本發明公開了一種檢測SDN中流表一致性的方法和系統，可根據基于流表篡改的監聽攻擊的特征定制需要檢測的字段，只要是防護已知流表篡改類型的監聽攻擊就能實現百分之百的檢測率；同時，由于該方法只需要交換機返回指定字段的計數內容，因而占用網絡傳輸帶寬小，占用控制器、交換機端處理時間也更少。因而，本發明提出了一種針對性更強、檢測率更高、檢測效率更快的方法和系統，以較低的網絡傳輸負荷、較高檢測率對流表的一致性進行檢測，彌補了SDN分層結構缺乏對流表規則一致性檢測措施的不足，是對SDN流表一致性檢測防護方面的補充和改進，提高SDN網絡控制的可靠性，為SDN網絡數據傳輸提供安全保證。

技術領域

本發明涉及SDN安全領域。更為具體的，本發明涉及一種檢測SDN中流表一致性的方法和系統。

背景技術

軟件定義網絡(Software-defined Networking,SDN)，其核心的思想是將復雜的網絡設備一分為二。轉發功能由單一的硬件來實現，稱之為數據面；而較為復雜的控制、管理、服務功能由軟件來實現，稱之為控制面。

分離的控制層和數據層使得SDN架構存在轉發規則不一致的隱患。由于中央控制器將數據平面轉發規則安裝到下層交換機，以指導數據包轉發或其他操作，一旦交換機端的規則被惡意篡改，而控制器沒有察覺，則下層網絡的實際運轉情況將不受控制器控制。SDN中的轉發規則稱作流表，以現在主流的SDN南向接口OpenFlow協議v1.3.0為例，一條流表包含以下字段：(1)Match Fields字段，表示需要匹配的數據包的具體包頭字段，當流經數據包的包頭特定字段的數值等于該流表項指明的數值時，則將對該數據包做出流表項規定的后續操作；(2)Priority，表示該流表項的優先級，優先級越高的流表項最先匹配；(3)Counters，表明該流表項已經匹配的數據包的個數；(4)Instructions，為將要對數據包進行的操作，如丟棄、轉發等；(5)Cookie，是被遠程控制器用來篩選Flow Statistics、FlowModification或者Flow Deletion行為的指示值。

由于現在主流的OpenFlow協議各版本都沒有對流表一致性問題進行處理，且一些OpenFlow交換機留有監聽模式，即網絡管理者可以通過未認證的TCP端口來操縱交換機上的流表數據，進而攻擊者可以通過預留接口，為交換機的特定數據流添加鏡像端口，從而竊聽數據流。

國外研究人員Markku等人在《Spook in Your Network:Attacking an SDN witha Compromised OpenFlow Switch》分析了該種威脅的具體實現細節，并指出其可造成網絡監聽，但未提出有效的防護措施。Kevin等人在《Openflow vulnerability assessment》指出當前可行的檢測流表一致性的方案，需要導出并檢測交換機所有流表是否被改動，該方法計算量大，且占用較多網絡傳輸帶寬，可行性低。關于檢測交換機是否被入侵而導致其行為違反了控制器所下發的轉發規則，Chi等人在文章《How to detect a compromised SDNswitch》提出了一種周期性的抽樣檢測方法，從全網隨機選定一些交換機，并從每個交換機上隨機抽取小部分流表項，并向網絡中發送與該流表項匹配的數據包，如果相應的交換機未按照流表規則來處理數據包，則認為該交換機遭到了入侵。

然而，上述已有的解決方案在檢測效率、檢測準確性、檢測覆蓋范圍方面均有一定限制。

發明內容

針對上述問題，本發明提供了一種檢測SDN中流表一致性的方法和系統，以較低的網絡傳輸負荷、較高檢測率對流表的一致性進行檢測，彌補了SDN分層結構缺乏對流表規則一致性檢測措施的不足，提高SDN網絡控制的可靠性，為SDN網絡數據傳輸提供安全保證。

為實現上述目的，本發明采用如下技術方案：

一種檢測SDN中流表一致性的方法，其步驟包括：