CN110138777B - 一种基于区域增长算法的sdn流规则探测方法 - Google Patents

Abstract

本发明公开了一种基于区域增长算法的SDN流规则探测方法，其主要包括：通过判断MAC地址、IP地址和TCP/UDP协议端口是否在流规则中启用，确定流规则空间的维度；采用区域增长算法基于流规则空间的维度在流规则空间中搜索流规则并进行空间分割，将分割得到的子空间作为新的待探测空间进行循环探测，将探测得到的流规则作为输出，完成基于区域增长算法的SDN流规则探测。本发明能够极大地降低探测流量的大小，缩短探测的时间，具有较强的隐蔽性。且本发明不需要知晓目标网络的结构信息，也不需要具备SDN控制器及其他网络组件的管理和操作权限，具有较强的适用性。

Description

一种基于区域增长算法的SDN流规则探测方法

技术领域

本发明涉及流规则探测方法，具体涉及一种基于区域增长算法的SDN流规则探测方法。

背景技术

软件定义网络(SDN)是一种新型网络架构，相较于传统网络，SDN将控制平面从数据平面中分离出来，数据平面仅仅负责最基本的数据转发功能，由集中式的控制代替传统的分布式控制方式，提高了网络控制的灵活性。控制平面北向的可编程接口更加适应如今网络需求不断变化的时代背景，使未来网络逐步走向高效、智能。同时，SDN网络的灵活和开放的特点也给自身的安全带来诸多隐患。自SDN网络诞生以来，学术界和工业界进行了大量的SDN安全方面的研究，但针对SDN的攻击技术水平和攻击后的影响仍然不断升级。

网络探测技术往往作用在对网络发动攻击之前，利用网络探测技术能够找到网络存在的漏洞和容易突破的弱点所在，对网络攻击的防御而言，为了提前对网络攻击进行防范，提高网络的安全性和健壮性，通常也需要网络探测技术发现自身网络上的安全隐患，从而降低网络因受到攻击而遭受的损失。

在SDN网络中，由于数据平面和控制平面的分离以及SDN网络的配置具有的高度定制化、精细化以及灵活性等特点，使得SDN网络具备和传统网络不一样的行为特征。在传统网络下的探测技术并不能直接移植并应用于SDN网络，同时，SDN流规则匹配项众多，传统的SDN扫描探测方法在探测数据包的数量和探测时间上会带来巨大的开销。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于区域增长算法的SDN流规则探测方法解决了现有SDN流规则探测方法开销大的问题。

为了达到上述发明目的，本发明采用的技术方案为：

提供一种基于区域增长算法的SDN流规则探测方法，其包括以下步骤：

S1、通过判断MAC地址、IP地址和TCP/UDP协议端口是否在流规则中启用，确定流规则空间的维度；

S2、将一条流规则是否存在于目标网络内记为sign，sign的值为-a或a，分别表示该条流规则不存在于目标网络中和存在于目标网络中，将整个流规则空间的sign默认为-a；其中a≠0；

S3、在流规则空间中进行随机采样构造探测数据包，直至找到一条流规则的sign值为a；

S4、获取以sign值为a的流规则的具体边界；

S5、根据sign值为a的流规则的具体边界将流规则空间分割为若干个流规则子空间；

S6、将sign值为a的流规则所在的流规则子空间的sign值设为a，将其余流规则子空间的sign值设为-a；

S7、判断是否达到探测上限，若是则将所有sign值为a对应的流规则作为探测结果进行输出，并结束探测；否则进入步骤S8；

S8、将每个sign值为-a的流规则子空间作为新的待探测的流规则空间，返回步骤S3。

进一步地，步骤S1中判断MAC地址是否在流规则中启用的具体包括以下子步骤：

S1-1-1、保留实际MAC地址的前三个字节并将后三个字节使用随机数字进行代替，完成伪造MAC地址；

S1-1-2、将带有伪造MAC地址的数据包发往目的主机，判断是否收到探测响应或来自目的主机的ARP请求，若是则表示该源MAC地址字段在流规则中没有作为匹配项启用并进入步骤S1-1-4；否则进入步骤S1-1-3；

