CN110943979A - Sdn网络攻击检测方法、装置、设备和系统 - Google Patents
Sdn网络攻击检测方法、装置、设备和系统 Download PDFInfo
- Publication number
- CN110943979A CN110943979A CN201911135021.3A CN201911135021A CN110943979A CN 110943979 A CN110943979 A CN 110943979A CN 201911135021 A CN201911135021 A CN 201911135021A CN 110943979 A CN110943979 A CN 110943979A
- Authority
- CN
- China
- Prior art keywords
- time set
- sdn network
- forwarding
- sdn
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种SDN网络攻击检测方法,包括:每隔预设的检测时间段响应于参考统计操作时,统计任意两台主机转发数据包的参考时间,直至当前转发次数超过转发次数阈值;根据所参考时间建立参考时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集;判断所述参考时间集是否在预设的标准时间集内;若是,则更新所述检测时间段;若否,则累加当前判断次数;当连续累加的所述判断次数超过判断次数阈值时,判定当前SDN网络发生中间人攻击。本发明还公开了一种SDN网络攻击检测装置、设备和系统。采用本发明实施例,能减少单个主机安全开销,还能快速判断SDN网络中是否存在中间人攻击。
Description
技术领域
本发明涉及通信网络技术领域,尤其涉及一种SDN网络攻击检测方法、装置、设备和系统。
背景技术
SDN(Software Defined Network),即软件定义网络。一般来说,传统网络中每一台主机都有控制面与转发面,紧密耦合,每台主机都要自定义转发策略。与传统网络结构不同,SDN网络的控制面与转发面完全分离,其中的全部主机的转发行为均由Controller控制,管理员可以通过Controller制定主机的转发策略。中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
在传统网络中,由于每台主机控制与转发紧密耦合的特性,每台主机都需要制定一定的安全策略或者遵循一些协议标准来防范中间人攻击。目前比较常见的防范办法就是找一个通信双方都信任的数字证书认证机构(CA)来为双方确认身份。通信主机会向CA申请数字证书,CA通过各种方法验证主机确实是其声称的本人之后,CA会用私钥加密通信主机的申请信息并形成数字签名,再将附有签名的证书颁发给通信主机,这样主机就可以用这个证书证明自己的身份
但是在传统网络中,每个主机的安全策略一般都是由使用者自己、操作系统或者安全防护软件制定,主机的安全性由主机自身保证,主机在通信过程中是否遭受到中间人攻击,会话是否遭到劫持或者篡改也是由主机自行判断,而这些防护过程需要消耗一定的主机性能。一旦主机的量级增加,网络结构的复杂程度增加,从整体网络的角度来看,要防护中间人攻击就比较复杂了。每个设备或者软件厂商可以用各种各样的方法防范中间人攻击,但是网络中的主机来自不同的厂商,而这些不同的主机需要互联并且组成网络,这就势必会产生一些兼容性方面问题,导致检测中间人攻击的时间缓慢。
发明内容
本发明实施例的目的是提供一种SDN网络攻击检测方法、装置、设备和系统充分利用了SDN网络中Controller的特性,减少单个主机安全开销,还能快速判断SDN网络中是否存在中间人攻击。
为实现上述目的,本发明实施例提供了一种SDN网络攻击检测方法,包括:
每隔预设的检测时间段响应于参考统计操作时,统计任意两台主机转发数据包的参考时间,直至当前转发次数超过转发次数阈值;
根据所参考时间建立参考时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集;
判断所述参考时间集是否在预设的标准时间集内;
若是,则更新所述检测时间段;若否,则累加当前判断次数;
当连续累加的所述判断次数超过判断次数阈值时,判定当前SDN网络发生中间人攻击。
与现有技术相比,本发明实施例公开的SDN网络攻击检测方法,首先,通过每隔预设的检测时间段响应于参考统计操作,以计算出参考时间集;然后,当参考时间集在预设的标准时间集内时,累加判断次数,能够避免网络波动造成的误差;最后,当连续累加的判断次数超过判断次数阈值时,判定当前SDN网络发生中间人攻击。本发明实施例公开的SDN网络攻击检测方法,能够充分利用SDN网络中Controller的特性,减少单个主机安全开销;快速判断SDN网络中是否存在中间人攻击;原理实现比较简单,开发成本较低。
作为上述方案的改进,所述标准时间集的生成方法包括:
响应于标准统计操作时,统计任意两台主机转发数据包的标准时间,直至当前转发次数超过转发次数阈值;
根据所述标准时间建立标准时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述标准时间集。
作为上述方案的改进,响应所述标准统计操作的条件为:
检测到主机拓扑发生变化、初次创建时间集、SDN控制器主动更新时间集中的至少一种。
作为上述方案的改进,所述标准时间集的生成方法还包括:
当检测到所述任意两台主机之间的实际带宽或用于生成所述标准时间集的带宽占用率发生变化时,调整所述数据包的大小和所述转发次数阈值,并根据调整后的所述数据包的大小和所述转发次数阈值触发标准统计操作,以更新所述标准时间集;
当检测到所述任意两台主机之间的实际带宽和用于生成所述标准时间集的带宽占用率保持不变时,调整所述转发次数阈值,以将调整后的转发次数阈值用于下一次标准统计操作。
作为上述方案的改进,所述响应于标准统计操作前,还包括:
记录经过认证并加入SDN网络的主机。
作为上述方案的改进,所述判定当前SDN网络发生中间人攻击后,还包括:
禁止当前主机传输数据;
发送认证请求指令给所述当前主机,以使所述当前主机重新认证。
作为上述方案的改进,所述发送认证请求指令给所述当前主机,以使所述当前主机重新认证后,还包括:
当检测到排除中间人攻击后,重新记录经过认证并加入SDN网络的主机。
为实现上述目的,本发明实施例还提供了一种SDN网络攻击检测装置,包括:
时间集管理模块,用于每隔预设的检测时间段响应于参考统计操作;
时间集维护模块,用于统计任意两台主机转发数据包的参考时间,直至当前转发次数超过转发次数阈值;还用于根据所参考时间建立参考时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集;
判断模块,用于判断所述参考时间集是否在预设的标准时间集内;若是,则更新所述检测时间段;若否,则累加当前判断次数;还用于当连续累加的所述判断次数超过判断次数阈值时,判定当前SDN网络发生中间人攻击。
与现有技术相比,本发明实施例公开的SDN网络攻击检测装置,首先,时间集管理模块每隔预设的检测时间段响应于参考统计操作,时间集维护模块计算出参考时间集;然后,当参考时间集在预设的标准时间集内时,判断模块累加判断次数,能够避免网络波动造成的误差;最后,当连续累加的判断次数超过判断次数阈值时,判断模块判定当前SDN网络发生中间人攻击。本发明实施例公开的SDN网络攻击检测装置,能够充分利用SDN网络中Controller的特性,减少单个主机安全开销;快速判断SDN网络中是否存在中间人攻击;原理实现比较简单,开发成本较低。
为实现上述目的,本发明实施例还提供了一种SDN网络攻击检测设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上述任一实施例所述的SDN网络攻击检测方法。
为实现上述目的,本发明实施例还提供了一种SDN网络攻击检测系统,其特征在于,包括SDN控制器和至少两台加入SDN网络的主机;其中,所述SDN控制器执行上述任一实施例所述的SDN网络攻击检测方法。
附图说明
图1是本发明实施例提供的一种SDN网络攻击检测方法的流程图;
图2是本发明实施例提供的标准时间集的生成方法的流程图;
图3是本发明实施例提供的一种SDN网络攻击检测方法的另一流程图;
图4是本发明实施例提供的一种SDN网络攻击检测装置的结构示意图;
图5是本发明实施例提供的SDN网络攻击检测装置与主机进行交互的示意图;
图6是本发明实施例提供的SDN网络遭遇中间人攻击时的示意图;
图7是本发明实施例提供的一种SDN网络攻击检测设备的结构示意图;
图8是本发明实施例提供的一种SDN网络攻击检测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1是本发明实施例提供的一种SDN网络攻击检测方法的流程图;所述SDN网络攻击检测方法包括:
S11、每隔预设的检测时间段响应于参考统计操作时,统计任意两台主机转发数据包的参考时间,直至当前转发次数超过转发次数阈值;
S12、根据所参考时间建立参考时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集;
S13、判断所述参考时间集是否在预设的标准时间集内;
S14、若是,则更新所述检测时间段;若否,则累加当前判断次数;
S15、当连续累加的所述判断次数超过判断次数阈值时,判定当前SDN网络发生中间人攻击。
值得说明的是,本发明实施例所述SDN网络攻击检测方法可由SDN Controller(SDN控制器)执行实现。
在响应于参考统计操作之前,需要先设定与参考时间集进行比对的标准时间集,此时还包括步骤:
S21、记录经过认证并加入SDN网络的主机;
S22、响应于标准统计操作时,统计任意两台主机转发数据包的标准时间,直至当前转发次数超过转发次数阈值;
S23、根据所述标准时间建立标准时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述标准时间集。
优选的,所述响应所述标准统计操作的条件为:检测到主机拓扑发生变化、初次创建时间集、SDN控制器主动更新时间集中的至少一种。
具体的,上述步骤S21~S23的过程可参考图2。
具体的,在创建SDN网络的阶段,Controller需要记录全部认证过的主机表,并且确保表中的主机都是安全主机。然后Controller会发起标准统计操作,控制任意两台主机x、y(由x向y或者由y向x)转发k次大小为的M数据包,接着不断更新最大和最小的标准时间并生成标准时间集。比如第1次转发的标准时间为0.1s,第2次转发的标准时间为0.3s,此时所述标准时间集为[0.1s,0.3s];第3次转发的标准时间为0.4s,此时所述标准时间集为[0.1s,0.4s];第4次转发的标准时间为0.2s,此时所述标准时间集为[0.1s,0.4s],以此类推,直至转发次数超过k。
假设SDN网络不会一直波动,那么k的理想取值条件为:经过k次转发之后,对于任意传输时间t,满足t∈Txy(标准时间集)。但是实际情况下,主机带宽有限,而且还要处理各种业务,转发性能不可能全部用于生成时间集,因此k和M的值有一定限制。
设主机x、y之间的实际带宽为B,允许用于生成标准时间集的带宽占用率为σ,因此实际可用带宽为Bσ。为了讨论方便,M和B的单位分别定为bit和Mbps。如果要把生成标准时间集的总耗时T控制在1s内,那么有:
讨论B=100Mbit/s,σ=1%的情形,此时有:
kM≤106
对于k而言,k越大,意味着转发次数越多,Controller获取到的时间数据越多,生成的标准时间集就越准确。极端情况下,如k=1,仅转发一次就生成时间集,这显然是不可靠的。
对于M而言,M越大,意味着单次转发的数据包越大,Controller获取到的单次传输时间越长,受网络环境影响造成的误差就越小。如果M取的很小,转发时间就会很短,如果转发的同时刚好网络波动,就会得到一些偏差很大的传输时间,这也会影响标准时间集的准确度。
因此在初次生成标准时间集的阶段,k和M的取值原则是越大越好,对于上述情形,可取k=1000,M=1000(bit)。之后Controller就可以根据k和M发起标准统计操作,并且生成标准时间集。存有标准时间集的主机表就创建完成了,每次Controller发现主机拓扑结构发生变化、或者SDN控制器主动更新时间集时,都需要重新发起一次标准统计操作,并且更新标准时间集,确保标准时间集的数据准确。
优选的,所述标准时间集的生成方法还包括:
S24、当检测到所述任意两台主机之间的实际带宽或用于生成所述标准时间集的带宽占用率发生变化时,调整所述数据包的大小和所述转发次数阈值,并根据调整后的所述数据包的大小和所述转发次数阈值触发标准统计操作,以更新所述标准时间集;
S25、当检测到所述任意两台主机之间的实际带宽和用于生成所述标准时间集的带宽占用率保持不变时,调整所述转发次数阈值,以将调整后的转发次数阈值用于下一次标准统计操作。
如果B或者σ有变化,则根据最大原则重新计算k和M的值,然后重新生成标准时间集。如果B和σ不变,后续的更新操作可以根据之前的数据适当调整k的值,比如创建标准时间集阶段发现k100时,已经能够满足标准时间集的要求,那么k的值可以设为100。但是M的值不能随意减小,因为M影响的是每次转发,由M值导致的误差会影响标准时间集的全部样本数据,只能在减小k的前提下,加大M的值。
在设定完用于作为比对的标准时间集后,即可以所述标准时间集作为依据判断当前SDN网络是否发生中间人攻击。
具体的,在步骤S11中,在Controller中设置一个计时器,每隔预设的检测时间段就发起参考统计操作,但是不更新所述标准时间集,而是用于检测是否发生中间人攻击。所述检测时间段的初始值可根据上述过程选定的总耗时T设置,但是必须大于等于T。如T=1s时,所述检测时间段的初始值可设为10s,上限设为1h,上限可根据实际网络的要求进行调整,如果要快速检测攻击,则减小上限,如果想节约网络性能,则调高上限。
Controller从关联到的SDN主机统计转发数据包的参考时间,直至当前转发次数超过转发次数阈值k。
具体的,在步骤S12中,Controller收集参考时间集
其中,所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集。具体的更新所述参考时间集的方式与更新所述标准时间集的方式相同,在此不再赘述。
具体的,在步骤S13~S15中,判断所述参考时间集是否在预设的标准时间集内;当检测到参考时间集
为标准时间集Txy的子集时,判定检测无异常,SDN网络没有发生中间人攻击,此时更新所述检测时间段,比如把检测时间段翻倍,超过上限时则设为上限,即当检测时间段达到检测时间阈值时,将检测时间段设为与所述检测时间阈值相等的值。
当检测到参考时间集
不在标准时间集Txy内时,将所述参考时间集
与标准时间集Txy对比就会发现有:
此时立刻进行下一次标准统计操作,为了尽量避免网络波动造成的误差,如果连续i(判断次数阈值,比如i=5)次都判断发现新生成的参考时间集不是标准时间集的子集,就认为主机x、y已经遭到中间人攻击,当前SDN网络发生中间人攻击。
进一步的,在步骤S15判定当前SDN网络发生中间人攻击后,还包括:
S16、禁止当前主机传输数据;
S17、发送认证请求指令给所述当前主机,以使所述当前主机重新认证;
S18、当检测到排除中间人攻击后,重新记录经过认证并加入SDN网络的主机.
Controller禁止主机x、y的数据收发,并且要求主机x、y重新进行认证同时记录此次异常。当网络恢复正常(即排除中间人攻击)后,主机x、y就可以重新向Controller进行认证并加入SDN网络,然后Controller的时间集管理和维护模块会重新开始上述创建标准时间集与检测是否发生中间人攻击的过程。
具体的,上述步骤S11~S18的过程可参考图3。
值得说明的是,当网络波动较大时,会存在误判的情况,因此本方法不适用于网络链路不稳定的网络,但如果是在学校、公司等内部组建的网络稳定SDN网络,本方法就可以适用,并且实现起来也比较简单。
与现有技术相比,本发明实施例公开的SDN网络攻击检测方法,首先,通过每隔预设的检测时间段响应于参考统计操作,以计算出参考时间集;然后,当参考时间集在预设的标准时间集内时,累加判断次数,能够避免网络波动造成的误差;最后,当连续累加的判断次数超过判断次数阈值时,判定当前SDN网络发生中间人攻击。本发明实施例公开的SDN网络攻击检测方法,能够充分利用SDN网络中Controller的特性,减少单个主机安全开销;快速判断SDN网络中是否存在中间人攻击;原理实现比较简单,开发成本较低。
