CN109818834A - 一种轻量级的sdn流表规则探测工具及探测方法 - Google Patents
一种轻量级的sdn流表规则探测工具及探测方法 Download PDFInfo
- Publication number
- CN109818834A CN109818834A CN201910227241.2A CN201910227241A CN109818834A CN 109818834 A CN109818834 A CN 109818834A CN 201910227241 A CN201910227241 A CN 201910227241A CN 109818834 A CN109818834 A CN 109818834A
- Authority
- CN
- China
- Prior art keywords
- module
- field
- flow table
- range
- sdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种轻量级的SDN流表规则探测工具及探测方法。由于本发明使用了特有的字段范围采样还原算法来降低构造探测包的开销,使得构造探测包的数目远远低于暴力构造方法的数目。因此,不仅能够极大地缩短探测时间,还具有较强的隐蔽性,不容易被管理员发现。而本发明中的采样算法适用于多字段探测,且探测开销较低,可在分钟级的探测时间内增加探测的字段。目前本发明支持8种字段的分钟级探测,探测范围得到了很大的提升。因为本发明中的通信模块使用了Scapy工具包,可以同时实现数据的发送和接收,与之前的SDN流表规则探测技术相比,本发明的适用性更强。
Description
技术领域
本发明涉及网络技术领域,具体涉及一种轻量级的SDN流表规则探测工具及探测方法。
背景技术
传统IP网络在架构上存在天然的缺陷,这阻碍了网络技术的进一步发展。软件定义网络(SDN)的提出正是为了解决传统网络的问题。SDN是一种相对于传统网络更加灵活智能的新型网络创新架构,是5G网络实现的关键技术之一。其主要思想是将网络设备的控制平面与数据平面分离开来,从而实现了网络的灵活控制,使网络变得更加智能。
近些年,SDN已经开始进入大规模商用化的进程。谷歌、腾讯和阿里等大型互联网公司已部署了SDN数据中心网络,中国移动等电信运营商也开始积极部署SDN-WAN。随着SDN商用化的推进,SDN网络的安全问题也日益受到重视。
SDN流表规则探测技术对于SDN网络来说至关重要。在SDN中,网络策略、网络应用和防御机制等均可通过SDN交换机上的流表来实现。如果攻击者能探测出流表规则,就可以制定出有针对性的攻击策略,进而对网络实施更加隐蔽有效地攻击。对防御者来说,也需要通过SDN流表规则探测来发现自身存在的安全隐患,从而在遭受攻击之前进行防范。
需要注意的是,在进行网络探测前,探测方是不知道网络内部情况的,把探测的网络当做一个“黑盒”来处理。因此,探测的环境是站在攻击者或者说“黑客”的角度来进行的,探测者无法直接对探测网络内部的设备进行操作。如果想获取这个网络的信息,只能根据网络的理论知识找到相应的漏洞从而进行探测。
虽然SDN技术发展迅猛,但SDN流表规则探测才刚刚起步。由于控制平面和数据平面的分离以及定制化、精细化等特点,使得SDN具有跟传统网络不同的时间特征和行为特征。因此传统网络下的探测技术不能直接移植到SDN网络,需要研究面向SDN网络的新探测技术。
在目前,已经有一些关于SDN流表规则探测技术的研究,例如INSPIRE技术。INSPIRE技术的主要思想是利用探测时延值的差值来推断流表规则是否存在。首先利用线扫描法构造探测包的头部来获取时延数据,然后对得到的数据使用K-Means算法进行分类,最后使用关联规则算法挖掘关联规则,从而完成SDN流表规则探测。虽然该方法能够实现SDN流表规则的探测,但存在如下两个缺点:(1)探测出的信息不够全面,能够探测的流表规则字段较少;(2)对于探测环境的权限需求过高,不仅需要获取到探测主机的权限,还需要获取目的主机的权限,这在实际探测环境中很难实现。
针对SDN流表规则探测的问题,相关研究人员还提出了SDNMap流表规则探测技术。该技术支持多种OpenFlow流表规则字段,包括IP等协议类型,TCP、UDP端口号和源、目的IP和MAC地址。虽然该方法实现了对多种流表规则字段的探测,而且精度也比较高,但是它探测的环境是在SDN控制器关闭了转发功能的情况下进行的。一般来说,在实际的SDN网络中,SDN控制器的转发功能是SDN控制器的核心,是默认打开的。因此这个探测技术具有很大的局限性。
发明内容
