CN113992539B - 网络安全动态路由跳变方法及系统 - Google Patents

Abstract

本发明属于网络信息安全技术领域，特别涉及一种网络安全动态路由跳变方法及系统，依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度；根据网络拓扑计算源主机到目的主机的所有路径，依据网络路径拥塞程度评估结果动态调整路径权重，并通过路径权重和随机数选取跳变路径，同时通过逆序添加和优先级覆盖策略更新流表项。本发明通过加权随机路由选择将流量分散到多条路径中，提高监听攻击的难度和代价；通过网络状态约束动态调整路由路径权重，避免链路拥塞，提高路由跳变的可用性，并进一步通过实验数据表明，本案方案既可以保证网络的正常通信时延和CPU负载，又可以有效抵御监听攻击，具有较好的应用前景。

Description

网络安全动态路由跳变方法及系统

技术领域

本发明属于网络信息安全技术领域，特别涉及一种网络安全动态路由跳变方法及系统。

背景技术

监听攻击是一种危害性极大的网络攻击，攻击者潜伏在网络中通过端口流量镜像、数据复制等手段收集节点或链路中的通信数据，再利用分析工具对通信数据进行分类解析，获取目标口令、通信会话等重要机密信息，为下一步网络攻击提供情报支撑，严重威胁网络安全。通信数据加密是防御网络监听的技术之一，但在实际应用中存在一些限制，且某些加密协议存在一定缺陷，攻击者可以通过漏洞破解通信数据。传统的网络体系结构设计之初更多的考虑可用性和稳定性，其基于静态的网络配置虽然降低了系统维护的复杂性，但也为网络攻击实施提供了便利。网络体系结构中静态且确定的路由路径，为监听攻击者在固定节点或链路收集目标有关信息提供了显著的优势。此外，监听攻击属于被动攻击，具有隐蔽性的特点，传统的网络安全设备难以进行检测预防。

发明内容

为此，本发明提供一种网络安全动态路由跳变方法及系统，在保证网络的正常通信时延和CPU负载的同时，能够有效抵御监听攻击。

按照本发明所提供的设计方案，一种网络安全动态路由跳变方法，包含如下内容：

依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度；

根据网络拓扑计算源主机到目的主机的所有路径，依据网络路径拥塞程度评估结果动态调整路径权重，并通过路径权重和随机数选取跳变路径，同时通过逆序添加和优先级覆盖策略更新流表项。

作为本发明网络安全动态路由跳变方法，进一步地，利用SDN控制器持续采集网络链路延迟信息和交换机端口流量传输情况，通过链路延迟信息和端口已用带宽评估网络路径拥塞状况。

作为本发明网络安全动态路由跳变方法，进一步地，采用软件定义网络中的链路发现协议数据包作为载体来采集网络链路延迟信息；并依据周期间隔获取的前后时刻端口计数器字节变化及带宽容量来获取交换机端口流量传输情况。

作为本发明网络安全动态路由跳变方法，进一步地，依据网络链路时延与参考时延比值P_d和端口带宽占用比值P_t计算链路拥塞程度P_c，计算公式表示为：P_c＝max(P_t,P_d)。

作为本发明网络安全动态路由跳变方法，进一步地，根据网络拓扑并利用深度优先搜索算法对跳变路由节点进行遍历，获取源主机到目的主机之间的所有路径，得到路径集合，并利用源主机和目的主机之外的其他节点所连接的链路数量计算源主机到目的主机之间路径权重集合，其中，主机A与主机B之间的路径权重集合weights_A→B计算公式表示为：

Link表示对路径中源主机A和目的主机B之外的其他节点所连接的链路数量求和函数，paths_A→B表示源主机A和目的主机B之间的路径集合，/>

表示源主机A和目的主机B之间的路径i，/>

表示源主机A和目的主机B之间的路径j。

作为本发明网络安全动态路由跳变方法，进一步地，根据网络状态对路径权重进行动态调整，并根据不可重复性约束更新已用路径列表并获取可用路径集合，根据路径权重和随机数从可用路径集合中挑选出跳变路径。

作为本发明网络安全动态路由跳变方法，进一步地，依据预设链路负载等级P1、P2划分路径权重控制区间阶段，并通过调用加权随机路径选择算法从路径集合中选取跳变路径，其中，路径权重控制区间阶段包含：链路负载不小于P1时的拥塞避免阶段，链路负载小于P2时的拥塞慢开始阶段和链路负载在P1和P2之间的拥塞避免加法增大阶段，其中，拥塞避免阶段根据网络状态动态调整路径权重，拥塞慢开始阶段根据链路拥塞程度对每一跳变周期路径权重执行指数级增长，拥塞避免加法增大阶段根据链路拥塞程度对每一跳变周期路径权重执行线性增长。

作为本发明网络安全动态路由跳变方法，进一步地，指数级增长公式表示为：

线性增长公式表示为：/>

其中，/>

表示源主机A和目的主机B之间路径j的权重。

作为本发明网络安全动态路由跳变方法，进一步地，更新流表项时，按逆序顺序为路径中的交换机下发流表，并设置新的跳变流表项的匹配优先级高于其他流表项。

进一步地，本发明还提供一种网络安全动态路由跳变系统，包含：链路拥塞检测模块、跳变路径选取模块和跳变策略下发模块，其中，

链路拥塞检测模块，用于依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度；

跳变路径选取模块，用于根据网络拓扑计算源主机到目的主机的所有路径，并依据网络路径拥塞程度评估结果动态调整路径权重，通过路径权重和随机数选取跳变路径；

跳变策略下发模块，用于通过逆序添加和优先级覆盖策略更新流表项，并依据跳变路径实施路由跳变策略。

本发明的有益效果：

本发明通过加权随机路由选择将流量分散到多条路径中，提高监听攻击的难度和代价；通过网络状态约束动态调整路由路径权重，避免链路拥塞，提高路由跳变的可用性。并进一步通过实验数据表明，本案方案既可以保证网络的正常通信时延和CPU负载，又可以有效抵御监听攻击，具有较好的应用前景。

附图说明：

图1为实施例中网络安全动态路由跳变方法流程示意；

图2为实施例中网络安全动态路由跳变系统架构示意；

图3为实施例中链路发现协议工作原理示意；

图4为实施例中跳变路径选取流程示意；

图5为实施例中跳变策略更新流程示意；

图6为实施例中实验拓扑结构示意；

图7为实施例中攻击者监听单流数据包数量示意；

图8为实施例中不同跳变周期的传输时延对比示意；

图9为实施例中不同跳变周期CPU负载对比示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

网络体系结构确定性、静态性的特性使得攻击者在网络攻防之间占尽了优势。为逆转攻防之间的不平衡态势，移动目标防御作为一种“改变游戏规则”的动态防御理念被提出，它通过动态改变网络配置，转移系统攻击面，提升攻击的难度和代价。路由跳变作为移动目标防御技术的一种，将路由路径与移动目标防御思想结合，通过动态改变网络中通信双方的路由路径规避恶意监听攻击，增加攻击实施的难度和代价，提升网络的主动防御能力。目前，路由跳变已经出现了许多相关的研究工作，然而现有方法中依然存在一些问题：基于可满足性理论(SMT)求解路由路径。STM通过条件约束求解路径会随网络规模增大使求解时间呈指数级增长，且每一次跳变都要输入约束条件重新求解，此外，过于严格的约束条件会使路由选择的空间减小，减少路由随机性；基于图论算法生成路由路径。基于图论算法生成的路由路径可以在网络拓扑不发生改变的情况下持续使用，但相关研究工作中路由路径缺少较为完备的约束。本发明实施例，参见图1所示，提供一种网络安全动态路由跳变方法，包含如下内容：

S101、依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度；

S102、根据网络拓扑计算源主机到目的主机的所有路径，依据网络路径拥塞程度评估结果动态调整路径权重，并通过路径权重和随机数选取跳变路径，同时通过逆序添加和优先级覆盖策略更新流表项。

利用软件定义网络(Software Defined Network，SDN)灵活可编程、集中可管控的特性，在SDN中实现基于网络状态约束的加权随机路由跳变方案(weighted randomrouting hop based on network state constraint,WRRH)。通过加权随机路由选择将流量分散到多条路径中，提高监听攻击的难度和代价；通过网络状态约束动态调整路由路径权重，避免链路拥塞，提高路由跳变的可用性。

进一步地，基于上述的方法，本发明实施例还提供一种网络安全动态路由跳变系统，包含：链路拥塞检测模块、跳变路径选取模块和跳变策略下发模块，其中，

链路拥塞检测模块，用于依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度；

跳变路径选取模块，用于根据网络拓扑计算源主机到目的主机的所有路径，并依据网络路径拥塞程度评估结果动态调整路径权重，通过路径权重和随机数选取跳变路径；

跳变策略下发模块，用于通过逆序添加和优先级覆盖策略更新流表项，并依据跳变路径实施路由跳变策略。

参见图2所示，系统架构主要包括基于网络状态约束的链路拥塞检测模块、基于加权随机路由的跳变路径选取模块和跳变策略下发模块。其中，链路拥塞检测模块包括链路延迟信息和端口流量信息采集，通过实时采集网络的链路延迟信息和端口流量信息，完成拥塞链路的检测。跳变路径选取模块包括拓扑发现、跳变路径计算和路径随机加权选取，拓扑发现在网络初始化阶段完成拓扑数据库的构建，并在网络拓扑发生变化的时候通过事件信息更新拓扑数据库；跳变路径计算在网络中的主机发起通信时，依据拓扑数据库信息为通信双方计算跳变路径；路径随机加权选取依据路径节点度和链路拥塞信息对路径进行加权随机选取。最终，通过流表下发完成路径策略的部署。

进一步地，利用SDN控制器持续采集网络链路延迟信息和交换机端口流量传输情况，通过链路延迟信息和端口已用带宽评估网络路径拥塞状况。进一步地，采用软件定义网络中的链路发现协议数据包作为载体来采集网络链路延迟信息；并依据周期间隔获取的前后时刻端口计数器字节变化及带宽容量来获取交换机端口流量传输情况。

网络设备节点的处理能力有限，当网络链路负载过重时会引起网络传输性能下降，导致链路传输时延和丢包率增加，甚至出现网络瘫痪，严重影响通信服务质量。因此，当网络中的某条链路带宽被大量占用时，应尽量避免挑选包含该链路的跳变路径，防止网络出现故障。为检测网络拥塞状况，本案实施例利用SDN控制器持续采集链路延迟和交换机端口流量传输情况，通过链路延迟和端口已用带宽刻画网络拥塞。

根据检测方式的不同，目前SDN中的网络延迟检测主要有主动测量和被动测量两种方式。主动监测通过向网络中发送带有特殊标记的数据包，利用控制器对数据包进行跟踪分析获取链路时延，会对网络引入额外的开销和负担。而被动检测则利用SDN架构中已有的一些协议完成链路延迟的采集，不会对网络造成影响。本案实施例中可采用被动检测的方式，利用SDN中的LLDP(Link Layer Discovery Protocol，链路发现协议)协议数据包作为载体采集链路时延。LLDP协议的工作原理及时延计算如图3所示，控制器封装LLDP数据包以Packet-Out的方式发送到交换机A，交换机A收到LLDP数据包后以洪泛的方式向所有端口发送LLDP数据包，交换机B接收到LLDP数据包后通过匹配流表将其Packet-In至控制器。在此过程中，分别记录控制器发送和接收LLDP数据包的时间t₁和t₂，利用echo消息获取控制器2与交换机A和交换机B之间的往返时延t₃和t₄。最终，通过公式(1)得出交换机A和交换机B之间的链路时延T_AB。

依据ATM、Diffserv、ITU-T等体系标准给出的网络通信时延参考推荐值D和网络规模得出当前链路时延T_AB与参考时延D之间的比值P_d，如公式(2)所示，其中Count(pathⁱ)为路径pathⁱ的节点总数。

OpenFlow协议中定义了物理端口的端口计数器，端口计数器中包括端口接收和发送的数据包和字节等统计信息，同时提供PortStatsRequest事件消息用于获取交换机各端口的计数器统计信息。控制器以周期T发送PortStatsRequest消息获取t时刻的端口计数器字节统计信息N(t)，通过计算两个时刻的字节变化与周期T和带宽容量C的比值得出T周期内带宽占用百分比P_t，如公式(3)所示

进一步地，根据网络拓扑并利用深度优先搜索算法对跳变路由节点进行遍历，获取源主机到目的主机之间的所有路径，得到路径集合，并利用源主机和目的主机之外的其他节点所连接的链路数量计算源主机到目的主机之间路径权重集合。进一步地，根据网络状态对路径权重进行动态调整，并根据不可重复性约束更新已用路径列表并获取可用路径集合，根据路径权重和随机数从可用路径集合中挑选出跳变路径。进一步地，依据预设链路负载等级P1、P2划分路径权重控制区间阶段，并通过调用加权随机路径选择算法从路径集合中选取跳变路径，其中，路径权重控制区间阶段包含：链路负载不小于P1时的拥塞避免阶段，链路负载小于P2时的拥塞慢开始阶段和链路负载在P1和P2之间的拥塞避免加法增大阶段，其中，拥塞避免阶段根据网络状态动态调整路径权重，拥塞慢开始阶段根据链路拥塞程度对每一跳变周期路径权重执行指数级增长，拥塞避免加法增大阶段根据链路拥塞程度对每一跳变周期路径权重执行线性增长。更新流表项时，按逆序顺序为路径中的交换机下发流表，并设置新的跳变流表项的匹配优先级高于其他流表项。

通过拥塞检测能够确保控制器能实时掌握整个网络的链路负载状况，从而避免路由跳变路径随机选取所导致的链路拥塞。网络运行过程中，实时获取每条路径的延迟和带宽信息，并对信息进行评估，判断链路的拥塞状态。根据链路时延与参考时延的比值P_d和端口带宽占用比值P_t得出链路拥塞程度P_c，将链路拥塞程度进行分类为低于50％、处于50％与80％之间和高于80％三种情况，用于路径选取时动态调整路径权重。链路拥塞程度通过公式(4)计算得出，

在SDN中，控制器通过LLDP协议获取全网的网络拓扑，LLDP协议拓扑发现原理如图2所示。控制器向网络中的所有SDN交换机发送LLDP数据包并附带洪泛指令，通过处理相邻SDN交换机上传的LLDP数据包Packet-In请求逐步建立起全网网络拓扑。根据网络拓扑计算源主机到目的主机的所有路径，得出路径集合Paths_A→B，依据随机性原则对计算出的路径进行网络状态约束和不可重复性约束，选择跳变路径Path_A→B。若网络中源主机A与目的主机B进行通信，Path_A→B的计算步骤如图4所示：

(1)控制器根据网络拓扑，通过深度优先搜索算法(DFS,deep first searching)对跳变路由节点进行遍历，求出A到B之间的所有路径，除去过长的链路得到路径集合Paths_A→B。

(2)由于所得的路径集合Paths_A→B存在节点概率不均衡问题，某些节点可能在多条路径中重复出现，导致随机路径选取过程中某些节点转发大量通信数据，攻击者容易在此类特定节点上监听获取大量数据。为避免这种情况，本案实施例方案可采用具有拥塞约束加权随机路径选择算法，路径

的权重公式如(4)所示。/>

其中函数Link对路径的所有节点(除源和目的交换节点)所连接的链路数量求和，节点链路数量总和越高的路径，权重越低。通过公式(4)求取主机A与主机B之间的路径权重集合weights_A→B。

(3)为避免路由跳变引起的链路拥塞导致网络性能下降，算法参考TCP协议的拥塞控制，依据链路拥塞检测模块返回的链路负载程度对路径权重进行控制，根据实际应用环境P1、P2可设置为80％、50％，路径权重控制流程如下：

1)拥塞避免阶段，拥塞检测模块检测链路负载达到80％。降低链路所在路径的权重，进入“慢开始”阶段，路径权重从1进行“慢开始”。

2)“慢开始”阶段，拥塞检测模块检测链路负载低于50％。链路所在路径权重在不超过公式(4)所求最大权重时，每一跳变周期路径权重执行指数级增长，即

否则路径权重赋值为公式(4)所求最大权重。

3)拥塞避免“加法增大”阶段，拥塞检测模块检测链路负载处于50％到80之间。链路所在路径权重在不超过公式(4)所求最大权重时，每一跳变周期权重执行线性增长，即

否则路径权重赋值为公式(4)所求最大权重。

(4)调用加权随机路径选择算法对路径进行加权选取，避免某些连接多条链路的关键路由节点被多次选中，转发大量通信流量，以及避免路径跳变可能造成的链路拥塞。

具体加权随机路径选择算法内容可设计如下：

上述算法中，1到6行表示函数pathSelect，从可用路径集合中根据路径权重和随机数挑选出跳变路径。算法7到11行根据网络状态对路径权重进行动态调整，其中congestionLinks为链路拥塞程度高于50％的链路集合，第10行根据链路拥塞程度对路径做不同的权重处理，第11行对链路拥塞程度低于50％的路径进行权重处理，12到15行根据不可重复性约束更新已用路径列表，16到17行获取可用路径集合，调用函数pathSelect得出跳变路径Path_A→B。

为实施路由跳变策略，控制器需要在数据层的SDN交换机上进行流表项的更新，执行路由路径跳变。由于数据层交换机分布式的特性，在流表项更新时，不可避免地涉及流表更新一致性的问题。为保证流表的更新一致性，避免数据包的错误处理，本案实施例中可采用“逆序添加，优先级覆盖”的策略更新流表。在进行流表项更新时，按照逆序的顺序为路径中的交换机下发流表，即最后为源交换机下发流表。此外，新的跳变流表项将拥有更高的匹配优先级。参见图5所示，假设源主机A与目的主机B进行通信过程中，通信路径由

跳变为/>

则通信数据流按以下方式传输，具体过程可描述如下：

(1)使用通信路径

时，主机A与主机B的通信数据在路径/>

上进行传输，如图4蓝线所示。/>

(2)为通信路径

安装流表时，控制器逆序为跳变路径中的交换机下发流表，在流表未安装至与/>

的相同公共前缀节点时(图4交换机1)，主机A与主机B的通信数据依然在路径/>

上进行传输。

(3)通信路径

的流表安装至与/>

的相同公共前缀节点时，由于

的流表项具有更高的优先级，主机A与主机B的通信数据通过匹配/>

的流表项在路径/>

上进行传输。

(4)路径

相关流表项达到hard_timeout设置时间时被删除，缓解交换机的流表容量压力。

主机A与主机B停止通信时，通信路径相关流表项会因idle_timeout时间到期被删除，继而触发FlowRemoved事件使控制器检测到主机A与主机B通信中断，停止路径的选择与更新。

为验证本案方案有效性，下面结合实验数据做进一步解释说明：

通常情况下，受限于能力和资源，攻击者难以对目标网络的所有节点和链路发起监听攻击，实验中假定攻击者在网络中随机选取部分网络节点，通过端口流量镜像的方式获取通信数据信息，从中恢复通信会话。因此，可以利用攻击者在破获节点监听到的数据占总传输数据的比例来衡量跳变算法的有效性。此外，通过引入路由跳变后的通信时延和CPU负载衡量所提出的路由跳变算法的性能和开销。

使用Mininet创建了一个SDN交换机网络，南向接口为OpenFlow1.3协议标准，使用Ryu作为SDN控制器负责控制网络的流量传输，运行Mininet和Ryu的虚拟机所拥有的的资源为：Inetl i7-9750h 4核2.6GHz，5G内存，实验拓扑如图6所示。

实验设置网络中8对主机(其中包括host1与server20)以100Mb/s的速度相互通信10分钟，路由跳变周期为10s，链路最大负载能力设置为600Mb/s。在这种通信状态下，某些周期会出现部分链路拥塞程度P_c＞＝80％，从而触发路径权重的拥塞管理。在所有交换机节点(除源和目的交换机)监听host1与server20之间的通信数据。实验分为传统路由路径，随机路由路径和拥塞约束下的加权随机路由路径3种情况，实验结果如图7所示，其中横坐标为交换机节点编号，纵坐标为交换机节点监听到的数据包数量占总数的比例，从图中可以看出，由于传统网络中路由路径一经生成不会再改变，根据最短路径算法得出host1到server20之间的最短路径为(1-4-7-8-9)因此攻击者能够在(4,7,8)中的任意一个交换机上监听到所有通信数据。与之相比，路由跳变网络会将通信数据分布在所有交换机节点上，然而随机生成的转发路径会使某些关键节点(如节点5)会在多条路径中重复出现，以至于攻击者在关键节点能获取大部分通信数据，并且会造成关键节点的链路拥塞。针对这个问题，本案实施例中方案通过采用拥塞约束下的加权随机转发路径算法降低此类关键节点的出现频率，从而减少其转发的通信数据。此外，该算法在网络链路出现拥塞之前动态调整路径权重，避免网络链路负载过重引起的网络传输性能下降。

传统网络中路由转发路径通常是最短路径，而路由跳变网络为保证路由的随机性，会选择出一些较长的路由路径用于跳变，因此引入路由跳变会导致网络时延的提高。本案方案对不同路由跳变周期下的网络时延进行采集分析，其实验结果如图8所示，其中横坐标为主机host1向server20发送数据包的传输速率，纵坐标为时延，从图中可以看出，相较于传统网络，路由跳变网络具有更高的通信时延，且随着路由跳变周期的减小，通信时延进一步提升。传统网络中，传输时延处于0.67ms到0.71ms之间，随着传输速率的提升，10s跳变周期的路由跳变网络时延提升在0.08ms到0.63ms之间，5s跳变周期的路由跳变网络时延提升在0.32ms到0.76ms之间。路由跳变网络的时延提升主要在两个方面：一是路由路径长度的提升，路由路径长度的提升会使通信数据包在网络中经过更多的链路和交换机节点，从而带来更高的时延；二是流表安装所带来的时延，依据“逆序添加”的流表更新策略，当流表更新至相同的前缀路由节点时，如路由路径从(1-4-7-8-9)跳变至(1-2-5-6-9)，在节点1更新流表时会对传输中的数据流造成一定影响，从而造成时延的提升。因此，路由跳变网络比传统网络的传输时延更高，且时延会随着路由跳变频率的提升而增加。

传统网络中的路由转发路径生成后基本不会改变。与之相比，路由跳变网络需要根据路由跳变周期为通信双方动态改变路由路径，因此需要进行更多的路由选取、流表生成和流表安装操作，导致控制器CPU负载的提升，其主要影响因素为路由跳变周期。令网络中10对主机进行相互通信，观察对不同跳变周期下的CPU负载，实验结果如图9所示，其中横坐标为运行时间，纵坐标为CPU负载。从图中可以看出，传统网络的CPU负载处于11.3％到13.5％之间，10s跳变周期的路由跳变CPU负载处于13.5％到16.3％之间，5s跳变周期的路由跳变CPU负载处于17.4％到19.1％之间，CPU负载随跳变周期的减小而提升。其原因在于随着跳变周期的减小，控制器更加频繁的进行路由选取、流表生成和流表安装操作，造成CPU负载提升。

通过以上实验数据，能够进一步说明：本案通过加权随机路由跳变动态改变路由路径，增加攻击者实施监听攻击的难度和代价；通过网络状态约束动态调整路由路径的加权权重，避免路由跳变导致的网络链路拥塞，可以保证网络系统的正常开销和基本性能，并有效的将通信流量分散在多条路径中，达到抵御监听攻击的目的。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

基于上述的方法和/或系统，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的方法。

基于上述的方法和/或系统，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的方法。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种网络安全动态路由跳变方法，其特征在于，包含如下内容：

依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度；

根据网络拓扑计算源主机到目的主机的所有路径，依据网络路径拥塞程度评估结果动态调整路径权重，并通过路径权重和随机数选取跳变路径，同时通过逆序添加和优先级覆盖策略更新流表项。

2.根据权利要求1所述的网络安全动态路由跳变方法，其特征在于，利用SDN控制器持续采集网络链路延迟信息和交换机端口流量传输情况，通过链路延迟信息和端口已用带宽评估网络路径拥塞状况。

3.根据权利要求1或2所述的网络安全动态路由跳变方法，其特征在于，采用软件定义网络中的链路发现协议数据包作为载体来采集网络链路延迟信息；并依据周期间隔获取的前后时刻端口计数器字节变化及带宽容量来获取交换机端口流量传输情况。

4.根据权利要求1所述的网络安全动态路由跳变方法，其特征在于，依据网络链路时延与参考时延比值P_d和端口带宽占用比值P_t计算链路拥塞程度P_c，计算公式表示为：P_c＝max(P_t,P_d)。

5.根据权利要求1所述的网络安全动态路由跳变方法，其特征在于，根据网络拓扑并利用深度优先搜索算法对跳变路由节点进行遍历，获取源主机到目的主机之间的所有路径，得到路径集合，并利用源主机和目的主机之外的其他节点所连接的链路数量计算源主机到目的主机之间路径权重集合，其中，主机A与主机B之间的路径权重集合weights_A→B计算公式表示为：

Link表示对路径中源主机A和目的主机B之外的其他节点所连接的链路数量求和函数，paths_A→B表示源主机A和目的主机B之间的路径集合，

表示源主机A和目的主机B之间的路径i，

表示源主机A和目的主机B之间的路径j。

6.根据权利要求1或5所述的网络安全动态路由跳变方法，其特征在于，根据网络状态对路径权重进行动态调整，并根据不可重复性约束更新已用路径列表并获取可用路径集合，根据路径权重和随机数从可用路径集合中挑选出跳变路径。

7.根据权利要求6所述的网络安全动态路由跳变方法，其特征在于，依据预设链路负载等级P1、P2划分路径权重控制区间阶段，并通过调用加权随机路径选择算法从路径集合中选取跳变路径，其中，路径权重控制区间阶段包含：链路负载不小于P1时的拥塞避免阶段，链路负载小于P2时的拥塞慢开始阶段和链路负载在P1和P2之间的拥塞避免加法增大阶段，其中，拥塞避免阶段根据网络状态动态调整路径权重，拥塞慢开始阶段根据链路拥塞程度对每一跳变周期路径权重执行指数级增长，拥塞避免加法增大阶段根据链路拥塞程度对每一跳变周期路径权重执行线性增长。

8.根据权利要求7所述的网络安全动态路由跳变方法，其特征在于，指数级增长公式表示为：

线性增长公式表示为：

其中，

表示源主机A和目的主机B之间路径j的权重。

9.根据权利要求1所述的网络安全动态路由跳变方法，其特征在于，更新流表项时，按逆序顺序为路径中的交换机下发流表，并设置新的跳变流表项的匹配优先级高于其他流表项。

10.一种网络安全动态路由跳变系统，其特征在于，包含：链路拥塞检测模块、跳变路径选取模块和跳变策略下发模块，其中，

链路拥塞检测模块，用于依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度；

跳变路径选取模块，用于根据网络拓扑计算源主机到目的主机的所有路径，并依据网络路径拥塞程度评估结果动态调整路径权重，通过路径权重和随机数选取跳变路径；

跳变策略下发模块，用于通过逆序添加和优先级覆盖策略更新流表项，并依据跳变路径实施路由跳变策略。

Images