(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115913650A(43)申请公布日2023.04.04(21)申请号202211310388.6(22)申请日2022.10.25(71)申请人北京航空航天大学地址100191北京市海淀区学院路37号(72)发明人毛剑熊婉寅刘子雯刘建伟(74)专利代理机构北京清亦华知识产权代理事务所(普通合伙)11201专利代理师雷玉龙(51)Int.Cl.H04L9/40(2022.01)H04L41/12(2022.01)H04L41/0631(2022.01)H04L41/40(2022.01)权利要求书2页说明书15页附图9页(54)发明名称软件定义网络流规则安全检测及溯源方法、装置(57)摘要本申请涉及一种软件定义网络流规则安全检测及溯源方法、装置，其中，方法包括：从预设的软件定义网络控制器拦截当前网络顶层安全策略、转发规则和数据平面存储的流规则，并基于预设的转化规则将安全策略转化为具象化安全规则，基于预设的数据结构，编码并存储安全规则、转发规则和流规则，并计算每条规则的实际作用域，通过预先建立的网络拓扑‑硬件设备‑逻辑功能网络行为模型，模拟数据包在网络中的实际行为及符合安全策略要求的安全行为，识别不安全网络行为，并溯源至造成该行为的不安全网络规则。由此，解决了网络行为与网络安全策略一致性难以验证，且使用的通用验证工具验证缓慢不具备时效性的技术问题，提升用户体验。CN115913650ACN115913650A权利要求书1/2页1.一种软件定义网络流规则安全检测及溯源方法，其特征在于，包括以下步骤：从预设的软件定义网络控制器拦截当前网络顶层安全策略、转发规则和数据平面存储的流规则，并基于预设的转化规则将所述安全策略转化为具象化安全规则；基于预设的数据结构，编码并存储所述安全规则、所述转发规则和所述流规则，并计算每条规则的实际作用域；以及通过预先建立的网络拓扑‑硬件设备‑逻辑功能网络行为模型，模拟数据包在网络中的实际行为及符合安全策略要求的安全行为，识别不安全网络行为，并溯源至造成该行为的不安全网络规则。2.根据权利要求1所述的方法，其特征在于，所述从预设的软件定义网络控制器拦截当前网络顶层安全策略、转发规则和数据平面存储的流规则，并基于预设的转化规则将所述安全策略转化为具象化安全规则，包括：从所述预设的软件定义网络控制器提取所述当前网络顶层安全策略、转发规则和数据平面存储的流规则，并基于预设的网络行为特征提取策略，分别从所述安全策略、所述转发规则和所述流规则中提取网络行为特征，以通过二元组形式表示所述安全策略，并通过第一四元组形式表示所述转发规则，第二四元组形式表示所述流规则；基于预设的抽象的网络行为规范，将所述安全策略中每条安全策略转化为具象化安全规则，并通过第三四元组形式表示所述具象化安全规则。3.根据权利要求2所述的方法，其特征在于，所述从预设的软件定义网络控制器拦截当前网络顶层安全策略、转发规则和数据平面存储的流规则，并基于预设的转化规则将所述安全策略转化为具象化安全规则，还包括：在所述安全策略、所述转发规则和/或所述流规则出现变更时，提取变更后的所述安全策略、所述转发规则和/或所述流规则；基于预设的网络行为特征提取策略，分别从所述变更后的所述安全策略、所述转发规则和所述流规则中提取网络行为特征。4.根据权利要求1所述的方法，其特征在于，所述基于预设的数据结构，编码并存储所述安全规则、所述转发规则和所述流规则，并计算每条规则的实际作用域，包括：将每条规则基于任意多个字段的matchfield编码为唯一的匹配域逻辑谓词；从所述每条规则的匹配域逻辑谓词中剔除优先级更高的流规则已覆盖的范围，得到所述每条规则的实际作用域逻辑谓词；分别建立所述安全规则、所述转发规则和所述流规则与所述实际作用域逻辑谓词之间的双向映射关系。5.根据权利要求1所述的方法，其特征在于，在通过所述预先建立的网络拓扑‑硬件设备‑逻辑功能网络行为模型，模拟数据包在网络中的实际行为及符合安全策略要求的安全行为，识别不安全网络行为，并溯源至造成该行为的不安全网络规则之前，还包括：根据所述预设的软件定义网络控制器信息确定硬件设备的种类、数量，并根据所述硬件设备的种类和数量建立硬件间拓扑关系，得到网络拓扑模型；构建硬件内的每个逻辑功能模块，为每个数据包及其对应的逻辑操作建立映射，得到逻辑功能模型；根据网络实际行为和网络安全行为，建立逻辑功能间及逻辑功能逻辑端口与所述硬件2CN115913650A权利要求书2/2页设备物理端口间的映射关系和连接关系，得到硬件设备模型；根据所述网络拓扑模型、所述逻辑功能模型和所述硬件设备模型得到所述预先建立的网络拓扑‑硬件设备‑逻辑功能网络行为模型。6.根据权利要求1所述的方