针对现有技术中的上述不足,本发明提供的一种轻量级的SDN流表规则探测工具及探测方法解决了SDN流表规则探测技术在实际探测环境中实现困难的问题。
为了达到上述发明目的,本发明采用的技术方案为:一种轻量级的SDN流表规则探测工具,包括输入模块、数据包生成器模块、逻辑控制模块、算法模块、通信模块、存储模块、流表重建模块和输出模块,所述逻辑控制模块分别与数据包生成器模块、输入模块、算法模块、存储模块和通信模块连接,所述通信模块与目标SDN网络连接,所述存储模块还分别与算法模块、通信模块、流表重建模块和输出模块连接;
所述输入模块用于输入探测参数,并将探测参数发送到逻辑控制模块;
所述探测参数包括探测字段和探测字段的范围;
所述数据包生成器模块用于根据需求生成探测字段的数据包,并将数据包发送到逻辑控制模块;
所述通信模块用于将数据包发送至目标SDN网络,并计算数据包对应的时延值,并将该时延值反馈到逻辑控制模块;
所述算法模块用于对探测参数进行采样,将时延值进行聚类,并将采样结果和聚类结果返回到逻辑控制模块;
所述存储模块用于调用逻辑控制模块、通信模块、算法模块和流表重建模块的数据信息和日志信息;
所述流表重建模块用于将逻辑控制模块获得的数据进行处理,生成流表信息;
所述输出模块用于将流表重建模块输出的数据从存储模块中提取出并展示;
所述逻辑控制模块用于调用输入模块、数据包生成器模块、通信模块、算法模块和存储模块。
进一步地:所述探测字段的范围包括源/目标IP地址范围、源/目标MAC地址范围、服务类型字段Tos范围、可选协议类型和端口号范围。
进一步地:所述算法模块内设有K-Means聚类算法和采样算法,所述K-Means聚类算法用于将时延值进行聚类,从而判断出SDN网络中存在的流表规则,所述采样算法用于对探测参数进行采样从而减小构造数据包的开销。
进一步地:所述流表重建模块对数据进行处理具体为:对采样后的探测字段的探测范围进行还原和删除无效探测字段种类。
一种轻量级的SDN流表规则探测方法,包括以下步骤:
S1、对SDN流表规则探测工具进行初始化;
S2、通过输入模块输入探测参数,并将探测参数发送到逻辑控制模块;
所述探测参数包括探测字段和探测字段的范围;
S3、通过逻辑控制模块调用算法模块对探测参数进行采样,并将采样后的探测参数发送给数据包生成器模块;
S4、通过数据包生成器模块按照需求构造数据包,并发送数据包到逻辑控制模块;
S5、通过通信模块将数据包发送至待探测的SDN网络,并通过通信模块收集每个数据包反馈的时延值,并将时延值发送至逻辑控制模块;
S6、通过逻辑控制模块将收集到的时延值传输到算法模块进行聚类,得到小时延值的主动式流表和大时延值的被动式流表,并通过聚类算法计算聚类中心值;
S7、通过算法模块中的采样算法构造边界字段值,将边界字段值与主动式流表字段进行组合生成新的采样数据包,并将新的采样数据包发送至待测SDN网络得到采样时延值;
S8、通过流表重建模块将采样时延值与聚类中心值进行比较,得到每个字段的有效范围;
S9、通过流表重建模块判断每个字段的有效范围是否和探测字段的范围完全一致,若是则该字段为无效字段,否则该字段为有效字段;
S10、将有效字段、无效字段和字段的有效范围保存在存储模块,并通过输出模块输出。
进一步地:所述探测字段的范围包括包括源/目标IP地址范围、源/目标MAC地址范围、服务类型字段Tos范围、可选协议类型和端口号范围。
进一步地:所述步骤S6中的聚类算法为K-Means聚类算法。
进一步地:所述步骤S7中采样算法的具体步骤为:
a.对每个字段范围进行采样,采样间隔为2;
b.通过数据包生成器模块对采样后的字段范围生成数据包,并通过通信模块发送至待测SDN网络,得到时延值;
c.通过聚类算法根据时延值判断字段是否属于主动式流表的字段范围,得到主动式字段;
d.将主动式字段与边界字段值进行组合生成数据包,发送至待测SDN网络,并获取对应的时延值。
本发明的有益效果为:
(1)开销低耗时短。由于本发明使用了特有的字段范围采样还原算法来降低构造探测包的开销,使得构造探测包的数目远远低于暴力构造方法的数目。因此,不仅能够极大地缩短探测时间,还具有较强的隐蔽性,不容易被管理员发现。
(2)支持多种流表字段探测。之前提出的SDN流表规则探测技术支持的探测字段较少,一般为2个。本发明中的采样算法适用于多维,且探测开销较低,可在分钟级的探测时间内增加探测的字段。目前本发明支持8种字段的分钟级探测,探测范围得到了很大的提升。