参见图4,图4是本发明实施例提供的一种SDN网络攻击检测装置10的结构示意图;所述SDN网络攻击检测装置10包括:
时间集管理模块11,用于每隔预设的检测时间段响应于参考统计操作;
时间集维护模块12,用于统计任意两台主机转发数据包的参考时间,直至当前转发次数超过转发次数阈值;还用于根据所参考时间建立参考时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集;
判断模块13,用于判断所述参考时间集是否在预设的标准时间集内;若是,则更新所述检测时间段;若否,则累加当前判断次数;还用于当连续累加的所述判断次数超过判断次数阈值时,判定当前SDN网络发生中间人攻击。
优选的,所述时间集管理模块11还用于响应于标准统计操作;
所述时间集维护模块12还用于:
统计任意两台主机转发数据包的标准时间,直至当前转发次数超过转发次数阈值;其中,检测到主机拓扑发生变化、初次创建时间集、SDN控制器主动更新时间集中的至少一种;
根据所述标准时间建立标准时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述标准时间集。
优选的,所述SDN网络攻击检测装置10还包括:
数据更新模块14,用于当检测到所述任意两台主机之间的实际带宽或用于生成所述标准时间集的带宽占用率发生变化时,调整所述数据包的大小和所述转发次数阈值,并根据调整后的所述数据包的大小和所述转发次数阈值触发标准统计操作,以更新所述标准时间集;还用于当检测到所述任意两台主机之间的实际带宽和用于生成所述标准时间集的带宽占用率保持不变时,调整所述转发次数阈值,以将调整后的转发次数阈值用于下一次标准统计操作。
禁止传输数据模块15,用于禁止当前主机传输数据。
进一步的,所述时间集维护模块12还用于:响应于标准统计操作前,记录经过认证并加入SDN网络的主机;判定当前SDN网络发生中间人攻击后,发送认证请求指令给所述当前主机,以使所述当前主机重新认证;当检测到排除中间人攻击后,重新记录经过认证并加入SDN网络的主机。
示例性的,图5是本发明实施例提供的SDN网络攻击检测装置10与主机进行交互的示意图;图6是本发明实施例提供的SDN网络遭遇中间人攻击时的示意图;具体的所述SDN网络攻击检测装置10的工作过程可参考上述实施例所述的所述SDN网络攻击检测方法的工作过程,在此不再赘述。
与现有技术相比,本发明实施例公开的SDN网络攻击检测装置10,首先,时间集管理模块11每隔预设的检测时间段响应于参考统计操作,时间集维护模块12计算出参考时间集;然后,当参考时间集在预设的标准时间集内时,判断模块13累加判断次数,能够避免网络波动造成的误差;最后,当连续累加的判断次数超过判断次数阈值时,判断模块13判定当前SDN网络发生中间人攻击。本发明实施例公开的SDN网络攻击检测装置10,能够充分利用SDN网络中Controller的特性,减少单个主机安全开销;快速判断SDN网络中是否存在中间人攻击;原理实现比较简单,开发成本较低。
参见图7,图7是本发明实施例提供的一种SDN网络攻击检测设备20的结构示意图;该实施例的SDN网络攻击检测设备20包括:处理器21、存储器22以及存储在所述存储器22中并可在所述处理器21上运行的计算机程序。所述处理器21执行所述计算机程序时实现上述各个SDN网络攻击检测方法实施例中的步骤,例如图1所示的步骤S11。或者,所述处理器21执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如时间集管理模块11。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器22中,并由所述处理器21执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述SDN网络攻击检测设备20中的执行过程。例如,所述计算机程序可以被分割成时间集管理模块11、时间集维护模块12、判断模块13、数据更新模块14和禁止传输数据模块15,各模块具体功能请参考上述实施例所述的SDN网络攻击检测装置10的工作过程,在此不再赘述。
所述SDN网络攻击检测设备20可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述SDN网络攻击检测设备20可包括,但不仅限于,处理器21、存储器22。本领域技术人员可以理解,所述示意图仅仅是SDN网络攻击检测设备20的示例,并不构成对SDN网络攻击检测设备20的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述SDN网络攻击检测设备20还可以包括输入输出设备、网络接入设备、总线等。
所述处理器21可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器21是所述SDN网络攻击检测设备20的控制中心,利用各种接口和线路连接整个SDN网络攻击检测设备20的各个部分。
所述存储器22可用于存储所述计算机程序和/或模块,所述处理器21通过运行或执行存储在所述存储器22内的计算机程序和/或模块,以及调用存储在存储器22内的数据,实现所述SDN网络攻击检测设备20的各种功能。所述存储器22可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器22可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
其中,所述SDN网络攻击检测设备20集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器21执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
参见图8,图8是本发明实施例提供的一种SDN网络攻击检测系统30的结构示意图。所述SDN网络攻击检测系统30包括SDN控制器31和至少两台加入SDN网络的主机32;其中,所述SDN控制器31执行上述实施例所述的SDN网络攻击检测方法。
具体的所述SDN网络攻击检测系统30的工作可参考上述实施例所述的SDN网络攻击检测方法的工作过程,在此不再赘述。
与现有技术相比,本发明实施例公开的SDN网络攻击检测系统30,首先,SDN控制器31通过每隔预设的检测时间段响应于参考统计操作,以计算出主机32之间转发数据的参考时间集;然后,当参考时间集在预设的标准时间集内时,SDN控制器31累加判断次数,能够避免网络波动造成的误差;最后,当连续累加的判断次数超过判断次数阈值时,SDN控制器31判定当前SDN网络发生中间人攻击。本发明实施例公开的SDN网络攻击检测方法,能够充分利用SDN网络中Controller的特性,减少单个主机安全开销;快速判断SDN网络中是否存在中间人攻击;原理实现比较简单,开发成本较低。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (10)
1.一种SDN网络攻击检测方法,其特征在于,包括:
每隔预设的检测时间段响应于参考统计操作时,统计任意两台主机转发数据包的参考时间,直至当前转发次数超过转发次数阈值;
根据所参考时间建立参考时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集;
判断所述参考时间集是否在预设的标准时间集内;
若是,则更新所述检测时间段;若否,则累加当前判断次数;
当连续累加的所述判断次数超过判断次数阈值时,判定当前SDN网络发生中间人攻击。
2.如权利要求1所述的SDN网络攻击检测方法,其特征在于,所述标准时间集的生成方法包括:
响应于标准统计操作时,统计任意两台主机转发数据包的标准时间,直至当前转发次数超过转发次数阈值;
根据所述标准时间建立标准时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述标准时间集。
3.如权利要求2所述的SDN网络攻击检测方法,其特征在于,响应所述标准统计操作的条件为:
检测到主机拓扑发生变化、初次创建时间集、SDN控制器主动更新时间集中的至少一种。
4.如权利要求2所述的SDN网络攻击检测方法,其特征在于,所述标准时间集的生成方法还包括:
当检测到所述任意两台主机之间的实际带宽或用于生成所述标准时间集的带宽占用率发生变化时,调整所述数据包的大小和所述转发次数阈值,并根据调整后的所述数据包的大小和所述转发次数阈值触发标准统计操作,以更新所述标准时间集;
当检测到所述任意两台主机之间的实际带宽和用于生成所述标准时间集的带宽占用率保持不变时,调整所述转发次数阈值,以将调整后的转发次数阈值用于下一次标准统计操作。
5.如权利要求2所述的SDN网络攻击检测方法,其特征在于,所述响应于标准统计操作前,还包括:
记录经过认证并加入SDN网络的主机。
6.如权利要求5所述的SDN网络攻击检测方法,其特征在于,所述判定当前SDN网络发生中间人攻击后,还包括:
禁止当前主机传输数据;
发送认证请求指令给所述当前主机,以使所述当前主机重新认证。
7.如权利要求6所述的SDN网络攻击检测方法,其特征在于,所述发送认证请求指令给所述当前主机,以使所述当前主机重新认证后,还包括:
当检测到排除中间人攻击后,重新记录经过认证并加入SDN网络的主机。
8.一种SDN网络攻击检测装置,其特征在于,包括:
时间集管理模块,用于每隔预设的检测时间段响应于参考统计操作;
时间集维护模块,用于统计任意两台主机转发数据包的参考时间,直至当前转发次数超过转发次数阈值;还用于根据所参考时间建立参考时间集;其中,所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集;
判断模块,用于判断所述参考时间集是否在预设的标准时间集内;若是,则更新所述检测时间段;若否,则累加当前判断次数;还用于当连续累加的所述判断次数超过判断次数阈值时,判定当前SDN网络发生中间人攻击。
9.一种SDN网络攻击检测设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的SDN网络攻击检测方法。
10.一种SDN网络攻击检测系统,其特征在于,包括SDN控制器和至少两台加入SDN网络的主机;其中,所述SDN控制器执行上述权利要求1至7中任一项所述的SDN网络攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911135021.3A CN110943979A (zh) | 2019-11-19 | 2019-11-19 | Sdn网络攻击检测方法、装置、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911135021.3A CN110943979A (zh) | 2019-11-19 | 2019-11-19 | Sdn网络攻击检测方法、装置、设备和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110943979A true CN110943979A (zh) | 2020-03-31 |
Family
ID=69906905
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911135021.3A Pending CN110943979A (zh) | 2019-11-19 | 2019-11-19 | Sdn网络攻击检测方法、装置、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110943979A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117688593A (zh) * | 2024-02-02 | 2024-03-12 | 新汽有限公司 | 一种网络大数据的管理系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8850185B1 (en) * | 2010-12-29 | 2014-09-30 | Amazon Technologies, Inc. | Post attack man-in-the-middle detection |
| CN105490882A (zh) * | 2015-12-11 | 2016-04-13 | 上海大学 | 可抵御膨胀攻击的网络物理带宽测量方法 |
| US20170078313A1 (en) * | 2014-06-17 | 2017-03-16 | Huawei Technologies Co., Ltd. | Attack Stream Identification Method, Apparatus, and Device on Software Defined Network |
| CN107786554A (zh) * | 2017-10-24 | 2018-03-09 | 哈尔滨工业大学(威海) | 一种自动检测IPsec协议中间人攻击的方法与装置 |
| CN108632267A (zh) * | 2018-04-28 | 2018-10-09 | 清华大学深圳研究生院 | 一种拓扑污染攻击防御方法和系统 |
| US20190044974A1 (en) * | 2017-08-02 | 2019-02-07 | CipherTooth, Inc | Detecting man in the middle attacks on a local area network |
| CN109327465A (zh) * | 2018-11-15 | 2019-02-12 | 珠海莲鸿科技有限公司 | 一种安全抵御网络劫持的方法 |
| CN110247893A (zh) * | 2019-05-10 | 2019-09-17 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
-
2019
- 2019-11-19 CN CN201911135021.3A patent/CN110943979A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8850185B1 (en) * | 2010-12-29 | 2014-09-30 | Amazon Technologies, Inc. | Post attack man-in-the-middle detection |
| US20170078313A1 (en) * | 2014-06-17 | 2017-03-16 | Huawei Technologies Co., Ltd. | Attack Stream Identification Method, Apparatus, and Device on Software Defined Network |
| CN105490882A (zh) * | 2015-12-11 | 2016-04-13 | 上海大学 | 可抵御膨胀攻击的网络物理带宽测量方法 |
| US20190044974A1 (en) * | 2017-08-02 | 2019-02-07 | CipherTooth, Inc | Detecting man in the middle attacks on a local area network |
| CN107786554A (zh) * | 2017-10-24 | 2018-03-09 | 哈尔滨工业大学(威海) | 一种自动检测IPsec协议中间人攻击的方法与装置 |
| CN108632267A (zh) * | 2018-04-28 | 2018-10-09 | 清华大学深圳研究生院 | 一种拓扑污染攻击防御方法和系统 |
| CN109327465A (zh) * | 2018-11-15 | 2019-02-12 | 珠海莲鸿科技有限公司 | 一种安全抵御网络劫持的方法 |
| CN110247893A (zh) * | 2019-05-10 | 2019-09-17 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
Non-Patent Citations (1)
| Title |
|---|
| 雷阳: "《基于无线入侵防御系统的中间人攻击检测功能的设计与实现》", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117688593A (zh) * | 2024-02-02 | 2024-03-12 | 新汽有限公司 | 一种网络大数据的管理系统 |
| CN117688593B (zh) * | 2024-02-02 | 2024-04-30 | 新汽有限公司 | 一种网络大数据的管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| US10146527B2 (en) | Method and apparatus for using BMC as proxy for NVME over fabrics device firmware upgrade | |
| EP3021549B1 (en) | Terminal authentication apparatus and method | |
| US20080253380A1 (en) | System, method and program to control access to virtual lan via a switch | |
| EP3068093B1 (en) | Security authentication method and bidirectional forwarding detection method | |
| US20170331803A1 (en) | Method for authenticating a networked endpoint using a physical (power) challenge | |
| US10613994B2 (en) | Methods and apparatus to establish a connection between a supplicant and a secured network | |
| EP3582463B1 (en) | Threat detection method and apparatus | |
| US10313238B2 (en) | Communication system, communication method, and non-transitiory computer readable medium storing program | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| US9762626B2 (en) | System and method for as needed connection escalation | |
| WO2013085740A1 (en) | Throttling of rogue entities to push notification servers | |
| US11689928B2 (en) | Detecting unauthorized access to a wireless network | |
| CN110943979A (zh) | Sdn网络攻击检测方法、装置、设备和系统 | |
| US9654465B2 (en) | Software-defined network threat control | |
| EP4184854A1 (en) | Association control method and related apparatus | |
| EP3139568B1 (en) | Access control device and authentication control method | |
| CN114124585B (zh) | 一种安全防御方法、装置、电子设备及介质 | |
| CN105592036B (zh) | 一种优化fc端口安全的方法和装置 | |
| US9338184B1 (en) | Systems, methods, and software for improving resistance to distributed denial of service attacks | |
| EP4436104A1 (en) | Access control method and related device thereof | |
| WO2024193333A1 (zh) | 一种业务处理、信息生成方法及装置 | |
| US9805180B2 (en) | Message sender authentication | |
| KR102456506B1 (ko) | Can 버스 물리 계층에서 해킹된 노드의 대처 방법, 이를 수행하기 위한 기록 매체 및 시스템 | |
| CN114866278B (zh) | 一种网络安全动态防御方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20221206 |
|
| AD01 | Patent right deemed abandoned |