本發(fā)明屬于網絡安全技術領域，特別涉及一種基于流規(guī)則分析的SDN數(shù)據平面異常行為檢測方法及系統(tǒng)，包含：收集并獲取SDN網絡區(qū)域范圍內數(shù)據平面交換機流規(guī)則；分析流規(guī)則數(shù)量變化異常趨勢，結合網絡拓撲構建數(shù)據流路徑，獲取所有數(shù)據流路徑并記錄構建過程中流規(guī)則錯誤轉發(fā)行為特征；結合流規(guī)則錯誤轉發(fā)行為特征，對數(shù)據流路徑及數(shù)據流路徑之間的沖突和行為異常進行檢測，以獲取數(shù)據平面異常行為。本發(fā)明能夠有效提高全面異常檢測的精確度，降低檢測時計算及資源使用量，可獨立部署在多種SDN環(huán)境中實現(xiàn)異常行為檢測。

技術領域

本發(fā)明屬于網絡安全技術領域，特別涉及一種基于流規(guī)則分析的SDN數(shù)據平面異常行為檢測方法及系統(tǒng)。

背景技術

作為一種新興的網絡架構，軟件定義網絡(Software Defined Networking,SDN)采用軟件編程的方式控制網絡，提高了網絡配置的靈活性。但是，SDN的攻擊面卻比傳統(tǒng)網絡更大，三個平面以及南北向通道都存在脆弱點，其中針對數(shù)據平面的攻擊尤為重要，攻擊會干擾基礎的數(shù)據轉發(fā)行為，導致整個網絡數(shù)據傳輸功能的失效。SDN采用數(shù)據控制分離的網絡架構，取代了傳統(tǒng)網絡設備數(shù)據和控制的耦合機制。數(shù)據平面不再具有決策功能，作為網絡智能中心的控制平面通過下發(fā)流規(guī)則控制著數(shù)據平面數(shù)據轉發(fā)行為。標準化南向接口(例如Openflow)簡化了對網絡設備進行管理的復雜性，使得通過編程定義網絡功能成為可能。SDN數(shù)據平面由交換機組成。與傳統(tǒng)網絡交換機不同，SDN交換機只負責數(shù)據轉發(fā)而不具有決策能力。當端口接收到陌生數(shù)據包時候，交換機將數(shù)據包信息通過南向接口發(fā)送給控制平面詢問處理方法，控制平面應用程序根據自身策略制定流規(guī)則并下發(fā)到交換機流表。此后遇到相同數(shù)據包時候，交換機根據已有規(guī)則對數(shù)據包進行處理并轉發(fā)。因此，數(shù)據平面是流規(guī)則驅動的。作為SDN網絡架構的底層，數(shù)據平面與網絡的實際行為緊密相關，是整個網絡正常運行的基礎。作為SDN網絡架構的底層，數(shù)據平面與網絡的實際行為緊密相關，是整個網絡正常運行的基礎。因此，檢測數(shù)據平面異常行為并維護數(shù)據平面的安全狀態(tài)十分必要。數(shù)據平面面臨著拒絕服務、數(shù)據篡改等攻擊威脅。從根本上看，針對數(shù)據平面的攻擊都是通過安裝惡意流規(guī)則來實現(xiàn)。這些攻擊可以從數(shù)據平面主機發(fā)起，也可能由惡意應用程序發(fā)起。此外，由于控制平面的復雜性，不同功能的非惡意應用程序生成的流規(guī)則也可能會產生沖突，導致數(shù)據平面執(zhí)行異常轉發(fā)或丟包行為，危害網絡安全。

針對SDN數(shù)據平面安全問題，現(xiàn)有工作主要從流規(guī)則沖突方面進行研究。一種方法是實時動態(tài)策略沖突檢測與解決方法，該方法通過獲取實時的SDN網絡狀態(tài)，能夠檢測數(shù)據流是否直接或間接違反防火墻策略，并且當發(fā)現(xiàn)沖突時候，可以進行自動化和細粒度的沖突解決。另一種方法是利用控制器掌握全局視圖的特點，在控制器中通過對全網規(guī)則的匹配域進行編碼，實現(xiàn)對流表的壓縮，并以端口為節(jié)點建立端到端網絡路徑，對全網規(guī)則進行快速沖突檢測。另一種方法將沖突檢測轉化為了有向圖連通性判斷和連通節(jié)點搜索問題，提出了一種應用有向無環(huán)圖模型檢測分布式系統(tǒng)中安全策略沖突的定量方法。針對應用程序流規(guī)則與防火墻和訪問控制規(guī)則之間的沖突以及網絡配置方面的問題進行研究，沒有深入分析其他流規(guī)則異常類型和導致異常的原因，無法全面地對SDN數(shù)據平面異常行為進行檢測。

發(fā)明內容

為此，本發(fā)明提供一種基于流規(guī)則分析的SDN數(shù)據平面異常行為檢測方法及系統(tǒng)，提高異常檢測精確度，降低檢測時計算及資源使用量，能夠部署在多種SDN環(huán)境中實現(xiàn)異常行為檢測。

按照本發(fā)明所提供的設計方案，一種基于流規(guī)則分析的SDN數(shù)據平面異常行為檢測方法，包含如下內容：

收集并獲取SDN網絡區(qū)域范圍內數(shù)據平面交換機流規(guī)則；

分析流規(guī)則數(shù)量變化異常趨勢，結合網絡拓撲構建數(shù)據流路徑，獲取所有數(shù)據流路徑并記錄構建過程中流規(guī)則錯誤轉發(fā)行為特征；

結合流規(guī)則錯誤轉發(fā)行為特征，對數(shù)據流路徑及數(shù)據流路徑之間的沖突和行為異常進行檢測，以獲取數(shù)據平面異常行為。