(3)适用范围广。因为本发明中的通信模块使用了Scapy工具包,可以同时实现数据的发送和接收,所以本发明只需要获取到一台探测主机的权限,不需要同时获取多台主机的权限。同时,SDN控制器的核心功能,也就是转发模块打开的情况下,仍旧不影响本发明进行探测,更加符合实际的探测场景。因此,与之前的SDN流表规则探测技术相比,本发明的适用性更强。
附图说明
图1为本发明中轻量级的SDN流表规则探测工具的结构图;
图2为本发明中轻量级的SDN流表规则探测方法的流程图;
图3为本发明中轻量级的SDN流表规则探测工具的部署环境示意图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
本发明是根据南向协议OpenFlow的标准以及SDN交换机和SDN控制器的特点,多方面地考虑了SDN网络环境的复杂性,设计出了相应的流表规则探测技术。具体来说,本发明是基于数据包的往返时延值RTT的差异进行判断。当发送的数据包经过一个SDN网络时,这个数据包的包头就会与SDN交换机中的流表规则进行匹配。如果匹配到了对应的流表规则,那么该数据包就会根据该流表规则当中的动作来执行相应操作,这种方式称为“主动式”(Proactive)。反之,如果没有匹配到对应的流表规则,那么SDN交换机就会把这个数据包进行封装然后发送给SDN控制器。最终,SDN控制器来决定这个数据包的处理方式:丢弃或者转发,这种方式称为“被动式”(Reactive)。其中,“主动式”的流表规则就是需要探测的SDN交换机中已有的流表规则。因为“主动式”无需经过与控制器交互的过程,所以相比于“被动式”,其往返时延值RTT会很小。通过区分RTT值的大小,便可以判断出哪些流表规则进行了“主动式”交互,从而探测出SDN网络中存在的流表规则。
如图1所示,一种轻量级的SDN流表规则探测工具,包括输入模块、数据包生成器模块、逻辑控制模块、算法模块、通信模块、存储模块、流表重建模块和输出模块,所述逻辑控制模块分别与数据包生成器模块、输入模块、算法模块、存储模块和通信模块连接,所述通信模块与目标SDN网络连接,所述存储模块还分别与算法模块、通信模块、流表重建模块和输出模块连接;
所述输入模块用于输入探测参数,并将探测参数发送到逻辑控制模块;
所述探测参数包括探测字段和探测字段的范围;所述探测字段的范围包括源/目标IP地址范围、源/目标MAC地址范围、服务类型字段Tos范围、可选协议类型和端口号范围。
目标IP地址范围:表示目的主机的IP地址范围,版本可为IPv4,格式为:点分十进制+掩码;
服务类型字段Tos范围:格式可为取值范围或Tos列表(一个有效的Tos值应该能被4整除,即二进制后两位为0);
可选协议类型:IP协议类型,主要支持ICMP、TCP、UDP等;
端口号范围:包括源端口和目的端口范围,格式可为取值范围或端口列表。
所述数据包生成器模块用于根据需求生成探测字段的数据包,并将数据包发送到逻辑控制模块;数据包生成器模块生成的流表规则字段种类和数目由用户输入时决定。
所述通信模块用于将数据包发送至目标SDN网络,并计算数据包对应的时延值,并将该时延值反馈到逻辑控制模块;本发明中的通信模块使用了Scapy工具包,可以同时实现数据的发送和接收,所以本发明只需要获取到一台探测主机的权限,不需要同时获取多台主机的权限。
所述算法模块用于对探测参数进行采样,将时延值进行聚类,并将采样结果和聚类结果返回到逻辑控制模块;所述算法模块内设有K-Means聚类算法和采样算法,所述K-Means聚类算法用于将时延值进行聚类,从而判断出SDN网络中存在的流表规则,所述采样算法用于对探测参数进行采样从而减小构造数据包的开销。
为了将反馈得到的不同数据包的时延值进行分类,我们采用了K-Means聚类算法。该算法能将收集到的数据分为K类并得到K个聚类中心,为采样算法提供支持。在SDN流表规则探测场景中,K取2,也就是将时延值分为两类,同时得到两个聚类中心。小的一类对应为“主动式”流表规则,大的一类对应为“被动式”流表规则。通过采用这种算法,轻量级SDN流表规则探测工具就能够在SDN控制器的转发功能打开的情况下,仍旧完成对SDN流表规则的探测。
SDN流表规则具有多个字段,每个字段有多种取值。假设有k个字段,每个字段有n种取值,如果暴力构造所有可能的数据包,需要的开销为nk;当字段数k增大时,开销nk指数级增长。因此,如何减小开销,是实现多字段探测的关键所在。
SDN网络中配置的流表规则,一般是一段连续的区间。本发明中的采样算法利用了这一特性,采用先采样后还原的思想,在多字段情况下降低了探测的开销。
采样算法的主要思路是通过寻找连续的流表规则中离散的点来反推出连续区间。采样算法的采样间隔设置为2,因此只要连续字段区间的长度大于等于2,就至少可以从连续区间内找到一个点。再通过找到的离散点确定出连续区间的边界,进而对边界进行验证,即可得到连续区间。
每多出一个探测字段种类,探测数据包的构造数量相对于暴力构造就会减少一半。如果总共有k个流表规则字段种类需要探测,那么探测数据包的开销将减小为暴力构造的大大减小了探测过程的开销,降低了SDN流表规则探测所需时间。
所述存储模块用于调用逻辑控制模块、通信模块、算法模块和流表重建模块的数据信息和日志信息;
所述流表重建模块用于将逻辑控制模块获得的数据进行处理,生成流表信息;所述流表重建模块对数据进行处理具体为:对采样后的探测字段的探测范围进行还原和删除无效探测字段种类。
对算法模块中采样字段的探测范围进行还原:
a.在算法模块采样算法后,从存储模块中取出相应的数据;
b.将算法模块采样算法构造边界字段值后获取到的时延值与算法模块K-Means算法计算出的两个聚类中心值进行对比,如果时延值与较小的聚类中心值距离更近,则该字段值属于“主动式”流表的一部分;否则,不属于“主动式”流表的一部分。
删除无效探测字段种类:
构造的探测包中的流表规则字段在SDN网络中不一定全部生效。例如,Tos字段可能在某些SDN网络的流表规则中不起任何作用,即Tos为无效探测字段。为了得到准确的探测结果,需要删除掉无效的探测字段。我们设计了一个简单并且高效的算法,具体流程如下所示:
a.在K-Means算法之后,记录下每个字段的有效范围;
b.对每个字段进行判断:如果某个字段的有效范围和用户初始输入范围完全一致,说明该字段的取值不会影响流表规则,从而判定该字段为无效字段;否则,判定为有效字段。
所述输出模块用于将流表重建模块输出的数据从存储模块中提取出并展示;
所述逻辑控制模块用于调用输入模块、数据包生成器模块、通信模块、算法模块和存储模块。
本发明的部署环境如图3所示,本发明部署方便,将本发明,即轻量级SDN流表规则探测工具直接部署在一台探测主机上即可。
准备工作:1)通过读取拓扑文件或手动搭建等方式搭建基于OVS+Docker或者OVS+Mininet的SDN网络;
2)配置SDN网络中的流表规则,此处可有两种方式,计算路由并为路径上的交换机配置流表或借助SDN控制器北向API下发流表。配置的流表应具有实际意义,尽量贴近现实中控制器下发或网络管理员配置的流表。
3)为探测主机安装轻量级SDN流表规则探测工具。
如图2所示,一种轻量级的SDN流表规则探测方法,包括以下步骤:
S1、对SDN流表规则探测工具进行初始化。
S2、通过输入模块输入探测参数,并将探测参数发送到逻辑控制模块。
所述探测参数包括探测字段和探测字段的范围;所述探测字段的范围包括源/目标IP地址范围、源/目标MAC地址范围、服务类型字段Tos范围、可选协议类型和端口号范围。如无输入,则使用默认参数来启动探测。
S3、通过逻辑控制模块调用算法模块对探测参数进行采样,并将采样后的探测参数发送给数据包生成器模块;例如,某个字段A的范围为[1,2,3,4,5,6],采样后变为[1,3,5]。
S4、通过数据包生成器模块按照需求构造数据包,并发送数据包到逻辑控制模块。
S5、通过通信模块将数据包发送至待探测的SDN网络,并通过通信模块收集每个数据包反馈的时延值,并将时延值发送至逻辑控制模块;同时自己也将部分日志信息放在存储模块存储。
S6、通过逻辑控制模块将收集到的时延值传输到算法模块进行聚类,得到小时延值的主动式流表和大时延值的被动式流表,并通过聚类算法计算聚类中心值;聚类算法为K-Means聚类算法。并将数据存储在存储模块。例如某个字段A经过步骤S3采样后变为[1,3,5],通过K-Means聚类算法后,得到时延值小的一类对应的字段为[3,5],也就能判断出“主动式”字段为[3,5]。
S7、通过算法模块中的采样算法构造边界字段值,将边界字段值与主动式流表字段进行组合生成采样数据包,并将采样数据包发送至待测SDN网络得到采样时延值;并将数据存储在存储模块。例如,步骤S6举的例子下,算法模块需要再次构造值为2和6的字段A与其他“主动式”流表字段组合,生成数据包后发往SDN网络,并获取到对应的时延值;
采样算法的具体步骤为:
a.对每个字段范围进行采样,采样间隔为2;
b.通过数据包生成器模块对采样后的字段范围生成数据包,并通过通信模块发送至待测SDN网络,得到时延值;
c.通过聚类算法根据时延值判断字段是否属于主动式流表的字段范围,得到主动式字段;
d.将主动式字段与边界字段值进行组合生成数据包,发送至待测SDN网络,并获取对应的时延值。
S8、通过流表重建模块将采样时延值与聚类中心值进行比较,得到每个字段的有效范围;例如,在步骤S7的例子下,流表重建模块需要通过获取的时延值与聚类中心值比较来判断字段2和6是否属于SDN交换机已有流表规则,若是,则字段的范围变为[2-6]。
S9、通过流表重建模块判断每个字段的有效范围是否和探测字段的范围完全一致,若是则该字段为无效字段,否则该字段为有效字段;
S10、将有效字段、无效字段和字段的有效范围保存在存储模块,并通过输出模块输出。
Claims (8)
1.一种轻量级的SDN流表规则探测工具,其特征在于,包括输入模块、数据包生成器模块、逻辑控制模块、算法模块、通信模块、存储模块、流表重建模块和输出模块,所述逻辑控制模块分别与数据包生成器模块、输入模块、算法模块、存储模块和通信模块连接,所述通信模块与目标SDN网络连接,所述存储模块还分别与算法模块、通信模块、流表重建模块和输出模块连接;
所述输入模块用于输入探测参数,并将探测参数发送到逻辑控制模块;
所述探测参数包括探测字段和探测字段的范围;
所述数据包生成器模块用于根据需求生成探测字段的数据包,并将数据包发送到逻辑控制模块;
所述通信模块用于将数据包发送至目标SDN网络,并计算数据包对应的时延值,并将该时延值反馈到逻辑控制模块;
所述算法模块用于对探测参数进行采样,将时延值进行聚类,并将采样结果和聚类结果返回到逻辑控制模块;
所述存储模块用于调用逻辑控制模块、通信模块、算法模块和流表重建模块的数据信息和日志信息;
所述流表重建模块用于将逻辑控制模块获得的数据进行处理,生成流表信息;
所述输出模块用于将流表重建模块输出的数据从存储模块中提取出并展示;
所述逻辑控制模块用于调用输入模块、数据包生成器模块、通信模块、算法模块和存储模块。
2.根据权利要求1所述的轻量级的SDN流表规则探测工具,其特征在于,所述探测字段的范围包括源/目标IP地址范围、源/目标MAC地址范围、服务类型字段Tos范围、可选协议类型和端口号范围。
3.根据权利要求1所述的轻量级的SDN流表规则探测工具,其特征在于,所述算法模块内设有K-Means聚类算法和采样算法,所述K-Means聚类算法用于将时延值进行聚类,从而判断出SDN网络中存在的流表规则,所述采样算法用于对探测参数进行采样从而减小构造数据包的开销。
4.根据权利要求1所述的轻量级的SDN流表规则探测工具,其特征在于,所述流表重建模块对数据进行处理具体为:对采样后的探测字段的探测范围进行还原和删除无效探测字段种类。
5.一种轻量级的SDN流表规则探测方法,其特征在于,包括以下步骤:
S1、对SDN流表规则探测工具进行初始化;
S2、通过输入模块输入探测参数,并将探测参数发送到逻辑控制模块;
所述探测参数包括探测字段和探测字段的范围;
S3、通过逻辑控制模块调用算法模块对探测参数进行采样,并将采样后的探测参数发送给数据包生成器模块;
S4、通过数据包生成器模块按照需求构造数据包,并发送数据包到逻辑控制模块;
S5、通过通信模块将数据包发送至待探测的SDN网络,并通过通信模块收集每个数据包反馈的时延值,并将时延值发送至逻辑控制模块;
S6、通过逻辑控制模块将收集到的时延值传输到算法模块进行聚类,得到小时延值的主动式流表和大时延值的被动式流表,并通过聚类算法计算聚类中心值;
S7、通过算法模块中的采样算法构造边界字段值,将边界字段值与主动式流表字段进行组合生成新的采样数据包,并将新的采样数据包发送至待测SDN网络得到采样时延值;
S8、通过流表重建模块将采样时延值与聚类中心值进行比较,得到每个字段的有效范围;
S9、通过流表重建模块判断每个字段的有效范围是否和探测字段的范围完全一致,若是则该字段为无效字段,否则该字段为有效字段;
S10、将有效字段、无效字段和字段的有效范围保存在存储模块,并通过输出模块输出。
6.根据权利要求5所述的轻量级的SDN流表规则探测方法,其特征在于,所述探测字段的范围包括源/目标IP地址范围、源/目标MAC地址范围、服务类型字段Tos范围、可选协议类型和端口号范围。
7.根据权利要求5所述的轻量级的SDN流表规则探测方法,其特征在于,所述步骤S6中的聚类算法为K-Means聚类算法。
8.根据权利要求5所述的轻量级的SDN流表规则探测方法,其特征在于,所述步骤S7中采样算法的具体步骤为:
a.对每个字段范围进行采样,采样间隔为2;
b.通过数据包生成器模块对采样后的字段范围生成数据包,并通过通信模块发送至待测SDN网络,得到时延值;
c.通过聚类算法根据时延值判断字段是否属于主动式流表的字段范围,得到主动式字段;
d.将主动式字段与边界字段值进行组合生成数据包,发送至待测SDN网络,并获取对应的时延值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910227241.2A CN109818834B (zh) | 2019-03-25 | 2019-03-25 | 一种轻量级的sdn流表规则探测工具及探测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910227241.2A CN109818834B (zh) | 2019-03-25 | 2019-03-25 | 一种轻量级的sdn流表规则探测工具及探测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109818834A true CN109818834A (zh) | 2019-05-28 |
CN109818834B CN109818834B (zh) | 2020-09-15 |
Family
ID=66610220
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910227241.2A Active CN109818834B (zh) | 2019-03-25 | 2019-03-25 | 一种轻量级的sdn流表规则探测工具及探测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109818834B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110430094A (zh) * | 2019-07-31 | 2019-11-08 | 西安交通大学 | 一种sdn中基于主动探测的探测包生成方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1766874A (zh) * | 2004-10-29 | 2006-05-03 | 富士通株式会社 | 规则发现程序、规则发现处理和规则发现装置 |
CN105052087A (zh) * | 2013-11-19 | 2015-11-11 | 华为技术有限公司 | 一种基于流表的表项寻址方法、交换机及控制器 |
CN105357046A (zh) * | 2015-11-23 | 2016-02-24 | 北京邮电大学 | 一种用于软件定义网络sdn的网络信息探测的方法 |
EP2999172A1 (en) * | 2014-09-18 | 2016-03-23 | Alcatel Lucent | Method and devices to certify a trusted path in a software defined network |
CN106713307A (zh) * | 2016-12-20 | 2017-05-24 | 中国科学院信息工程研究所 | 一种检测sdn中流表一致性的方法和系统 |
CN108289099A (zh) * | 2018-01-24 | 2018-07-17 | 中国人民大学 | 一种基于时间的sdn网络细粒度控制信息探测方法 |
-
2019
- 2019-03-25 CN CN201910227241.2A patent/CN109818834B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1766874A (zh) * | 2004-10-29 | 2006-05-03 | 富士通株式会社 | 规则发现程序、规则发现处理和规则发现装置 |
CN105052087A (zh) * | 2013-11-19 | 2015-11-11 | 华为技术有限公司 | 一种基于流表的表项寻址方法、交换机及控制器 |
EP2999172A1 (en) * | 2014-09-18 | 2016-03-23 | Alcatel Lucent | Method and devices to certify a trusted path in a software defined network |
CN105357046A (zh) * | 2015-11-23 | 2016-02-24 | 北京邮电大学 | 一种用于软件定义网络sdn的网络信息探测的方法 |
CN106713307A (zh) * | 2016-12-20 | 2017-05-24 | 中国科学院信息工程研究所 | 一种检测sdn中流表一致性的方法和系统 |
CN108289099A (zh) * | 2018-01-24 | 2018-07-17 | 中国人民大学 | 一种基于时间的sdn网络细粒度控制信息探测方法 |
Non-Patent Citations (3)
