CN108965288A

CN108965288A - 一种基于流指纹的跨域溯源的方法

Info

Publication number: CN108965288A
Application number: CN201810746401.XA
Authority: CN
Inventors: 雷程; 刘小虎; 张玉臣; 刘璟; 范钰丹; 谭晶磊
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2018-07-09
Filing date: 2018-07-09
Publication date: 2018-12-07

Abstract

本发明提供了一种基于流指纹的跨域溯源的方法，以流指纹技术为基础，通过采用多层协同的思想，分别从域间层和域内路由层进行攻击路径重构和可疑攻击源定位，包括在域间层，构建全局网络拓扑关系，并利用可疑数据流的流指纹信息实现对不同数据流的关联，从而构建域间可疑攻击路径；在域内路由层，通过关联流表信息重构域内可疑攻击路径；将所述域间可疑攻击路径和域内可疑攻击路径进行融合，得到全网可疑攻击路径。从而降低目标主机遭到的损害。本发明采用流表关联度进行域内可疑路径的构建，利用SDN集中控制和流指纹技术保证了构建路径的高效、准确。

Description

一种基于流指纹的跨域溯源的方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于流指纹的跨域溯源的方法。

背景技术

随着信息化在人们日常生活、经济发展等各方面领域的不断深化，信息网络已成为国家重要的基础设施。然而，风险与利益总是相伴相随，针对数据中心服务器的网络威胁正在与日俱增。分析可知，攻击无论其原理和手段如何，大都结合跳板和匿名通信技术以实现对攻击源和攻击路径的隐藏。这类问题产生的根源在于数据交换过程中数据源的身份不可知，进而导致了恶意攻击路径不可追踪。因此，可疑攻击路径的高效提取和可疑攻击源的准确定位成为亟待解决的问题。

如表1所示，已有溯源技术研究主要分为三类：基于路由日志的攻击路径提取与攻击源定位技术、基于标记的攻击路径提取与攻击源定位技术和基于覆盖网络的攻击路径提取与攻击源定位技术。其中基于日志的攻击路径提取与攻击源定位技术是通过分析网络节点中的日志信息等，并采用数据融合等方法以实现攻击路径提取和攻击源定位。然而这种方法只能用于事后攻击路径的恢复，而且它要求防御方必须能够掌握网络节点的所有信息，因此具有较高的成本。基于覆盖网络的攻击路径提取与攻击源定位技术则是在物理网络的基础上通过提取虚拟或逻辑相连的路径以还原攻击的路径。然而，由于这种方法存在网络物理拓扑复杂、路由层物理拓扑易变等原因，导致其管理开销大、算法复杂度高。基于标记的攻击路径提取与攻击源定位技术又可细分为基于包标记的溯源技术和基于流指纹的溯源技术。这两种方式都是通过标记可疑的数据包以实现攻击路径重构和攻击源定位，因此具有良好的可用性和可扩展性。然而，这两种方法易遭到环路欺骗，从而误导可疑路径提取。与此同时，基于包标记的溯源技术由于载体容量所限，标记内容有限，且易遭到虚假数据包和IP报头替换攻击。

表1已有主流溯源技术比较

溯源技术	管理开销	网络开销	适用性	健壮性
					基于日志的溯源	大	较小	事后溯源	较强
基于覆盖网络中心的溯源	大	大	攻击过程中溯源	较差
					基于包标记的溯源	小	小	两种情况都可	较强
基于流指纹的溯源	小	小	两种情况都可	强

由于诸如政务办公、金融股票等领域使用的系统具有数据包加密、低时延、多流交汇和资源有限等的特点，因此，所设计的攻击路径提取和可疑攻击源定位技术要具有带宽消耗小、可同时追踪多流、健壮性强等特点。与此同时，随着软件定义网络的出现与不断发展，它集中控制、全局视图的优势有效解决了传统网络路由分散、管理分布存在的瓶颈。

发明内容

本发明提供了一种基于流指纹的跨域溯源的方法，以流指纹技术为基础，通过采用多层协同的思想，分别从域间层和域内路由层进行攻击路径重构和可疑攻击源定位，从而降低目标主机遭到的损害。

为了达到上述目的，本发明所采用的技术方案如下：

不同于传统网络分布式架构的特点，SDN网络具有集中控制的优势，因此在域内路由层中进行攻击源追溯可以充分利用SDN集中控制的特性，通过分析流表内容进行快速分析。因此，SDN网络下的攻击溯源的时效性相较于传统环境下的更好。

一种基于流指纹的跨域溯源的方法，其特征在于，包括以下步骤：

在域间层，构建全局网络拓扑关系，并利用可疑数据流的流指纹信息实现对不同数据流的关联，从而构建域间可疑攻击路径；

在域内路由层，通过关联流表信息重构域内可疑攻击路径；

将所述域间可疑攻击路径和域内可疑攻击路径进行融合，得到全网可疑攻击路径。

进一步，所述利用可疑数据流的流指纹信息实现对不同数据流的关联，从而构建域间可疑攻击路径的方法，包括以下步骤：

根据所述流指纹信息以及全局网络拓扑关系，生成全网的有向图；

利用所述流指纹信息确定流入和流出同一交换节点的数据流之间的关联性，并在此基础上构建邻接链接对；

将所述有向图转换为邻接链接对有向图；

根据所述邻接链接对有向图判断得到可疑数据流流经的全部交换节点的偏序关系，进而构建域间可疑攻击路径。

进一步，所述将所述有向图转换为邻接链接对有向图的过程中，将建立连接时间不同，但具有相同的起始节点和终结节点的会话用不同的有向图中的节点表示。

进一步，所述可疑数据流的流指纹信息是通过以下步骤进行收集的：

SDN控制器通过检测可疑数据流的流指纹信息以获取可疑数据流信息，并生成预警信息发送给总控中心；

总控中心依据预警信息中的发送数据流的IP从相应域内的SDN控制器中提取可疑数据流的流指纹信息，并获得与该域逻辑邻接的SDN控制器IP；

利用所述逻辑邻接的SDN控制器IP和发送数据流的IP判断逻辑邻接和物理邻接的域是否相同，并依据报告信息和已有的域间网络拓扑进行逐域的回溯，进而得到可疑数据流的流指纹信息。

进一步，所述通过关联流表信息重构域内可疑攻击路径的方法，包括以下步骤：

根据流指纹信息与数据流的绑定关系即将流指纹嵌入到数据流中后流指纹与被嵌入该指纹的数据流的关系来确定数据流信息；

根据可疑数据流入口关系找到可疑数据流的路径；其中可疑数据流入口是指可疑数据流从哪个入口进入到该域的；可疑数据流的路径则是指数据流的域内的数据流传输路径。

从对应路由的SDN交换机汇总的流表项中找到与所述数据包匹配的流表条目；

将所述数据流的包头信息和流表条目作为流表项搜索队列中的一个匹配项；

依据流表关联度构建域内可疑攻击路径。

进一步，所述构建全局网络拓扑关系的方法为：

通过监测SDN控制器数据端口发送的LLDP PacketOut、FLOW_MOD和接收的FLOW_REMOVED(这三个消息表示的是相应的三个消息类型)消息，得到全局网络拓扑关系。

一种基于流指纹的跨域溯源的系统，其特征在于，包括：

用于构建全局网络拓扑关系，并利用可疑数据流的流指纹信息实现对不同数据流的关联，从而构建域间可疑攻击路径的域间层；

用于通过关联流表信息重构域内可疑攻击路径的域内路由层；

用于将所述域间可疑攻击路径和域内可疑攻击路径进行融合，得到全网可疑攻击路径的总控中心。

本发明所产生的有益效果如下：

1、本发明以流指纹技术为基础，通过采用多层协同的思想，分别从域间层和域内路由层进行攻击路径重构和可疑攻击源定位，从而降低目标主机遭到的损害。

2、本发明设计了域间可疑攻击路径的构建算法，能够避免环路欺骗的问题。

3、本发明所采用的被动式流表收集方式构建网络拓扑关系，保证了拓扑信息收集的全面和零带宽占用。

4、本发明采用流表关联度进行域内可疑路径的构建，利用SDN集中控制和流指纹技术保证了构建路径的高效、准确。

附图说明

图1为本发明的系统框图；

图2为本发明实施例的并列关系和选择关系节点有向图转换示意图；

图3为本发明实施例的基于流表关联度的域内可疑路径构建算法的示意图。

具体实施方式

下面结合附图和具体的实施例来进一步详细的说明本发明，但本发明的保护范围并不限于此。

本发明提供了一种基于流指纹的跨域溯源的方法，通过采用多层协同的思想，分别从域间层和域内路由层进行攻击路径重构和可疑攻击源定位。该方法包括以下步骤：

步骤一：在域间层，首先依据域间SDN控制器构建全局网络拓扑关系；在此基础上，利用可疑数据流的流指纹实现对不同数据流的关联，从而构建域间可疑攻击路径。

进一步，由于域间可疑攻击路径构建可能存在环路欺骗等问题，因此设计了域间可疑攻击路径构建算法。在此基础上，分别给出了关联信息完全条件下的可疑路径提取方法和部分关联信息条件下的可疑路径提取的方法。其中在部分关联信息条件下的可疑路径提取中，利用基于本地时间关系的方法进行可疑路由节点的序列化，从而实现域内可疑攻击路径的重构。

步骤二：在域内路由层，利用SDN控制器的全局视图特性，通过关联流表信息重构域内可疑攻击路径。

步骤三：融合域间可疑攻击路径和域内可疑攻击路径实现对可疑攻击路径的协同构建。从而在保证可疑攻击路径准确提取的同时，分散了总控中心的存储量、降低了计算复杂度，有效防止了局部过载，实现了高效提取可疑路径和准确定位可疑信源。

进一步，该方法的具体流程如下：

1)当域内节点AS_k(服务器节点)中的目标服务器即提供服务的节点的服务器检测到可疑会话时，目标服务器生成预警信息，并发送给所在子网SDN_k的控制器。

2)子网的SDN控制器SDN_k依据目标服务器发送的信息提取可疑会话的流指纹信息，并发出预警信息给总控中心。

3)总控中心收集各个子网的SDN控制器中的网络视图，并构建全网视图。

4)总控中心收到预警信息后，发送可疑攻击路径重构请求给子网的SDN控制器SDN_k物理相邻子网的SDN控制器。

5)SDN控制器利用SDN集中控制功能向子网内对应的入口和出口OVS路由发送流指纹检测指令。

6)子网的入口和出口OVS路由利用流指纹检测模块检测流入流出的数据流中的流指纹信息。

7)OVS路由节点将检测到的可疑数据流信息上报给相应SDN控制器。

8)SDN控制器将可疑数据流信息的指纹信息上报给总控中心。

9)总控中心通过提取数据流中的流指纹信息以构建域间可疑攻击路径。

10)总控中心将各子网中的可疑攻击路径子队列进行融合，从而获得整个域间可疑攻击路径偏序关系。

11)各域内SDN控制器在接到请求信息后，利用域内可疑路径构建算法重构域内可疑攻击路径。

12)OVS路由将域内可疑攻击路径通过SDN控制器将该子网域内的可疑路径上报给总控中心。

13)总控中心将获取的不同域的可疑攻击路径进行融合，并将全网可疑攻击路径发送给管理员。

如图1所示，一种基于流指纹的跨域溯源的方法，该方法主要由总控中心、域间层和域内路由层组成，所述域间层包括包括若干个SDN控制器，每个SDN控制器下面设有若干个OVS路由。在本实施例中假设共计有m个SDN控制器，(k+1)个OVS路由。

可疑攻击路径的信息收集主要包括基于流指纹的可疑数据流的信息收集和基于SDN流表的网络拓扑的信息收集两个方面。其中，基于流指纹的可疑数据流的信息提取则主要通过检测数据流中的流指纹信息从而提取可疑数据流之间的关联关系。基于SDN流表的网络拓扑构建主要利用SDN控制器全局控制的特性，通过收集OVS路由中的流表信息以构建域内路由层中的节点连通关系。

进一步，所述基于流指纹的可疑数据流的信息收集的方法如下：

流是由<源IP地址、目的IP地址、源端口号、目的端口号、协议号>五元组构成，流指纹则是将流身份信息经过预处理后得到的具有一定长度和特定结构的流身份序列。由于攻击者会通过匿名通信技术以实现对攻击源和攻击路径的隐藏。因此一旦发现可疑数据流，无法利用数据流信息直接提取可疑路径信息。因此，本发明利用流指纹实现快速提取流身份。此外，为了保证在流变换条件下正确提取流身份信息，利用已有流指纹嵌入与提取算法在SDN控制器处进行流指纹信息的检测。流身份信息具体如表2所示：

表2提取的流身份信息

当某个域内SDN控制器发现可疑数据流，则SDN控制器通过检测该条数据流的流指纹信息以获取可疑数据流信息。SDN控制器首先通过遍历已有记录，得到该条数据流的第一个和最后一个数据包序列号，以及该条流经过的入口接口R_j-i。在此基础上，SDN控制器生成预警信息，即rep_i-S(SendIP,SrcIP,DstIP,SrcPort,DstPort,Protocol)，并将该条数据流的流指纹信息上报给总控中心。

总控中心收到预警信息后，依据流指纹信息中SendIP向相应网络域内的SDN控制器发送请求，以获取可疑数据流的流指纹信息。总控中心通过提取流指纹获得与该域逻辑邻接的SDN控制器IP(SendIP)，并利用SendIP和SrcIP判断逻辑邻接和物理邻接的域是否相同，并依据报告信息和已有的域间网络拓扑进行逐域的回溯。

如果逻辑邻接和物理邻接的可控域是相同的，即与AS_i物理邻接的AS_k是可控域。这说明在可控域AS_i中，入口接口R_j-i是可疑攻击路径上的一个转发节点，那么P′＝AS_i_R_k-i+P，其中P表示可疑可控域集合(P’表示添加AS_i_R_k-i后的集合P以及AS_i_R_k-i表示可控域AS_i的入口接口R_k-i)。如果逻辑邻接和物理邻接的AS是不相同的，即在可控域AS_i中，入口接口R_j-i是可疑攻击路径上的一个转发节点，但可疑攻击路径流经了与可控域AS_i物理相邻的其他不可控网域AS_k，那么P′＝AS_k+AS_i_R_k-i+P。

进一步，所述基于SDN流表的网络拓扑的信息收集的方法如下：

由于SDN网络中可以通过定期从OVS路由中“拉取”流表信息，然而这种方法会极大增加网络流量，并占用较多带宽。因此，本发明在链路发现协议(Link Layer DiscoveryProtocol,LLDP)的基础上设计了一种被动式拓扑构建方法，由此实现域内网络拓扑收集的低消耗和零带宽占用。

为了在保证网络拓扑信息全面收集和域内网络拓扑的全面构建的基础上，实现信息收集的零带宽占用和网络拓扑构建的低消耗，本发明采用了一种被动式流表收集方法，它在LLDP协议的基础上，通过控制器指令触发流表信息收集行为，以保证收集信息的全面、高效。由于SDN控制器具有集中控制的特性，本发明通过检测SDN控制器I/O发送的LLDPPacketOut、FLOW_MOD和接收的FLOW_REMOVED消息，从而保证拓扑信息收集的全面和零带宽占用。在构建网络拓扑时，当SDN控制器发送LLDP PacketOut消息时，将一个端口一条LLDPPacketOut消息改为一个交换机一个LLDP PacketOut消息，且LLDP数据包负载中的PortIDTLV值设置为零。在此基础上，依次将SDN控制器接收到的LLDP数据包中源MAC地址设置为端口MAC地址，并从相应OVS路由端口转发出去。在网络拓扑存在更新时，当SDN控制器发送FLOW_MOD消息时，此时SDN控制器需要OVS路由添加或者删除流表信息。当OVS路由器发送FLOW_REMOVED消息给SDN控制器时，这表明OVS路由器已经将某个流表项移除。因此，通过监听SDN控制器中的FLOW_MOD消息，可以实时更新网络拓扑关系。

进一步，所述域间可疑攻击路径的构建算法如下：

将所述有向图转换为邻接链接对有向图；

域间可疑攻击路径构建算法以流指纹作为关联信息，分别在关联信息完全条件下和部分关联信息条件下给出了可疑攻击路径提取方法。与此同时，为了防止攻击者利用修改IP地址、环路欺骗等方式阻碍和误导攻击路径提取与构建，该算法以邻接链接对作为有向图的“边”信息，通过有向图变换实现域间可疑攻击路径构建。所谓关联的邻接链接对是指某个链接和其他链接存在的因果和时间关系关联。

进一步，当总控中心获得可疑数据流的流指纹信息，以及不同SDN控制器中的网络拓扑信息后，首先基于这些信息生成一个全网的有向图(DG)。所述有向图(DG)的定义为：

DG中的节点V和边E的集合如下：

节点集合：

边的集合：E＝{e|Start(e)∪End(e)∈C}，其中Start(e)表示发起连接e的交换节点；End(e)表示结束连接e的交换节点。集合中C表示为交换节点集合。

在DG的基础上，通过进行有向图变换，将DG转换为邻接链接对有向图(PEA(DG))。

对于PEA(DG)，它的点集合V_PEA和边集合E_PEA定义如下：

节点的集合：V_PEA＝{v|v＝Start(e_i)∪End(e_i)∪End(e_j),<e_i,e_j>∈PEA}。

边的集合：

为了将可疑交换节点进行确定性序列化，定义E_PEA上的二元关系PEC，在此用∠_PEC表示：

1)

2)如果e_iPECe_j且e_jPECe_k，那么e_iPECe_k。

上述表达式中的PE_PEA表示邻接链接对有向图、

e_iPECe_j表示有向图PE_PEA中边集合E_PEA的二元关系、

E_PEA表示边集合、

e_jPECe_k表示有向图PE_PEA中边集合E_PEA的二元关系和e_iPECe_k表示有向图PE_PEA中边集合E_PEA的二元关系的物理含义。

由DG和PEA(DG)的定义可知，PEA(DG)中的二元关系PEC具有非对称和可传递的特性，因此PEC是一种偏序关系。所以，将可疑交换节点确定性序列化的等价条件为∠_PEC是良序，它的充分条件如下：

1)PEA(DG)是点单向链接的：e_i∠_PECe_j∪e_j∠_PECe_i。在PEA(DG)中它是点单向链接；在DG中它是边单向链接。

2)PEA(DG)不存在自回路：RS_PEA(e)＝{e_i|e∠_PECe_i}。因为∠_PEC是非对称的，所以PEC是无回路的。即在PEA(DG)中，不存在自回路；在DG中不存在回路。其中，RS_PEA(e)表示满足偏序关系∠_PEC的所有链路集合。

在将DG转换为PEA(DG)的过程中，将两个建立连接时间不同，但具有相同的起始、终结节点的会话用不同的e表示，从而实现可疑攻击路径构建过程中的去环路，保证了可疑节点序列化的正确性和确定性。

进一步，关联信息完全条件下的可疑路径提取的方法如下：

在关联信息完全的条件下，域间可疑攻击路径提取过程可通过利用流指纹信息确定流入和流出同一交换节点的数据流之间的关联性，并在此基础上构建邻接链接对，最后将DG转换为PEA(DG)，从而判断得到可疑数据流流经的全部交换节点是否具有偏序关系。具体算法如下(以下部分是上述步骤中构建数据流偏序关系。有向图的定义和变换方法已经在上文进行了说明)：

1)对于新产生的流入会话连接I_i或者流出会话连接O_i，如果不存在自回路，则将I_i(O_i)记录到队列Q中。

2)利用流指纹信息对会话连接进行关联，从而确定在队列Q中与c_i(c_i表示数据流)相关联的流。

3)将这些关联的数据流依据流指纹中SendIP信息和时间顺序进行排序，并且生成一个新的队列Q_C

4)假设Q_C＝c₁,c₂,...c_m，如果c₁∈Q_c是输入流，那么关联的会话连接对集合应该是如果c₁∈Q_c是输出流，那么关联的会话连接对集合应该是

5)输出得到的会话连接对集合Q_C。

进一步，部分关联信息条件下的可疑路径提取的方法如下：

当总控中心只能获得部分可疑路径关联信息时，由于得到的部分交换节点信息会造成可疑节点序列化的不确定性增大，所以本发明通过本地时间关系降低节点序列化过程中不确定性，进而增加可疑攻击路径构建的准确性。

通过分析，同一可疑攻击路径中主要存在三种关联关系，分别为因果关联关系、并列关联关系和选择关联关系。其中，因果关联关系可以直接通过交换节点的关系加以确定，从而在域间构建完整的可疑攻击路径。而选择和并列关联关系则易引起环路欺骗的问题。因此，本发明通过有向图变换的方式加以解决。

如图2和图3所示。对于存在并列关系和选择关系的节点，有向图转换会将其作为两个不同的边。所以在PEA(DG)中，任意交换节点上的关联会话连接都是成对出现的。

由于在只获得部分关联信息条件下构建可疑路径时，关联信息不完全的邻接会话连接对集合可以依据流指纹信息中的关联关系被划分为多个具有全部关联信息的子集。由于被划分后的每个子集都是良序关系，因此每个子集都可以唯一地转化为一个会话链接子序列集合。由于任意两个子序列的不确定关联关系可以分为以下两种情况：

1)某一交换节点上不相邻的两个输入数据流或者输出数据流间的关联关系存在不确定性；

2)某一交换节点上不相邻的输入和输出数据流之间的关联关系存在不确定性。

因为在基于跳板的网络攻击过程中，同一连接会话链路的攻击数据流只有发送到跳板节点上，该节点才会发起新的会话连接。由此可知，在一个可疑交换节点上，输入、输出的数据流是成对出现的。两种不确定情况中的第一种不确定情况可以等级转换为第二种不确定情况。

针对某一交换节点上不相邻的输入和输出数据流之间的关联关系存在不确定性的问题，本方法采用基于本地时间关系的方法分析相关会话链接子序列的关联度。由于在同一可疑攻击路径中，任意两个具有良序关系的子集{e_i,1,...,e_i,s}和{e_j,1,...,e_j,t}，和中，若存在e_i,x和e_i,y之间e_j,y的偏序关系，则{e_i,1,...,e_i,s,e_j,1,...,e_j,t}是具有良序关系的序列。

最后，当出现以下三种情况中任意一种时，域间的可疑攻击路径构建结束。

a)

b)

c)T_up(AS_i)中所有元素都不在P中。

T_up(AS_i)表示AS_i的逻辑上游邻接表

进一步，所述基于流表关联的域内可疑路径构建算法如下：

由于SDN网络具有全局控制的优势，因此域内可疑路径构建可以基于流表信息进行。为了能够高效、准确地实现域内可疑路径构建，本文依据流表关联度，设计了一种低开销的域内可疑路径构建算法。

由于在同一个分组的转发路径中，相邻交换机的流条目之间存在一些潜在的关系。因此，本方法基于流表关联度和SDN全局控制的特性实现域内可疑路径的快速重构。当SDN控制器发现可疑数据流时，SDN控制器需要指定所需追踪的数据流的包头字段，并标识流量的注入开关和端口。在此基础上，SDN控制器查找哪个流条目与入口交换机流表中的数据流请求相匹配，并且根据匹配条目的动作来搜索相应交换机的转发过程。基于流表关联的域内可疑路径构建算法如下：

1)SDN控制器依据流指纹与数据流的绑定关系确定数据流信息；

2)SDN控制器根据流入口关系找到流路径；

3)从对应OVS路由流表项中找到与数据包相匹配的最高优先级的记录；

4)将匹配的流表条目和可疑数据流包头信息放入匹配的条目搜索队列；

5)在搜索队列中查找流表项条目，并获得下一个跳的数据包报头信息；

5-1)如果搜索队列中的流表项条目与下一跳交换机中的条目有关系，则将下一个跳数包与这些条目进行匹配；

5-2)否则不存在匹配流表项；

6)依据流表关联度构建域内可疑攻击路径。

如图3所示，假设SDN子网域内有4个OVS交换机(OVS即Openflow Switch，表示SDN交换机)。OpenFlow中的流条目通常包含几个匹配字段和一个操作列表。假设'X-X-X-X-X-X'为流表条目种的匹配字段。由于流表条目的匹配字段及其动作列表是可知的，因此可以确定出口数据包的报头字段。通过将流表条目的动作应用于流条目的匹配字段来计算出口分组，可以有效提高可疑攻击路径构建的效率。只有当两个流表条目中的匹配字段之间交集不为空时，两个流表条目才有关联关系。例如，有在流表1中的规则2和在流表4中的规则1，由于它们的交点为2-3-1-3-1-X，不为空，因此两个流表项存在关联关系。更具体地说，在图3中，可疑数据流报文为4-3-1-3-32-80。当它被发送到交换机1的端口1时，通过遍历OVS流表可发现它与规则2相匹配。且规则2的动作是将数据包输出到端口4。因此，在重构可疑路径时，只需将可疑数据流报头字段替换为规则2中的包头字段，即为下一跳的数据包，为2-3-1-3-32-80。通过流表关联，可以无需遍历与交换机1相连的所有交换机中的流表条目，而只需将其与与规则1有关的规则提取遍历即可。

要说明的是，上述实施例是对本发明技术方案的说明而非限制，所属技术领域普通技术人员的等同替换或者根据现有技术而做的其它修改，只要没超出本发明技术方案的思路和范围，均应包含在本发明所要求的权利范围之内。

Claims

1.一种基于流指纹的跨域溯源的方法，其特征在于，包括以下步骤：

在域内路由层，通过关联流表信息重构域内可疑攻击路径；

2.根据权利要求1所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述利用可疑数据流的流指纹信息实现对不同数据流的关联，从而构建域间可疑攻击路径的方法，包括以下步骤：

将所述有向图转换为邻接链接对有向图；

3.根据权利要求1或2所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述将所述有向图转换为邻接链接对有向图的过程中，将建立连接时间不同，但具有相同的起始节点和终结节点的会话用不同的有向图中的节点表示。

4.根据权利要求1所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述可疑数据流的流指纹信息是通过以下步骤进行收集的：

5.根据权利要求1所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述通过关联流表信息重构域内可疑攻击路径的方法，包括以下步骤：

根据可疑数据流入口关系找到可疑数据流的路径；其中可疑数据流入口是指可疑数据流从哪个入口进入到该域的；可疑数据流的路径则是指数据流的域内的数据流传输路径；

依据流表关联度构建域内可疑攻击路径。

6.根据权利要求1或2所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述构建全局网络拓扑关系的方法为：

通过监测SDN控制器数据端口发送的LLDP PacketOut、FLOW_MOD和接收的FLOW_REMOVED消息，得到全局网络拓扑关系。