[发明专利]针对SDN的虫洞攻击的检测方法

说明书

本发明公开了一种针对SDN的虫洞攻击的检测方法，其包括通过使用Packet‑Out报文、Packet‑In报文和心跳包，来计算各交换机之间路径的延迟数据，比较新加入链路的延迟超过已有路径延迟的150％所占的比例，当比例超过所设定的阈值时，控制器认定此路径为恶意链路，链路两端的交换机为虫洞攻击中的恶意交换机。通过模拟实验，本发明的检测方法，对于SDN中的虫洞攻击，具有较好的检测结果。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种针对SDN的虫洞攻击检测方法。

背景技术

软件定义网络(Software Defined Network，SDN)的出现为未来的网络提供了一种 新的网络设计结构。与传统网络不同，SDN将控制面与数据面分离，从而提供了整体的网络逻辑可见性和灵活的可编程性。许多企业都对其展现了极大地兴趣，以谷歌为代表 的一些企业，已经在他们的网络中部署了SDN。

在正常的SDN网络中，控制器通过与链路层发现协议(LLDP)相关的OpenFlow 发现协议(OFDP)来发现网络拓扑。但是，在LLDP中，存在两个缺点：(1)、LLDP 的语法简单，伪造LLDP包并不困难；(2)、没有关于LLDP包的认证机制。由于这些 缺点，SDN的链路发现服务已经被证实并不安全。Hong等人利用这些缺陷伪造了LLDP 包，从而宣称两个实际并不相连的远程交换机通过一条伪造的链路。这样，SDN控制器 将获取到一个错误的网络拓扑，并且将数据流导向这条伪造链路。攻击者进一步可以借 助辅助带内通路，便能在SDN中实现伪造链路上的信息传递，从而构造SDN网络中的 虫洞攻击。因此，为了保证网络拓扑的完整性，针对SDN中虫洞攻击的探测算法研究 便具有深远意义。

与无线网类似，SDN中的虫洞攻击的目标是使控制器误以为两个并不相邻的交换机 是直接相连的。这样，由于伪造的链路是最短最优路径，控制器会将原本不会经过受控交换机的流量导向这两个交换机。之后，攻击者可在两个受控交换机之间，选择一条可 行的带内路径，将数据包沿此路径转发。转发过程中，数据包的源地址和目的地址字段 会进行修改，借此避免被控制器探测到。详细来说，如图1所示，在连接到S3的子网 中，攻击者选定一个恶意中继主机。之后，当S1接收到要转发给S5的数据包时，S1 会将数据包伪装成从它的子网发送给中继主机的数据包。这可以通过在交换机中已有的 替换数据包地址的动作来实现。然后，中继主机再一次修改数据包的地址，将它们伪装 成从中继主机转发给S2子网中特定主机的数据包。由于保证了S3-S4-S5是最短路径， 这些数据包将会到达S5，之后S5会恢复它们的原始地址，并按照控制器安装的流表项 将它们转发到下一跳。已有的实验表明，虫洞攻击可以使用创造新动作、添加VLAN标 签、制造MAC与IP地址不匹配关系这三种方法来实现带内信息转发。借助虫洞攻击， 攻击者可以进一步发起DoS攻击或窃取私有信息。

现有的虫洞攻击检测方法，均是针对无线网中的虫洞攻击所提出的。这些检测措施 主要被分为两类：(1)、基于距离或时间约束；(2)基于图论或地理位置约束。但是， 与无线网络不同的是，这些方法不能应用于SDN中。首先，SDN中的节点是交换机而 不是传感器，信息通过有线网络进行传递。这意味着，网络中并不存在信号最大传输距 离这个概念。此外，SDN的拓扑并不能轻易地进行改变，交换机之间只能通过链路进行 收发数据包，如果两台交换机之间没有有线链路，他们便不能无视距离进行通信。更重 要的是，SDN网络通过控制器进行控制，这使得交换机只能遵守控制器安装的流表项， 而不能执行超出它们能力的功能，从而使得传统虫洞攻击检测方法无法应用于SDN中。

发明内容

发明目的：本发明针对现有技术存在的问题，提供一种针对SDN的虫洞攻击的检测方法，该方法可以有效地检测出SDN中恶意链路和恶意交换机。

技术方案：本发明所述的针对SDN的虫洞攻击的检测方法包括：

(1)当有新链路请求加入时，控制器判断SDN是否处于初始化状态，若是，则执 行步骤(2)，若否，则执行步骤(4)；