Title |
---|
PO-CHING LIN ; PING-CHUNG LI ; VAN LINH NGUYEN: "Inferring OpenFlow rules by active probing in software-defined networks", 《19TH INTERNATIONAL CONFERENCE ON ADVANCED COMMUNICATION TECHNOLOGY (ICACT)》 * |
李俊强等: "软件定义网络探测技术综述 ", 《重庆理工大学学报(自然科学)》 * |
李俊强等: "软件定义网络探测技术综述", 《重庆理工大学学报(自然科学)》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110430094A (zh) * | 2019-07-31 | 2019-11-08 | 西安交通大学 | 一种sdn中基于主动探测的探测包生成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109818834B (zh) | 2020-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Rahman et al. | Smartblock-sdn: An optimized blockchain-sdn framework for resource management in iot | |
CN108289104B (zh) | 一种工业SDN网络DDoS攻击检测与缓解方法 | |
CN103795596B (zh) | 可编程控制的sdn网络测量系统和测量方法 | |
CN108123931A (zh) | 一种软件定义网络中的DDoS攻击防御装置及方法 | |
KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
CN101399710B (zh) | 一种协议格式异常检测方法及系统 | |
CN104320278B (zh) | 基于软件定义网络sdn的广域网络实现方法及设备 | |
CN104283897B (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
WO2014193950A1 (en) | Data aggregation | |
CN104539595B (zh) | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 | |
CN108040057A (zh) | 适于保障网络安全、网络通信质量的sdn系统 | |
CN101808353A (zh) | 一种监视与分析无线传感器网络自身健康状态的方法 | |
CN101442556A (zh) | 一种基于IPv6的无线传感器网络服务器系统 | |
CN107979607A (zh) | 适于网络安全的软件定义的网络架构及其工作方法 | |
CN103491535B (zh) | 面向传感器网络的隐私保护通用近似查询方法 | |
Yu et al. | Practical and secure multidimensional query framework in tiered sensor networks | |
CN111049747B (zh) | 一种面向大规模容器集群的智能虚拟网络路径规划方法 | |
CN108768691A (zh) | 基于snmp协议的以太网自动拓扑发现及成环定位检测系统 | |
CN106375157A (zh) | 一种基于相空间重构的网络流关联方法 | |
CN106899978A (zh) | 一种无线网络攻击定位方法 | |
CN105704776A (zh) | 一种兼顾网络节点能量和缓存的节点消息转发方法 | |
Babbar et al. | Performance evaluation of qos metrics in software defined networking using ryu controller | |
CN109818834A (zh) | 一种轻量级的sdn流表规则探测工具及探测方法 | |
CN109858510A (zh) | 一种针对HTTP协议ETag值隐蔽通信的检测方法 | |
CN109981596A (zh) | 一种主机外联检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |