CN113992539B - 网络安全动态路由跳变方法及系统 - Google Patents
网络安全动态路由跳变方法及系统 Download PDFInfo
- Publication number
- CN113992539B CN113992539B CN202111262054.1A CN202111262054A CN113992539B CN 113992539 B CN113992539 B CN 113992539B CN 202111262054 A CN202111262054 A CN 202111262054A CN 113992539 B CN113992539 B CN 113992539B
- Authority
- CN
- China
- Prior art keywords
- path
- network
- hopping
- link
- congestion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络信息安全技术领域,特别涉及一种网络安全动态路由跳变方法及系统,依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度;根据网络拓扑计算源主机到目的主机的所有路径,依据网络路径拥塞程度评估结果动态调整路径权重,并通过路径权重和随机数选取跳变路径,同时通过逆序添加和优先级覆盖策略更新流表项。本发明通过加权随机路由选择将流量分散到多条路径中,提高监听攻击的难度和代价;通过网络状态约束动态调整路由路径权重,避免链路拥塞,提高路由跳变的可用性,并进一步通过实验数据表明,本案方案既可以保证网络的正常通信时延和CPU负载,又可以有效抵御监听攻击,具有较好的应用前景。
Description
技术领域
本发明属于网络信息安全技术领域,特别涉及一种网络安全动态路由跳变方法及系统。
背景技术
监听攻击是一种危害性极大的网络攻击,攻击者潜伏在网络中通过端口流量镜像、数据复制等手段收集节点或链路中的通信数据,再利用分析工具对通信数据进行分类解析,获取目标口令、通信会话等重要机密信息,为下一步网络攻击提供情报支撑,严重威胁网络安全。通信数据加密是防御网络监听的技术之一,但在实际应用中存在一些限制,且某些加密协议存在一定缺陷,攻击者可以通过漏洞破解通信数据。传统的网络体系结构设计之初更多的考虑可用性和稳定性,其基于静态的网络配置虽然降低了系统维护的复杂性,但也为网络攻击实施提供了便利。网络体系结构中静态且确定的路由路径,为监听攻击者在固定节点或链路收集目标有关信息提供了显著的优势。此外,监听攻击属于被动攻击,具有隐蔽性的特点,传统的网络安全设备难以进行检测预防。
发明内容
为此,本发明提供一种网络安全动态路由跳变方法及系统,在保证网络的正常通信时延和CPU负载的同时,能够有效抵御监听攻击。
按照本发明所提供的设计方案,一种网络安全动态路由跳变方法,包含如下内容:
依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度;
根据网络拓扑计算源主机到目的主机的所有路径,依据网络路径拥塞程度评估结果动态调整路径权重,并通过路径权重和随机数选取跳变路径,同时通过逆序添加和优先级覆盖策略更新流表项。
作为本发明网络安全动态路由跳变方法,进一步地,利用SDN控制器持续采集网络链路延迟信息和交换机端口流量传输情况,通过链路延迟信息和端口已用带宽评估网络路径拥塞状况。
作为本发明网络安全动态路由跳变方法,进一步地,采用软件定义网络中的链路发现协议数据包作为载体来采集网络链路延迟信息;并依据周期间隔获取的前后时刻端口计数器字节变化及带宽容量来获取交换机端口流量传输情况。
作为本发明网络安全动态路由跳变方法,进一步地,依据网络链路时延与参考时延比值Pd和端口带宽占用比值Pt计算链路拥塞程度Pc,计算公式表示为:Pc=max(Pt,Pd)。
作为本发明网络安全动态路由跳变方法,进一步地,根据网络拓扑并利用深度优先搜索算法对跳变路由节点进行遍历,获取源主机到目的主机之间的所有路径,得到路径集合,并利用源主机和目的主机之外的其他节点所连接的链路数量计算源主机到目的主机之间路径权重集合,其中,主机A与主机B之间的路径权重集合weightsA→B计算公式表示为:Link表示对路径中源主机A和目的主机B之外的其他节点所连接的链路数量求和函数,pathsA→B表示源主机A和目的主机B之间的路径集合,/>表示源主机A和目的主机B之间的路径i,/>表示源主机A和目的主机B之间的路径j。
作为本发明网络安全动态路由跳变方法,进一步地,根据网络状态对路径权重进行动态调整,并根据不可重复性约束更新已用路径列表并获取可用路径集合,根据路径权重和随机数从可用路径集合中挑选出跳变路径。
作为本发明网络安全动态路由跳变方法,进一步地,依据预设链路负载等级P1、P2划分路径权重控制区间阶段,并通过调用加权随机路径选择算法从路径集合中选取跳变路径,其中,路径权重控制区间阶段包含:链路负载不小于P1时的拥塞避免阶段,链路负载小于P2时的拥塞慢开始阶段和链路负载在P1和P2之间的拥塞避免加法增大阶段,其中,拥塞避免阶段根据网络状态动态调整路径权重,拥塞慢开始阶段根据链路拥塞程度对每一跳变周期路径权重执行指数级增长,拥塞避免加法增大阶段根据链路拥塞程度对每一跳变周期路径权重执行线性增长。
作为本发明网络安全动态路由跳变方法,进一步地,更新流表项时,按逆序顺序为路径中的交换机下发流表,并设置新的跳变流表项的匹配优先级高于其他流表项。
进一步地,本发明还提供一种网络安全动态路由跳变系统,包含:链路拥塞检测模块、跳变路径选取模块和跳变策略下发模块,其中,
链路拥塞检测模块,用于依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度;
跳变路径选取模块,用于根据网络拓扑计算源主机到目的主机的所有路径,并依据网络路径拥塞程度评估结果动态调整路径权重,通过路径权重和随机数选取跳变路径;
跳变策略下发模块,用于通过逆序添加和优先级覆盖策略更新流表项,并依据跳变路径实施路由跳变策略。
本发明的有益效果:
本发明通过加权随机路由选择将流量分散到多条路径中,提高监听攻击的难度和代价;通过网络状态约束动态调整路由路径权重,避免链路拥塞,提高路由跳变的可用性。并进一步通过实验数据表明,本案方案既可以保证网络的正常通信时延和CPU负载,又可以有效抵御监听攻击,具有较好的应用前景。
附图说明:
图1为实施例中网络安全动态路由跳变方法流程示意;
图2为实施例中网络安全动态路由跳变系统架构示意;
图3为实施例中链路发现协议工作原理示意;
图4为实施例中跳变路径选取流程示意;
图5为实施例中跳变策略更新流程示意;
图6为实施例中实验拓扑结构示意;
图7为实施例中攻击者监听单流数据包数量示意;
图8为实施例中不同跳变周期的传输时延对比示意;
图9为实施例中不同跳变周期CPU负载对比示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
网络体系结构确定性、静态性的特性使得攻击者在网络攻防之间占尽了优势。为逆转攻防之间的不平衡态势,移动目标防御作为一种“改变游戏规则”的动态防御理念被提出,它通过动态改变网络配置,转移系统攻击面,提升攻击的难度和代价。路由跳变作为移动目标防御技术的一种,将路由路径与移动目标防御思想结合,通过动态改变网络中通信双方的路由路径规避恶意监听攻击,增加攻击实施的难度和代价,提升网络的主动防御能力。目前,路由跳变已经出现了许多相关的研究工作,然而现有方法中依然存在一些问题:基于可满足性理论(SMT)求解路由路径。STM通过条件约束求解路径会随网络规模增大使求解时间呈指数级增长,且每一次跳变都要输入约束条件重新求解,此外,过于严格的约束条件会使路由选择的空间减小,减少路由随机性;基于图论算法生成路由路径。基于图论算法生成的路由路径可以在网络拓扑不发生改变的情况下持续使用,但相关研究工作中路由路径缺少较为完备的约束。本发明实施例,参见图1所示,提供一种网络安全动态路由跳变方法,包含如下内容:
S101、依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度;
S102、根据网络拓扑计算源主机到目的主机的所有路径,依据网络路径拥塞程度评估结果动态调整路径权重,并通过路径权重和随机数选取跳变路径,同时通过逆序添加和优先级覆盖策略更新流表项。
利用软件定义网络(Software Defined Network,SDN)灵活可编程、集中可管控的特性,在SDN中实现基于网络状态约束的加权随机路由跳变方案(weighted randomrouting hop based on network state constraint,WRRH)。通过加权随机路由选择将流量分散到多条路径中,提高监听攻击的难度和代价;通过网络状态约束动态调整路由路径权重,避免链路拥塞,提高路由跳变的可用性。
进一步地,基于上述的方法,本发明实施例还提供一种网络安全动态路由跳变系统,包含:链路拥塞检测模块、跳变路径选取模块和跳变策略下发模块,其中,
链路拥塞检测模块,用于依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度;
跳变路径选取模块,用于根据网络拓扑计算源主机到目的主机的所有路径,并依据网络路径拥塞程度评估结果动态调整路径权重,通过路径权重和随机数选取跳变路径;
跳变策略下发模块,用于通过逆序添加和优先级覆盖策略更新流表项,并依据跳变路径实施路由跳变策略。
参见图2所示,系统架构主要包括基于网络状态约束的链路拥塞检测模块、基于加权随机路由的跳变路径选取模块和跳变策略下发模块。其中,链路拥塞检测模块包括链路延迟信息和端口流量信息采集,通过实时采集网络的链路延迟信息和端口流量信息,完成拥塞链路的检测。跳变路径选取模块包括拓扑发现、跳变路径计算和路径随机加权选取,拓扑发现在网络初始化阶段完成拓扑数据库的构建,并在网络拓扑发生变化的时候通过事件信息更新拓扑数据库;跳变路径计算在网络中的主机发起通信时,依据拓扑数据库信息为通信双方计算跳变路径;路径随机加权选取依据路径节点度和链路拥塞信息对路径进行加权随机选取。最终,通过流表下发完成路径策略的部署。
进一步地,利用SDN控制器持续采集网络链路延迟信息和交换机端口流量传输情况,通过链路延迟信息和端口已用带宽评估网络路径拥塞状况。进一步地,采用软件定义网络中的链路发现协议数据包作为载体来采集网络链路延迟信息;并依据周期间隔获取的前后时刻端口计数器字节变化及带宽容量来获取交换机端口流量传输情况。
网络设备节点的处理能力有限,当网络链路负载过重时会引起网络传输性能下降,导致链路传输时延和丢包率增加,甚至出现网络瘫痪,严重影响通信服务质量。因此,当网络中的某条链路带宽被大量占用时,应尽量避免挑选包含该链路的跳变路径,防止网络出现故障。为检测网络拥塞状况,本案实施例利用SDN控制器持续采集链路延迟和交换机端口流量传输情况,通过链路延迟和端口已用带宽刻画网络拥塞。
根据检测方式的不同,目前SDN中的网络延迟检测主要有主动测量和被动测量两种方式。主动监测通过向网络中发送带有特殊标记的数据包,利用控制器对数据包进行跟踪分析获取链路时延,会对网络引入额外的开销和负担。而被动检测则利用SDN架构中已有的一些协议完成链路延迟的采集,不会对网络造成影响。本案实施例中可采用被动检测的方式,利用SDN中的LLDP(Link Layer Discovery Protocol,链路发现协议)协议数据包作为载体采集链路时延。LLDP协议的工作原理及时延计算如图3所示,控制器封装LLDP数据包以Packet-Out的方式发送到交换机A,交换机A收到LLDP数据包后以洪泛的方式向所有端口发送LLDP数据包,交换机B接收到LLDP数据包后通过匹配流表将其Packet-In至控制器。在此过程中,分别记录控制器发送和接收LLDP数据包的时间t1和t2,利用echo消息获取控制器2与交换机A和交换机B之间的往返时延t3和t4。最终,通过公式(1)得出交换机A和交换机B之间的链路时延TAB。
依据ATM、Diffserv、ITU-T等体系标准给出的网络通信时延参考推荐值D和网络规模得出当前链路时延TAB与参考时延D之间的比值Pd,如公式(2)所示,其中Count(pathi)为路径pathi的节点总数。
OpenFlow协议中定义了物理端口的端口计数器,端口计数器中包括端口接收和发送的数据包和字节等统计信息,同时提供PortStatsRequest事件消息用于获取交换机各端口的计数器统计信息。控制器以周期T发送PortStatsRequest消息获取t时刻的端口计数器字节统计信息N(t),通过计算两个时刻的字节变化与周期T和带宽容量C的比值得出T周期内带宽占用百分比Pt,如公式(3)所示
进一步地,根据网络拓扑并利用深度优先搜索算法对跳变路由节点进行遍历,获取源主机到目的主机之间的所有路径,得到路径集合,并利用源主机和目的主机之外的其他节点所连接的链路数量计算源主机到目的主机之间路径权重集合。进一步地,根据网络状态对路径权重进行动态调整,并根据不可重复性约束更新已用路径列表并获取可用路径集合,根据路径权重和随机数从可用路径集合中挑选出跳变路径。进一步地,依据预设链路负载等级P1、P2划分路径权重控制区间阶段,并通过调用加权随机路径选择算法从路径集合中选取跳变路径,其中,路径权重控制区间阶段包含:链路负载不小于P1时的拥塞避免阶段,链路负载小于P2时的拥塞慢开始阶段和链路负载在P1和P2之间的拥塞避免加法增大阶段,其中,拥塞避免阶段根据网络状态动态调整路径权重,拥塞慢开始阶段根据链路拥塞程度对每一跳变周期路径权重执行指数级增长,拥塞避免加法增大阶段根据链路拥塞程度对每一跳变周期路径权重执行线性增长。更新流表项时,按逆序顺序为路径中的交换机下发流表,并设置新的跳变流表项的匹配优先级高于其他流表项。
通过拥塞检测能够确保控制器能实时掌握整个网络的链路负载状况,从而避免路由跳变路径随机选取所导致的链路拥塞。网络运行过程中,实时获取每条路径的延迟和带宽信息,并对信息进行评估,判断链路的拥塞状态。根据链路时延与参考时延的比值Pd和端口带宽占用比值Pt得出链路拥塞程度Pc,将链路拥塞程度进行分类为低于50%、处于50%与80%之间和高于80%三种情况,用于路径选取时动态调整路径权重。链路拥塞程度通过公式(4)计算得出,
在SDN中,控制器通过LLDP协议获取全网的网络拓扑,LLDP协议拓扑发现原理如图2所示。控制器向网络中的所有SDN交换机发送LLDP数据包并附带洪泛指令,通过处理相邻SDN交换机上传的LLDP数据包Packet-In请求逐步建立起全网网络拓扑。根据网络拓扑计算源主机到目的主机的所有路径,得出路径集合PathsA→B,依据随机性原则对计算出的路径进行网络状态约束和不可重复性约束,选择跳变路径PathA→B。若网络中源主机A与目的主机B进行通信,PathA→B的计算步骤如图4所示:
(1)控制器根据网络拓扑,通过深度优先搜索算法(DFS,deep first searching)对跳变路由节点进行遍历,求出A到B之间的所有路径,除去过长的链路得到路径集合PathsA→B。
(2)由于所得的路径集合PathsA→B存在节点概率不均衡问题,某些节点可能在多条路径中重复出现,导致随机路径选取过程中某些节点转发大量通信数据,攻击者容易在此类特定节点上监听获取大量数据。为避免这种情况,本案实施例方案可采用具有拥塞约束加权随机路径选择算法,路径的权重公式如(4)所示。/>
其中函数Link对路径的所有节点(除源和目的交换节点)所连接的链路数量求和,节点链路数量总和越高的路径,权重越低。通过公式(4)求取主机A与主机B之间的路径权重集合weightsA→B。
(3)为避免路由跳变引起的链路拥塞导致网络性能下降,算法参考TCP协议的拥塞控制,依据链路拥塞检测模块返回的链路负载程度对路径权重进行控制,根据实际应用环境P1、P2可设置为80%、50%,路径权重控制流程如下:
1)拥塞避免阶段,拥塞检测模块检测链路负载达到80%。降低链路所在路径的权重,进入“慢开始”阶段,路径权重从1进行“慢开始”。
3)拥塞避免“加法增大”阶段,拥塞检测模块检测链路负载处于50%到80之间。链路所在路径权重在不超过公式(4)所求最大权重时,每一跳变周期权重执行线性增长,即否则路径权重赋值为公式(4)所求最大权重。
(4)调用加权随机路径选择算法对路径进行加权选取,避免某些连接多条链路的关键路由节点被多次选中,转发大量通信流量,以及避免路径跳变可能造成的链路拥塞。
具体加权随机路径选择算法内容可设计如下:
上述算法中,1到6行表示函数pathSelect,从可用路径集合中根据路径权重和随机数挑选出跳变路径。算法7到11行根据网络状态对路径权重进行动态调整,其中congestionLinks为链路拥塞程度高于50%的链路集合,第10行根据链路拥塞程度对路径做不同的权重处理,第11行对链路拥塞程度低于50%的路径进行权重处理,12到15行根据不可重复性约束更新已用路径列表,16到17行获取可用路径集合,调用函数pathSelect得出跳变路径PathA→B。
为实施路由跳变策略,控制器需要在数据层的SDN交换机上进行流表项的更新,执行路由路径跳变。由于数据层交换机分布式的特性,在流表项更新时,不可避免地涉及流表更新一致性的问题。为保证流表的更新一致性,避免数据包的错误处理,本案实施例中可采用“逆序添加,优先级覆盖”的策略更新流表。在进行流表项更新时,按照逆序的顺序为路径中的交换机下发流表,即最后为源交换机下发流表。此外,新的跳变流表项将拥有更高的匹配优先级。参见图5所示,假设源主机A与目的主机B进行通信过程中,通信路径由跳变为/>则通信数据流按以下方式传输,具体过程可描述如下:
主机A与主机B停止通信时,通信路径相关流表项会因idle_timeout时间到期被删除,继而触发FlowRemoved事件使控制器检测到主机A与主机B通信中断,停止路径的选择与更新。
为验证本案方案有效性,下面结合实验数据做进一步解释说明:
通常情况下,受限于能力和资源,攻击者难以对目标网络的所有节点和链路发起监听攻击,实验中假定攻击者在网络中随机选取部分网络节点,通过端口流量镜像的方式获取通信数据信息,从中恢复通信会话。因此,可以利用攻击者在破获节点监听到的数据占总传输数据的比例来衡量跳变算法的有效性。此外,通过引入路由跳变后的通信时延和CPU负载衡量所提出的路由跳变算法的性能和开销。
使用Mininet创建了一个SDN交换机网络,南向接口为OpenFlow1.3协议标准,使用Ryu作为SDN控制器负责控制网络的流量传输,运行Mininet和Ryu的虚拟机所拥有的的资源为:Inetl i7-9750h 4核2.6GHz,5G内存,实验拓扑如图6所示。
实验设置网络中8对主机(其中包括host1与server20)以100Mb/s的速度相互通信10分钟,路由跳变周期为10s,链路最大负载能力设置为600Mb/s。在这种通信状态下,某些周期会出现部分链路拥塞程度Pc>=80%,从而触发路径权重的拥塞管理。在所有交换机节点(除源和目的交换机)监听host1与server20之间的通信数据。实验分为传统路由路径,随机路由路径和拥塞约束下的加权随机路由路径3种情况,实验结果如图7所示,其中横坐标为交换机节点编号,纵坐标为交换机节点监听到的数据包数量占总数的比例,从图中可以看出,由于传统网络中路由路径一经生成不会再改变,根据最短路径算法得出host1到server20之间的最短路径为(1-4-7-8-9)因此攻击者能够在(4,7,8)中的任意一个交换机上监听到所有通信数据。与之相比,路由跳变网络会将通信数据分布在所有交换机节点上,然而随机生成的转发路径会使某些关键节点(如节点5)会在多条路径中重复出现,以至于攻击者在关键节点能获取大部分通信数据,并且会造成关键节点的链路拥塞。针对这个问题,本案实施例中方案通过采用拥塞约束下的加权随机转发路径算法降低此类关键节点的出现频率,从而减少其转发的通信数据。此外,该算法在网络链路出现拥塞之前动态调整路径权重,避免网络链路负载过重引起的网络传输性能下降。
传统网络中路由转发路径通常是最短路径,而路由跳变网络为保证路由的随机性,会选择出一些较长的路由路径用于跳变,因此引入路由跳变会导致网络时延的提高。本案方案对不同路由跳变周期下的网络时延进行采集分析,其实验结果如图8所示,其中横坐标为主机host1向server20发送数据包的传输速率,纵坐标为时延,从图中可以看出,相较于传统网络,路由跳变网络具有更高的通信时延,且随着路由跳变周期的减小,通信时延进一步提升。传统网络中,传输时延处于0.67ms到0.71ms之间,随着传输速率的提升,10s跳变周期的路由跳变网络时延提升在0.08ms到0.63ms之间,5s跳变周期的路由跳变网络时延提升在0.32ms到0.76ms之间。路由跳变网络的时延提升主要在两个方面:一是路由路径长度的提升,路由路径长度的提升会使通信数据包在网络中经过更多的链路和交换机节点,从而带来更高的时延;二是流表安装所带来的时延,依据“逆序添加”的流表更新策略,当流表更新至相同的前缀路由节点时,如路由路径从(1-4-7-8-9)跳变至(1-2-5-6-9),在节点1更新流表时会对传输中的数据流造成一定影响,从而造成时延的提升。因此,路由跳变网络比传统网络的传输时延更高,且时延会随着路由跳变频率的提升而增加。
传统网络中的路由转发路径生成后基本不会改变。与之相比,路由跳变网络需要根据路由跳变周期为通信双方动态改变路由路径,因此需要进行更多的路由选取、流表生成和流表安装操作,导致控制器CPU负载的提升,其主要影响因素为路由跳变周期。令网络中10对主机进行相互通信,观察对不同跳变周期下的CPU负载,实验结果如图9所示,其中横坐标为运行时间,纵坐标为CPU负载。从图中可以看出,传统网络的CPU负载处于11.3%到13.5%之间,10s跳变周期的路由跳变CPU负载处于13.5%到16.3%之间,5s跳变周期的路由跳变CPU负载处于17.4%到19.1%之间,CPU负载随跳变周期的减小而提升。其原因在于随着跳变周期的减小,控制器更加频繁的进行路由选取、流表生成和流表安装操作,造成CPU负载提升。
通过以上实验数据,能够进一步说明:本案通过加权随机路由跳变动态改变路由路径,增加攻击者实施监听攻击的难度和代价;通过网络状态约束动态调整路由路径的加权权重,避免路由跳变导致的网络链路拥塞,可以保证网络系统的正常开销和基本性能,并有效的将通信流量分散在多条路径中,达到抵御监听攻击的目的。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的方法和/或系统,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
基于上述的方法和/或系统,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的方法。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种网络安全动态路由跳变方法,其特征在于,包含如下内容:
依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度;
根据网络拓扑计算源主机到目的主机的所有路径,依据网络路径拥塞程度评估结果动态调整路径权重,并通过路径权重和随机数选取跳变路径,同时通过逆序添加和优先级覆盖策略更新流表项。
2.根据权利要求1所述的网络安全动态路由跳变方法,其特征在于,利用SDN控制器持续采集网络链路延迟信息和交换机端口流量传输情况,通过链路延迟信息和端口已用带宽评估网络路径拥塞状况。
3.根据权利要求1或2所述的网络安全动态路由跳变方法,其特征在于,采用软件定义网络中的链路发现协议数据包作为载体来采集网络链路延迟信息;并依据周期间隔获取的前后时刻端口计数器字节变化及带宽容量来获取交换机端口流量传输情况。
4.根据权利要求1所述的网络安全动态路由跳变方法,其特征在于,依据网络链路时延与参考时延比值Pd和端口带宽占用比值Pt计算链路拥塞程度Pc,计算公式表示为:Pc=max(Pt,Pd)。
6.根据权利要求1或5所述的网络安全动态路由跳变方法,其特征在于,根据网络状态对路径权重进行动态调整,并根据不可重复性约束更新已用路径列表并获取可用路径集合,根据路径权重和随机数从可用路径集合中挑选出跳变路径。
7.根据权利要求6所述的网络安全动态路由跳变方法,其特征在于,依据预设链路负载等级P1、P2划分路径权重控制区间阶段,并通过调用加权随机路径选择算法从路径集合中选取跳变路径,其中,路径权重控制区间阶段包含:链路负载不小于P1时的拥塞避免阶段,链路负载小于P2时的拥塞慢开始阶段和链路负载在P1和P2之间的拥塞避免加法增大阶段,其中,拥塞避免阶段根据网络状态动态调整路径权重,拥塞慢开始阶段根据链路拥塞程度对每一跳变周期路径权重执行指数级增长,拥塞避免加法增大阶段根据链路拥塞程度对每一跳变周期路径权重执行线性增长。
9.根据权利要求1所述的网络安全动态路由跳变方法,其特征在于,更新流表项时,按逆序顺序为路径中的交换机下发流表,并设置新的跳变流表项的匹配优先级高于其他流表项。
10.一种网络安全动态路由跳变系统,其特征在于,包含:链路拥塞检测模块、跳变路径选取模块和跳变策略下发模块,其中,
链路拥塞检测模块,用于依据实时的网络链路延迟信息和端口流量传输情况评估网络路径拥塞程度;
跳变路径选取模块,用于根据网络拓扑计算源主机到目的主机的所有路径,并依据网络路径拥塞程度评估结果动态调整路径权重,通过路径权重和随机数选取跳变路径;
跳变策略下发模块,用于通过逆序添加和优先级覆盖策略更新流表项,并依据跳变路径实施路由跳变策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111262054.1A CN113992539B (zh) | 2021-10-28 | 2021-10-28 | 网络安全动态路由跳变方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111262054.1A CN113992539B (zh) | 2021-10-28 | 2021-10-28 | 网络安全动态路由跳变方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113992539A CN113992539A (zh) | 2022-01-28 |
CN113992539B true CN113992539B (zh) | 2023-03-24 |
Family
ID=79743253
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111262054.1A Active CN113992539B (zh) | 2021-10-28 | 2021-10-28 | 网络安全动态路由跳变方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113992539B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114598621B (zh) * | 2022-03-07 | 2023-09-05 | 广东电网有限责任公司 | 一种电力通信网络可靠性评估系统 |
CN115174467B (zh) * | 2022-06-28 | 2023-09-22 | 福州大学 | 基于可编程数据平面的路由跳变防御构建方法 |
CN116720638B (zh) * | 2023-04-13 | 2024-03-26 | 广东工业大学 | 一种基于改进进化算法的逆最短路权重调整方法及系统 |
CN117081984B (zh) * | 2023-09-27 | 2024-03-26 | 新华三技术有限公司 | 一种路由调整方法、装置及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302235A (zh) * | 2016-08-10 | 2017-01-04 | 北京空间飞行器总体设计部 | 一种基于负载感知流量动态自适应的空间网络路由方法 |
CN108540876A (zh) * | 2018-03-12 | 2018-09-14 | 上海欣诺通信技术股份有限公司 | 业务路径选取方法、sdn控制器、存储介质及电子设备 |
CN108600102A (zh) * | 2018-03-29 | 2018-09-28 | 北京交通大学 | 一种基于智慧协同网络中的柔性数据传输系统 |
CN110351286A (zh) * | 2019-07-17 | 2019-10-18 | 东北大学 | 一种软件定义网络中链路洪泛攻击检测响应机制 |
CN111163062A (zh) * | 2019-12-12 | 2020-05-15 | 之江实验室 | 一种针对交火攻击的多网络地址跳变安全防御方法 |
CN111585911A (zh) * | 2020-05-22 | 2020-08-25 | 西安电子科技大学 | 数据中心网络流量负载的均衡方法 |
CN113096396A (zh) * | 2021-03-31 | 2021-07-09 | 电子科技大学 | 一种基于引力场理论的路径选择方法 |
-
2021
- 2021-10-28 CN CN202111262054.1A patent/CN113992539B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302235A (zh) * | 2016-08-10 | 2017-01-04 | 北京空间飞行器总体设计部 | 一种基于负载感知流量动态自适应的空间网络路由方法 |
CN108540876A (zh) * | 2018-03-12 | 2018-09-14 | 上海欣诺通信技术股份有限公司 | 业务路径选取方法、sdn控制器、存储介质及电子设备 |
CN108600102A (zh) * | 2018-03-29 | 2018-09-28 | 北京交通大学 | 一种基于智慧协同网络中的柔性数据传输系统 |
CN110351286A (zh) * | 2019-07-17 | 2019-10-18 | 东北大学 | 一种软件定义网络中链路洪泛攻击检测响应机制 |
CN111163062A (zh) * | 2019-12-12 | 2020-05-15 | 之江实验室 | 一种针对交火攻击的多网络地址跳变安全防御方法 |
CN111585911A (zh) * | 2020-05-22 | 2020-08-25 | 西安电子科技大学 | 数据中心网络流量负载的均衡方法 |
CN113096396A (zh) * | 2021-03-31 | 2021-07-09 | 电子科技大学 | 一种基于引力场理论的路径选择方法 |
Non-Patent Citations (4)
Title |
---|
Attack-Defense Differential Game Model for Network Defense Strategy Selection;Hengwei Zhang,Lv Jiang,Shirui Huang,Jindong Wang,Yuchen Zhang;《IEEE Access》;20180909;第7卷;全文 * |
基于双重地址跳变的移动目标防御方法;李朝阳,谭晶磊,胡瑞钦,张红旗;《信息网络安全》;20210210;第21卷(第2期);全文 * |
基于路径与端址跳变的SDN网络主动防御技术;张连成,魏强,唐秀存,房家保;《计算机研究与发展》;20171215;第54卷(第12期);全文 * |
面向SDN 的移动目标防御技术研究进展;谭晶磊,张红旗,雷程,刘小虎,王硕;《网络与信息安全学报》;20180730;第4卷(第7期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113992539A (zh) | 2022-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113992539B (zh) | 网络安全动态路由跳变方法及系统 | |
Swami et al. | Software-defined networking-based DDoS defense mechanisms | |
Xu et al. | Mitigating the table-overflow attack in software-defined networking | |
KR101917062B1 (ko) | 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램 | |
KR101747079B1 (ko) | 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템 | |
Wang et al. | Woodpecker: Detecting and mitigating link-flooding attacks via SDN | |
CN111049859A (zh) | 一种基于拓扑分析的攻击流量分流和阻断方法 | |
Hirayama et al. | Fast target link flooding attack detection scheme by analyzing traceroute packets flow | |
Cui et al. | PLAN: Joint policy-and network-aware VM management for cloud data centers | |
CN108028828B (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
Zaw et al. | Traffic management with elephant flow detection in software defined networks (SDN) | |
Hong et al. | Dynamic threshold for DDoS mitigation in SDN environment | |
Wu et al. | Mitigation measures of collusive interest flooding attacks in named data networking | |
Wu et al. | I-CIFA: An improved collusive interest flooding attack in named data networking | |
CN113364810B (zh) | 一种链路洪泛攻击检测与防御系统及方法 | |
Liu et al. | NetObfu: A lightweight and efficient network topology obfuscation defense scheme | |
Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
Yang et al. | Inter-domain routing bottlenecks and their aggravation | |
Sangeetha et al. | A novel traffic dividing and scheduling mechanism for enhancing security and performance in the tor network | |
Tri et al. | Effective route scheme of multicast probing to locate high-loss links in OpenFlow networks | |
CN111835750B (zh) | SDN中基于ARIMA模型的DDoS攻击防御方法 | |
Guo et al. | A SDN-based multiple mechanism DDoS attack detection trigger algorithm | |
Lin et al. | Proactive multipath routing with a predictive mechanism in software‐defined networks | |
Maswood et al. | A sliding window based monitoring scheme to detect and prevent ddos attack in data center networks in a dynamic traffic environment | |
Wu et al. | DoS mitigation mechanism based on non-cooperative repeated game for SDN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |