SDN恶意交换机检测是SDN网络安全领域新兴研究,同时也是SDN网络安全防御不可或缺的一环,其目的是检测SDN交换机的恶意转发行为,并找出产生恶意行为的交换机。现有的SDN恶意交换机恶意转发行为检测技术手段主要依赖基于OpenFlow流表计数器统计信息提取的统计方法,和基于主动流探测的流量追踪方法两种数据平面信息提取技术。前者侧重对数据平面整体转发统计量的监测,从而发现恶意转发行为在统计量上的表现,然而监测的信息比较单一,难以监测多种恶意行为;后者侧重对单条数据流的转发情况追踪,主动分析数据流在流经SDN网络中产生的变化,但难以对SDN数据平面所有流量进行检测。此外,在SDN多恶意交换机位置检测方面,目前存在排除可疑交换机和排除非可疑交换机从而缩小观察范围来确定恶意交换机位置的研究方法,该方法假定恶意交换机的恶意行为持续稳定存在,并试图精确指出恶意交换机所在位置,在实际应用中不具备实用价值,不能有效应对现实情况下多个恶意交换机联合“作案”的情况。随着SDN网络部署与应用的日益广泛,SDN安全问题日益严重,迫切需要能够有效检测到SDN中恶意转发行为以及定位恶意交换机的技术手段。为此,本文重点研究SDN网络环境下多种恶意转发行为的新型检测技术与多恶意交换机勾连情况下的恶意交换机定位技术。主要贡献包括:1.提出基于均匀散列采样的数据平面转发行为信息提取技术sFlow-UHS当前用于SDN恶意转发行为检测的数据平面转发信息提取技术包括基于OpenFlow流表计数器统计信息提取技术和主动流探测。这些技术虽然在复杂度和精确度上不断有所改进,但难以在全网范围内检测多种恶意行为。在深入分析了恶意转发行为特征对应的数据平面转发信息的需求后,提出一种SDN网络中适应恶意转发行为检测的基于sFlow的均匀散列采样技术sFlow-UHS。sFlow-UHS所提取的信息可满足转发行为的数量统计特征、数据包完整性特征以及包序列完整性特征,并且在全网部署的情况下对网络性能影响较小。实验结果表明,sFlow-UHS能够有效检测出丢包、流量修改以及流量乱序行为。2.提出基于隐蔽流标签和随机采样的数据流转发追踪技术CR-FTT由于上述数据平面转发信息提取技术关注的是数据流在其流路径上的转发行为,因此难以监测数据流偏离原路径的转发行为。为有效检测流量复制、流量偏路由、流量伪造这些在网络中出现在了“不该出现”的交换机上的转发行为,提出一种基于隐蔽流标签和随机采样的流轨迹追踪技术CR-FTT。借鉴在协议字段中隐蔽传输信息的隐蔽信道技术,本课题将流标签隐蔽地嵌入数据流中,通过在交换机端口随机采样的方式来发现流量复制、流量偏路由和流量伪造等异常转发行为。实验结果表明,在保证一定采样率的情况下,CR-FTT能够以较低的漏报率对流量复制、流量偏路由和流量伪造恶意行为进行有效检测。3.提出支持多种精确度的多恶意交换机离线检测模型将检测恶意交换机的问题转化为以多种精确度检测可疑子路径的问题,并引入了精确性的概念。针对不同属性的数据平面提取信息,设计了检测具有传递性提取信息的2-AADM模型和检测不具有传递性提取信息的k+2-AADM模型。这两种模型与具体信息提取技术无关,可以嵌套满足要求的数据平面转发信息提取技术。2-AADM将恶意交换机检测精确到长度为2的可疑子路径汇总,k+2-AADM模型将恶意交换机检测精确到长度为k+2的可疑子路径中。实验结果表明,2-AADM与k+2-AADM模型均能在一定精确度内有效命中多个SDN恶意交换机。4.设计并实现SDN恶意交换机检测原型系统SDN-MSD设计并实现SDN恶意交换机检测原型系统SDN-MSD,搭建典型SDN网络环境,验证了SDN-MSD系统多种恶意转发行为检测和多恶意交换机检测的能力。实验结果表明,SDN-MSD系统能够有效检测丢包、流量修改、流量乱序等多种恶意转发行为,并且结合了sFlow-UHS和2-AADM与k+2-AADM的检测系统能够以一定的精确度和较低的漏报率命中多个勾连的恶意交换机。