具体包括:对于与所述待观察主机集合和所述异常主机集合中主机的直连端口,为其中每一个端口生成动态验证规则,并获得上一个时间窗口每个物理端口的入流量大小,其中,入流量越大的物理端口,对应的验证规则的优先级越高;通过对大流量端口生成优先级较高的验证规则,能够实现不同交换机物理端口的QoS保障。
3.如权利要求2所述的面向软件定义网络的动态源地址验证方法,其特征在于,所述步骤(4)中,对于所述待观察主机集合和所述异常主机集合中的主机,根据主机直连端口的状态生成相应的SAVI验证规则,还包括:对于与所述待观察主机集合和所述异常主机集合中主机的直连端口,为其中每一个端口生成静态验证规则;若动态验证规则的规则数量多于静态验证规则,则采用静态验证规则作为SAVI验证规则,否则,采用动态验证规则作为SAVI验证规则;通过选择动态验证规则和静态验证规则中规则数较少的作为SAVI验证规则,能够减少源地址验证查找规则的时间开销。
4.如权利要求1所述的面向软件定义网络的动态源地址验证方法,其特征在于,所述步骤(5)中,根据探测结果更新所述正常主机集合、所述待观察主机集合以及所述异常主机集合的方法包括:
若所述待观察主机集合中的主机在连续N个时间窗口内都被判定为正常主机,则将其转移到所述正常主机集合中;
若所述待观察主机集合中的主机在当前时间窗口内被判定为异常主机,则将其转移到所述异常主机集合中;
若所述异常主机集合中的主机在当前时间窗口内被验证为正常主机,则将其转移到所述待观察主机集合;
若一台主机的源地址伪造行为的探测结果为其他情况,则该主机所属的集合保持不变;
其中,N为正整数。
5.如权利要求1所述的面向软件定义网络的动态源地址验证方法,其特征在于,所述步骤(2)和所述步骤(5)中,收集交换机统计信息并探测源地址伪造行为,包括:对于一个需要进行源地址验证的主机,获得上一个时间窗口内该主机的直连端口的丢包数,若超过预设的阈值C,则判定该主机为异常主机;否则,判定该主机为正常主机;其中,上一个时间窗口内该主机的直连端口的丢包数为上一时间窗口内该端口处通配规则丢弃的数据包数。
6.如权利要求5所述的面向软件定义网络的动态源地址验证方法,其特征在于,所述步骤(5)中,收集交换机统计信息并探测源地址伪造行为时,还会计算交换机物理端口的丢包率,并由此设置探测源地址伪造行为时待观察主机集合中的主机需要连续验证的窗口数,使得丢包率越大,需要连续验证的窗口数多,从而探测出有可能成为僵尸主机的主机;丢包率的计算公式如下:
其中,dropRate为端口的丢包率,dropCount为上一时间窗口内该端口处通配规则丢弃的数据包数,saviCount为上一时间窗口内该端口处匹配验证规则的数据包数,α为常数,用于避免除零异常。
7.如权利要求1所述的面向软件定义网络的动态源地址验证方法,其特征在于,所述步骤(2)和所述步骤(5)中,收集交换机统计信息并探测源地址伪造行为,包括:获得最近M个连续时间窗口内各物理端口的入流量大小并计算标准差;对于任一个物理端口,如果其入流量的标准差超过上一时间窗口内该端口的入流量标准差的1.2倍,则判定该端口的直连主机为异常主机;
对于所述待观察主机集合和所述异常主机集合中主机的直连端口,上一时间窗口内,若一股流量的入流量和出口流量同步变化,则判定该流量的入端口的直连主机为正常主机;若一股流量的出口流量维持不变,则判定该流量的入端口的直连主机为异常主机;
其中,M为正整数。
8.如权利要求7所述的面向软件定义网络的动态源地址验证方法,其特征在于,利用同一交换机的其他端口的出流量之和作为流量的出口流量;或者,根据转发规则统计信息,查询流量入口所对应的出端口,从而得到出口流量。
9.如权利要求7所述的面向软件定义网络的动态源地址验证方法,其特征在于,若所述待观察主机集合的大小大于所述正常主机集合的大小和所述异常主机集合的大小之和,则M的取值发生衰减,以避免需要执行源地址验证的主机数量过多,从而减小执行源地址验证的负载。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810670822.9A CN108881241B (zh) | 2018-06-26 | 2018-06-26 | 一种面向软件定义网络的动态源地址验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810670822.9A CN108881241B (zh) | 2018-06-26 | 2018-06-26 | 一种面向软件定义网络的动态源地址验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108881241A CN108881241A (zh) | 2018-11-23 |
| CN108881241B true CN108881241B (zh) | 2020-02-14 |
Family
ID=64294984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810670822.9A Active CN108881241B (zh) | 2018-06-26 | 2018-06-26 | 一种面向软件定义网络的动态源地址验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108881241B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113630378B (zh) * | 2021-06-29 | 2022-08-19 | 清华大学 | 基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置 |
| CN117040943B (zh) * | 2023-10-10 | 2023-12-26 | 华中科技大学 | 基于IPv6地址驱动的云网络内生安全防御方法和装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301129A (zh) * | 2013-07-16 | 2015-01-21 | 上海宽带技术及应用工程研究中心 | 一种软件定义网络中的动态主机配置方法及系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561011B (zh) * | 2013-10-28 | 2016-09-07 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
| CN104410643A (zh) * | 2014-12-16 | 2015-03-11 | 上海斐讯数据通信技术有限公司 | 一种sdn控制器基于统计值的防攻击方法 |
| CN104580222B (zh) * | 2015-01-12 | 2018-01-05 | 山东大学 | 基于信息熵的DDoS攻击分布式检测与响应方法 |
| US9509587B1 (en) * | 2015-03-19 | 2016-11-29 | Sprint Communications Company L.P. | Hardware root of trust (HROT) for internet protocol (IP) communications |
| US9860779B2 (en) * | 2015-05-13 | 2018-01-02 | Futurewei Technologies, Inc. | Systems and methods for making and disseminating local policy decisions in a software programmable radio network |
| CN106326308B (zh) * | 2015-07-03 | 2019-06-11 | 华中科技大学 | 一种基于sdn的网内重复数据删除方法及系统 |
| CN106060015B (zh) * | 2016-05-18 | 2019-11-01 | 深圳信息职业技术学院 | 一种基于sdn的ip源地址验证方法 |
| CN106357622B (zh) * | 2016-08-29 | 2019-06-14 | 北京工业大学 | 基于软件定义网络的网络异常流量检测防御系统 |
| CN107018129A (zh) * | 2017-03-20 | 2017-08-04 | 中山大学 | 一种基于多维Renyi交叉熵的DDoS攻击检测系统 |
| CN107959690B (zh) * | 2018-01-16 | 2019-07-05 | 中国人民解放军国防科技大学 | 基于软件定义网络的DDoS攻击跨层协同防御方法 |
-
2018
- 2018-06-26 CN CN201810670822.9A patent/CN108881241B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301129A (zh) * | 2013-07-16 | 2015-01-21 | 上海宽带技术及应用工程研究中心 | 一种软件定义网络中的动态主机配置方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108881241A (zh) | 2018-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gao et al. | Detection and mitigation of DoS attacks in software defined networks | |
| Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
| Sun et al. | Defending against low-rate TCP attacks: Dynamic detection and protection | |
| US7558266B2 (en) | System and method for restricting network access using forwarding databases | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| US7120931B1 (en) | System and method for generating filters based on analyzed flow data | |
| US7058974B1 (en) | Method and apparatus for preventing denial of service attacks | |
| US8879388B2 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
| US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
| US7849503B2 (en) | Packet processing using distribution algorithms | |
| CN106817275B (zh) | 一种自动化预防和编排处理策略冲突的系统和方法 | |
| EP1802023A1 (en) | System and method for controling ngn service-based firewall | |
| CN101779434A (zh) | 处理分组流 | |
| CN101552722A (zh) | 一种管理网络流量带宽的方法及装置 | |
| EP2073457A1 (en) | A method and apparatus for preventing igmp message attack | |
| CN106060015B (zh) | 一种基于sdn的ip源地址验证方法 | |
| WO2011129809A2 (en) | Method for applying a host security service to a network | |
| Zhang et al. | Floodshield: Securing the sdn infrastructure against denial-of-service attacks | |
| Dridi et al. | A holistic approach to mitigating DoS attacks in SDN networks | |
| CN108881241B (zh) | 一种面向软件定义网络的动态源地址验证方法 | |
| Xu et al. | DDoS attack in software defined networks: a survey | |
| CN112787959A (zh) | 一种流量调度方法和系统 | |
| Hong et al. | Dynamic threshold for DDoS mitigation in SDN environment | |
| CN114513340A (zh) | 一种软件定义网络中的两级DDoS攻击检测与防御方法 | |
| JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |