CN111224934B - 一种拟态防御中拟态配置的服务路径验证方法 - Google Patents

一种拟态防御中拟态配置的服务路径验证方法 Download PDF

Info

Publication number
CN111224934B
CN111224934B CN201911054721.XA CN201911054721A CN111224934B CN 111224934 B CN111224934 B CN 111224934B CN 201911054721 A CN201911054721 A CN 201911054721A CN 111224934 B CN111224934 B CN 111224934B
Authority
CN
China
Prior art keywords
data
service
mimicry
switch
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201911054721.XA
Other languages
English (en)
Other versions
CN111224934A (zh
Inventor
高明
焦海
罗锦
应丽莉
周慧颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Gongshang University
Original Assignee
Zhejiang Gongshang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Gongshang University filed Critical Zhejiang Gongshang University
Priority to CN201911054721.XA priority Critical patent/CN111224934B/zh
Publication of CN111224934A publication Critical patent/CN111224934A/zh
Application granted granted Critical
Publication of CN111224934B publication Critical patent/CN111224934B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公布了的一种拟态防御中拟态配置的服务路径验证方法。本发明控制器依据Shanmir的秘密分享多项式算法,为每一条服务路径生成一个多项式,利用生成的多项式和每个交换机唯一的路径标识,生成对应的交换机路径验证标识序列对,随后依次将对应的序列值通过控制器配置到交换机中。当数据包经过交换机时会触发向控制器发送Packet_in消息,该消息携带了交换机路径验证标识,表明数据包当前经过了该交换机,当数据包到达目的地,控制器会收集到数据包经过的交换机发送的交换机路径验证标识。通过分组筛选不同服务链的交换机路径验证标识序列对,SDN能够比对数据,分析出对应的服务链是否被正确部署。本发明提高网络空间的防御能力。

Description

一种拟态防御中拟态配置的服务路径验证方法
技术领域
本发明属于网络通信技术领域,尤其涉及一种拟态防御中拟态配置的服务路径验证方法。
背景技术
在SDN网络架构中,这种转发和控制分离的技术,用集中控制器的方式实现了对全网的控制,简化了网络配置管理。底层的网络设备,用户可通过上层的开放性接口实现网络设备的控制,给服务部署的配置带来了极大的便利。传统服务链的业务部署基于物理拓扑结构,将硬件设备串到业务数据流的传输路径中,网络部署复杂,在业务变更时需改动物理网络拓扑结构,效率低适应能力差。SDN网络中控制器通过openflow协议下发交换机路径转发规则,控制网络数据流的转发路径,可非常快速有效对业务流传输路径进行配置,规划数据流所经过的服务功能路径。在SDN可实现服务链路径的快速部署,满足用户需求,但只有在安全的基础上才显得有意义。在SDN网络路径配置中,主要面临SDN控制器极易成为攻击者的首要目标和配置完成后数据流是否按服务链的路径配置要求进行传输的安全问题。
发明内容
本发明的目的是克服现有技术的不足,提出一种拟态防御中拟态配置的服务路径验证方法。
本发明解决其技术问题所采用的技术方案包含如下步骤:
拟态配置包括应用层、拟态控制层和数据层三部分;
所述应用层是由若干的业务应用组成,业务包括访问控制、转发控制、拥塞控制;所述的拟态控制层由控制器(CONTROLLER)组成,通过南向接口对数据层的网络设备进行资源获取和控制;数据层是由可编程交换的网络设备组成,负责网络数据的转发;
应用层通过HTTP服务下发服务部署数据到拟态控制层,拟态控制层利用CONTROLLER下发流表,将控制数据部署到数据层中;数据层会执行控制消息,进行数据转发和验证工作;
控制器汇总服务部署情况,上交应用层进行处理;
所述的验证工作由OPENFLOW的Packet-in消息进行传递;Packet-in消息字段包括了VERSION(版本)、OFPT_PACKET_IN(消息类型)、LENGTH(长度)、BUFFER_ID(保存数据包的缓存ID)、REASON(发送Packet-in消息的原因)、DATA(数据)字段。
进一步的,拟态配置的服务验证由一个多项式矩阵和权重值组成;对于不同的服务部署情况,采取不同的权重值与多项式矩阵相乘;公式如下所示:
Figure BDA0002256244580000021
其中,矩阵G为多项式矩阵,其中的a11…att代表多项矩阵的常数项,t代表服务部署需要的设备数目值,i1...it为权重值,未知数x为验证输入标识值;对于经过同一可编程交换网络设备的服务部署情况,则使如下公式:
Figure BDA0002256244580000022
Sij=(ri,kj,hij),
Si={Si1,Si2…Sij},
其中,r为不同服务部署特征标识值,k为可编程交换机的标识值(DATAPATH)的HASH值,Sij为在第i种服务中经由第j个交换机的路径验证标识(PATAG)集合值,其中了ri代表了第i种服务,kj代表第j个交换机,hij是根据f(ri,kj)带入多项式矩阵得到的值;在服务部署开始时,首先将Sij组成的矩阵,保存到控制器中等待认证;其次,将sij组成的矩阵中,属于对应设备的PATAG,下发到各自交换机。
进一步的,数据流经过验证节点的交换机时,交换机校验PATAG值,将校验结果通过Packet-in消息发送给CONTROLLER;其中Packet-in消息的DATA字段同时携带了数据包头的HASH运算值。
进一步的,拟态控制层的CONTROLLER,当接收到的Packet-in消息时,会执行如下步骤:
步骤1:判断Packet-in消息内的REASON字段是否为OFPR_ACTION,是,则执行步骤2;否,退出验证;
步骤2:保存Packet-in消息内DATAPATH_ID、COOKIE和HASH_DATA字段的信息,提取HASH_DATA相同的DATAPATH_ID和COOKIE;对于相同的HASH_DATA字段的数据集合,与保存的PATAG对进行计算,其中DATAPATH_ID对应k值,HASH_DATA值确认r值;若对于第i个服务,成功校验j个数据,则说明第i条服务部署成功,否则,路径验证失败,进行路径异常处理操作。
本发明有益效果如下:
为提升网络空间的安全性,在鉴于目前网络空间中的架构静态性和单一性,和现有防御体系的安全漏洞和脆弱性无法对未知后门和漏洞形成有效的防御。本发明提出网络空间的拟态安全防御,利用动态异构冗余的思想,用异构性、动态性,多样性改变了现有防御系统的脆弱性、静态性,单一性,可提高网络空间的防御能力,有效的解决上述问题。
具体实施方式
下面结合具体实施例对本发明作进一步说明。
一种拟态防御中拟态配置的服务路径验证方法,具体实现如下:
步骤1:拟态防御是一种全新的技术手段,它通过构建异构冗余执行体,即增加多余的同等功能的执行模块,经过重复且复杂的逻辑设置,可以协调工作的运行方式,来有效抵御网络攻击。
步骤2:拟态防御配置包括应用层,拟态控制层,和数据层三部分。所述应用层是由若干的业务应用组成,业务包括访问控制、转发控制、拥塞控制。拟态控制层由控制器(CONTROLLER)组成,通过南向接口对数据层的网络设备进行资源获取和控制。数据层,由是可编程交换设备组成,负责网络数据的转发。
步骤3:应用层通过HTTP服务下发服务部署数据到拟态控制层,拟态控制层利用CONTROLLER下发流表,将控制数据部署到数据层中。数据层会执行控制消息,进行数据转发,验证工作。
步骤4:验证工作由OPENFLOW的Packet-in消息进行传递。Packet-in消息字段包括了VERSION(版本)、OFPT_PACKET_IN(消息类型)、LENGTH(长度)、BUFFER_ID(保存数据包的缓存ID)、REASON(发送Packet-in消息的原因)、DATA(数据)字段。
步骤5:拟态配置的服务验证由一个多项式矩阵和权重值组成。对于不同的服务部署情况,采取不同的权重值与多项式矩阵相乘。如下所示:
Figure BDA0002256244580000041
矩阵G为多项式矩阵,其中的a11…att代表多项矩阵的常数项,t代表服务部署需要的设备数目值,i1...it,为权重值,未知数x为验证输入标识值。对于经过同一可编程交换设备的服务部署情况,则使如下公式:
Figure BDA0002256244580000042
Sij=(ri,kj,hij),
Si={Si1,Si2…Sij},
其中r为不同服务部署特征标识值,k为可编程交换机的标识(DATAPATH)的HASH值,Sij为在第i种服务中经由第j个交换机的路径验证标识(PATAG)集合值,其中了ri代表了服务,kj代表交换机,hij是根据f(ri,kj)带入多项式矩阵得到的值。在服务部署开始时,首先将Sij组成的矩阵,保存到控制器中等待认证。其次,将sij组成的矩阵中,属于对应设备的PATAG,下发到各自交换机。
步骤5:数据流经过验证节点的交换机时,交换机校验PATAG值,将校验结果通过Packet-in消息发送给CONTROLLER。其中Packet-in消息的DATA字段同时携带了数据包头的HASH运算值。
步骤6:拟态控制层的CONTROLLER,当接收到的Packet-in消息时,会执行如下步骤:
步骤6-1:判断Packet-in消息内的REASON字段是否为OFPR_ACTION,是,则执行步骤6-2,否,退出验证。
步骤6-2:保存Packet-in消息内DATAPATH_ID,COOKIE,HASH_DATA字段的信息,提取HASH_DATA相同的DATAPATH_ID,COOKIE。对于相同的HASH_DATA字段的数据集合,与保存的PATAG对进行计算,其中DATAPATH_ID对应k值,HASH_DATA值确认r值。若对于第i个服务,成功校验j个数据,则说明第i条服务部署成功,否则,路径验证失败,进行路径异常处理操作。
步骤7:控制器汇总服务部署情况,上交应用层进行处理。
实施例
为了便于本领域一般技术人员理解和实现本发明,现进一步说明本发明的技术方案,给出一种本发明的具体实施方式。
控制器根据多项式生成一条服务链的交换机路径验证标识A、B、C,分别配置到交换机上,当数据包经过交换机时会触发向控制器发送packet_in消息,携带了交换机路径验证标识,表明数据包当前经过了该交换机,当数据包到达目的地,控制器收集到了数据包经过的交换机发送的交换机路径验证标识。flow1结果了交换机S1、S2、S4,发送给控制器A、B、C交换机路径验证标识,通过对比先前控制器配置下发的交换机路径验证标识,相同则通过路径验证符合服务链要求的传输路径。对于flow2由于经过的是S1、S3、S4,发送给控制器A、D、C,对比先前控制器配置下发的交换机路径验证标识不相同者路径验证不通过。下面介绍路径验证的具体设计:
针对不同的服务链,业务数据流要求传输的路径不同,所以控制器需要构建一个多项式服务链矩阵G,G乘以一维列矩阵L得到一条服务链的多项式h(x)。公式如下:
Figure BDA0002256244580000051
其中L一维列矩阵中i1、i2…it,a11…att均为常数。矩阵相乘得到h(x)的t-1次多项式,并对大素数q取余得到多项式公式:
hi(x)=ai1+ai2x+ai3x2+...+ai(t-1)xt-2+aitxt-1mod q
为了区分哪一条服务链,相同的服务链需要相同的服务链标识,在多项式中一旦x相同则hi(x),导致发送到交换机的标识相同便无法区分。本文在对x进行扩展,如公式:
x=f(r,k)
通过r,k 2个变量带入函数f得到x。x带入多项式函数h得到多项式值hi。最终得到交换机路径验证标识。如公式**
Si={Si1,Si2...Sij}
Sij=(ri,kj,hij)
其中r为不同服务部署特征标识值,k为可编程交换机的标识值(DATAPATH)的HASH值,Sij为在第i种服务中经由第j个交换机的路径验证标识(PATAG)集合值,其中了ri代表了服务,kj代表交换机,hij是根据f(ri,kj)带入多项式矩阵得到的值。在服务部署开始时,首先将Sij组成的矩阵,保存到控制器中等待认证。其次,将sij组成的矩阵中,属于对应设备的PATAG,下发到各自交换机。将得到的这3个数值ri,kj,hij作为交换机路径验证标识,配置到交换机。
通过packet_in消息会携带cookie字段,本文将多项式路径验证标识配置到cookie字段。Cookie由8个字节构成,利用其中7个字节用于配置标识。如配置了Cookie=ox5E1D4G0A51003A。其中不同位置的数值代表不同的含义,用右边2字节003A代表ri,中间2字节0A51代表kj,左边边3字节5E1D4G代表hij
数据流经过验证节点的交换机时,交换机会将交换机路劲验证标识sij发送给控制器,当控制器收到时表明数据包经过了此交换机,知道数据包的传输路径。同一用户向目标主机发送数据时,由于数据通过分组转发,目的地址与源地址一样,无法通过流表匹配域来区分每一个数据包。为区分开每一个数据包,packet-in信息种有个data字段包含了数据包的相关信息。通过哈希算法,对数据包进行哈希运算,得到不可逆、长度相同的字符串。根据哈希算法的特性不同数据哈希运算后会得到不同的文本,利用此特性,将数据包进行哈希运算得到唯一的字符串,则可以唯一确定某一数据包。
在openflow协议的通信流程,发送packet-in信息,控制器收集到了交换机的datapath_id,cookie,数据包的哈希运算的字符串hash_data。
对于packet-in信息首先判断reason字段,若为OFPR_NO_MATCH是因为无流表匹配项导致的无需验证,若为OFPR_ACTION是触发了发送交换机路径验证标识的动作则进行验证。保存Packet-in消息内DATAPATH_ID,COOKIE,HASH_DATA字段的信息,提取HASH_DATA相同DATAPATH_ID,COOKIE。对于相同的HASH_DATA字段的数据集合,与保存的PATAG对进行计算,其中DATAPATH_ID对应k值,HASH_DATA值确认r值。若对于第i个服务,成功校验j个数据,则说明第i条服务部署成功,否则,路径验证失败,进行路径异常处理操作。

Claims (4)

1.一种拟态防御中拟态配置的服务路径验证方法,其特征在于具体实现如下:
拟态配置包括应用层、拟态控制层和数据层三部分;
所述应用层是由若干的业务应用组成,业务包括访问控制、转发控制、拥塞控制;所述的拟态控制层由控制器CONTROLLER组成,通过南向接口对数据层的网络设备进行资源获取和控制;数据层是由可编程交换的网络设备组成,负责网络数据的转发;
应用层通过HTTP服务下发服务部署数据到拟态控制层,拟态控制层利用CONTROLLER下发流表,将控制数据部署到数据层中;数据层会执行控制消息,进行数据转发和验证工作;
控制器汇总服务部署情况,上交应用层进行处理;
所述的验证工作由OPENFLOW的Packet-in消息进行传递;Packet-in消息字段包括了版本VERSION、消息类型OFPT_PACKET_IN、长度LENGTH、保存数据包的缓存IDBUFFER_ID、发送Packet-in消息的原因REASON、数据DATA字段。
2.根据权利要求1所述的一种拟态防御中拟态配置的服务路径验证方法,其特征在于拟态配置的服务验证由一个多项式矩阵和权重值组成;对于不同的服务部署情况,采取不同的权重值与多项式矩阵相乘;公式如下所示:
Figure FDA0003469956140000011
其中,矩阵G为多项式矩阵,其中的a11…att代表多项矩阵的常数项,t代表服务部署需要的设备数目值,i1…it为权重值,未知数x为验证输入标识值;对于经过同一可编程交换网络设备的服务部署情况,则使如下公式:
Figure FDA0003469956140000012
Sij=(ri,kj,hij),
Si={Si1,Si2…Sij},
其中,r为不同服务部署特征标识值,k为可编程交换机的标识值DATAPATH的HASH值,Sij为在第i种服务中经由第j个交换机的路径验证标识PATAG集合值,其中了ri代表了第i种服务,kj代表第j个交换机,hij是根据f(ri,kj)带入多项式矩阵得到的值;在服务部署开始时,首先将Sij组成的矩阵,保存到控制器中等待认证;其次,将sij组成的矩阵中,属于对应设备的PATAG,下发到各自交换机。
3.根据权利要求2所述的一种拟态防御中拟态配置的服务路径验证方法,其特征在于数据流经过验证节点的交换机时,交换机校验PATAG值,将校验结果通过Packet-in消息发送给CONTROLLER;其中Packet-in消息的DATA字段同时携带了数据包头的HASH运算值。
4.根据权利要求3所述的一种拟态防御中拟态配置的服务路径验证方法,其特征在于拟态控制层的CONTROLLER,当接收到的Packet-in消息时,会执行如下步骤:
步骤1:判断Packet-in消息内的REASON字段是否为OFPR_ACTION,是,则执行步骤2;否,退出验证;
步骤2:保存Packet-in消息内DATAPATH_ID、COOKIE和HASH_DATA字段的信息,提取HASH_DATA相同的DATAPATH_ID和COOKIE;对于相同的HASH_DATA字段的数据集合,与保存的PATAG对进行计算,其中DATAPATH_ID对应k值,HASH_DATA值确认r值;若对于第i个服务,成功校验j个数据,则说明第i条服务部署成功,否则,路径验证失败,进行路径异常处理操作。
CN201911054721.XA 2019-10-31 2019-10-31 一种拟态防御中拟态配置的服务路径验证方法 Expired - Fee Related CN111224934B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911054721.XA CN111224934B (zh) 2019-10-31 2019-10-31 一种拟态防御中拟态配置的服务路径验证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911054721.XA CN111224934B (zh) 2019-10-31 2019-10-31 一种拟态防御中拟态配置的服务路径验证方法

Publications (2)

Publication Number Publication Date
CN111224934A CN111224934A (zh) 2020-06-02
CN111224934B true CN111224934B (zh) 2022-04-15

Family

ID=70830531

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911054721.XA Expired - Fee Related CN111224934B (zh) 2019-10-31 2019-10-31 一种拟态防御中拟态配置的服务路径验证方法

Country Status (1)

Country Link
CN (1) CN111224934B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116594603B (zh) * 2023-07-18 2023-10-10 之江实验室 一种面向p4语言的编译时流表验证系统及验证方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015152436A1 (ko) * 2014-03-31 2015-10-08 쿨클라우드㈜ Sdn 기반의 서비스 체이닝 시스템
CN107294773A (zh) * 2017-05-30 2017-10-24 浙江工商大学 一种软件可定义的网络业务配置方法
CN109495391A (zh) * 2018-12-18 2019-03-19 天津城建大学 一种基于sdn的安全服务链系统及数据包匹配转发方法
CN110198270A (zh) * 2019-05-10 2019-09-03 华中科技大学 一种sdn网络中基于路径与ip地址跳变的主动防御方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015152436A1 (ko) * 2014-03-31 2015-10-08 쿨클라우드㈜ Sdn 기반의 서비스 체이닝 시스템
CN107294773A (zh) * 2017-05-30 2017-10-24 浙江工商大学 一种软件可定义的网络业务配置方法
CN109495391A (zh) * 2018-12-18 2019-03-19 天津城建大学 一种基于sdn的安全服务链系统及数据包匹配转发方法
CN110198270A (zh) * 2019-05-10 2019-09-03 华中科技大学 一种sdn网络中基于路径与ip地址跳变的主动防御方法

Also Published As

Publication number Publication date
CN111224934A (zh) 2020-06-02

Similar Documents

Publication Publication Date Title
Qin et al. Line-speed and scalable intrusion detection at the network edge via federated learning
Qureshi et al. Anomaly detection and trust authority in artificial intelligence and cloud computing
Abdou et al. Comparative analysis of control plane security of SDN and conventional networks
Akhunzada et al. Toward secure software defined vehicular networks: Taxonomy, requirements, and open issues
Li et al. Distributed network intrusion detection system in satellite-terrestrial integrated networks using federated learning
KR102544682B1 (ko) 소프트웨어 정의 네트워크 환경에서 기계 학습 기반의 경로 선택 장치 및 방법
CN115001831B (zh) 基于恶意行为知识库动态部署网络安全服务的方法及系统
Zhang et al. Verifying rule enforcement in software defined networks with REV
Siddiqui et al. On the impact of DDoS attacks on software-defined Internet-of-Vehicles control plane
Olimjonovich Software Defined Networking: Management of network resources and data flow
CN111224934B (zh) 一种拟态防御中拟态配置的服务路径验证方法
Prathima Mabel et al. SDN security: Challenges and solutions
CN112929200A (zh) 一种面向sdn多控制器的异常检测方法
Dominicini et al. Polka: Polynomial key-based architecture for source routing in network fabrics
Lin et al. Setting malicious flow entries against SDN operations: attacks and countermeasures
KR102587055B1 (ko) 인공지능 기반 컴퓨터 이상 탐지 시스템
KR102357710B1 (ko) 코드 커버리지를 이용하는 sdn에 대한 퍼징방법
CN108199991A (zh) 基于置信传递的时变衰落信道的物理层盲认证方法和系统
CN108512771A (zh) 一种数据流负载分担的方法和设备
Ho et al. A secured openflow-based switch architecture
Kamath et al. Performance analysis of out-band openflow switch architecture: The single node case
Salazar-Chacón et al. OpenSDN Southbound Traffic Characterization: Proof-of-Concept Virtualized SDN-Infrastructure
Zeng et al. Hop-by-Hop Verification mechanism of Packet Forwarding Path Oriented to Programmable Data Plane
Zhang et al. Kuijia: Traffic Rescaling in Software‐Defined Data Center WANs
CN116319112B (zh) 一种报文完整性验证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20220415