CN110493210B - 一种基于sdn的可配置网络安全实验系统 - Google Patents

一种基于sdn的可配置网络安全实验系统 Download PDF

Info

Publication number
CN110493210B
CN110493210B CN201910735652.2A CN201910735652A CN110493210B CN 110493210 B CN110493210 B CN 110493210B CN 201910735652 A CN201910735652 A CN 201910735652A CN 110493210 B CN110493210 B CN 110493210B
Authority
CN
China
Prior art keywords
sdn
experiment
network
network security
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201910735652.2A
Other languages
English (en)
Other versions
CN110493210A (zh
Inventor
魏松杰
崔聪
孙鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Science and Technology
CERNET Corp
Original Assignee
Nanjing University of Science and Technology
CERNET Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Science and Technology, CERNET Corp filed Critical Nanjing University of Science and Technology
Priority to CN201910735652.2A priority Critical patent/CN110493210B/zh
Publication of CN110493210A publication Critical patent/CN110493210A/zh
Application granted granted Critical
Publication of CN110493210B publication Critical patent/CN110493210B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于SDN的可配置网络安全实验系统,包括:用于设置实验参数及构建实验拓扑的实验管理主机;用于实现网络集中式控制、管理交换机并与数据库交互的SDN控制器;用于实现链路丢包时延与虚拟网络节点的仿真主机;用于存储拓扑信息、主机性能与管理实验设备信息的系统数据库;用于提供实验环境多样性且融合攻击仿真程序的系统镜像。本发明能够实现基于真实SDN交换机的实验仿真设计,方便地进行网络状态实时监控、设置网络链路中的时延和丢包率、进行攻击模拟及防御实验等功能。

Description

一种基于SDN的可配置网络安全实验系统
技术领域
本发明涉及网络安全技术领域,更具体的说是涉及一种基于SDN的可配置网络安全实验系统。
背景技术
SDN的集中控制和可编程功能可以实现对整个网络流量的监控,动态控制恶意或可疑的网络流量,把转发规则的制定集中到控制器中,数据的转发由控制器下发的流表项统一指导,由交换机等网络转发设备实现转发过程,无需独立访问和重新配置分散在整个网络中的各个设备,实现对网络异常的检测与追溯。
当研究人员进行SDN方案设计研究、OpenFlow协议安全性验证或者可编程交换机应用测试时,需要搭建满足实验要求的转发层网络,但只有很少的设备可供选择,且使用较多可编程交换机进行大规模网络实验时有开销过高且灵活性不足的问题,这一问题的解决思路是对转发网络采用虚拟和仿真的方法,在满足条件的前提下尽可能的满足真实性。
近年来,Mininet、Open vSwitch等作为转发层优秀开源软件的代表,可帮助用户进行转发网络的搭建。然而Mininet搭建的SDN网络是完全虚拟化的,无法还原基于SDN网络的真实实验情况。另外,实验人员采用物理设备结合虚拟化方法,划分真实SDN物理交换机的端口,让真实SDN交换机的某些端口属于某个虚拟交换机,但这种方法虚拟出的SDN交换机数量有限,且物理交换机连线对虚拟交换机的拓扑连线影响很大,无法仿真时延和丢包率。
因此,如何提供一种基于SDN的可配置网络安全实验系统是本领域技术人员亟需解决的问题。
发明内容
有鉴于此,本发明提供了一种基于SDN的可配置网络安全实验系统,能够方便地进行网络状态的实时监控、设置网络链路中的时延和丢包率、进行攻击仿真及防御实验等功能,为网络安全问题的研究和攻防实验的演练提供了真实有效的实验环境。
为了实现上述目的,本发明采用如下技术方案:
一种基于SDN的可配置网络安全实验系统,包括:
实验管理主机:用于配置网络安全实验,显示网络实验拓扑图,并将网络安全实验配置信息发送给系统数据库;
SDN控制器:调取所述系统数据库中的所述网络安全实验配置信息,并根据所述网络实验拓扑图和实际物理连接情况计算数据包的转发路径,下发流表项,并指导所述数据包的转发;
仿真主机:用于抓取所述数据包,并对所述数据包进行丢弃、延时发送或直接发送处理;
所述系统数据库:用于存储数据信息;
系统镜像:用于根据所述SDN控制器的指令实现对网络节点的快速配置。
进一步,还包括SDN交换机,所述SDN交换机用于根据所述流表项,转发所述数据包至所述仿真主机。
进一步,所述网络实验拓扑图包括网络节点属性和网络连接属性。
进一步,所述实际物理连接情况包括所述SDN交换机的端口与用户主机、所述SDN控制器和所述仿真主机的连接。
进一步,所述存储数据信息包括所述网络安全实验配置信息、网络资源统计信息和节点信息。
进一步,所述网络资源统计信息包括节点类型和可用状态信息。
进一步,所述系统镜像包括用户主机节点的主系统和用户主机节点的从系统。
进一步,所述用户主机节点的主系统用于接收所述SDN控制器的切换命令,实现所述用户主机节点的从系统和所述用户主机节点的主系统之间的切换。
进一步,所述用户主机节点的从系统用于执行攻击/防御策略、获取系统动态数据以及将所述系统动态数据上传至所述系统数据库。
经由上述的技术方案可知,与现有技术相比,本发明公开提供了一种基于SDN的可配置网络安全实验系统,能够方便地进行网络状态的实时监控、设置网络链路中的时延和丢包率、进行攻击仿真及防御实验等功能,为网络安全问题的研究和攻防实验的演练提供了真实有效的实验环境。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1附图为本发明提供的基于SDN的可配置网络安全实验系统的系统模块图。
图2附图本发明提供的基于SDN的可配置网络安全实验系统的系统框架图。
图3附图为本发明的基于SDN的可配置网络安全实验系统的系统镜像配置流程图。
图4附图为本发明的基于SDN的可配置网络安全实验系统的主机前台界面展示图。
图5附图为本发明的基于SDN的可配置网络安全实验系统的攻击实验设置图。
图6附图为本发明的基于SDN的可配置网络安全实验系统的用户主机节点流量图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于SDN的可配置网络安全实验系统,系统框架图如图2所示,在实验管理主机前台界面管理中进行用户管理、设备管理和实验管理,设置拓扑结构和节点个数等,并能够针对用户需求,灵活模拟各种网络拓扑结构,在仿真管理中可以对用户主机进行配置,设置链路属性,并通过链路仿真主机将真实交换机的端口模拟为多台交换机,通过Web服务器和系统数据库进行数据的读取和传送,网络搭建成功后,设置背景流量和攻击流量,增加网络真实性,并结合系统镜像进行安全实验。另外,系统中虚实结合网络受SDN控制器的统一监控,具有可配置性,用户可以在方便地实现流量调度、攻击防御等。
基于SDN的可配置网络安全实验系统共分为5个部分,如图1所示,包括实验管理主机、SDN控制器、仿真主机、系统数据库和系统镜像。
实验管理主机负责搭建虚拟网络拓扑、查看网络拓扑状态、设置和修改链路状态和监控节点状态。构建的虚拟网络拓扑包含用户主机节点和交换机节点。用户主机节点包含主机IP信息,交换机节点包含其编号。链路信息包括链路的丢包率和时延。实验管理主机可将构建好的虚拟网络拓扑信息以文本的形式保存下来,以供控制器读取。
SDN控制器负责根据构建的虚拟网络拓扑以及实际的物理连接情况构建流表项下发相应流表项,并指导数据包转发。
每当有一个Packet-in消息到来时,控制器根据网络拓扑计算该数据包的转发路径,下发流表项。流表项的匹配域中包含了虚拟链路的信息,流表项的动作包含修改数据包源Mac地址字段,使得该字段可以记录虚拟链路信息。
SDN控制器同时需要将网络拓扑信息发送给仿真主机。为了使控制器能与仿真主机通信,SDN控制器需要同时连接SDN交换机的普通网口并下发使控制器与仿真主机通信的流表项。控制器通过REST API与仿真模块通信。若数据包不是经过虚拟网络链路的最后一跳,数据包会被转发到仿真主机中。对于需要延迟的数据包,仿真模块为该数据包起一个新线程,当该数据包对应的线程休眠到要求的时间后,再把该数据包发送出去。
仿真主机负责根据构建的虚拟网络拓扑信息进行网络仿真。仿真主机可以抓取数据包,对抓取的数据包解析并处理,包括丢弃、延时发送、直接发送。
由于数据包的源Mac地址字段记录了链路信息,仿真主机通过解析抓取的数据包的源Mac地址字段,并利用获取的虚拟网络拓扑信息,对一个数据包做出丢弃或延时发送或直接发送的处理。
系统数据库用于数据的存储。数据库中的数据来源有以下三种,第一种是实验管理主机绘制的网络定制信息,供控制器和仿真主机读取;第二种是网络资源统计,包括节点类型以及可用状态信息,显示在实验管理主机前台界面(最开始数据库保存有系统初始可用设备类型及可用状态的信息,当实验启动占用部分设备后,控制器会更新这些值保存在数据库中。);第三种是节点信息如CPU占比、硬盘占比、流量输入与输出,由用户主机节点自主向数据库报告,供实验管理主机前台读取,其中动态数据是用户主机节点的从系统通过程序脚本获得并报告给数据库,如CPU占比等。
系统镜像主要实现的是对网络节点的快速配置,如图3所示。该模块分为用户主机节点的主系统和用户主机节点的从系统两个部分,主系统主要负责接收控制器切换命令,实现从系统选择和主从系统切换;从系统主要负责攻击、防御策略的执行和系统动态属性——CPU利用率、硬盘利用率、内存利用率、上行流量和下行流量的获取与上传。
通过提前制作好配置完成后的主从系统镜像,利用Linux下的dd命令实现主从系统的快速、批量还原,方便用户扩大节点规模,实现更复杂的攻防网络拓扑。此外该模块的主系统安装在易于拆卸的U盘中,便于用户更换节点主机;而从系统安装在主机硬盘内,其还原过程为,进入主系统后,接收到控制器切换系统命令,自动从数据库拉取配置好的相关镜像,还原到节点主机硬盘分区内。由于该模块实现了自动化系统还原与配置,所以多台主机可以同时进行还原操作,大大节约了配置节点的时间。
下面结合实施例对本发明进行详细说明。
实施例
一种基于SDN的可配置网络安全实验系统,包括用于设置实验参数及构建实验拓扑的实验管理主机;用于实现网络集中式控制、管理交换机与数据库交互的SDN控制器;用于实现链路设置与虚拟网络节点的仿真主机;用于存储拓扑信息、用户主机性能与管理实验设备信息的系统数据库;用于提供实验环境多样性且融合攻击仿真程序的系统镜像。
本发明使用的SDN交换机是盛科V350SDN交换机。盛科V350交换机集成OpenvSwitch,支持OpenFlow 1.3.x标准。支持多种类型控制器,能够增加、删除、重置SDN控制器。
实验管理主机使用的是Web技术,通过浏览器访问,能够支持跨平台使用。主机前台界面使用html5开发,使用D3.js库进行界面渲染与数据绑定。
SDN控制器使用的是Ryu控制器。Ryu控制器加入了基于SSH节点自动配置管理及攻击仿真技术,安全外壳协议(SSH,Secure Shell)是建立在应用层基础上专为远程登录会话和其他网络服务提供安全性的协议,通过SSH把所有传输的数据进行加密,传输的数据是经过压缩的,加快传输的速度。通过在控制器后台编写脚本实现远程登录节点从而对节点进行自动配置,在实验管理主机前台设置攻击角色和速率并远程启动节点攻击镜像实现网络攻击仿真,如图5所示,在实验管理主机前台界面设置攻击角色、攻击类型和速率。
仿真主机使用Python语言,仿真程序使用了两个库,一个是pycap库用来监听和捕获数据包,另一个是scapy用来发送数据包,其中pycap库中的pcap类用于数据包抓取,通过pcap类可以设置指定网卡,抓取指定数据包的类型,使用dpkt分析数据包,调用pcap并根据虚拟网络拓扑中的具体链路信息转发数据包;scapy库的sendp方法用于对数据包进行丢包和延迟处理,然后再发回给控制器,但是sendp方法效率很低,一秒中只能发送大约10个包,本系统进行了性能优化,生成conf.L2socket对象后发包,提高转发效率,图6为按照图5设置试验后,实验管理主机前台界面显示的攻击者和受害者的流量收发情况。
系统镜像在通用的OS上满足特殊的需求,满足用户根据其需求对通用OS进行定制化配置,并将其制作为镜像文件,最后在需要时进行该定制化镜像的灌装。在Linux系统中,较为常见的系统镜像制作方法有三种:①cp②cat和③dd。本质上,它们都可以完成从设备上复制文件从而创建系统镜像的操作。但是dd命令相较于cat和cp功能更为强大,用户可以在文件复制时,指定拷贝块的大小;也可以在复制文件的同时进行用户指定的功能转换,实现类似于初始化磁盘的功能。
通过定制化OS镜像安装操作系统有以下的优势:
(1)安装速度更快。
(2)安全性更好。
(3)稳定性和数据恢复能力更出色。
(4)在定制OS的过程中,会对OS了解的越发深入,从而获得更多驾驭系统的能力。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种基于SDN的可配置网络安全实验系统,其特征在于,包括:
实验管理主机:用于配置网络安全实验,显示网络实验拓扑图,并将网络安全实验配置信息发送给系统数据库;
SDN控制器:调取所述系统数据库中的所述网络安全实验配置信息,并根据所述网络实验拓扑图和实际物理连接情况计算数据包的转发路径,下发流表项,并指导所述数据包的转发;其中,SDN表示软件定义网络;
仿真主机:用于抓取所述数据包,并对所述数据包进行丢弃、延时发送或直接发送处理;
所述系统数据库:用于存储数据信息;
系统镜像:根据所述SDN控制器的指令实现对网络节点的快速配置。
2.根据权利要求1所述的一种基于SDN的可配置网络安全实验系统,其特征在于,还包括SDN交换机,所述SDN交换机用于根据所述流表项,转发所述数据包至所述仿真主机。
3.根据权利要求1所述的一种基于SDN的可配置网络安全实验系统,其特征在于,所述网络实验拓扑图包括网络节点属性和网络连接属性。
4.根据权利要求2所述的一种基于SDN的可配置网络安全实验系统,其特征在于,所述实际物理连接情况包括所述SDN交换机的端口与用户主机、所述SDN控制器和所述仿真主机的连接。
5.根据权利要求1所述的一种基于SDN的可配置网络安全实验系统,其特征在于,所述数据信息包括所述网络安全实验配置信息、网络资源统计信息和节点信息。
6.根据权利要求5所述的一种基于SDN的可配置网络安全实验系统,其特征在于,所述网络资源统计信息包括节点类型和可用状态信息。
7.根据权利要求1所述的一种基于SDN的可配置网络安全实验系统,其特征在于,所述系统镜像包括用户主机节点的主系统和用户主机节点的从系统。
8.根据权利要求7所述的一种基于SDN的可配置网络安全实验系统,其特征在于,所述用户主机节点的主系统用于接收所述SDN控制器的切换命令,实现所述用户主机节点的从系统和所述用户主机节点的主系统之间的切换。
9.根据权利要求7所述的一种基于SDN的可配置网络安全实验系统,其特征在于,所述用户主机节点的从系统用于执行攻击/防御策略、获取系统动态数据以及将所述系统动态数据上传至所述系统数据库。
CN201910735652.2A 2019-08-09 2019-08-09 一种基于sdn的可配置网络安全实验系统 Expired - Fee Related CN110493210B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910735652.2A CN110493210B (zh) 2019-08-09 2019-08-09 一种基于sdn的可配置网络安全实验系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910735652.2A CN110493210B (zh) 2019-08-09 2019-08-09 一种基于sdn的可配置网络安全实验系统

Publications (2)

Publication Number Publication Date
CN110493210A CN110493210A (zh) 2019-11-22
CN110493210B true CN110493210B (zh) 2021-12-24

Family

ID=68550487

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910735652.2A Expired - Fee Related CN110493210B (zh) 2019-08-09 2019-08-09 一种基于sdn的可配置网络安全实验系统

Country Status (1)

Country Link
CN (1) CN110493210B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114064060A (zh) * 2021-11-29 2022-02-18 安天科技集团股份有限公司 背景流量生成方法、装置、计算设备及存储介质
CN116112376A (zh) * 2022-12-20 2023-05-12 盛东如东海上风力发电有限责任公司 一种基于可编程交换机的洪泛攻击攻防演练方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104954166A (zh) * 2015-04-27 2015-09-30 北京交通大学 一种基于硬件的网络仿真系统及仿真方法
CN108540307A (zh) * 2018-03-01 2018-09-14 南京理工大学 基于sdn的软硬件混合虚拟网络定制系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10320838B2 (en) * 2016-07-20 2019-06-11 Cisco Technology, Inc. Technologies for preventing man-in-the-middle attacks in software defined networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104954166A (zh) * 2015-04-27 2015-09-30 北京交通大学 一种基于硬件的网络仿真系统及仿真方法
CN108540307A (zh) * 2018-03-01 2018-09-14 南京理工大学 基于sdn的软硬件混合虚拟网络定制系统

Also Published As

Publication number Publication date
CN110493210A (zh) 2019-11-22

Similar Documents

Publication Publication Date Title
US9628339B1 (en) Network testbed creation and validation
CN108768685B (zh) 大规模信息通信网络实时仿真模拟系统
KR102105683B1 (ko) 유선 및 이동 통신 서비스의 통합 플랫폼 관리 장치 및 방법
Coutinho et al. Fogbed: A rapid-prototyping emulation environment for fog computing
US9311160B2 (en) Elastic cloud networking
JP5769208B2 (ja) ネットワークの構成及び動作の可視化システム
US20140201642A1 (en) User interface for visualizing resource performance and managing resources in cloud or distributed systems
CN104954166A (zh) 一种基于硬件的网络仿真系统及仿真方法
Zeng et al. EmuEdge: A hybrid emulator for reproducible and realistic edge computing experiments
CN110493210B (zh) 一种基于sdn的可配置网络安全实验系统
CN105357039A (zh) 一种时延容忍网络的仿真方法及装置
CN114422010B (zh) 一种基于网络虚拟化的卫星通信仿真平台的协议测试方法
CN114900436A (zh) 一种基于多维融合模型的网络孪生方法
Jin et al. Parallel simulation of software defined networks
Hasan et al. SDN mininet emulator benchmarking and result analysis
Ivey et al. Comparing a scalable SDN simulation framework built on ns-3 and DCE with existing SDN simulators and emulators
CN102970376A (zh) 集群配置方法和装置
CN114040408B (zh) 一种基于4g移动网络模拟环境的靶场系统
US9329960B2 (en) Methods, systems, and computer readable media for utilizing abstracted user-defined data to conduct network protocol testing
Beshay et al. On the fidelity of single-machine network emulation in linux
CN105323109B (zh) 互连网络仿真器及用于仿真互连网络的方法
CN103634290A (zh) 网络仿真系统
JP5063726B2 (ja) 仮想ノード装置のコンフィグ制御方法
CN106789380A (zh) 一种虚拟机网络一体化监管系统
CN115883471A (zh) 应用网关及其流量管控方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20211224