[發明專利]一種OpenFlow網絡安全檢測方法及系統有效
| 申請號: | 201410837216.3 | 申請日: | 2014-12-30 |
| 公開(公告)號: | CN104579832B | 公開(公告)日: | 2018-07-24 |
| 發明(設計)人: | 戴彬;鄒云飛;王航遠;呂璐;楊軍 | 申請(專利權)人: | 華中科技大學 |
| 主分類號: | H04L12/26 | 分類號: | H04L12/26;H04L29/06 |
| 代理公司: | 北京華沛德權律師事務所 11302 | 代理人: | 劉杰 |
| 地址: | 430074 湖北*** | 國省代碼: | 湖北;42 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 網絡 鏈路 網絡安全檢測 網絡轉發 數據包 匹配 網絡技術領域 安全策略 安全檢測 關系建立 網絡安全 不安全 預設 交換機 主機 采集 | ||
1.一種OpenFlow網絡安全檢測方法,其特征在于,包括:
采集OpenFlow數據包;
在OpenFlow網絡外,根據所述OpenFlow數據包得到OpenFlow網絡中各交換機之間的鏈路關系和OpenFlow網絡外的主機的鏈路關系;
所述根據所述OpenFlow數據包得到OpenFlow網絡外的主機的鏈路關系,包括:
從所述OpenFlow數據包中獲取各網絡設備的ID和端口號;
根據預設的OpenFlow網絡中的交換機的鏈路關系,判斷所述OpenFlow數據包是由OpenFlow網絡中的交換機還是由OpenFlow網絡外的網絡設備發出的;
若所述OpenFlow數據包是由OpenFlow網絡外的網絡設備發出的,根據所述OpenFlow數據包中攜帶的MAC層數據幀,獲取網絡設備的MAC地址和IP地址,并得到所述網絡設備的接入地址,從而得到OpenFlow網絡外的主機的鏈路關系;
在OpenFlow網絡外,根據所述鏈路關系建立網絡轉發模型;具體地,根據得到的OpenFlow網絡中各交換機之間的鏈路關系和OpenFlow網絡外的主機的鏈路關系建立網絡轉發圖或網絡轉發模型;
在OpenFlow網絡外,將所述網絡轉發模型與預設的安全策略進行比較;
若比較匹配,則所述OpenFlow網絡安全;
若比較不匹配,則所述OpenFlow網絡不安全。
2.如權利要求1所述的OpenFlow網絡安全檢測方法,其特征在于,所述根據所述OpenFlow數據包得到OpenFlow網絡中各交換機之間的鏈路關系,包括:
判斷所述OpenFlow數據包是否是LLDP協議的數據包;
若是,則從所述OpenFlow數據包中獲取所述OpenFlow網絡中各交換機的ID和端口號,得到所述OpenFlow網絡中各交換機之間的鏈路關系。
3.如權利要求1所述的OpenFlow網絡安全檢測方法,其特征在于,所述將所述網絡轉發模型與預設的安全策略進行比較;若比較匹配,則所述OpenFlow網絡安全;若比較不匹配,則所述OpenFlow網絡不安全,包括:
將OpenFlow網絡中的交換機的每條流表項用二叉決策圖表示,結合設備ID表示數據包在網絡中的轉發狀態,使用計算樹邏輯CTL進行符號模型檢測,檢測網絡端到端的可達性,并判斷是否與所述預設的安全策略相沖突;
若沖突,則所述OpenFlow網絡不安全;
若不沖突,則所述OpenFlow網絡安全。
4.如權利要求1-3中任一項所述的OpenFlow網絡安全檢測方法,其特征在于,還包括:建立OpenFlow網絡連接;所述OpenFlow數據包,包括:源IP地址、源端口號、目的IP地址和目的端口號;所述建立OpenFlow網絡連接,包括:
將由所述源IP地址、所述源端口號、所述目的IP地址和所述目的端口號組成的四元組標識一個會話連接;
對新獲取的OpenFlow數據包,根據所述四元組計算哈希值,并在哈希值數據庫中進行查詢,將哈希值相等的OpenFlow數據包歸為同一個會話;
若在時間閾值內,沒有收到屬于一個會話的OpenFlow數據包或所述OpenFlow數據包的FIN位為1,則將所述會話從所述哈希值數據庫中刪除。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于華中科技大學,未經華中科技大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410837216.3/1.html,轉載請聲明來源鉆瓜專利網。
