本發明公開了一種SDN網絡攻擊檢測方法，包括：每隔預設的檢測時間段響應于參考統計操作時，統計任意兩臺主機轉發數據包的參考時間，直至當前轉發次數超過轉發次數閾值；根據所參考時間建立參考時間集；其中，所述任意兩臺主機每轉發一次所述數據包都對應更新所述參考時間集；判斷所述參考時間集是否在預設的標準時間集內；若是，則更新所述檢測時間段；若否，則累加當前判斷次數；當連續累加的所述判斷次數超過判斷次數閾值時，判定當前SDN網絡發生中間人攻擊。本發明還公開了一種SDN網絡攻擊檢測裝置、設備和系統。采用本發明實施例，能減少單個主機安全開銷，還能快速判斷SDN網絡中是否存在中間人攻擊。

技術領域

本發明涉及通信網絡技術領域，尤其涉及一種SDN網絡攻擊檢測方法、裝置、設備和系統。

背景技術

SDN(Software Defined Network)，即軟件定義網絡。一般來說，傳統網絡中每一臺主機都有控制面與轉發面，緊密耦合，每臺主機都要自定義轉發策略。與傳統網絡結構不同，SDN網絡的控制面與轉發面完全分離，其中的全部主機的轉發行為均由Controller控制，管理員可以通過Controller制定主機的轉發策略。中間人攻擊(Man-in-the-MiddleAttack，簡稱“MITM攻擊”)是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。

在傳統網絡中，由于每臺主機控制與轉發緊密耦合的特性，每臺主機都需要制定一定的安全策略或者遵循一些協議標準來防范中間人攻擊。目前比較常見的防范辦法就是找一個通信雙方都信任的數字證書認證機構(CA)來為雙方確認身份。通信主機會向CA申請數字證書，CA通過各種方法驗證主機確實是其聲稱的本人之后，CA會用私鑰加密通信主機的申請信息并形成數字簽名，再將附有簽名的證書頒發給通信主機，這樣主機就可以用這個證書證明自己的身份

但是在傳統網絡中，每個主機的安全策略一般都是由使用者自己、操作系統或者安全防護軟件制定，主機的安全性由主機自身保證，主機在通信過程中是否遭受到中間人攻擊，會話是否遭到劫持或者篡改也是由主機自行判斷，而這些防護過程需要消耗一定的主機性能。一旦主機的量級增加，網絡結構的復雜程度增加，從整體網絡的角度來看，要防護中間人攻擊就比較復雜了。每個設備或者軟件廠商可以用各種各樣的方法防范中間人攻擊，但是網絡中的主機來自不同的廠商，而這些不同的主機需要互聯并且組成網絡，這就勢必會產生一些兼容性方面問題，導致檢測中間人攻擊的時間緩慢。

發明內容

本發明實施例的目的是提供一種SDN網絡攻擊檢測方法、裝置、設備和系統充分利用了SDN網絡中Controller的特性，減少單個主機安全開銷，還能快速判斷SDN網絡中是否存在中間人攻擊。

為實現上述目的，本發明實施例提供了一種SDN網絡攻擊檢測方法，包括：

每隔預設的檢測時間段響應于參考統計操作時，統計任意兩臺主機轉發數據包的參考時間，直至當前轉發次數超過轉發次數閾值；

根據所參考時間建立參考時間集；其中，所述任意兩臺主機每轉發一次所述數據包都對應更新所述參考時間集；

判斷所述參考時間集是否在預設的標準時間集內；

若是，則更新所述檢測時間段；若否，則累加當前判斷次數；

當連續累加的所述判斷次數超過判斷次數閾值時，判定當前SDN網絡發生中間人攻擊。