所属领域： A 电子信息技术

技术成果简介

软件定义网络(Software-Defined Networking，SDN)是一种新型网络概念，它区别于传统网络，将网络的控制平面和数据平面分离，通过集中的控制层面给网络带来了更高的灵活性和扩展性。但随着基于OpenFlow协议实现的SDN技术在越来越多的领域得到了应用，其所存在的安全问题就越发显得重要。而针对SDN的指纹攻击就是其中一个重要的SDN安全问题。指纹攻击在网络安全中是一种通过各种手段，嗅探出对象的关键表征性信息，如同套取指纹一样。而该防御方法主要是针对的是攻击利用SDN中流表机制中的时延特征来获取网络流表信息的指纹攻击。OpenFlow协议是如今实现SDN最为常见通用的方法，在OpenFlow实现的SDN架构中，交换机通过安装在上面的流表进行匹配转发。流表中用于和数据流进行匹配的字段称为匹配域，一般为数据包的头字段，比如目的mac地址、目的ip地址等。而当新的流进入交换机后，交换机没有与该流匹配的流表，就会向控制器发送Packet-In消息。控制器通过全局的拓扑视图得出源主机到目的主机的转发路径，并向路径中的交换机发送Flow-Mod流表消息，让交换机安装对应的流表。因此可以看出，一个新流的第一个数据包需要完成转发过程，除了需要经过各个交换机的转发外，还需要等待控制器对转发路径的交换机进行流表下发，因此这个过程除了数据层交换机的传输时间外，还会引入跟控制器交互的时间。而新流的后续数据包由于交换机已经安装了对应的转发流表了，所以只会有数据层交换机的传输时间。所以，攻击者利用流表转发机制的这一特性，通过发送两个时间探针包传输时间的差异来判断产生的探针包是否触发了新流的下发，从而进一步分析获取SDN的指纹信息。

技术成果前景

本发明通过SDN控制器平台进行指纹攻击防御，不需要对数据层的交换机做修改，而且不需要考虑时延设置问题就能实现有效的时间特性隐藏。