一種基于sdn的多域網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理領(lǐng)域���,確切地說設(shè)及一種基于SDN的多域網(wǎng)絡(luò)中 網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型及方法�。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)安全問題一直存在�����,應(yīng)對(duì)安全威脅的軟硬件措施也已經(jīng)廣泛應(yīng)用���。然而網(wǎng)絡(luò) 管理人員卻在面對(duì)大量的威脅檢測(cè)數(shù)據(jù)的時(shí)候,不能快速準(zhǔn)確的提取出有用信息進(jìn)行網(wǎng)絡(luò) 安全管理決策�。為此研究人員將最先出現(xiàn)在航空領(lǐng)域的態(tài)勢(shì)感知技術(shù)應(yīng)用于網(wǎng)絡(luò),提出了 網(wǎng)絡(luò)安全態(tài)勢(shì)感知�����,其主要目的就是從多元的安全信息中提取�����、精煉�����、融合生成宏觀層面的 網(wǎng)絡(luò)安全信息,幫助管理人員及時(shí)處理網(wǎng)絡(luò)中出現(xiàn)的各類安全問題��。
[0003][0004] SDN最早起源于斯坦福大學(xué)的clean state項(xiàng)目,它是一種創(chuàng)新的網(wǎng)絡(luò)體系架構(gòu)���, 其核屯、思想是把轉(zhuǎn)發(fā)平面和控制平面解禪�����,通過集中式的控制器并使用標(biāo)準(zhǔn)的接口對(duì)各種 不同的網(wǎng)絡(luò)設(shè)備進(jìn)行管理���。目前�,OpenFlow作為標(biāo)準(zhǔn)的接口已經(jīng)得到廣泛使用,中屯����、控制器 通過化enFlow協(xié)議實(shí)現(xiàn)對(duì)物理交換機(jī)的精細(xì)化監(jiān)測(cè)和管理��。同時(shí),SDN具有天然的網(wǎng)絡(luò)虛擬 化的優(yōu)勢(shì)����,特別是對(duì)于數(shù)據(jù)中屯、的網(wǎng)絡(luò)虛擬化應(yīng)用��。出于部署的要求�����,虛擬化要求具有集中 式控制的網(wǎng)絡(luò)架構(gòu)���,而SDN網(wǎng)絡(luò)恰恰就是一種集中式管理的網(wǎng)絡(luò)架構(gòu)����。
[000引通過上述【背景技術(shù)】的描述,可知現(xiàn)有的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型���,并未與SDN技術(shù)相 結(jié)合��,針對(duì)W公開號(hào)為103581186A專利文獻(xiàn)為代表的傳統(tǒng)網(wǎng)絡(luò)內(nèi)是基于數(shù)據(jù)包或者數(shù)據(jù) 包整合流的流量信息來說�����,既需要路由器對(duì)化tFlow的軟件支持�����,還需要交換機(jī)中額外配置 硬件忍片對(duì)sFlow的支持�,成本高而又布置不方便�����。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明旨在針對(duì)上述現(xiàn)有技術(shù)所存在的缺陷和不足��,提供一種基于SDN的多域網(wǎng) 絡(luò)安全態(tài)勢(shì)感知模型,本發(fā)明利用化enFlow中流表機(jī)制��,控制器能更加實(shí)時(shí)高效的獲取運(yùn) 些網(wǎng)絡(luò)流量信息�����,并且不增加額外網(wǎng)絡(luò)負(fù)載�。運(yùn)相比傳統(tǒng)網(wǎng)絡(luò)內(nèi)基于數(shù)據(jù)包或者數(shù)據(jù)包整 合流的流量信息來說,既不需要路由器對(duì)化tFlow的軟件支持��,也不需要交換機(jī)中額外配置 硬件忍片對(duì)sFlow的支持����,使得該系統(tǒng)既節(jié)約成本又部署方便。
[0007] 同時(shí)���,本發(fā)明提供了該多域網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的感知方法�。
[0008] 本發(fā)明是通過采用下述技術(shù)方案實(shí)現(xiàn)的: 一種基于SDN的多域網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型,其特征在于包括:流數(shù)據(jù)提取模塊���,流數(shù) 據(jù)異常檢測(cè)模塊��,安全態(tài)勢(shì)要素提取模塊���,安全態(tài)勢(shì)評(píng)估模塊和網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估知識(shí)庫����。
[0009] 所述流數(shù)據(jù)提取模塊����,用來針對(duì)主干網(wǎng)和各網(wǎng)絡(luò)域分別提取其網(wǎng)絡(luò)流信息,完成 數(shù)據(jù)采集和特征提取工作�。
[0010] 網(wǎng)絡(luò)流是指在網(wǎng)絡(luò)流量中具有相同屬性的數(shù)據(jù)包集合�����,例如具有相同目的IP地址 屬性的網(wǎng)絡(luò)流���,具體情況中屬性可W按需要指定甚至進(jìn)行屬性組合;網(wǎng)絡(luò)流的概念在SDN網(wǎng) 絡(luò)中有很具體的實(shí)體對(duì)應(yīng)一一流表(項(xiàng));控制器只要查看該交換機(jī)上的所有流表項(xiàng)W及它 們匹配數(shù)據(jù)包的次數(shù)����,很容易就能獲得并整理出通過該交換機(jī)的網(wǎng)絡(luò)流信息,完成數(shù)據(jù)采 集工作;為系統(tǒng)的檢測(cè)需要�����,具體實(shí)現(xiàn)時(shí)���,該模塊分別從主干網(wǎng)交換機(jī)和各網(wǎng)絡(luò)域出口處的 交換機(jī)中提取出網(wǎng)絡(luò)流數(shù)據(jù)信息,并且W運(yùn)些主干網(wǎng)和各網(wǎng)絡(luò)域?yàn)閿?shù)據(jù)組織單元�,統(tǒng)計(jì)它 們的流的概率分布并計(jì)算運(yùn)些概率的香農(nóng)賭W及標(biāo)準(zhǔn)化,完成特征提取工作�。香農(nóng)賭的計(jì) 算公式為
�。把主干網(wǎng)絡(luò)流和各網(wǎng)絡(luò)域流量分開來提取特征是為 了在下面的流量異常檢測(cè)模塊中對(duì)它們進(jìn)行有針對(duì)性的檢測(cè)�����。該數(shù)據(jù)采集模塊按時(shí)間窗口 周期采集數(shù)據(jù)并W此來驅(qū)動(dòng)整個(gè)系統(tǒng)的運(yùn)行�。
[0011] 所述流數(shù)據(jù)異常檢測(cè)模塊��,根據(jù)流數(shù)據(jù)提取模塊所得到的數(shù)據(jù)特征����,對(duì)主干網(wǎng)和 各網(wǎng)絡(luò)域的流數(shù)據(jù)分別使用不同粒度的檢測(cè)模型進(jìn)行檢測(cè),檢測(cè)有無網(wǎng)絡(luò)安全事件發(fā)生并 判斷其類別和具體安全事件。
[0012] 利用貝葉斯網(wǎng)絡(luò)分類算法對(duì)主干網(wǎng)流數(shù)據(jù)的特征向量進(jìn)行網(wǎng)絡(luò)安全事件檢測(cè)��,檢 測(cè)結(jié)果為安全事件的類別���,比如RemotFilAccess���、Dos或正常等;利用決策樹C4.5分類算法 對(duì)各安全域流數(shù)據(jù)的特征向量進(jìn)行網(wǎng)絡(luò)安全事件的檢測(cè)���,檢測(cè)結(jié)果是具體的安全事件本 身��,比如 Land���、PS、Fl:pW;rite 等。
[0013] 所述安全態(tài)勢(shì)要素提取模塊���,用來從流數(shù)據(jù)異常檢測(cè)模塊的檢測(cè)結(jié)果中,提取出 安全威脅和安全防御兩方面的態(tài)勢(shì)要素�����。
[0014] 由流數(shù)據(jù)異常檢測(cè)結(jié)果,按照安全態(tài)勢(shì)要素的設(shè)計(jì)和計(jì)算公式計(jì)算各要素值����,為 下面的安全態(tài)勢(shì)評(píng)估指標(biāo)的計(jì)算提供數(shù)據(jù)。該模塊從主干網(wǎng)流量檢測(cè)結(jié)果與各安全域流量 檢測(cè)結(jié)果的對(duì)比中W及各安全域入流量與出流量的檢測(cè)結(jié)果對(duì)比中,提取態(tài)勢(shì)要素�����,并計(jì) 算該要素值。
