CN111385228A - 一种基于openflow交换机端口混淆的移动目标防御方法 - Google Patents

一种基于openflow交换机端口混淆的移动目标防御方法 Download PDF

Info

Publication number
CN111385228A
CN111385228A CN202010118759.5A CN202010118759A CN111385228A CN 111385228 A CN111385228 A CN 111385228A CN 202010118759 A CN202010118759 A CN 202010118759A CN 111385228 A CN111385228 A CN 111385228A
Authority
CN
China
Prior art keywords
port
confusion
openflow switch
data
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010118759.5A
Other languages
English (en)
Other versions
CN111385228B (zh
Inventor
韩俐
张昭俊
孙士民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin University of Technology
Original Assignee
Tianjin University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin University of Technology filed Critical Tianjin University of Technology
Priority to CN202010118759.5A priority Critical patent/CN111385228B/zh
Publication of CN111385228A publication Critical patent/CN111385228A/zh
Application granted granted Critical
Publication of CN111385228B publication Critical patent/CN111385228B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3009Header conversion, routing tables or routing tags

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于openflow交换机端口混淆的移动目标防御方法。其包括构建网络系统;控制器与openflow交换机连接,并初始化;用户端发送数据包;控制器处理数据包;openflow进行数据转发等步骤。本发明效果:交换机流表项显示的数据输出端口号是虚假的、动态的,真实的数据输出端口号是不显现于流表项,因此攻击者无法利用流表项构造网络拓扑或构造伪流表项针对特定链路或主机进行攻击。利用openflow交换机与控制器之间flow_mod消息的通信次数可实现发送、接收双方的端口混淆同步,省却了同步开销。通信信道内只有控制器与openflow交换机间的控制消息,没有其他的访问数据流干扰。

Description

一种基于openflow交换机端口混淆的移动目标防御方法
技术领域
本发明属于网络安全技术领域,尤其涉及一种基于openflow交换机端口混淆的移动目标防御方法。
背景技术
软件定义网络(SDN)是一种新型的基于软件定义的网络架构及技术,其是将网络的控制平面和数据转发平面进行分离,逻辑上的集中控制层面具备网络全局视角,进行资源的全局调配和优化,以提升网络控制的便捷性。利用SDN重构传统网络架构及安全体系,可以实现高效的网络管控和资源调度,其控制平面与数据转发平面分离、集中控制、开放可编程、流表转发等特性,有利于提升安全防护的灵活性、智能性和协同性,推动网络能力便捷调用,支持网络业务创新,给网络安全领域带来了新机遇。
但是,用于数据转发平面的转发设备只是简单地转发元素,容易引发诸多安全问题,并且转发设备需要在控制平面下发的数据流处理规则前进行数据缓存,因此容易受到存储器饱和攻击,在遭受DDoS攻击时,流表存储空间迅速耗尽,后续数据流被丢弃,导致拒绝服务;伪openflow交换机可以发动窃听和篡改攻击,如非法篡改控制器下发的数据流处理规则会导致数据流处理规则不一致,丧失可靠性,使网络不稳定。若伪openflow交换机长期存在于网络中,可以窃听用户通信数据,截获用户口令;错误或拒绝执行数据流处理规则,造成拒绝服务攻击。
发明内容
为了解决上述问题,本发明的目的在于提供一种基于openflow交换机端口混淆的移动目标防御方法。
为了达到上述目的,本发明提供的基于openflow交换机端口混淆的移动目标防御方法包括按顺序进行的下列步骤:
1)构建由控制器、多个openflow交换机和多个用户端构成的网络系统;
2)控制器与openflow交换机通过握手消息进行连接,双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化;
3)某一用户端向网络系统中发送目标地址为另一用户端的数据包,与发送数据包的用户端相连的openflow交换机接收到该数据包后,将数据包中的数据报文包头信息与自身的流表项进行匹配,若匹配成功则进行转发,若匹配失败则将数据包封装在Packet_in消息中并上传给控制器,由控制器决定数据包的转发策略;
4)控制器接收到openflow交换机上传的packet_in消息后,根据openflow交换机真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值,将混淆端口的生存时间衰减,并判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,生成数据流处理规则并下发到openflow交换机,否则直接生成数据流处理规则并下发到openflow交换机;更新端口混淆表;
5)openflow交换机接收到控制器下发的flow_mod消息并进行数据转发时,根据该消息中的混淆端口变换值查找更新后的端口混淆表以确定出真实的数据输出端口号,并进行相应的数据转发,将混淆端口的生存时间衰减,然后判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,更新端口混淆表;否则直接更新端口混淆表。
在步骤2)中,所述的控制器与openflow交换机通过握手消息进行连接,双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化的方法是:
控制器与openflow交换机通过握手消息进行连接时,控制器接收到openflow交换机设置的信息后,双方通过网络系统预设的值对端口混淆表中的混淆端口变换值和混淆端口的生存时间进行初始化。
在步骤4)中,所述的控制器接收到openflow交换机上传的packet_in消息后,根据openflow交换机真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值,将混淆端口的生存时间衰减,并判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,生成数据流处理规则并下发到openflow交换机,否则直接生成数据流处理规则并下发到openflow交换机;更新端口混淆表的具体步骤如下:
4.1、控制器接收到openflow交换机上传的packet_in消息后,计算出该消息转发的下一跳路径,然后根据openflow交换机真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值;
4.2、将混淆端口的生存时间进行衰减并判断其值是否为零,若不为零,则将混淆端口变换值作为输出端口号封装到flow_mod消息中并下发给openflow交换机;若为零,则将混淆端口变换值作为输出端口号且设置idle_timeout超时时间,然后将流表项封装到flow_mod消息中并下发给openflow交换机以指导数据转发;之后调用端口混淆算法,生成新的混淆端口变换值;
4.3、更新端口混淆表。
在步骤5)中,所述的openflow交换机接收到控制器下发的flow_mod消息并进行数据转发时,根据该消息中的混淆端口变换值查找更新后的端口混淆表以确定出真实的数据输出端口号,并进行相应的数据转发,将混淆端口的生存时间衰减,然后判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,更新端口混淆表;否则直接更新端口混淆表的具体步骤如下:
5.1、openflow交换机接收到控制器下发的flow_mod消息后,将相应的流表项进行存储;
5.2、进行数据转发时,根据流表项中的混淆端口变换值查找更新后的端口混淆表,确定出进行数据转发时真实的数据输出端口号;
5.3、根据真实的数据输出端口号进行数据转发,同时将混淆端口的生存时间衰减并判断其值是否为零;若为零,则调用端口混淆算法进行端口混淆而生成新的端口混淆变换值,否则直接进入下一步;
5.4、删除先前流表项,更新端口混淆表。
在步骤4和步骤5)中,所述的端口混淆算法的处理步骤如下:
步骤1、控制器通过openflow交换机上传的packet_in消息或openflow交换机接收到的数据报文包头信息提取出IP地址和源端口号、目的端口号;
步骤2、根据数据报文包头中的端口号及上一轮openflow交换机进行数据转发时的混淆端口变换值计算出端口种子Portseed,公式如下:
Figure BDA0002392307120000041
其中,Portold是上一轮的混淆端口变换值,Portsrc是数据报文包头中的源端口号,Portdst是数据报文包头中的目的端口号;
步骤3、根据数据报文包头中的源端口号、目的端口号和IP地址计算出IP种子IPseed,公式如下:
Figure BDA0002392307120000051
其中,X和Y分别是从数据报文包头中提取出的源IP地址和目的IP地址中的主机IP部分;
步骤4、利用步骤2和步骤3所计算出的端口种子和IP种子计算出新的混淆端口变换值Portupdate,公式如下:
Portupdate=(IPseed×Portold+Portseed)mod65536
步骤5、检测新的混淆端口变换值是否已经被其他转发策略所使用,如果已经被使用,则将此新的混淆端口变换值作为上一轮的混淆端口变换值Portold,重新执行步骤2至步骤5而再一次生成新的混淆端口变换值,直到不再被使用为止。
本发明提供的基于openflow交换机端口混淆的移动目标防御方法的优点和有益效果:
1、本发明中交换机流表项显示的数据输出端口号是虚假的、动态的,真实的数据输出端口号是不显现于流表项,因此攻击者无法利用流表项构造网络拓扑或构造伪流表项针对特定链路或主机进行攻击。并且进行端口混淆时调用的端口混淆算法充分利用网络系统中通信双方的数据报文中源、目的IP地址和(数据报文中源、目的端口号,并非数据输出端口号)端口号等信息作为生成混淆端口变换值的种子信息,openflow交换机每次进行端口混淆时种子信息是不确定的,混淆变化后的端口是随机的,网络配置信息动态化、随机化变化。
2、同时,利用openflow交换机与控制器之间flow_mod消息的通信次数可实现发送、接收双方的端口混淆同步,省却了同步开销。通信信道内只有控制器与openflow交换机间的控制消息,没有其他的访问数据流干扰。
附图说明
图1是本发明方法采用的网络系统示意图;
图2是本发明中控制器处理方法流程图;
图3是本发明中交换机处理方法流程图;
图4是本发明中端口混淆算法流程图;
具体实施方式
以下结合附图对本发明进行进一步详述。
本发明提供的基于openflow交换机端口混淆的移动目标防御方法包括按顺序进行的下列步骤:
1)如图1所示,构建由控制器1、多个openflow交换机2和多个用户端3构成的网络系统;
2)控制器1与openflow交换机2通过握手消息进行连接,双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化;
控制器1与openflow交换机2通过握手消息进行连接时,控制器1接收到openflow交换机2设置的信息后,双方通过网络系统预设的值对端口混淆表中的混淆端口变换值和混淆端口的生存时间进行初始化。
3)某一用户端3向网络系统中发送目标地址为另一用户端3的数据包,与发送数据包的用户端3相连的openflow交换机2接收到该数据包后,将数据包中的数据报文包头信息与自身的流表项进行匹配,若匹配成功则进行转发,若匹配失败则将数据包封装在Packet_in消息中并上传给控制器1,由控制器1决定数据包的转发策略;
4)控制器1接收到openflow交换机2上传的packet_in消息后,根据openflow交换机2真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值,将混淆端口的生存时间衰减,并判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,生成数据流处理规则并下发到openflow交换机2,否则直接生成数据流处理规则并下发到openflow交换机2;更新端口混淆表;
如图2所示,具体步骤如下:
4.1、控制器1接收到openflow交换机2上传的packet_in消息后,计算出该消息转发的下一跳路径,然后根据openflow交换机2真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值;
4.2、将混淆端口的生存时间进行衰减并判断其值是否为零,若不为零,则将混淆端口变换值作为输出端口号封装到flow_mod消息中并下发给openflow交换机2;若为零,则将混淆端口变换值作为输出端口号且设置idle_timeout超时时间,然后将流表项封装到flow_mod消息中并下发给openflow交换机2以指导数据转发;之后调用端口混淆算法,生成新的混淆端口变换值;
4.3、更新端口混淆表。
5)openflow交换机2接收到控制器1下发的flow_mod消息并进行数据转发时,根据该消息中的混淆端口变换值查找更新后的端口混淆表以确定出真实的数据输出端口号,并进行相应的数据转发,将混淆端口的生存时间衰减,然后判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,更新端口混淆表;否则直接更新端口混淆表。
如图3所示,具体步骤如下:
5.1、openflow交换机2接收到控制器1下发的flow_mod消息后,将相应的流表项进行存储;
5.2、进行数据转发时,根据流表项中的混淆端口变换值查找更新后的端口混淆表,确定出进行数据转发时真实的数据输出端口号;
5.3、根据真实的数据输出端口号进行数据转发,同时将混淆端口的生存时间衰减并判断其值是否为零;若为零,则调用端口混淆算法进行端口混淆而生成新的端口混淆变换值,否则直接进入下一步;
5.4、删除先前流表项,更新端口混淆表。
如图4所示,所述的端口混淆算法的处理步骤如下:
步骤1、控制器1通过openflow交换机2上传的packet_in消息或openflow交换机2接收到的数据报文包头信息提取出IP地址和源端口号、目的端口号;
步骤2、根据数据报文包头中的端口号及上一轮openflow交换机2进行数据转发时的混淆端口变换值计算出端口种子Portseed,公式如下:
Figure BDA0002392307120000081
其中,Portold是上一轮的混淆端口变换值,Portsrc是数据报文包头中的源端口号,Portdst是数据报文包头中的目的端口号;
步骤3、根据数据报文包头中的源端口号、目的端口号和IP地址计算出IP种子IPseed,公式如下:
Figure BDA0002392307120000082
其中,X和Y分别是从数据报文包头中提取出的源IP地址和目的IP地址中的主机IP部分;
步骤4、利用步骤2和步骤3所计算出的端口种子和IP种子计算出新的混淆端口变换值Portupdate,公式如下:
Portupdate=(IPseed×Portold+Portseed)mod 65536
步骤5、检测新的混淆端口变换值是否已经被其他转发策略所使用,如果已经被使用,则将此新的混淆端口变换值作为上一轮的混淆端口变换值Portold,重新执行步骤2至步骤5而再一次生成新的混淆端口变换值,直到不再被使用为止。
以上内容是结合实施方式对本发明所作的详细介绍,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种改变和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (5)

1.一种基于openflow交换机端口混淆的移动目标防御方法,其特征在于:所述的移动目标防御方法包括按顺序进行的下列步骤:
1)构建由控制器(1)、多个openflow交换机(2)和多个用户端(3)构成的网络系统;
2)控制器(1)与openflow交换机(2)通过握手消息进行连接,双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化;
3)某一用户端(3)向网络系统中发送目标地址为另一用户端(3)的数据包,与发送数据包的用户端(3)相连的openflow交换机(2)接收到该数据包后,将数据包中的数据报文包头信息与自身的流表项进行匹配,若匹配成功则进行转发,若匹配失败则将数据包封装在Packet_in消息中并上传给控制器(1),由控制器(1)决定数据包的转发策略;
4)控制器(1)接收到openflow交换机(2)上传的packet_in消息后,根据openflow交换机(2)真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值,将混淆端口的生存时间衰减,并判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,生成数据流处理规则并下发到openflow交换机(2),否则直接生成数据流处理规则并下发到openflow交换机(2);更新端口混淆表;
5)openflow交换机(2)接收到控制器(1)下发的flow_mod消息并进行数据转发时,根据该消息中的混淆端口变换值查找更新后的端口混淆表以确定出真实的数据输出端口号,并进行相应的数据转发,将混淆端口的生存时间衰减,然后判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,更新端口混淆表;否则直接更新端口混淆表。
2.根据权利要求1所述的基于openflow交换机端口混淆的移动目标防御方法,其特征在于:在步骤2)中,所述的控制器(1)与openflow交换机(2)通过握手消息进行连接,双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化的方法是:
控制器(1)与openflow交换机(2)通过握手消息进行连接时,控制器(1)接收到openflow交换机(2)设置的信息后,双方通过网络系统预设的值对端口混淆表中的混淆端口变换值和混淆端口的生存时间进行初始化。
3.根据权利要求1所述的基于openflow交换机端口混淆的移动目标防御方法,其特征在于:在步骤4)中,所述的控制器(1)接收到openflow交换机(2)上传的packet_in消息后,根据openflow交换机(2)真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值,将混淆端口的生存时间衰减,并判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,生成数据流处理规则并下发到openflow交换机(2),否则直接生成数据流处理规则并下发到openflow交换机(2);更新端口混淆表的具体步骤如下:
4.1、控制器(1)接收到openflow交换机(2)上传的packet_in消息后,计算出该消息转发的下一跳路径,然后根据openflow交换机(2)真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值;
4.2、将混淆端口的生存时间进行衰减并判断其值是否为零,若不为零,则将混淆端口变换值作为输出端口号封装到flow_mod消息中并下发给openflow交换机(2);若为零,则将混淆端口变换值作为输出端口号且设置idle_timeout超时时间,然后将流表项封装到flow_mod消息中并下发给openflow交换机(2)以指导数据转发;之后调用端口混淆算法,生成新的混淆端口变换值;
4.3、更新端口混淆表。
4.根据权利要求1所述的基于openflow交换机端口混淆的移动目标防御方法,其特征在于:在步骤5)中,所述的openflow交换机(2)接收到控制器(1)下发的flow_mod消息并进行数据转发时,根据该消息中的混淆端口变换值查找更新后的端口混淆表以确定出真实的数据输出端口号,并进行相应的数据转发,将混淆端口的生存时间衰减,然后判断是否进行端口混淆;若是,则利用端口混淆算法进行端口混淆,更新端口混淆表;否则直接更新端口混淆表的具体步骤如下:
5.1、openflow交换机(2)接收到控制器(1)下发的flow_mod消息后,将相应的流表项进行存储;
5.2、进行数据转发时,根据流表项中的混淆端口变换值查找更新后的端口混淆表,确定出进行数据转发时真实的数据输出端口号;
5.3、根据真实的数据输出端口号进行数据转发,同时将混淆端口的生存时间衰减并判断其值是否为零;若为零,则调用端口混淆算法进行端口混淆而生成新的端口混淆变换值,否则直接进入下一步;
5.4、删除先前流表项,更新端口混淆表。
5.根据权利要求1所述的基于openflow交换机端口混淆的移动目标防御方法,其特征在于:在步骤4和步骤5)中,所述的端口混淆算法的处理步骤如下:
步骤1、控制器1通过openflow交换机(2)上传的packet_in消息或openflow交换机(2)接收到的数据报文包头信息提取出IP地址和源端口号、目的端口号;
步骤2、根据数据报文包头中的端口号及上一轮openflow交换机(2)进行数据转发时的混淆端口变换值计算出端口种子Portseed,公式如下:
Figure FDA0002392307110000041
其中,Portold是上一轮的混淆端口变换值,Portsrc是数据报文包头中的源端口号,Portdst是数据报文包头中的目的端口号;
步骤3、根据数据报文包头中的源端口号、目的端口号和IP地址计算出IP种子IPseed,公式如下:
Figure FDA0002392307110000042
其中,X和Y分别是从数据报文包头中提取出的源IP地址和目的IP地址中的主机IP部分;
步骤4、利用步骤2和步骤3所计算出的端口种子和IP种子计算出新的混淆端口变换值Portupdate,公式如下:
Portupdate=(IPseed×Portold+Portseed)mod65536
步骤5、检测新的混淆端口变换值是否已经被其他转发策略所使用,如果已经被使用,则将此新的混淆端口变换值作为上一轮的混淆端口变换值Portold,重新执行步骤2至步骤5而再一次生成新的混淆端口变换值,直到不再被使用为止。
CN202010118759.5A 2020-02-26 2020-02-26 一种基于openflow交换机端口混淆的移动目标防御方法 Active CN111385228B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010118759.5A CN111385228B (zh) 2020-02-26 2020-02-26 一种基于openflow交换机端口混淆的移动目标防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010118759.5A CN111385228B (zh) 2020-02-26 2020-02-26 一种基于openflow交换机端口混淆的移动目标防御方法

Publications (2)

Publication Number Publication Date
CN111385228A true CN111385228A (zh) 2020-07-07
CN111385228B CN111385228B (zh) 2022-02-18

Family

ID=71219744

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010118759.5A Active CN111385228B (zh) 2020-02-26 2020-02-26 一种基于openflow交换机端口混淆的移动目标防御方法

Country Status (1)

Country Link
CN (1) CN111385228B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113114666A (zh) * 2021-04-09 2021-07-13 天津理工大学 一种sdn网络中针对扫描攻击的移动目标防御方法
CN117811834A (zh) * 2024-02-27 2024-04-02 苏州大学 一种Obfs4混淆流量检测方法、系统、设备和介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050220017A1 (en) * 2004-03-31 2005-10-06 Brand Thomas E Denial of service protection through port hopping
CN104506511A (zh) * 2014-12-15 2015-04-08 蓝盾信息安全技术股份有限公司 一种sdn网络动态目标防御系统及方法
CN104853003A (zh) * 2015-04-30 2015-08-19 中国人民解放军国防科学技术大学 一种基于Netfilter的地址、端口跳变通信实现方法
CN105141641A (zh) * 2015-10-14 2015-12-09 武汉大学 一种基于SDN的Chaos移动目标防御方法及系统
CN106657066A (zh) * 2016-12-23 2017-05-10 中国电子科技集团公司第三十研究所 一种网络管理平面地址的随机跳变方法及装置
CN108965252A (zh) * 2018-06-08 2018-12-07 浙江捷尚人工智能研究发展有限公司 一种基于OpenFlow的网络层移动目标防御方法及系统
CN110198270A (zh) * 2019-05-10 2019-09-03 华中科技大学 一种sdn网络中基于路径与ip地址跳变的主动防御方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050220017A1 (en) * 2004-03-31 2005-10-06 Brand Thomas E Denial of service protection through port hopping
CN104506511A (zh) * 2014-12-15 2015-04-08 蓝盾信息安全技术股份有限公司 一种sdn网络动态目标防御系统及方法
CN104853003A (zh) * 2015-04-30 2015-08-19 中国人民解放军国防科学技术大学 一种基于Netfilter的地址、端口跳变通信实现方法
CN105141641A (zh) * 2015-10-14 2015-12-09 武汉大学 一种基于SDN的Chaos移动目标防御方法及系统
CN106657066A (zh) * 2016-12-23 2017-05-10 中国电子科技集团公司第三十研究所 一种网络管理平面地址的随机跳变方法及装置
CN108965252A (zh) * 2018-06-08 2018-12-07 浙江捷尚人工智能研究发展有限公司 一种基于OpenFlow的网络层移动目标防御方法及系统
CN110198270A (zh) * 2019-05-10 2019-09-03 华中科技大学 一种sdn网络中基于路径与ip地址跳变的主动防御方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
YUE-BIN LUO, BAO-SHENG WANG, GUI-LIN CAI: "Effectiveness of Port Hopping as a Moving Target Defense", 《IEEE》 *
唐秀存; 张连成; 史晓敏; 徐良华: "基于端口跳变的SDN网络防御技术", 《计算机应用研究》 *
谭晶磊; 张红旗; 雷程; 刘小虎; 王硕: "面向SDN的移动目标防御技术研究进展", 《网络与信息安全学报》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113114666A (zh) * 2021-04-09 2021-07-13 天津理工大学 一种sdn网络中针对扫描攻击的移动目标防御方法
CN113114666B (zh) * 2021-04-09 2022-02-22 天津理工大学 一种sdn网络中针对扫描攻击的移动目标防御方法
CN117811834A (zh) * 2024-02-27 2024-04-02 苏州大学 一种Obfs4混淆流量检测方法、系统、设备和介质

Also Published As

Publication number Publication date
CN111385228B (zh) 2022-02-18

Similar Documents

Publication Publication Date Title
Snoeren et al. Single-packet IP traceback
Snoeren et al. Hash-based IP traceback
CN103312615B (zh) 使用可变数量前缀的最长前缀匹配搜索
Azzouni et al. Limitations of openflow topology discovery protocol
Arce et al. An analysis of the slapper worm
US6674769B1 (en) Simultaneous searching of layer 3 policy filter and policy cache in a network switch port
Lee et al. ICMP traceback with cumulative path, an efficient solution for IP traceback
CN109067758B (zh) 一种基于多路径的sdn网络数据传输隐私保护系统及其方法
CN105991655B (zh) 用于缓解基于邻居发现的拒绝服务攻击的方法和装置
EP2823605A1 (en) Methods of operating forwarding elements including shadow tables and related forwarding elements
CN111385228B (zh) 一种基于openflow交换机端口混淆的移动目标防御方法
Sarica et al. A novel sdn dataset for intrusion detection in iot networks
CN110266650B (zh) Conpot工控蜜罐的识别方法
US20120300781A1 (en) Packet Routing in a Network
Shulman et al. Fragmentation considered leaking: port inference for dns poisoning
Nagarathna et al. SLAMHHA: A supervised learning approach to mitigate host location hijacking attack on SDN controllers
US7854003B1 (en) Method and system for aggregating algorithms for detecting linked interactive network connections
Trabelsi et al. Improved session table architecture for denial of stateful firewall attacks
Huang et al. FSDM: Fast recovery saturation attack detection and mitigation framework in SDN
Basyoni et al. Empirical performance evaluation of QUIC protocol for Tor anonymity network
EP1154610A2 (en) Methods and system for defeating TCP Syn flooding attacks
US10742602B2 (en) Intrusion prevention
CN111245858A (zh) 网络流量拦截方法、系统、装置、计算机设备和存储介质
Chen et al. TRACK: A novel approach for defending against distributed denial-of-service attacks
US7917649B2 (en) Technique for monitoring source addresses through statistical clustering of packets

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant