本發(fā)明涉及一種基于SDN控制器網(wǎng)絡(luò)威脅快速感知方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)科技的飛速發(fā)展，人類已步入信息時(shí)代，信息技術(shù)極大地推進(jìn)了社會(huì)變革以及人類生活方式轉(zhuǎn)變的速度，促進(jìn)了人類信息的高效共享。然而，現(xiàn)有互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)相對(duì)僵化，其控制邏輯和數(shù)據(jù)層面垂直耦合的特征，導(dǎo)致高效的網(wǎng)絡(luò)或服務(wù)管理成為現(xiàn)有互聯(lián)網(wǎng)的一大難題。隨著未來網(wǎng)絡(luò)技術(shù)研究的不斷進(jìn)步，軟件定義網(wǎng)絡(luò)技術(shù)成為解決上述難題的主流選擇方案[1]。SDN網(wǎng)絡(luò)技術(shù)通過將網(wǎng)絡(luò)的數(shù)據(jù)平面和控制層面解耦合，即通過將網(wǎng)絡(luò)的控制邏輯從路由器或交換機(jī)中剝離出來，達(dá)到對(duì)網(wǎng)絡(luò)或服務(wù)高效管理和動(dòng)態(tài)配置的目的[2]，極大地推動(dòng)了信息網(wǎng)絡(luò)技術(shù)的進(jìn)展

現(xiàn)有信息網(wǎng)絡(luò)控制和數(shù)據(jù)層面垂直耦合導(dǎo)致配置復(fù)雜、對(duì)網(wǎng)絡(luò)失效反應(yīng)慢等，難以滿足“高速”、“高效”、“海量”、“泛在”等通信需求。SDN作為一種新型網(wǎng)絡(luò)架構(gòu)通過將網(wǎng)絡(luò)的數(shù)據(jù)平面和控制層面解耦合，達(dá)到對(duì)網(wǎng)絡(luò)或服務(wù)高效管理和動(dòng)態(tài)配置的目的，極大地推動(dòng)了信息網(wǎng)絡(luò)技術(shù)的進(jìn)展。然而，伴隨著各種新型網(wǎng)絡(luò)威脅在數(shù)量和復(fù)雜性上的快速發(fā)展，主流網(wǎng)絡(luò)攻擊類型也由松散的個(gè)體攻擊進(jìn)化為協(xié)同式團(tuán)體攻擊，迫使網(wǎng)絡(luò)界尋求更先進(jìn)的網(wǎng)絡(luò)威脅檢測(cè)方案，以保障網(wǎng)絡(luò)服務(wù)的可靠性。在通常的網(wǎng)絡(luò)威脅中，攻擊流量占據(jù)的比例非常小，即使是攻擊流量，攻擊特征字在整個(gè)攻擊流量中占據(jù)的比例也非常小。因此，如何從海量網(wǎng)絡(luò)數(shù)據(jù)中快速感知網(wǎng)絡(luò)威脅并識(shí)別網(wǎng)絡(luò)攻擊流量，成為現(xiàn)有網(wǎng)絡(luò)安全研究領(lǐng)域的難題。

美國斯坦福大學(xué)展開了有關(guān)用于軟件定義網(wǎng)絡(luò)的OpenFlow協(xié)議、控制器可伸縮性、監(jiān)測(cè)調(diào)試工具鏈、網(wǎng)絡(luò)虛擬化等方面的研究。國內(nèi)側(cè)重于網(wǎng)絡(luò)源地址有效性驗(yàn)證、網(wǎng)絡(luò)安全和無線嵌入式OpenFlow/MPLS技術(shù)，基于軟件定義網(wǎng)絡(luò)協(xié)議OpenFlow的統(tǒng)一控制面的研究。目前,網(wǎng)絡(luò)攻擊檢測(cè)算法可分為基于異常檢測(cè)和濫用檢測(cè)等。濫用檢測(cè)從已知的網(wǎng)絡(luò)數(shù)據(jù)攻擊包中提取攻擊特征，并根據(jù)一定的標(biāo)準(zhǔn)將這些攻擊特征整理成一條條的規(guī)則，然后抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析。數(shù)據(jù)包的某些特征與檢測(cè)規(guī)則庫中某條規(guī)則完全匹配時(shí)，則認(rèn)為該網(wǎng)絡(luò)數(shù)據(jù)包是攻擊包?；诋惓z測(cè)是從抓獲的網(wǎng)絡(luò)數(shù)據(jù)包中提取特征，然后與正常網(wǎng)絡(luò)數(shù)據(jù)集特征進(jìn)行分析，如果經(jīng)過算法處理之后的數(shù)據(jù)與正常網(wǎng)絡(luò)數(shù)據(jù)的輪廓產(chǎn)生了偏離，系統(tǒng)就會(huì)判定當(dāng)前的網(wǎng)絡(luò)數(shù)據(jù)包是攻擊數(shù)據(jù)包，然后對(duì)攻擊數(shù)據(jù)包做出告警響應(yīng)和攔截等。