S1-1-3、判断伪造MAC地址的次数是否达到上限，若是则表示该源MAC地址字段在流规则中已作为匹配项启用，结束MAC地址是否在流规则中启用的判定；否则返回步骤S1-1-1；

S1-1-4、构造一个ARP响应报文，填入IP地址和伪造的MAC地址井发送至目的主机；发送具有正确地址的探测包至目的主机，判断是否接收到来着目的主机基于该伪造MAC地址的响应报文，若是则表示该伪造MAC地址字段在流规则中没有作为匹配项启用，并结束MAC地址是否在流规则中启用的判定；否则进入步骤S1-1-5；

S1-1-5、判断构造ARP响应报文的次数是否达到上限，若是则表示该伪造MAC地址字段在流规则中已作为匹配项启用，结束MAC地址是否在流规则中启用的判定；否则返回步骤S1-1-4。

进一步地，步骤S1中判断IP地址是否在流规则中启用的具体方法包括以下子步骤：

S1-2-1、保留原IP地址的网络前缀并随机选择主机号，完成伪造IP地址；

S1-2-2、将带有伪造IP地址的数据包发往目的主机，判断是否收到来自目的主机的ARP请求报文，若是则表示该源IP地址未作为流规则的匹配项启用，进入步骤S1-2-4；否则进入步骤S1-2-3；

S1-2-3、判断伪造IP地址的次数是否达到上限，若是则表示该源IP地址在流规则中已作为匹配项启用，结束IP地址是否在流规则中启用的判定；否则返回步骤S1-2-1；

S1-2-4、构造一个ARP响应报文，将伪造的IP地址和自身MAC地址对应并发送至目的主机；发送探测包至目的主机，判定是否接收到探测响应报文，若是则表示该伪造的IP地址未作为流规则的匹配项启用，结束IP地址是否在流规则中启用的判定；否则进入步骤S1-2-5；

判断构造ARP响应报文的次数是否达到上限，若是则表示该伪造的IP地址已作为流规则的匹配项启用，结束IP地址是否在流规则中启用的判定；否则返回步骤S1-2-4。

进一步地，步骤S1中判断TCP/UDP协议端口是否在流规则中启用的具体方法包括以下子步骤：

S1-3-1、向目标网络中发送TCP协议的SYN报文，判断接收到的报文是ACK报文还是RST报文，若是ACK报文，则表示SYN报文被发送到目的主机的开放端口，即目标SDN网络内流规则允许TCP协议的报文通过，进入步骤S1-3-2；若是RST报文，则表示SYN报文被发送到目的主机的关闭端口，即目标SDN网络内流规则不允许TCP协议的报文通过，完成TCP协议端口是否在流规则中启用的判断并进入步骤S1-3-4；

S1-3-2、向目标网络发送基于TCP协议的数据包，根据回复报文获取数据包的RTT时延；修改基于TCP协议数据包的源端口号或目的端口号并再次发送至目的主机，判断是否收到来自目的主机的第二次回复报文，若是则记录第二次回复报文的RTT时延值，并进入步骤S1-3-3；否则表示流规则启用了对应的端口号作为匹配项，完成TCP协议端口是否在流规则中启用的判断并进入步骤S1-3-4；

S1-3-3、根据k-means分类算法判断修改端口号后是否触发了控制器下发新的流规则，若是则表示目标网络内流规则启用了对应的TCP协议端口号作为数据包的匹配项；否则表示目标网络内流规则未启用对应的TCP协议端口号作为数据包的匹配项，完成TCP协议端口是否在流规则中启用的判断并进入步骤S1-3-4；

S1-3-4、向目标网络中发送端口号为35000～65000的UDP报文，判断是否接收到ICMP端口不可达报文，若是则表示发送的UDP报文未到达目的主机，即目标SDN网络内流规则不允许UDP协议通过，完成UDP协议端口是否在流规则中启用的判断；否则表示发送的UDP报文已到达目的主机，即目标SDN网络内流规则允许UDP协议通过，进入步骤S1-3-5；

S1-3-5、向目标网络发送基于UDP协议的数据包，根据回复报文获取数据包的RTT时延；修改基于UDP协议数据包的源端口号或目的端口号并再次发送至目的主机，判断是否收到来自目的主机的第二次回复报文，若是则记录第二次回复报文的RTT时延值，并进入步骤S1-3-6；否则表示流规则启用了对应的端口号作为匹配项，完成UDP协议端口是否在流规则中启用的判断；

S1-3-6、根据k-means分类算法判断修改端口号后是否触发了控制器下发新的流规则，若是则表示目标网络内流规则启用了对应的UDP协议端口号作为数据包的匹配项；否则表示目标网络内流规则未启用对应的UDP协议端口号作为数据包的匹配项，完成UDP协议端口是否在流规则中启用的判断。

进一步地，步骤S4的具体方法为：

以sign值为a的流规则为起始点，在流规则空间的每一个维度中进行指数搜索，直至流规则的sign值发生改变时执行二分搜索，得到该sign值为a的流规则的具体边界。

进一步地，步骤S7中判断是否达到探测上限的具体方法包括：

满足采样数达到上限、探测总时间达到上限和流规则空间分割次数达到上限中的任一种情况即表示达到探测上限。

本发明的有益效果为：

1、本发明通过一台连入目标网络的探测主机发送探测流量并获取网络的反馈信息，结合指定的数据包头部以及RTT数据，即可获取目标网络上的数据包路径上的流规则。本方法不需要知晓目标网络的结构信息，也不需要具备SDN控制器及其他网络组件的管理和操作权限，具有较强的适用性。

2、本发明首先进行流规则匹配维度的确定，减少无效探测数据包的数量。然后使用区域增长算法对流规则有规律地进行探测，根据已探测到的信息构造接下来的探测数据包，提高探测的针对性，极大地减少了探测数据包的数量。因此本发明能够极大地降低探测流量的大小，缩短探测的时间，具有较强的隐蔽性。

3、本发明中的区域增长法中采用了指数增长和二分搜索的方式，对于流规则边界值确定的时间复杂度为对数级别。因此，当待探测的流规则区域发生变化时，本发明的探测方法所需的探测包数量和探测时间仅发生较小变化。

附图说明

图1为本发明的流程示意图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

如图1所示，该基于区域增长算法的SDN流规则探测方法包括以下步骤：

S1、通过判断MAC地址、IP地址和TCP/UDP协议端口是否在流规则中启用，确定流规则空间的维度；

S2、将一条流规则是否存在于目标网络内记为sign，sign的值为-a或a，分别表示该条流规则不存在于目标网络中和存在于目标网络中，将整个流规则空间的sign默认为-a；其中a≠0；

S3、在流规则空间中进行随机采样构造探测数据包，直至找到一条流规则的sign值为a；

S4、获取以sign值为a的流规则的具体边界；

S5、根据sign值为a的流规则的具体边界将流规则空间分割为若干个流规则子空间；

S6、将sign值为a的流规则所在的流规则子空间的sign值设为a，将其余流规则子空间的sign值设为-a；

S7、判断是否达到探测上限，若是则将所有sign值为a对应的流规则作为探测结果进行输出，并结束探测；否则进入步骤S8；

S8、将每个sign值为-a的流规则子空间作为新的待探测的流规则空间，返回步骤S3。

步骤S1中判断MAC地址是否在流规则中启用的具体包括以下子步骤：

S1-1-1、保留实际MAC地址的前三个字节并将后三个字节使用随机数字进行代替，完成伪造MAC地址；

S1-1-2、将带有伪造MAC地址的数据包发往目的主机，判断是否收到探测响应或来自目的主机的ARP请求，若是则表示该源MAC地址字段在流规则中没有作为匹配项启用并进入步骤S1-1-4；否则进入步骤S1-1-3；

S1-1-3、判断伪造MAC地址的次数是否达到上限，若是则表示该源MAC地址字段在流规则中已作为匹配项启用，结束MAC地址是否在流规则中启用的判定；否则返回步骤S1-1-1；

S1-1-4、构造一个ARP响应报文，填入IP地址和伪造的MAC地址井发送至目的主机；发送具有正确地址的探测包至目的主机，判断是否接收到来着目的主机基于该伪造MAC地址的响应报文，若是则表示该伪造MAC地址字段在流规则中没有作为匹配项启用，并结束MAC地址是否在流规则中启用的判定；否则进入步骤S1-1-5；

S1-1-5、判断构造ARP响应报文的次数是否达到上限，若是则表示该伪造MAC地址字段在流规则中已作为匹配项启用，结束MAC地址是否在流规则中启用的判定；否则返回步骤S1-1-4。

步骤S1中判断IP地址是否在流规则中启用的具体方法包括以下子步骤：

S1-2-1、保留原IP地址的网络前缀并随机选择主机号，完成伪造IP地址；

S1-2-2、将带有伪造IP地址的数据包发往目的主机，判断是否收到来自目的主机的ARP请求报文，若是则表示该源IP地址未作为流规则的匹配项启用，进入步骤S1-2-4；否则进入步骤S1-2-3；

S1-2-3、判断伪造IP地址的次数是否达到上限，若是则表示该源IP地址在流规则中已作为匹配项启用，结束IP地址是否在流规则中启用的判定；否则返回步骤S1-2-1；

S1-2-4、构造一个ARP响应报文，将伪造的IP地址和自身MAC地址对应并发送至目的主机；发送探测包至目的主机，判定是否接收到探测响应报文，若是则表示该伪造的IP地址未作为流规则的匹配项启用，结束IP地址是否在流规则中启用的判定；否则进入步骤S1-2-5；

判断构造ARP响应报文的次数是否达到上限，若是则表示该伪造的IP地址已作为流规则的匹配项启用，结束IP地址是否在流规则中启用的判定；否则返回步骤S1-2-4。

步骤S1中判断TCP/UDP协议端口是否在流规则中启用的具体方法包括以下子步骤：

S1-3-1、向目标网络中发送TCP协议的SYN报文，判断接收到的报文是ACK报文还是RST报文，若是ACK报文，则表示SYN报文被发送到目的主机的开放端口，即目标SDN网络内流规则允许TCP协议的报文通过，进入步骤S1-3-2；若是RST报文，则表示SYN报文被发送到目的主机的关闭端口，即目标SDN网络内流规则不允许TCP协议的报文通过，完成TCP协议端口是否在流规则中启用的判断并进入步骤S1-3-4；

S1-3-2、向目标网络发送基于TCP协议的数据包，根据回复报文获取数据包的RTT时延；修改基于TCP协议数据包的源端口号或目的端口号并再次发送至目的主机，判断是否收到来自目的主机的第二次回复报文，若是则记录第二次回复报文的RTT时延值，并进入步骤S1-3-3；否则表示流规则启用了对应的端口号作为匹配项，完成TCP协议端口是否在流规则中启用的判断并进入步骤S1-3-4；

S1-3-3、根据k-means分类算法判断修改端口号后是否触发了控制器下发新的流规则，若是则表示目标网络内流规则启用了对应的TCP协议端口号作为数据包的匹配项；否则表示目标网络内流规则未启用对应的TCP协议端口号作为数据包的匹配项，完成TCP协议端口是否在流规则中启用的判断并进入步骤S1-3-4；

S1-3-4、向目标网络中发送端口号为35000～65000的UDP报文，判断是否接收到ICMP端口不可达报文，若是则表示发送的UDP报文未到达目的主机，即目标SDN网络内流规则不允许UDP协议通过，完成UDP协议端口是否在流规则中启用的判断；否则表示发送的UDP报文已到达目的主机，即目标SDN网络内流规则允许UDP协议通过，进入步骤S1-3-5；

S1-3-5、向目标网络发送基于UDP协议的数据包，根据回复报文获取数据包的RTT时延；修改基于UDP协议数据包的源端口号或目的端口号并再次发送至目的主机，判断是否收到来自目的主机的第二次回复报文，若是则记录第二次回复报文的RTT时延值，并进入步骤S1-3-6；否则表示流规则启用了对应的端口号作为匹配项，完成UDP协议端口是否在流规则中启用的判断；

S1-3-6、根据k-means分类算法判断修改端口号后是否触发了控制器下发新的流规则，若是则表示目标网络内流规则启用了对应的UDP协议端口号作为数据包的匹配项；否则表示目标网络内流规则未启用对应的UDP协议端口号作为数据包的匹配项，完成UDP协议端口是否在流规则中启用的判断。

步骤S4的具体方法为：以sign值为a的流规则为起始点，在流规则空间的每一个维度中进行指数搜索，直至流规则的sign值发生改变时执行二分搜索，得到该sign值为a的流规则的具体边界。

步骤S7中判断是否达到探测上限的具体方法包括：满足采样数达到上限、探测总时间达到上限和流规则空间分割次数达到上限中的任一种情况即表示达到探测上限。

综上所述，本发明能够极大地降低探测流量的大小，缩短探测的时间，具有较强的隐蔽性。且本发明不需要知晓目标网络的结构信息，也不需要具备SDN控制器及其他网络组件的管理和操作权限，具有较强的适用性。

Claims (6)

1.一种基于区域增长算法的SDN流规则探测方法，其特征在于，包括以下步骤：

S1、通过判断MAC地址、IP地址和TCP/UDP协议端口是否在流规则中启用，确定流规则空间的维度；

S2、将一条流规则是否存在于目标网络内记为sign，sign的值为-a或a，分别表示该条流规则不存在于目标网络中和存在于目标网络中，将整个流规则空间的sign默认为-a；其中a≠0；

S3、在流规则空间中进行随机采样构造探测数据包，直至找到一条流规则的sign值为a；

S4、获取以sign值为a的流规则的具体边界；

S5、根据sign值为a的流规则的具体边界将流规则空间分割为若干个流规则子空间；

S6、将sign值为a的流规则所在的流规则子空间的sign值设为a，将其余流规则子空间的sign值设为-a；

S7、判断是否达到探测上限，若是则将所有sign值为a对应的流规则作为探测结果进行输出，并结束探测；否则进入步骤S8；

S8、将每个sign值为-a的流规则子空间作为新的待探测的流规则空间，返回步骤S3。

2.根据权利要求1所述的基于区域增长算法的SDN流规则探测方法，其特征在于，所述步骤S1中判断MAC地址是否在流规则中启用的具体包括以下子步骤：

S1-1-1、保留实际MAC地址的前三个字节并将后三个字节使用随机数字进行代替，完成伪造MAC地址；

S1-1-2、将带有伪造MAC地址的数据包发往目的主机，判断是否收到探测响应或来自目的主机的ARP请求，若是则表示该数据包的源MAC地址字段在流规则中没有作为匹配项启用并进入步骤S1-1-4；否则进入步骤S1-1-3；

S1-1-3、判断伪造MAC地址的次数是否达到上限，若是则表示该数据包的源MAC地址字段在流规则中已作为匹配项启用，结束MAC地址是否在流规则中启用的判定；否则返回步骤S1-1-1；

S1-1-4、构造一个ARP响应报文，填入IP地址和伪造的MAC地址井发送至目的主机；发送具有正确地址的探测包至目的主机，判断是否接收到来着目的主机基于该伪造MAC地址的响应报文，若是则表示该伪造MAC地址字段在流规则中没有作为匹配项启用，并结束MAC地址是否在流规则中启用的判定；否则进入步骤S1-1-5；

S1-1-5、判断构造ARP响应报文的次数是否达到上限，若是则表示该伪造MAC地址字段在流规则中已作为匹配项启用，结束MAC地址是否在流规则中启用的判定；否则返回步骤S1-1-4。

3.根据权利要求1所述的基于区域增长算法的SDN流规则探测方法，其特征在于，所述步骤S1中判断IP地址是否在流规则中启用的具体方法包括以下子步骤：

S1-2-1、保留原IP地址的网络前缀并随机选择主机号，完成伪造IP地址；

S1-2-2、将带有伪造IP地址的数据包发往目的主机，判断是否收到来自目的主机的ARP请求报文，若是则表示该数据包的源IP地址未作为流规则的匹配项启用，进入步骤S1-2-4；否则进入步骤S1-2-3；

S1-2-3、判断伪造IP地址的次数是否达到上限，若是则表示该数据包的源IP地址在流规则中已作为匹配项启用，结束IP地址是否在流规则中启用的判定；否则返回步骤S1-2-1；

S1-2-4、构造一个ARP响应报文，将伪造的IP地址和自身MAC地址对应并发送至目的主机；发送探测包至目的主机，判定是否接收到探测响应报文，若是则表示该伪造的IP地址未作为流规则的匹配项启用，结束IP地址是否在流规则中启用的判定；否则进入步骤S1-2-5；

S1-2-5、判断构造ARP响应报文的次数是否达到上限，若是则表示该伪造的IP地址已作为流规则的匹配项启用，结束IP地址是否在流规则中启用的判定；否则返回步骤S1-2-4。

4.根据权利要求1所述的基于区域增长算法的SDN流规则探测方法，其特征在于，所述步骤S1中判断TCP/UDP协议端口是否在流规则中启用的具体方法包括以下子步骤：

S1-3-1、向目标网络中发送TCP协议的SYN报文，判断接收到的报文是ACK报文还是RST报文，若是ACK报文，则表示SYN报文被发送到目的主机的开放端口，即目标SDN网络内流规则允许TCP协议的报文通过，进入步骤S1-3-2；若是RST报文，则表示SYN报文被发送到目的主机的关闭端口，即目标SDN网络内流规则不允许TCP协议的报文通过，完成TCP协议端口是否在流规则中启用的判断并进入步骤S1-3-4；

S1-3-2、向目标网络发送基于TCP协议的数据包，根据回复报文获取数据包的RTT时延；修改基于TCP协议数据包的源端口号或目的端口号并再次发送至目的主机，判断是否收到来自目的主机的第二次回复报文，若是则记录第二次回复报文的RTT时延值，并进入步骤S1-3-3；否则表示流规则启用了对应的端口号作为匹配项，完成TCP协议端口是否在流规则中启用的判断并进入步骤S1-3-4；

S1-3-3、根据k-means分类算法判断修改端口号后是否触发了控制器下发新的流规则，若是则表示目标网络内流规则启用了对应的TCP协议端口号作为数据包的匹配项；否则表示目标网络内流规则未启用对应的TCP协议端口号作为数据包的匹配项，完成TCP协议端口是否在流规则中启用的判断并进入步骤S1-3-4；

S1-3-4、向目标网络中发送端口号为35000～65000的UDP报文，判断是否接收到ICMP端口不可达报文，若是则表示发送的UDP报文未到达目的主机，即目标SDN网络内流规则不允许UDP协议通过，完成UDP协议端口是否在流规则中启用的判断；否则表示发送的UDP报文已到达目的主机，即目标SDN网络内流规则允许UDP协议通过，进入步骤S1-3-5；

S1-3-5、向目标网络发送基于UDP协议的数据包，根据回复报文获取数据包的RTT时延；修改基于UDP协议数据包的源端口号或目的端口号并再次发送至目的主机，判断是否收到来自目的主机的第二次回复报文，若是则记录第二次回复报文的RTT时延值，并进入步骤S1-3-6；否则表示流规则启用了对应的端口号作为匹配项，完成UDP协议端口是否在流规则中启用的判断；

S1-3-6、根据k-means分类算法判断修改端口号后是否触发了控制器下发新的流规则，若是则表示目标网络内流规则启用了对应的UDP协议端口号作为数据包的匹配项；否则表示目标网络内流规则未启用对应的UDP协议端口号作为数据包的匹配项，完成UDP协议端口是否在流规则中启用的判断。

5.根据权利要求1所述的基于区域增长算法的SDN流规则探测方法，其特征在于，所述步骤S4的具体方法为：

以sign值为a的流规则为起始点，在流规则空间的每一个维度中进行指数搜索，直至流规则的sign值发生改变时执行二分搜索，得到该sign值为a的流规则的具体边界。

6.根据权利要求1所述的基于区域增长算法的SDN流规则探测方法，其特征在于，所述步骤S7中判断是否达到探测上限的具体方法包括：

满足采样数达到上限、探测总时间达到上限和流规则空间分割次数达到上限中的任一种情况即表示达到探测上限。

Images