一种软件定义网络安全态势评估方法
【专利摘要】本发明公开了一种软件定义网络安全态势评估方法,结合SDN集中控制和收集信息直接、快速的优势,针对SDN转发面典型的三类攻击提出了一个开放的SDN安全态势评估框架,该安全框架与SDN控制器的架构紧密契合,其中异常检测模块根据SDN和各类攻击特性提取特征指标,并且选取支持向量分类算法(SVM)进行识别,给出攻击的预判。而安全态势评估模块根据异常检测模块收集的信息对网络安全态势进行量化评估,并通过阈值的设置来调节评估系统对攻击的敏感程度和抗噪声能力。最后本发明对不同的攻击基于层次分析法(AHP)分配不同的权值,从而拟合出网络的综合安全态势值。本发明灵活、简单,能准确地检测到攻击行为并给出网络的安全态势量化评估,以较小的代价实现对SDN转发面安全状况的监测和评估。
【专利说明】一种软件定义网络安全态势评估方法
【技术领域】
[0001] 本发明涉及一种数字信息传输技术,具体涉及一种网络安全状况监测评估技术, 用于软件定义网络(Software Defined Network)的安全态势评估。
【背景技术】
[0002] 随着软件定义网络(SDN)的普及和进一步研宄,网络具有更大的灵活性、开放性 和可维护性,网络开发或维护者可以将各种不同功能的应用部署到控制器中实现网络的持 续创新。一项重要的应用是对网状况的态势感知,即对影响网络安全的因素进行获取、理解 和评估,是对网络安全性进行定量分析,这在网络安全监测和防护领域有重要的意义。而 现有对SDN网络安全的研宄特别是对网络转发面的研宄主要是接入认证、简单的入侵检测 等,如在SDN中控制器通过TLS/SSL来认证和授权转发节点的身份以保证转发设备身份的 可靠性以及控制器与转发面信道的安全。SDN网络除了认证、授权外还需要对网络节点的行 为进行监测、评估,以获取网络的安全态势。传统分布式网络中对网络安全态势评估存在诸 多问题,首先传统网络除了要直接从相邻观节点观测到的数据中得出直接信任值外还要接 收别的节点对特定节点的推荐信息,同时要确保推荐信息不被伪造,从而增加了信息收集 量和甄别的难度。另外传统网络在参数信息的传递与计算上具有空间局限性,由于分布式 网络数据的收集要从局部到整体逐级传递,给网络带来较高的负担和延时,难以对网络的 变化进行全面实时的监测。而且传统网络中设备差异大,要收集的信息可能千差万别,给评 估方法的建模带来新的难度。传统安全评估方案都较复杂,评估模型复杂化这对于全网安 全方案的升级变更带来不便,可扩展性差。因此现有网络安全状况研宄方案的缺点使得对 网络进行准确、实时以及高效的检测评估带来困难。
【发明内容】
[0003] 针对现有技术的不足,本发明旨在提供一种SDN网络安全态势评估方法,通过在 SDN中设置异常检测模块和安全态势评估模块,由SDN控制器负责整个网络集中化的监测 和评估,同时保证方案的简洁、高效和较强的可扩展性强。其中异常检测模块针对三类典型 网络攻击的特点抽取出要在SDN中进行检测的具体特征,并应用SVM分类器对异常状况进 行分类和识别,而安全态势评估模块则根据得到的统计数据利用贝叶斯理论得到攻击的信 任值,并且根据不同攻击的威胁程度基于层次分析法拟合出综合的网络安全态势值。
[0004] 为了实现上述目的,本发明采用如下技术方案:
[0005] 首先由异常检测模块给出各类攻击的预判,然后安全态势评估模块在预判的基础 上建立针对各类攻击的网络安全态势,具体包括如下步骤:
[0006] 步骤1,控制器周期性地对各个转发节点的网络指标参数进行采集,异常检测模块 根据各类攻击的特点从采集到的样本数据中提取具体的特征指标;
[0007] 步骤2,在一段时间内收集各类攻击的特征指标Y = (y。y2, . . yn),将这些特征指 标作为训练集,通过支持向量机(SVM)分类器进行训练:首先确定分类个数为2,即正常或 异常,分类器将所有样本集的特征分类,计算SVM分类器中每个特征向量的相关值,并根据 这些相关值计算协方差矩阵空间,然后计算特征系数,获得模型参数;最后对步骤1中的样 本数据进行测试分类;
[0008] 步骤3,进行M次采样后,统计出在该M次采样中,转发节点在各类攻击下的正常次 数和异常次数;
[0009] 步骤4,安全态势评估模块接收到所述异常检测模块的统计数据后,根据贝叶斯 理论计算出转发节点在各类攻击下的当前信任值,以评估在各类攻击下转发节点的安全状 况;
[0010] 步骤5,安全态势评估模块在步骤4中计算得出的各个信任值和不同攻击类型对 网络的不同危害程度的基础上,为各类攻击对网络安全态势的影响分配相应的权值,并通 过拟合得到网络的综合安全态势值。
[0011] 需要说明的是,所述攻击类型包括TCP洪泛攻击、网络扫描攻击以及转发设备俘 获攻击。
[0012] 进一步需要说明的是,所述TCP洪泛攻击的特征指标包括流平均数据包数以及流 平均字节数,其中流平均数据包数以及流平均字节数均采用下式进行计算:
[0013]
【权利要求】
1. 一种软件定义网络安全态势评估方法,其特征在于:首先由异常检测模块给出各类 攻击的预判,然后安全态势评估模块在预判的基础上建立针对各类攻击的网络安全态势, 具体包括如下步骤: 步骤1,控制器周期性地对各个转发节点的网络指标参数进行采集,异常检测模块根据 各类攻击的特点从采集到的样本数据中提取具体的特征指标; 步骤2,在一段时间内收集各类攻击的特征指标Y=G1,y2, ..yn),将这些特征指标作 为训练集,通过支持向量机(SVM)分类器进行训练:首先确定分类个数为2,即正常或异常, 分类器将所有样本集的特征分类,计算SVM分类器中每个特征向量的相关值,并根据这些 相关值计算协方差矩阵空间,然后计算特征系数,获得模型参数;最后对步骤1中的样本数 据进行测试分类; 步骤3,进行M次采样后,统计出在该M次采样中,转发节点在各类攻击下的正常次数和 异常次数; 步骤4,安全态势评估模块接收到所述异常检测模块的统计数据后,根据贝叶斯理论计 算出转发节点在各类攻击下的当前信任值,以评估在各类攻击下转发节点的安全状况; 步骤5,安全态势评估模块在步骤4中计算得出的各个信任值和不同攻击类型对网络 的不同危害程度的基础上,为各类攻击对网络安全态势的影响分配相应的权值,并通过拟 合得到网络的综合安全态势值。
2. 根据权利要求1所述的一种软件定义网络安全态势评估方法,其特征在于,所述攻 击类型包括TCP洪泛攻击、网络扫描攻击以及转发设备俘获攻击。
3. 根据权利要求2所述的一种软件定义网络安全态势评估方法,其特征在于,所述TCP 洪泛攻击的特征指标包括流平均数据包数以及流平均字节数,其中流平均数据包数以及流 平均字节数均采用下式进行计算:
其中X= (Xl,X2...xn)是各流的数据包数目或者字节数目组成的序列,并且按从小到 大排列,即X1S X2彡..?彡Xn。
4. 根据权利要求2所述的一种软件定义网络安全态势评估方法,其特征在于,所述网 络扫描攻击的特征指标包括端口号变化率和大于空闲超时流表项比例,其中端口号变化率 GDP采用如下公式进行计算:
其中心/^辦化和?^-^心分别为心和^时刻的端口号数目; 另外,所述大于空闲超时流表项比例为超过空闲超时的流表项数站总流表项数的比 例,所述空闲超时是指一个流表项没有数据流的时间超过设定的值后流表项会被删除。
5. 根据权利要求2所述的一种软件定义网络安全态势评估方法,其特征在于,所述转 发设备俘获特征指标包括转发节点端口流量变化率和流表一致性检查,其中端口号流量变 化率的计算方法如下: Rtra (S tra2Strai) / (tg ti); 其中StM2,Stral分别为12和ti时刻的端口数据流速率; 流表一致性检查是指检查控制器和交换机流表状态是否出现流表不一致。
6. 根据权利要求1所述的一种软件定义网络安全态势评估方法,其特征在于,步骤4 中,根据贝叶斯理论,二元事件服从Beta分布,则转发节点收集M次预判值后,在每个攻击 类型下的当前信任值计算方法如下:
其中,m'和m分别为在该类攻击下的正常次数和异常次数,m'+m=M。
7. 根据权利要求6所述的一种软件定义网络安全态势评估方法,其特征在于,样本数 据进行实时更新,大小为M的样本组成一个长度为M的窗口,若当前的信任值Ttl计算完成 后,样本中的数据整体右移一位,原来的第M个样本数据即离当前时间最远、最陈旧数据的 从窗口中淘汰,然后把刚计算出来的Ttl放入原来1\的位置,即第一个位置,参与下一次信任 值的计算,同时保证样本实时更新。
8. 根据权利要求1所述的一种软件定义网络安全态势评估方法,其特征在于,步骤5 中,不同攻击类型的权值是基于层次分析法进行分配的,并且当遭受某类攻击超过一定程 度后将对得到的权值进行修正;所述综合安全态势值的计算方法具体如下: 5.1初始化要拟合的元素个数n、某时刻转发节点在各类攻击下的信任值T=^AttacklJ,^Attack2J? ? ?^Attac1〇1}、11\11判断矩阵六以及各类攻击的惩罚阈值〇={〇1,(3 2,...,(^};
致性指标Cl= (t-n)An-I);对照标准平均随机一致性指标进行一致性检验,如果不通过 则调整判断矩阵A并跳转到步骤5. 2 ;否则转到步骤5. 6 ; 5. 6如果检测到第i类攻击的异常次数Hii大于相应的惩罚阈值ci,则令A,=mi-Ci,对
【文档编号】H04L12/26GK104506385SQ201410826302
【公开日】2015年4月8日 申请日期:2014年12月25日 优先权日:2014年12月25日
【发明者】李兴华, 何龚敏, 郭佳, 刘海, 张俊伟, 马建峰, 姜奇 申请人:西安电子科技大学