CN112261052B - 基于流规则分析的sdn数据平面异常行为检测方法及系统 - Google Patents

Abstract

本发明属于网络安全技术领域，特别涉及一种基于流规则分析的SDN数据平面异常行为检测方法及系统，包含：收集并获取SDN网络区域范围内数据平面交换机流规则；分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为。本发明能够有效提高全面异常检测的精确度，降低检测时计算及资源使用量，可独立部署在多种SDN环境中实现异常行为检测。

Description

基于流规则分析的SDN数据平面异常行为检测方法及系统

技术领域

本发明属于网络安全技术领域，特别涉及一种基于流规则分析的SDN数据平面异常行为检测方法及系统。

背景技术

作为一种新兴的网络架构，软件定义网络(Software Defined Networking,SDN)采用软件编程的方式控制网络，提高了网络配置的灵活性。但是，SDN的攻击面却比传统网络更大，三个平面以及南北向通道都存在脆弱点，其中针对数据平面的攻击尤为重要，攻击会干扰基础的数据转发行为，导致整个网络数据传输功能的失效。SDN采用数据控制分离的网络架构，取代了传统网络设备数据和控制的耦合机制。数据平面不再具有决策功能，作为网络智能中心的控制平面通过下发流规则控制着数据平面数据转发行为。标准化南向接口(例如Openflow)简化了对网络设备进行管理的复杂性，使得通过编程定义网络功能成为可能。SDN数据平面由交换机组成。与传统网络交换机不同，SDN交换机只负责数据转发而不具有决策能力。当端口接收到陌生数据包时候，交换机将数据包信息通过南向接口发送给控制平面询问处理方法，控制平面应用程序根据自身策略制定流规则并下发到交换机流表。此后遇到相同数据包时候，交换机根据已有规则对数据包进行处理并转发。因此，数据平面是流规则驱动的。作为SDN网络架构的底层，数据平面与网络的实际行为紧密相关，是整个网络正常运行的基础。作为SDN网络架构的底层，数据平面与网络的实际行为紧密相关，是整个网络正常运行的基础。因此，检测数据平面异常行为并维护数据平面的安全状态十分必要。数据平面面临着拒绝服务、数据篡改等攻击威胁。从根本上看，针对数据平面的攻击都是通过安装恶意流规则来实现。这些攻击可以从数据平面主机发起，也可能由恶意应用程序发起。此外，由于控制平面的复杂性，不同功能的非恶意应用程序生成的流规则也可能会产生冲突，导致数据平面执行异常转发或丢包行为，危害网络安全。

针对SDN数据平面安全问题，现有工作主要从流规则冲突方面进行研究。一种方法是实时动态策略冲突检测与解决方法，该方法通过获取实时的SDN网络状态，能够检测数据流是否直接或间接违反防火墙策略，并且当发现冲突时候，可以进行自动化和细粒度的冲突解决。另一种方法是利用控制器掌握全局视图的特点，在控制器中通过对全网规则的匹配域进行编码，实现对流表的压缩，并以端口为节点建立端到端网络路径，对全网规则进行快速冲突检测。另一种方法将冲突检测转化为了有向图连通性判断和连通节点搜索问题，提出了一种应用有向无环图模型检测分布式系统中安全策略冲突的定量方法。针对应用程序流规则与防火墙和访问控制规则之间的冲突以及网络配置方面的问题进行研究，没有深入分析其他流规则异常类型和导致异常的原因，无法全面地对SDN数据平面异常行为进行检测。

发明内容

为此，本发明提供一种基于流规则分析的SDN数据平面异常行为检测方法及系统，提高异常检测精确度，降低检测时计算及资源使用量，能够部署在多种SDN环境中实现异常行为检测。

按照本发明所提供的设计方案，一种基于流规则分析的SDN数据平面异常行为检测方法，包含如下内容：

收集并获取SDN网络区域范围内数据平面交换机流规则；

分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；

结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为。

作为本发明基于流规则分析的SDN数据平面异常行为检测方法，进一步的，利用交换机标准接口在设定时间周期内遍历网络区域范围内的所有交换机来获取数据平面交换机流规则。

作为本发明基于流规则分析的SDN数据平面异常行为检测方法，进一步地，依据流规则变化率和流规则匹配率分析流规则数量在时间段内的变化量，通过设定阈值判定流规则数量变化异常趋势。

作为本发明基于流规则分析的SDN数据平面异常行为检测方法，进一步地，流规则变化率FCR和流规则匹配率FMR分别表示为：

其中，Δall_rules_num为Δt时间段内流规则总数变化量，matched_rules_num和all_rules_num分别为当前时刻匹配到数据包的规则总数和所有流规则数量；若满足FCR大于设定阈值α、FMR小于设定阈值β，则判定流规则数量变化异常。

作为本发明基于流规则分析的SDN数据平面异常行为检测方法，进一步地，构建数据流路径时，首先获取流路径的起始交换机和流规则，然后，对于每一对起始交换机和流规则，结合网络拓扑结构获取下一跳交换机，依据流表中是否有处理对应数据包的流规则，将交换机添加至对应流路径中，迭代添加交换机，直至路径结束。

作为本发明基于流规则分析的SDN数据平面异常行为检测方法，进一步地，路径结束的判断标准包含：不存在下一跳交换机和/或数据包被丢弃或被转发至主机。

作为本发明基于流规则分析的SDN数据平面异常行为检测方法，进一步地，获取流路径的起始交换机和流规则时，对于每一台交换机，结合网络拓扑来获取其相邻交换机集合；检查交换机的每一条流规则，依据相邻交换机流规则匹配域及是否存在转发到交换机的流规则来判定交换机和流规则否为数据流路径的起始交换机和流规则。

作为本发明基于流规则分析的SDN数据平面异常行为检测方法，进一步地，流规则冲突检测包括如下情形的检测：同一台交换机流表中流规则之间的冲突；及多条流规则构成的跨交换机数据流路径之间存在的冲突。

作为本发明基于流规则分析的SDN数据平面异常行为检测方法，进一步地，流规则行为异常检测包括如下情形：造成交换机恶意丢包行为的流规则错误检测；及造成交换机恶意转发行为的流规则错误检测。

进一步地，基于上述的方法，本发明还提供一种基于流规则分析的SDN数据平面异常行为检测系统，包含：数据收集模块、数据分析模块和行为检测模块，其中，

数据收集模块，用于收集并获取SDN网络区域范围内数据平面交换机流规则；

数据分析模块，用于分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；

行为检测模块，用于结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为。

本发明的有益效果：

本发明通过扩展数据平面异常类型，从流规则数量、流规则冲突以及冲突所能导致的异常行为三方面进行全面的数据平面异常状态评估。将数据平面异常状态与恶意攻击进行关联，可以通过流规则分析进行数据平面异常状态检测和攻击类型判断，检测更加全面；不在控制器下发流规则阶段截获并检验流规则，而是通过交换机提供的标准接口获取数据平面流规则。不依赖控制器类型，能够部署在多种SDN环境中实现异常行为检测，在保证异常行为检测精确度的同时，提升其应用的可扩展性，具有较好的应用前景和市场价值。

附图说明：

图1为实施例中异常行为检测方法流程示意；

图2为实施例中异常检测行为系统示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

针对应用程序流规则与防火墙和访问控制规则之间的冲突以及网络配置方面的问题进行研究，没有深入分析其他流规则异常类型和导致异常的原因，无法全面地对SDN数据平面异常行为进行检测等情形，本发明实施例，参见图1所示，提供一种基于流规则分析的SDN数据平面异常行为检测方法，包含如下内容：

S101、收集并获取SDN网络区域范围内数据平面交换机流规则；

S102、分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；

S103、结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为。

通过扩展流规则异常类型，关注恶意攻击所导致的流规则异常，并分析导致这些异常的原因和对数据平面状态的影响，将数据平面异常状态与恶意攻击进行关联，通过流规则分析进行数据平面异常状态检测和攻击类型判断；提高异常检测精确度，降低检测时计算及资源使用量，能够部署在多种SDN环境中实现异常行为检测。

作为本发明实施例中的基于流规则分析的SDN数据平面异常行为检测方法，进一步的，利用交换机标准接口在设定时间周期内遍历网络区域范围内的所有交换机来获取数据平面交换机流规则。

通过利用OpenFlow交换机提供的标准安装和查询流规则的接口以一定间隔Δt遍历每台交换机，可获取当前网络范围内所有交换机上的流规则。

作为本发明实施例中的基于流规则分析的SDN数据平面异常行为检测方法，进一步地，依据流规则变化率和流规则匹配率分析流规则数量在时间段内的变化量，通过设定阈值判定流规则数量变化异常趋势。

假设当前时刻为t_now，获取到的所有流规则集合为

其中匹配到数据包的流规则数量为

上一次在t_pre时刻获取所有流规则集合为

其中匹配到数据包的流规则数量为

则

作为本发明实施例中的基于流规则分析的SDN数据平面异常行为检测方法，进一步地，构建数据流路径时，首先获取流路径的起始交换机和流规则，然后，对于每一对起始交换机和流规则，结合网络拓扑结构获取下一跳交换机，依据流表中是否有处理对应数据包的流规则，将交换机添加至对应流路径中，迭代添加交换机，直至路径结束。进一步地，路径结束的判断标准包含：不存在下一跳交换机和/或数据包被丢弃或被转发至主机。进一步地，获取流路径的起始交换机和流规则时，对于每一台交换机，结合网络拓扑来获取其相邻交换机集合；检查交换机的每一条流规则，依据相邻交换机流规则匹配域及是否存在转发到交换机的流规则来判定交换机和流规则否为数据流路径的起始交换机和流规则。

对于一台交换机s，首先结合网络拓扑获取s的相邻交换机集合，然后检查s的每一条流规则，对于流规则r，如果相邻交换机中不存在与r.matchfields相交不为空且转发到s的流规则，就认为(s，r)为一条数据流路径的起始交换机和流规则。在比较流规则匹配域时候，考虑同一台交换机流表之间流水线处理的情况以及set-field动作对匹配域的修改。具体流程如算法1。

对于每一对起始交换机和流规则，结合拓扑结构获取下一跳交换机，检查流表中是否有处理对应数据包的流规则，如果有的话将此交换机添加进路径，然后按照上面步骤递归处理，直到路径结束。路径结束标准是不存在下一跳交换机、数据包被丢弃或者数据包被转发到主机。在构造流路径同时记录流规则错误转发行为特征以供后续分析。具体流程如算法2。

在获取到所有数据流路径之后，结合记录流规则错误转发行为特征以检查每一条流路径是否具有有害性。之后检查每对流路径之间是否存在冲突。具体流程如算法3.

由于数据平面转发行为完全由流规则决定，因此可以使用流规则集合描述数据平面的数据转发状态。此外，数据平面的拓扑状态由交换机之间的连接方式表示，限定了数据平面转发行为的边界。因此，本文结合某时刻所有交换机流规则集合和网络拓扑构建数据平面的状态模型。

在时间t时，数据平面的转发状态R_t是在时间t时所有交换机流表中的流规则集合。

R_t＝{r₁,r₂,…,r_n}|time＝t

其中r_n＝(switchID,tableID,entryID,(matchfields,priority,counters,action))，表示某个交换机流表中的一条流规则。

在时间t时，数据平面的拓扑状态T_t是在时间t时所有网络节点及节点之间的连接状态。

其中N为所有网络节点集合，包括交换机s和主机h，E为所有链接的集合。

在时间t时，数据平面状态转换是一个OpenFlow事件e_t，此事件会触发数据平面状态转换或者由数据平面状态的转换触发。

状态转换包括流规则和网络拓扑的改变。流规则改变原因主要是控制器下发FLOW_MOD消息以及流规则超时。例如，控制平面会向数据平面发送FLOW_MOD消息在交换机上进行流规则的安装、修改或者删除。流规则由于超时被删除时候，数据平面会向控制平面发送FLOW_REMOVED消息。此外，网络拓扑的改变会导致控制器生成SWITCH_ADDED、SWITCH_REMOVED、HOST_ADDED、HOST_REMOVED等事件。使用→来描述数据平面状态的转换，如果事件e_t触发数据平面的状态转换，则有：

或

数据平面的状态可以清楚地显示当时的转发行为和网络连接方式。状态转换可以解释状态变化的原因。

SDN容易受到欺骗、篡改、否认、信息泄露、拒绝服务和权限提升等攻击，其中能够对数据平面可用性造成严重影响的攻击主要有流规则篡改和拒绝服务。攻击者可以通过拒绝服务攻击造成交换机流表溢出或者通过恶意应用程序安装恶意流规则导致流规则冲突以及丢包、错误转发等异常行为。攻击所导致的数据平面异常主要表现在以下三个方面：流规则数量异常、流规则冲突和流规则行为异常。

攻击者对数据平面的拒绝服务主要方式是控制主机发送大量的随机数据包，可以在短时间内向流表内填充大量无效流规则，导致有效流规则被覆盖甚至流表溢出。因此，当攻击发生时，数据平面流表中的流规则数量会有一个显著波动，匹配到数据包的流规则所占的比例也会明显降低。我们使用流规则变化率(Flow Rule Changing Rate,FCR)和流规则匹配率(Flow Rule Matching Rate,FMR)作为指标，通过与正常情况下两个指标进行对比来判断数据平面状态是否存在异常。

其中，Δall_rules_num为Δt时间段内流规则总数变化量，matched_rules_num和all_rules_num分别为此时匹配到数据包的规则总数和所有流规则数量。如果FCR和FMR分别高于阈值α和低于β，则认为数据平面处于流规则数量异常状态。

在SDN中，控制平面应用程序根据功能需求制定流规则并下发到数据平面，以指导交换机的数据包转发行为。数据平面承担着数据传输工作，必须确保数据流符合合法应用程序的控制策略。

应用程序之间存在业务逻辑差异，而且在生成流规则并下发到交换机过程中缺乏统一的验证过程，因此不同应用程序安装的流规则之间可能出现互相冲突的问题。攻击者可以利用这一缺陷，使用恶意应用程序安装有害流规则，改变数据流的转发路径从而破坏交换机的正常转发行为。

恶意应用程序安装恶意流规则有两种方式：

1、当收到数据平面的PACKET_IN消息时候，与合法应用程序竞争数据流控制权，通过安装较高优先级的流规则，遮蔽合法应用程序安装的正常流规则。

2、即使没有收到PACKET_IN消息，恶意应用程序也可以随机构造数据流路径，并将流规则下发到对应交换机。

因此，流规则冲突检测包括两种情况，一种是同一台交换机流表中流规则之间的冲突，另一种情况是多条流规则构成的跨交换机数据流路径之间存在的冲突。

如果同一流表中的流规则之间的匹配域有交集，但是动作域不同，那么交换机处理数据包时候就会面临不同处理方式的选择，导致冲突的发生。这种情况可以表示为

其中r_a和r_b位于同一个交换机的流表中。

应用程序通常根据自身逻辑，在不同交换机上安装一系列流规则进行数据流控制，不同应用程序的数据流控制策略冲突就表现为数据流路径冲突。

考虑一个数据流路径f,转发节点为一系列交换机，交换机上的流规则决定数据包下一跳的位置。数据流路径定义如下

f＝(start,s₁,s₂,…,s_n,d)

其中s_n为流路径上的节点交换机，start和d分别为流路径中处理数据流的第一条和最后一条流规则，d.action可能为DROP或者转发到目的主机h_n。在时间t时，一条流路径可以由其起点所匹配的流规则的匹配域start.matchfields和终点d唯一确定，简单表示为f＝(start,d)。

对于某个数据包，一个交换机流表中只有一条流规则对其起作用，因此数据流路径具有相交即合流的特点。如果两条数据流路径f₁和f₂冲突，则两者在起始节点交换机所匹配的流规则匹配域有交集，但是终点处理方式却不同，即两条流路径不相交，说明不同应用程序对同一数据流采用了不同的控制策略。表示为

交换机的恶意丢包和错误转发是对数据平面正常数据传输工作危害最大的行为，这两种异常行为的根本原因是流规则出现了错误，导致正常的数据转发行为被扰乱。

恶意丢包规则主要特点是流路径中某些规则的优先级较高以便接管数据流控制权，流路径终点规则的action字段是DROP。即对于流路径f＝(star,t)d，d.action＝DROP，

s.r_matched.priority≥θ。其中，θ往往是最高优先级。

恶意转发规则主要特点是制造转发黑洞。流路径终点是转发规则，可是目的端口或者没有连接网络设备，或者目的端口连接交换机，但是其流表中没有处理此数据包的流规则。即对于流路径：

f＝(start,d)，

d.action＝OUTPUT，

进一步地，基于上述的方法，本发明实施例还提供一种基于流规则分析的SDN数据平面异常行为检测系统，参见图2所示，包含：数据收集模块、数据分析模块和行为检测模块，其中，

数据收集模块，用于收集并获取SDN网络区域范围内数据平面交换机流规则；

数据分析模块，用于分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；

行为检测模块，用于结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为。

实施例中，通过分析归纳流规则异常类型和导致异常的原因，从流规则数量、流规则冲突以及冲突所能导致的异常行为三方面进行全面的数据平面异常状态评估。通过实时获取数据平面交换机流规则，检测流规则数量变化异常趋势，并结合网络拓扑构络数据流路径，进行流规则冲突和异常行为检测，能够准确检测到由于拒绝服务或者流规则篡改等攻击方式导致的数据平面行为异常，能够全面进行异常行为检测。可独立于SDN网络运行，仅通过交换机提供的标准接口获取数据平面流规则，不依赖控制器类型也不影响控制器的运行，能够独立地部署在多种SDN网络环境中，提升其应用前景。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

基于上述的系统，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的系统。

基于上述的系统，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的系统。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述系统实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述系统实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述系统实施例中的对应过程，在此不再赘述。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和系统，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (8)

1.一种基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，包含如下内容：

收集并获取SDN网络区域范围内数据平面交换机流规则；

分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；

结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为；

依据流规则变化率和流规则匹配率分析流规则数量在时间段内的变化量，通过设定阈值判定流规则数量变化异常趋势；

流规则变化率FCR和流规则匹配率FMR分别表示为：

其中，Δall_rules_num为Δt时间段内流规则总数变化量，matched_rules_num和all_rules_num分别为当前时刻匹配到数据包的规则总数和所有流规则数量；若满足FCR大于设定阈值α、FMR小于设定阈值β，则判定流规则数量变化异常。

2.根据权利要求1所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，利用交换机标准接口在设定时间周期内遍历网络区域范围内的所有交换机来获取数据平面交换机流规则。

3.根据权利要求1所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，构建数据流路径时，首先获取流路径的起始交换机和流规则，然后，对于每一对起始交换机和流规则，结合网络拓扑结构获取下一跳交换机，依据流表中是否有处理对应数据包的流规则，将交换机添加至对应流路径中，迭代添加交换机，直至路径结束。

4.根据权利要求3所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，路径结束的判断标准包含：不存在下一跳交换机和/或数据包被丢弃或被转发至主机。

5.根据权利要求3所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，获取流路径的起始交换机和流规则时，对于每一台交换机，结合网络拓扑来获取其相邻交换机集合；检查交换机的每一条流规则，依据相邻交换机流规则匹配域及是否存在转发到交换机的流规则来判定交换机和流规则否为数据流路径的起始交换机和流规则。

6.根据权利要求1所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，流规则冲突检测包括如下情形的检测：同一台交换机流表中流规则之间的冲突；及多条流规则构成的跨交换机数据流路径之间存在的冲突。

7.根据权利要求1所述的基于流规则分析的SDN数据平面异常行为检测方法，其特征在于，流规则行为异常检测包括如下情形：造成交换机恶意丢包行为的流规则错误检测；及造成交换机恶意转发行为的流规则错误检测。

8.一种基于流规则分析的SDN数据平面异常行为检测系统，其特征在于，基于权利要求1所述的方法实现，包含：数据收集模块、数据分析模块和行为检测模块，其中，

数据收集模块，用于收集并获取SDN网络区域范围内数据平面交换机流规则；

数据分析模块，用于分析流规则数量变化异常趋势，结合网络拓扑构建数据流路径，获取所有数据流路径并记录构建过程中流规则错误转发行为特征；

行为检测模块，用于结合流规则错误转发行为特征，对数据流路径及数据流路径之间的冲突和行为异常进行检测，以获取数据平面异常行为。

Images