[0015] 所述安全態(tài)勢(shì)評(píng)估模塊�����,主要用來把表示網(wǎng)絡(luò)安全狀態(tài)的要素信息轉(zhuǎn)換為安全態(tài) 勢(shì)知識(shí)�����,通過指標(biāo)的定量描述來實(shí)現(xiàn)系統(tǒng)態(tài)勢(shì)感知的目標(biāo)��。
[0016] 具體過程是按照所制定的安全態(tài)勢(shì)評(píng)估指標(biāo)體系,對(duì)態(tài)勢(shì)要素信息進(jìn)行分析����、統(tǒng) 計(jì)��、融合���、計(jì)算�����,最終得到安全威脅與安全防御兩個(gè)方面安全態(tài)勢(shì)評(píng)估指標(biāo)的數(shù)據(jù)值�����。運(yùn)些 數(shù)據(jù)值從全局視角近實(shí)時(shí)地反映網(wǎng)絡(luò)的安全狀態(tài)和變化趨勢(shì)���,從而為網(wǎng)絡(luò)安全管理提供決 策依據(jù)。該模塊也包括所選擇的安全態(tài)勢(shì)評(píng)估指標(biāo)體系����。
[0017] 所述網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估知識(shí)庫�,首先是實(shí)時(shí)地存儲(chǔ)由異常檢測(cè)模塊得到的檢測(cè)結(jié) 果并為各安全態(tài)勢(shì)要素和安全態(tài)勢(shì)指標(biāo)的計(jì)算提供數(shù)據(jù)����,其次也是整個(gè)評(píng)估系統(tǒng)的歷史知 識(shí)的積累���,從而使系統(tǒng)能夠更加準(zhǔn)確和及時(shí)地對(duì)檢測(cè)到的安全威脅進(jìn)行分析判斷并且對(duì)出 現(xiàn)的新情況更快做出響應(yīng)��。
[0018] 知識(shí)庫的數(shù)據(jù)會(huì)在舊時(shí)間窗口結(jié)束后根據(jù)流異常檢測(cè)結(jié)果而動(dòng)態(tài)更新�,并且基于 態(tài)勢(shì)要素提取w及態(tài)勢(shì)指標(biāo)計(jì)算時(shí)所需訪問的信息進(jìn)行設(shè)計(jì),具體也w數(shù)據(jù)庫的形式存 在���。數(shù)據(jù)庫中的信息表分別從全局網(wǎng)絡(luò)、安全域網(wǎng)絡(luò)��、攻擊事件等角度存儲(chǔ)網(wǎng)絡(luò)安全態(tài)勢(shì)的 基本信息����,其中主要的表:全網(wǎng)基本信息表�,主要記錄所管理的整個(gè)網(wǎng)絡(luò)在每個(gè)時(shí)間窗口的 一些統(tǒng)計(jì)信息;各個(gè)網(wǎng)絡(luò)域信息表����,主要記錄該網(wǎng)絡(luò)域在一個(gè)時(shí)間窗口的流量檢測(cè)結(jié)果;攻 擊信息表�,主要W每一次攻擊為主鍵記錄網(wǎng)絡(luò)域?qū)用娴墓舻脑夹畔ⅰ?br>[0019] -種基于SDN的多域網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的感知方法��,其特征在于步驟如下: 步驟1).在當(dāng)前時(shí)間窗口結(jié)束時(shí)刻��,控制器從主干網(wǎng)交換機(jī)和各安全域出口處的SDN交 換機(jī)中提取出現(xiàn)成的所有網(wǎng)絡(luò)流實(shí)體���; 步驟2).流數(shù)據(jù)提取模塊分別對(duì)主干網(wǎng)和各安全域的流數(shù)據(jù)進(jìn)行各自的流的統(tǒng)計(jì)��,統(tǒng) 計(jì)依據(jù)為按需定義;對(duì)流的概率統(tǒng)計(jì);然后計(jì)算運(yùn)些概率的香農(nóng)賭值并且進(jìn)行標(biāo)準(zhǔn)化�����,最后 W向量的形式組合運(yùn)些統(tǒng)計(jì)信息形成流數(shù)據(jù)的特征向量�����。
[0020] 步驟3).流數(shù)據(jù)異常檢測(cè)模塊采用貝葉斯網(wǎng)絡(luò)分類算法對(duì)主干網(wǎng)流數(shù)據(jù)的特征向 量進(jìn)行網(wǎng)絡(luò)安全事件檢測(cè)并判別種類;檢測(cè)結(jié)果是安全事件所屬類別;記錄每個(gè)