[發明專利]基于流規則分析的SDN數據平面異常行為檢測方法及系統有效
| 申請號: | 202011147287.2 | 申請日: | 2020-10-23 |
| 公開(公告)號: | CN112261052B | 公開(公告)日: | 2022-10-25 |
| 發明(設計)人: | 武澤慧;魏強;王允超;張文鑌;周國淼;黃輝輝 | 申請(專利權)人: | 中國人民解放軍戰略支援部隊信息工程大學 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 鄭州大通專利商標代理有限公司 41111 | 代理人: | 周艷巧 |
| 地址: | 450000 河*** | 國省代碼: | 河南;41 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 規則 分析 sdn 數據 平面 異常 行為 檢測 方法 系統 | ||
1.一種基于流規則分析的SDN數據平面異常行為檢測方法,其特征在于,包含如下內容:
收集并獲取SDN網絡區域范圍內數據平面交換機流規則;
分析流規則數量變化異常趨勢,結合網絡拓撲構建數據流路徑,獲取所有數據流路徑并記錄構建過程中流規則錯誤轉發行為特征;
結合流規則錯誤轉發行為特征,對數據流路徑及數據流路徑之間的沖突和行為異常進行檢測,以獲取數據平面異常行為;
依據流規則變化率和流規則匹配率分析流規則數量在時間段內的變化量,通過設定閾值判定流規則數量變化異常趨勢;
流規則變化率FCR和流規則匹配率FMR分別表示為:
其中,Δall_rules_num為Δt時間段內流規則總數變化量,matched_rules_num和all_rules_num分別為當前時刻匹配到數據包的規則總數和所有流規則數量;若滿足FCR大于設定閾值α、FMR小于設定閾值β,則判定流規則數量變化異常。
2.根據權利要求1所述的基于流規則分析的SDN數據平面異常行為檢測方法,其特征在于,利用交換機標準接口在設定時間周期內遍歷網絡區域范圍內的所有交換機來獲取數據平面交換機流規則。
3.根據權利要求1所述的基于流規則分析的SDN數據平面異常行為檢測方法,其特征在于,構建數據流路徑時,首先獲取流路徑的起始交換機和流規則,然后,對于每一對起始交換機和流規則,結合網絡拓撲結構獲取下一跳交換機,依據流表中是否有處理對應數據包的流規則,將交換機添加至對應流路徑中,迭代添加交換機,直至路徑結束。
4.根據權利要求3所述的基于流規則分析的SDN數據平面異常行為檢測方法,其特征在于,路徑結束的判斷標準包含:不存在下一跳交換機和/或數據包被丟棄或被轉發至主機。
5.根據權利要求3所述的基于流規則分析的SDN數據平面異常行為檢測方法,其特征在于,獲取流路徑的起始交換機和流規則時,對于每一臺交換機,結合網絡拓撲來獲取其相鄰交換機集合;檢查交換機的每一條流規則,依據相鄰交換機流規則匹配域及是否存在轉發到交換機的流規則來判定交換機和流規則否為數據流路徑的起始交換機和流規則。
6.根據權利要求1所述的基于流規則分析的SDN數據平面異常行為檢測方法,其特征在于,流規則沖突檢測包括如下情形的檢測:同一臺交換機流表中流規則之間的沖突;及多條流規則構成的跨交換機數據流路徑之間存在的沖突。
7.根據權利要求1所述的基于流規則分析的SDN數據平面異常行為檢測方法,其特征在于,流規則行為異常檢測包括如下情形:造成交換機惡意丟包行為的流規則錯誤檢測;及造成交換機惡意轉發行為的流規則錯誤檢測。
8.一種基于流規則分析的SDN數據平面異常行為檢測系統,其特征在于,基于權利要求1所述的方法實現,包含:數據收集模塊、數據分析模塊和行為檢測模塊,其中,
數據收集模塊,用于收集并獲取SDN網絡區域范圍內數據平面交換機流規則;
數據分析模塊,用于分析流規則數量變化異常趨勢,結合網絡拓撲構建數據流路徑,獲取所有數據流路徑并記錄構建過程中流規則錯誤轉發行為特征;
行為檢測模塊,用于結合流規則錯誤轉發行為特征,對數據流路徑及數據流路徑之間的沖突和行為異常進行檢測,以獲取數據平面異常行為。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國人民解放軍戰略支援部隊信息工程大學,未經中國人民解放軍戰略支援部隊信息工程大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011147287.2/1.html,轉載請聲明來源鉆瓜專利網。
