一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法
【專利摘要】本發(fā)明公開了一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法,結(jié)合SDN集中控制和收集信息直接、快速的優(yōu)勢,針對SDN轉(zhuǎn)發(fā)面典型的三類攻擊提出了一個開放的SDN安全態(tài)勢評估框架,該安全框架與SDN控制器的架構(gòu)緊密契合,其中異常檢測模塊根據(jù)SDN和各類攻擊特性提取特征指標(biāo),并且選取支持向量分類算法(SVM)進(jìn)行識別,給出攻擊的預(yù)判。而安全態(tài)勢評估模塊根據(jù)異常檢測模塊收集的信息對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行量化評估,并通過閾值的設(shè)置來調(diào)節(jié)評估系統(tǒng)對攻擊的敏感程度和抗噪聲能力。最后本發(fā)明對不同的攻擊基于層次分析法(AHP)分配不同的權(quán)值,從而擬合出網(wǎng)絡(luò)的綜合安全態(tài)勢值。本發(fā)明靈活、簡單,能準(zhǔn)確地檢測到攻擊行為并給出網(wǎng)絡(luò)的安全態(tài)勢量化評估,以較小的代價實(shí)現(xiàn)對SDN轉(zhuǎn)發(fā)面安全狀況的監(jiān)測和評估。
【專利說明】一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種數(shù)字信息傳輸技術(shù),具體涉及一種網(wǎng)絡(luò)安全狀況監(jiān)測評估技術(shù), 用于軟件定義網(wǎng)絡(luò)(Software Defined Network)的安全態(tài)勢評估。
【背景技術(shù)】
[0002] 隨著軟件定義網(wǎng)絡(luò)(SDN)的普及和進(jìn)一步研宄,網(wǎng)絡(luò)具有更大的靈活性、開放性 和可維護(hù)性,網(wǎng)絡(luò)開發(fā)或維護(hù)者可以將各種不同功能的應(yīng)用部署到控制器中實(shí)現(xiàn)網(wǎng)絡(luò)的持 續(xù)創(chuàng)新。一項(xiàng)重要的應(yīng)用是對網(wǎng)狀況的態(tài)勢感知,即對影響網(wǎng)絡(luò)安全的因素進(jìn)行獲取、理解 和評估,是對網(wǎng)絡(luò)安全性進(jìn)行定量分析,這在網(wǎng)絡(luò)安全監(jiān)測和防護(hù)領(lǐng)域有重要的意義。而 現(xiàn)有對SDN網(wǎng)絡(luò)安全的研宄特別是對網(wǎng)絡(luò)轉(zhuǎn)發(fā)面的研宄主要是接入認(rèn)證、簡單的入侵檢測 等,如在SDN中控制器通過TLS/SSL來認(rèn)證和授權(quán)轉(zhuǎn)發(fā)節(jié)點(diǎn)的身份以保證轉(zhuǎn)發(fā)設(shè)備身份的 可靠性以及控制器與轉(zhuǎn)發(fā)面信道的安全。SDN網(wǎng)絡(luò)除了認(rèn)證、授權(quán)外還需要對網(wǎng)絡(luò)節(jié)點(diǎn)的行 為進(jìn)行監(jiān)測、評估,以獲取網(wǎng)絡(luò)的安全態(tài)勢。傳統(tǒng)分布式網(wǎng)絡(luò)中對網(wǎng)絡(luò)安全態(tài)勢評估存在諸 多問題,首先傳統(tǒng)網(wǎng)絡(luò)除了要直接從相鄰觀節(jié)點(diǎn)觀測到的數(shù)據(jù)中得出直接信任值外還要接 收別的節(jié)點(diǎn)對特定節(jié)點(diǎn)的推薦信息,同時要確保推薦信息不被偽造,從而增加了信息收集 量和甄別的難度。另外傳統(tǒng)網(wǎng)絡(luò)在參數(shù)信息的傳遞與計(jì)算上具有空間局限性,由于分布式 網(wǎng)絡(luò)數(shù)據(jù)的收集要從局部到整體逐級傳遞,給網(wǎng)絡(luò)帶來較高的負(fù)擔(dān)和延時,難以對網(wǎng)絡(luò)的 變化進(jìn)行全面實(shí)時的監(jiān)測。而且傳統(tǒng)網(wǎng)絡(luò)中設(shè)備差異大,要收集的信息可能千差萬別,給評 估方法的建模帶來新的難度。傳統(tǒng)安全評估方案都較復(fù)雜,評估模型復(fù)雜化這對于全網(wǎng)安 全方案的升級變更帶來不便,可擴(kuò)展性差。因此現(xiàn)有網(wǎng)絡(luò)安全狀況研宄方案的缺點(diǎn)使得對 網(wǎng)絡(luò)進(jìn)行準(zhǔn)確、實(shí)時以及高效的檢測評估帶來困難。
【發(fā)明內(nèi)容】
[0003] 針對現(xiàn)有技術(shù)的不足,本發(fā)明旨在提供一種SDN網(wǎng)絡(luò)安全態(tài)勢評估方法,通過在 SDN中設(shè)置異常檢測模塊和安全態(tài)勢評估模塊,由SDN控制器負(fù)責(zé)整個網(wǎng)絡(luò)集中化的監(jiān)測 和評估,同時保證方案的簡潔、高效和較強(qiáng)的可擴(kuò)展性強(qiáng)。其中異常檢測模塊針對三類典型 網(wǎng)絡(luò)攻擊的特點(diǎn)抽取出要在SDN中進(jìn)行檢測的具體特征,并應(yīng)用SVM分類器對異常狀況進(jìn) 行分類和識別,而安全態(tài)勢評估模塊則根據(jù)得到的統(tǒng)計(jì)數(shù)據(jù)利用貝葉斯理論得到攻擊的信 任值,并且根據(jù)不同攻擊的威脅程度基于層次分析法擬合出綜合的網(wǎng)絡(luò)安全態(tài)勢值。
[0004] 為了實(shí)現(xiàn)上述目的,本發(fā)明采用如下技術(shù)方案:
[0005] 首先由異常檢測模塊給出各類攻擊的預(yù)判,然后安全態(tài)勢評估模塊在預(yù)判的基礎(chǔ) 上建立針對各類攻擊的網(wǎng)絡(luò)安全態(tài)勢,具體包括如下步驟:
[0006] 步驟1,控制器周期性地對各個轉(zhuǎn)發(fā)節(jié)點(diǎn)的網(wǎng)絡(luò)指標(biāo)參數(shù)進(jìn)行采集,異常檢測模塊 根據(jù)各類攻擊的特點(diǎn)從采集到的樣本數(shù)據(jù)中提取具體的特征指標(biāo);
[0007] 步驟2,在一段時間內(nèi)收集各類攻擊的特征指標(biāo)Y = (y。y2, . . yn),將這些特征指 標(biāo)作為訓(xùn)練集,通過支持向量機(jī)(SVM)分類器進(jìn)行訓(xùn)練:首先確定分類個數(shù)為2,即正?;?異常,分類器將所有樣本集的特征分類,計(jì)算SVM分類器中每個特征向量的相關(guān)值,并根據(jù) 這些相關(guān)值計(jì)算協(xié)方差矩陣空間,然后計(jì)算特征系數(shù),獲得模型參數(shù);最后對步驟1中的樣 本數(shù)據(jù)進(jìn)行測試分類;
[0008] 步驟3,進(jìn)行M次采樣后,統(tǒng)計(jì)出在該M次采樣中,轉(zhuǎn)發(fā)節(jié)點(diǎn)在各類攻擊下的正常次 數(shù)和異常次數(shù);
[0009] 步驟4,安全態(tài)勢評估模塊接收到所述異常檢測模塊的統(tǒng)計(jì)數(shù)據(jù)后,根據(jù)貝葉斯 理論計(jì)算出轉(zhuǎn)發(fā)節(jié)點(diǎn)在各類攻擊下的當(dāng)前信任值,以評估在各類攻擊下轉(zhuǎn)發(fā)節(jié)點(diǎn)的安全狀 況;
[0010] 步驟5,安全態(tài)勢評估模塊在步驟4中計(jì)算得出的各個信任值和不同攻擊類型對 網(wǎng)絡(luò)的不同危害程度的基礎(chǔ)上,為各類攻擊對網(wǎng)絡(luò)安全態(tài)勢的影響分配相應(yīng)的權(quán)值,并通 過擬合得到網(wǎng)絡(luò)的綜合安全態(tài)勢值。
[0011] 需要說明的是,所述攻擊類型包括TCP洪泛攻擊、網(wǎng)絡(luò)掃描攻擊以及轉(zhuǎn)發(fā)設(shè)備俘 獲攻擊。
[0012] 進(jìn)一步需要說明的是,所述TCP洪泛攻擊的特征指標(biāo)包括流平均數(shù)據(jù)包數(shù)以及流 平均字節(jié)數(shù),其中流平均數(shù)據(jù)包數(shù)以及流平均字節(jié)數(shù)均采用下式進(jìn)行計(jì)算:
[0013]
【權(quán)利要求】
1. 一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于:首先由異常檢測模塊給出各類 攻擊的預(yù)判,然后安全態(tài)勢評估模塊在預(yù)判的基礎(chǔ)上建立針對各類攻擊的網(wǎng)絡(luò)安全態(tài)勢, 具體包括如下步驟: 步驟1,控制器周期性地對各個轉(zhuǎn)發(fā)節(jié)點(diǎn)的網(wǎng)絡(luò)指標(biāo)參數(shù)進(jìn)行采集,異常檢測模塊根據(jù) 各類攻擊的特點(diǎn)從采集到的樣本數(shù)據(jù)中提取具體的特征指標(biāo); 步驟2,在一段時間內(nèi)收集各類攻擊的特征指標(biāo)Y=G1,y2, ..yn),將這些特征指標(biāo)作 為訓(xùn)練集,通過支持向量機(jī)(SVM)分類器進(jìn)行訓(xùn)練:首先確定分類個數(shù)為2,即正?;虍惓#?分類器將所有樣本集的特征分類,計(jì)算SVM分類器中每個特征向量的相關(guān)值,并根據(jù)這些 相關(guān)值計(jì)算協(xié)方差矩陣空間,然后計(jì)算特征系數(shù),獲得模型參數(shù);最后對步驟1中的樣本數(shù) 據(jù)進(jìn)行測試分類; 步驟3,進(jìn)行M次采樣后,統(tǒng)計(jì)出在該M次采樣中,轉(zhuǎn)發(fā)節(jié)點(diǎn)在各類攻擊下的正常次數(shù)和 異常次數(shù); 步驟4,安全態(tài)勢評估模塊接收到所述異常檢測模塊的統(tǒng)計(jì)數(shù)據(jù)后,根據(jù)貝葉斯理論計(jì) 算出轉(zhuǎn)發(fā)節(jié)點(diǎn)在各類攻擊下的當(dāng)前信任值,以評估在各類攻擊下轉(zhuǎn)發(fā)節(jié)點(diǎn)的安全狀況; 步驟5,安全態(tài)勢評估模塊在步驟4中計(jì)算得出的各個信任值和不同攻擊類型對網(wǎng)絡(luò) 的不同危害程度的基礎(chǔ)上,為各類攻擊對網(wǎng)絡(luò)安全態(tài)勢的影響分配相應(yīng)的權(quán)值,并通過擬 合得到網(wǎng)絡(luò)的綜合安全態(tài)勢值。
2. 根據(jù)權(quán)利要求1所述的一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于,所述攻 擊類型包括TCP洪泛攻擊、網(wǎng)絡(luò)掃描攻擊以及轉(zhuǎn)發(fā)設(shè)備俘獲攻擊。
3. 根據(jù)權(quán)利要求2所述的一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于,所述TCP 洪泛攻擊的特征指標(biāo)包括流平均數(shù)據(jù)包數(shù)以及流平均字節(jié)數(shù),其中流平均數(shù)據(jù)包數(shù)以及流 平均字節(jié)數(shù)均采用下式進(jìn)行計(jì)算:
其中X= (Xl,X2...xn)是各流的數(shù)據(jù)包數(shù)目或者字節(jié)數(shù)目組成的序列,并且按從小到 大排列,即X1S X2彡..?彡Xn。
4. 根據(jù)權(quán)利要求2所述的一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于,所述網(wǎng) 絡(luò)掃描攻擊的特征指標(biāo)包括端口號變化率和大于空閑超時流表項(xiàng)比例,其中端口號變化率 GDP采用如下公式進(jìn)行計(jì)算:
其中心/^辦化和?^-^心分別為心和^時刻的端口號數(shù)目; 另外,所述大于空閑超時流表項(xiàng)比例為超過空閑超時的流表項(xiàng)數(shù)站總流表項(xiàng)數(shù)的比 例,所述空閑超時是指一個流表項(xiàng)沒有數(shù)據(jù)流的時間超過設(shè)定的值后流表項(xiàng)會被刪除。
5. 根據(jù)權(quán)利要求2所述的一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于,所述轉(zhuǎn) 發(fā)設(shè)備俘獲特征指標(biāo)包括轉(zhuǎn)發(fā)節(jié)點(diǎn)端口流量變化率和流表一致性檢查,其中端口號流量變 化率的計(jì)算方法如下: Rtra (S tra2Strai) / (tg ti); 其中StM2,Stral分別為12和ti時刻的端口數(shù)據(jù)流速率; 流表一致性檢查是指檢查控制器和交換機(jī)流表狀態(tài)是否出現(xiàn)流表不一致。
6. 根據(jù)權(quán)利要求1所述的一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于,步驟4 中,根據(jù)貝葉斯理論,二元事件服從Beta分布,則轉(zhuǎn)發(fā)節(jié)點(diǎn)收集M次預(yù)判值后,在每個攻擊 類型下的當(dāng)前信任值計(jì)算方法如下:
其中,m'和m分別為在該類攻擊下的正常次數(shù)和異常次數(shù),m'+m=M。
7. 根據(jù)權(quán)利要求6所述的一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于,樣本數(shù) 據(jù)進(jìn)行實(shí)時更新,大小為M的樣本組成一個長度為M的窗口,若當(dāng)前的信任值Ttl計(jì)算完成 后,樣本中的數(shù)據(jù)整體右移一位,原來的第M個樣本數(shù)據(jù)即離當(dāng)前時間最遠(yuǎn)、最陳舊數(shù)據(jù)的 從窗口中淘汰,然后把剛計(jì)算出來的Ttl放入原來1\的位置,即第一個位置,參與下一次信任 值的計(jì)算,同時保證樣本實(shí)時更新。
8. 根據(jù)權(quán)利要求1所述的一種軟件定義網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于,步驟5 中,不同攻擊類型的權(quán)值是基于層次分析法進(jìn)行分配的,并且當(dāng)遭受某類攻擊超過一定程 度后將對得到的權(quán)值進(jìn)行修正;所述綜合安全態(tài)勢值的計(jì)算方法具體如下: 5.1初始化要擬合的元素個數(shù)n、某時刻轉(zhuǎn)發(fā)節(jié)點(diǎn)在各類攻擊下的信任值T=^AttacklJ,^Attack2J? ? ?^Attac1〇1}、11\11判斷矩陣六以及各類攻擊的懲罰閾值〇={〇1,(3 2,...,(^};
致性指標(biāo)Cl= (t-n)An-I);對照標(biāo)準(zhǔn)平均隨機(jī)一致性指標(biāo)進(jìn)行一致性檢驗(yàn),如果不通過 則調(diào)整判斷矩陣A并跳轉(zhuǎn)到步驟5. 2 ;否則轉(zhuǎn)到步驟5. 6 ; 5. 6如果檢測到第i類攻擊的異常次數(shù)Hii大于相應(yīng)的懲罰閾值ci,則令A(yù),=mi-Ci,對
【文檔編號】H04L12/26GK104506385SQ201410826302
【公開日】2015年4月8日 申請日期:2014年12月25日 優(yōu)先權(quán)日:2014年12月25日
【發(fā)明者】李興華, 何龔敏, 郭佳, 劉海, 張俊偉, 馬建峰, 姜奇 申請人:西安電子科技大學(xué)