但是，現(xiàn)有方法中采用的軟件定義網(wǎng)絡(luò)的研究大多集中在架構(gòu)層面的控制層和數(shù)據(jù)層機(jī)制設(shè)計(jì)，但有關(guān)其安全檢測(cè)技術(shù)的研究卻鮮有涉及。然而，安全性是保障任何新興信息網(wǎng)絡(luò)技術(shù)部署和應(yīng)用的前提和基礎(chǔ)，現(xiàn)有通信與網(wǎng)絡(luò)測(cè)試技術(shù)均針對(duì)傳統(tǒng)信息網(wǎng)絡(luò)架構(gòu)進(jìn)行設(shè)計(jì)和開發(fā)，現(xiàn)有的濫用檢測(cè)算法在模式規(guī)則很多的情況下，算法表現(xiàn)出來的性能將會(huì)非常差；基于異常檢測(cè)的最嚴(yán)重的問題就是誤報(bào)率很高。其原始設(shè)計(jì)出發(fā)點(diǎn)和適用場(chǎng)景均難以適配軟件定義網(wǎng)絡(luò)的測(cè)試需求。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提出了一種基于SDN控制器網(wǎng)絡(luò)威脅快速感知方法，針對(duì)網(wǎng)絡(luò)空間安全測(cè)試需求，圍繞高速網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全問題，以協(xié)同感知技術(shù)和虛擬化技術(shù)為基礎(chǔ)，原創(chuàng)性、系統(tǒng)性地創(chuàng)建軟件定義的分布式網(wǎng)絡(luò)威脅檢測(cè)體系理論，提出網(wǎng)絡(luò)威脅快速感知和識(shí)別機(jī)制與方法，有效滿足未來軍用信息網(wǎng)絡(luò)架構(gòu)的安全測(cè)試需求。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

一種基于SDN控制器網(wǎng)絡(luò)威脅快速感知方法，包括以下步驟：

(1)利用網(wǎng)絡(luò)資源動(dòng)態(tài)感知網(wǎng)絡(luò)狀態(tài)信息；

(2)基于博弈決策算法、行為匹配機(jī)制將其與控制層收集到的全網(wǎng)狀態(tài)信息進(jìn)行博弈決策，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的協(xié)同檢測(cè)，生成網(wǎng)絡(luò)安全事件行為描述信息；

(3)根據(jù)收集到的網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)安全事件行為描述信息，綜合歷史記錄，做出智慧決策，最終判別出網(wǎng)絡(luò)威脅事件的存在性及危害等級(jí)。

所述步驟(2)中，具體包括：

(2-1)通過與數(shù)據(jù)層的交互消息，感知所管轄網(wǎng)絡(luò)設(shè)備的反應(yīng)速度，根據(jù)其掌握的網(wǎng)絡(luò)全局視圖，動(dòng)態(tài)判斷出可能發(fā)生網(wǎng)絡(luò)威脅事件的網(wǎng)絡(luò)設(shè)備具體位置和數(shù)量；

(2-2)利用網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，感知網(wǎng)絡(luò)流量的具體特征，檢測(cè)異常流量，并實(shí)時(shí)預(yù)警；

(2-3)利用網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量時(shí)，發(fā)現(xiàn)自身資源被某些惡意流量嚴(yán)重消耗，繼而發(fā)送狀態(tài)信息進(jìn)行通告，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的通告；

所述步驟(2)還包括利用網(wǎng)絡(luò)安全中間件根據(jù)自身安全策略，主動(dòng)匯報(bào)網(wǎng)絡(luò)異常事件到控制中心，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的預(yù)警和檢測(cè)。

所述網(wǎng)絡(luò)安全中間件為殺毒軟件、防火墻等。

所述步驟(2)中，首先引入網(wǎng)絡(luò)威脅的精確表征和分類機(jī)制，采用網(wǎng)絡(luò)安全事件行為描述對(duì)網(wǎng)絡(luò)威脅類型、威脅等級(jí)、拓?fù)湮恢眠M(jìn)行刻畫，具體定義如下：

BDSC∈{S^T,S^D,S^L} (1)

上式中，S代表某網(wǎng)絡(luò)安全事件/網(wǎng)絡(luò)威脅，S的上標(biāo)T、D、L分別代表網(wǎng)絡(luò)安全事件類型描述、威脅等級(jí)描述和網(wǎng)絡(luò)拓?fù)湮恢妹枋觥?/p>

所述步驟(2)中，引入行為匹配機(jī)制，定義行為差異度的行為比較準(zhǔn)則，行為差異度使用閔可夫斯基距離來表示，具體如下：

$D\left(b\right(m),b(n\left)\right)={\[\underset{k}{\Σ}|{\mathrm{\μ}}_k\left(m\right)-{\mathrm{\μ}}_k\left(n\right){|}^q\]}^{\frac{1}{q}}---\left(2\right)$

公式(2)中，b(m)和b(n)分別表示網(wǎng)絡(luò)安全事件m和n的BDSC信息，D(b(m),b(n))代表網(wǎng)絡(luò)安全事件行為描述b(m)和b(n)之間的差異度；μk(m)和μk(n)分別表示絡(luò)安全事件行為描述b(m)和b(n)的第k個(gè)分量，q代表閔可夫斯基距離的參數(shù)。

所述步驟(2)中，定義行為貼近度的行為比較準(zhǔn)則，行為貼近度參照模糊數(shù)學(xué)中對(duì)貼近度的描述，通過引入模糊內(nèi)積和模糊外積的概念進(jìn)行綜合表示，其具體形式如下：

公式(3)中，∧和∨分別代表網(wǎng)絡(luò)安全事件行為描述中取各分量的較小值和較大值，S(b(m),b(n))代表網(wǎng)絡(luò)安全事件行為描述b(m)和b(n)之間的貼近度。

一種基于SDN控制器網(wǎng)絡(luò)威脅快速感知系統(tǒng)，包括控制層和數(shù)據(jù)層，所述控制層包括控制中心，所述數(shù)據(jù)層包括多個(gè)網(wǎng)絡(luò)測(cè)試設(shè)備；

所述網(wǎng)絡(luò)測(cè)試設(shè)備，被配置為收集網(wǎng)絡(luò)資源使用率信息、流量特征信息，并將感知的狀態(tài)信息傳輸給控制中心，所述控制中心，利用博弈決策算法、行為匹配機(jī)制將其與控制層收集到的全網(wǎng)狀態(tài)信息進(jìn)行博弈決策，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的協(xié)同檢測(cè)，最終判定出網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)安全事件的具體特征，并對(duì)其進(jìn)行實(shí)時(shí)預(yù)警。

所述網(wǎng)絡(luò)測(cè)試設(shè)備，包括路由器、服務(wù)器、交換機(jī)或/和防火墻。

所述數(shù)據(jù)層的網(wǎng)絡(luò)測(cè)試為分布式結(jié)構(gòu)。

本發(fā)明的有益效果為：

(1)本發(fā)明提出了“兩層”、“兩域”的軟件定義的分布式網(wǎng)絡(luò)威脅檢測(cè)機(jī)制與理論模型：數(shù)據(jù)層負(fù)責(zé)各種網(wǎng)絡(luò)設(shè)備的狀態(tài)感知并生成網(wǎng)絡(luò)狀態(tài)描述；控制層負(fù)責(zé)生成網(wǎng)絡(luò)安全事件行為描述并匯報(bào)給控制中心；實(shí)體域設(shè)計(jì)數(shù)據(jù)層和控制層網(wǎng)絡(luò)設(shè)備；行為域負(fù)責(zé)對(duì)各種網(wǎng)絡(luò)設(shè)備狀態(tài)以及網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)安全事件特征進(jìn)行行為描述，達(dá)到精確刻畫網(wǎng)絡(luò)狀態(tài)的目的。

(2)本發(fā)明創(chuàng)新性地引入控制層與數(shù)據(jù)層智慧協(xié)作分布式安全檢測(cè)機(jī)制，并通過博弈決策算法、行為匹配機(jī)制將其與控制層收集到的全網(wǎng)狀態(tài)信息進(jìn)行博弈決策，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的協(xié)同檢測(cè)，最終判定出網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)安全事件的具體特征，使網(wǎng)絡(luò)更安全、可靠。

附圖說明

圖1是網(wǎng)絡(luò)安全檢測(cè)體系工作流程示意圖；

圖2是分布式網(wǎng)絡(luò)威脅檢測(cè)架構(gòu)示意圖。

具體實(shí)施方式：

下面結(jié)合附圖與實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明。

如圖1所示，本發(fā)明提出的軟件定義的分布式網(wǎng)絡(luò)威脅檢測(cè)機(jī)制與理論模型包含“兩層”、“兩域”：數(shù)據(jù)層主要負(fù)責(zé)路由器、交換機(jī)、防火墻、服務(wù)器等各種網(wǎng)絡(luò)設(shè)備的狀態(tài)感知并生成網(wǎng)絡(luò)狀態(tài)描述；控制層主要負(fù)責(zé)生成網(wǎng)絡(luò)安全事件行為描述并匯報(bào)給控制中心；實(shí)體域設(shè)計(jì)各種數(shù)據(jù)層和控制層網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)、防火墻、控制中心等；行為域負(fù)責(zé)對(duì)各種網(wǎng)絡(luò)設(shè)備狀態(tài)以及網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)安全事件特征進(jìn)行行為描述，達(dá)到精確刻畫網(wǎng)絡(luò)狀態(tài)的目的。

如圖2所示，本發(fā)明創(chuàng)新性地引入控制層與數(shù)據(jù)層智慧協(xié)作分布式安全檢測(cè)機(jī)制，通過分布于網(wǎng)絡(luò)各處的路由器、防火墻、服務(wù)器、交換機(jī)等網(wǎng)絡(luò)設(shè)備收集網(wǎng)絡(luò)數(shù)據(jù)層“零碎”的各種網(wǎng)絡(luò)資源使用率信息、流量特征信息等，并通過適當(dāng)?shù)牟┺臎Q策算法、行為匹配機(jī)制將其與控制層收集到的全網(wǎng)狀態(tài)信息進(jìn)行博弈決策，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的協(xié)同檢測(cè)，最終判定出網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)安全事件的具體特征，使網(wǎng)絡(luò)更安全、可靠。

分布式安全檢測(cè)機(jī)制的基本工作流程為：

首先，通過合理利用各種網(wǎng)絡(luò)資源(如路由器、防火墻等)動(dòng)態(tài)感知網(wǎng)絡(luò)狀態(tài)信息；

其次，通過合理的博弈決策算法，智能生成網(wǎng)絡(luò)安全事件行為描述信息匯報(bào)給網(wǎng)絡(luò)操作系統(tǒng)即控制中心；

最后，控制中心根據(jù)收集到的網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)安全事件行為描述信息，綜合歷史記錄等知識(shí)庫信息，做出智慧決策，最終判別出網(wǎng)絡(luò)威脅事件的存在性及危害等級(jí)等。

軟件定義的網(wǎng)絡(luò)威脅檢測(cè)體系可方便地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的動(dòng)態(tài)感知和識(shí)別，主要包含以下幾個(gè)步驟：

步驟1控制中心(如圖1)通過與數(shù)據(jù)層的交互消息，智慧感知所管轄網(wǎng)絡(luò)設(shè)備的反應(yīng)速度，根據(jù)其掌握的網(wǎng)絡(luò)全局視圖，動(dòng)態(tài)判斷出可能發(fā)生網(wǎng)絡(luò)威脅事件的網(wǎng)絡(luò)設(shè)備具體位置和數(shù)量等；

步驟2數(shù)據(jù)層網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，感知網(wǎng)絡(luò)流量的具體特征(如發(fā)往某個(gè)位置某個(gè)端口的流量異常多)，并適時(shí)通告控制中心進(jìn)行預(yù)警；

步驟3數(shù)據(jù)層網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量時(shí)，發(fā)現(xiàn)自身處理器、帶寬、流表存儲(chǔ)空間等資源被某些惡意流量嚴(yán)重消耗，繼而發(fā)送狀態(tài)信息通告控制中心，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的通告；

步驟4防火墻等網(wǎng)絡(luò)中間件根據(jù)自身安全策略，主動(dòng)匯報(bào)網(wǎng)絡(luò)異常事件到控制中心，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的預(yù)警和檢測(cè)。

本發(fā)明首先引入網(wǎng)絡(luò)威脅的精確表征和分類機(jī)制，采用網(wǎng)絡(luò)安全事件行為描述(Behavior Description for Security Cases，簡稱BDSC)對(duì)網(wǎng)絡(luò)威脅類型、威脅等級(jí)、拓?fù)湮恢玫冗M(jìn)行統(tǒng)一、精確、全面刻畫，其具體定義如下：

BDSC∈{S^T,S^D,S^L} (1)

上式中，S代表某網(wǎng)絡(luò)安全事件/網(wǎng)絡(luò)威脅，S的上標(biāo)T、D、L分別代表網(wǎng)絡(luò)安全事件類型描述、威脅等級(jí)描述、網(wǎng)絡(luò)拓?fù)湮恢妹枋觥Ｆ渲芯W(wǎng)絡(luò)安全事件的類型包括針對(duì)SDN控制器的攻擊、針對(duì)網(wǎng)絡(luò)路由器的攻擊、針對(duì)網(wǎng)絡(luò)防火墻的攻擊、針對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊等；威脅等級(jí)暫定為嚴(yán)重、較嚴(yán)重、一般、忽略四個(gè)等級(jí)；網(wǎng)絡(luò)拓?fù)湮恢么砭W(wǎng)絡(luò)威脅在網(wǎng)絡(luò)何處被檢測(cè)到，即檢測(cè)到網(wǎng)絡(luò)安全事件的一個(gè)或多個(gè)網(wǎng)絡(luò)設(shè)備的位置標(biāo)識(shí)信息(例如，針對(duì)傳統(tǒng)的IPv4互聯(lián)網(wǎng)而言，位置標(biāo)識(shí)即IP地址)。

基于上述網(wǎng)絡(luò)安全事件行為描述，定義的網(wǎng)絡(luò)威脅檢測(cè)體系可方便地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的動(dòng)態(tài)感知和識(shí)別，具體步驟參見具體實(shí)施方法的步驟1到步驟4。

另外，軟件定義的控制中心在檢測(cè)到網(wǎng)絡(luò)安全事件后，可通過重新配置對(duì)應(yīng)位置路由器的轉(zhuǎn)發(fā)流表或防火墻的過濾規(guī)則，快速、有效地抑制網(wǎng)絡(luò)威脅的危害。

為實(shí)現(xiàn)上述博弈決策算法，本發(fā)明引入行為匹配機(jī)制，具體定義兩種行為比較準(zhǔn)則：行為差異度和行為貼近度。

行為差異度使用閔可夫斯基(Minkowski)距離來表示，具體如下：

$D\left(b\right(m),b(n\left)\right)={\[\underset{k}{\Σ}|{\mathrm{\μ}}_k\left(m\right)-{\mathrm{\μ}}_k\left(n\right){|}^q\]}^{\frac{1}{q}}---\left(2\right)$

公式(2)中，b(m)和b(n)分別表示網(wǎng)絡(luò)安全事件m和n的BDSC信息，D(b(m),b(n))代表網(wǎng)絡(luò)安全事件行為描述b(m)和b(n)之間的差異度；μk(m)和μk(n)分別表示絡(luò)安全事件行為描述b(m)和b(n)的第k個(gè)分量(此處k＝3，因?yàn)楸卷?xiàng)目中BDSC包含類型描述、威脅等級(jí)描述、網(wǎng)絡(luò)拓?fù)湮恢妹枋?，q代表閔可夫斯基距離的參數(shù)。

行為貼近度可以參照模糊數(shù)學(xué)中對(duì)貼近度的描述，通過引入模糊內(nèi)積和模糊外積的概念進(jìn)行綜合表示，其具體形式如下：

公式(3)中，∧和∨分別代表網(wǎng)絡(luò)安全事件行為描述中取各分量(類型描述、威脅等級(jí)描述、網(wǎng)絡(luò)拓?fù)湮恢妹枋龅?的較小值和較大值，S(b(m),b(n))代表網(wǎng)絡(luò)安全事件行為描述b(m)和b(n)之間的貼近度。

定義的分布式網(wǎng)絡(luò)威脅檢測(cè)技術(shù)體系可以根據(jù)行為差異度和行為貼近度判斷網(wǎng)絡(luò)威脅，進(jìn)行網(wǎng)絡(luò)威脅檢測(cè)。

上述雖然結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行了描述，但并非對(duì)本發(fā)明保護(hù)范圍的限制，所屬領(lǐng)域技術(shù)人員應(yīng)該明白，在本發(fā)明的技術(shù)方案的基礎(chǔ)上，本領(lǐng)域技術(shù)人員不需要付出創(chuàng)造性勞動(dòng)即可做出的各種修改或變形仍在本發(fā)明的保護(hù)范圍以內(nèi)。