[发明专利]一种SDN应用的策略冲突检测方法及系统

说明书

技术领域

本申请涉及网络信息安全领域，尤其涉及一种SDN应用的策略冲突检测方法及系统。

背景技术

SDN(Software Defined Network，软件定义网络)是一种开放的网络架构，主要特点为集中控制性和网络可编程性，允许网络管理人员以软件编程的方式对整个网络进行管理与操作。SDN将逻辑控制功能和数据转发功能分离，由基于软件的网络控制器来实现对网络的逻辑控制功能，而底层的网络设备只需负责实现简单的数据转发功能，通过OpenFlow协议与网络控制器进行交互。

SDN网络架构如图1所示，从上至下主要分为应用层、控制层和数据转发层。架构的核心集中在基于网络操作系统的控制层上，主要设备为SDN控制器，它具有整个网络的全局视野。数据转发层主要是底层的数据转发设备，比如OpenFlow交换机等。数据转发设备被剥离了控制功能，只需要按照流表进行匹配和转发数据流。数据转发设备通过南向接口(目前主要使用OpenFlow协议)与控制层进行信息交互，完成控制器数据流表的下发和底层设备数据信息的反馈。控制层向上提供北向接口，与应用层进行信息传递，SDN应用与服务通过调用提供的北向接口对网络进行相应操作，实现相应功能。目前北向接口还未实现标准化。

作为一种全新的网络架构，SDN为网络安全改善带来了巨大的机遇，但同时也给网络带来了新的安全威胁。以应用层的安全威胁为例，攻击者可以向网络中接入恶意应用进行攻击，制造应用策略冲突导致网络混乱，或与网络中的安全策略冲突破坏网络的安全防御机制等。可见，应用策略冲突对网络的安全威胁程度越来越大。目前已经有一些应用策略冲突检测方法，比如FLOVER、FlowChecker、VeriFlow、NICE等。

FLOVER对SDN网络中运行的动态流规则进行检测，验证其是否满足网络中既定的安全性要求。FLOVER主要由流表编码器和SMT(Satisfiability Modulo Theories，可满足性模理论)解决器Yices组成。在进行流规则验证时，流表编码器将所有的流规则和网络安全策略进行编码，转化为断言集，再由SMT解决器Yices进行处理和安全性验证。FLOVER主要包括两种模式，在线模式和批量模式。在线模式中，只要交换机上的流规则集出现更新(控制器下发新的流规则或交换机主动请求新的流规则)，则对更新后的所有流规则集进行既定的安全性检测，判断新的流规则集是否与网络安全策略相一致。批量模式则是对流规则集进行周期性的安全性验证。

FlowChecker是对SDN网络中的交换机和控制器的配置一致性进行检测。FlowChecker将流表重新编码为二进制决策表(Binary Decision Diagrams，BDD)，采用模型检测的方式验证网络的安全性。

VeriFlow对网络不变性进行检测。VeriFlow位于控制器与网络设备之间，根据新旧规则将网络分片为独立的相同类，并为每个类建立转发图，通过在转发图上模拟新规则实现情况来验证是否违反网络不变性。

NICE采用模型检测和符号化执行相结合的策略检测SDN应用的一致性，这种策略基于代码路径的发现。

但是，上述方法均存在一定的缺陷。FLOVER主要是检测应用的流规则与网络安全策略是否存在策略冲突，而并未涉及一般应用之间的策略冲突检测；FlowChecker和VeriFlow都没有解决当流规则中包含Set等中间行为时的情况；NICE采用的基于代码路径发现的策略扩展性不佳，无法在大型应用上采用。并且，上述方法均未考虑当不同应用的流规则进行组合后所产生的策略冲突检测，因此，并不能够完全解决网络带来的安全威胁。

发明内容

本发明了提供了一种SDN应用的策略冲突检测方法及系统，以解决SDN带来的网络安全威胁。

为解决上述技术问题，本发明提供了一种SDN应用的策略冲突检测系统，包括：

应用接入层，包括管理已接入网络的应用和欲接入网络的应用；

控制检测层，用于接收所述欲接入网络的应用的访问授权请求，根据应用类型赋予各个欲接入网络的应用相应的优先级，发放私有证书，进行访问认证授权，并通过冲突分析算法对获取认证授权的应用下发的流规则插入请求进行冲突分析，若存在冲突则通过冲突决策算法进行冲突决策以缓解冲突，以防止网络中存在相互冲突的策略规则；

监管可视化层，用于实时显示网络中的流规则信息、冲突信息、网络拓扑信息给网络管理员。

优选的，所述应用接入层中的应用包括：