| 发明名称 | 一种基于SDN网络架构的隐藏端口检测方法 | ||
| 摘要 | 本发明公开一种基于SDN网络架构的隐藏端口检测方法,首先通过编码控制SDN交换机实现网络三层交换,在交换过程中,控制器通过响应PacketedIn消息,对消息中包含的SDN交换机DatapathId、MAC地址、源IP、源端口信息所组成的四元组进行内存映射,以获取网络架构下所有主机通信构成的可信视图;同时通过客户代理的方式,在应用层监听获取主机通信所建立的IP和端口信息,并与SDN控制器建立通信。使用SDN控制器对客户端代理发送的消息过滤,提取主机通信包含的四元组信息并进行内存映射,以获取架构下所有主机非可信的通信视图。在SDN控制器具有可信与非可信视图的前提下,通过交叉检测的方法即能够发现隐藏端口通信所建立的连接。 | ||
| 申请公布号 | CN106572103A | 申请公布日期 | 2017.04.19 |
| 申请号 | CN201610966432.7 | 申请日期 | 2016.10.28 |
| 申请人 | 桂林电子科技大学 | 发明人 | 刘玉明;王勇;陶海鹏 |
| 分类号 | H04L29/06(2006.01)I;H04L12/931(2013.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 桂林市持衡专利商标事务所有限公司 45107 | 代理人 | 陈跃琳 |
| 主权项 | 一种基于SDN网络架构的隐藏端口检测方法,其特征是,包含如下步骤:步骤S1.主机代理服务,获取主机通信所建立的非可信视图,并以增量的形式发送主机连接变化的信息;步骤S2.包过滤,主机代理传递的数据包在经过SDN交换机时,在流表中没有匹配到流表项,则触发数据包到达事件回调解析数据包,并对内容进行解析,同时按照防护模块制定的规则进行判定,过滤处理掉非法数据包;步骤S3.消息预处理,针对包过滤得到的结果,进行消息分类,对控制消息调用控制消息处理模块,通过控制器核心直接发响应操作包,对数据消息调用数据消息处理模块,通过控制器内存分别映射主机代理信息反映的非可信连接视图,以及主机连接信息反映的可信连接视图;步骤S4.隐藏端口检测,根据在SDN控制器端内存映射的可信与非可信视图,进行交叉检测,利用可信与非可信视图的差集,得到位于主机和隐藏端口的信息。 | ||
| 地址 | 541004 广西壮族自治区桂林市七星区金鸡路1号 | ||