本发明涉及网络监控领域,更具体地,涉及一种在sdn\nfv云计算环境中实现的基于决策树分类的云安全服务功能树网络入侵检测系统。
背景技术:
::在接入网络的两台主机进行通信的过程中,其数据报文的传递需要经过分布在数据中心各处的各种网络功能节点,才能保证在通信的过程中能够为用户提供安全、迅捷、稳定的网络服务。当业务的网络流量需要按照业务逻辑所要求的既定顺序,经过相应的网络功能节点对网络数据报文处理再进行交付,这些网络流量所经过的网络功能节点及链路,通常叫做服务功能链。传统网络中的服务功能链和底层物理网络拓扑紧密耦合、难于部署、更新困难,而网络功能的实现依赖于静态部署于数据中心各处的专用网络功能硬件设备。在业务需求发生变更时,服务链为应对新的业务需求需要进行变更和负载能力扩容时,都需要对物理网络拓扑进行修改。云计算概念的提出打破了传统数据中心的信息孤岛困局,在云计算数据中心中,得益于虚拟化技术的广泛使用,sdn技术和nfv技术实现了租户逻辑组网与底层物理网络的解耦,控制层和转发层的分离,虚拟化网络功能vnf的动态创建和灵活部署。因此,通过在云计算环境中部署服务功能链,为解决网络安全问题提供了新的思路。技术实现要素:为克服上述现有技术所述的在业务需求发生变更时,服务链为应对新的业务需求需要进行变更和负载能力扩容时,都需要对物理网络拓扑进行修改的不足,本发明提供了一种云安全服务功能树网络入侵检测系统。为解决上述技术问题,本发明的技术方案如下:一种云安全服务功能树网络入侵检测系统,包括服务树拓扑编排模块、服务树拓扑映射模块、流特征数据库模块、全局资源监控模块;所述流特征数据库模块用于存储网络攻击的网络流特征数据,结合云安全态势选取相应的网络攻击流特征数据集构建相应的训练集;所述的服务树拓扑编排模块用于结合云安全态势构建决策树分类模型,使用流特征数据库模块中构建好的训练集对决策树模型进行训练与剪枝,将训练好的决策树分类模型传递给服务树拓扑映射模块;所述的服务树拓扑映射模块用于接收服务树拓扑编排模块所构建的决策树分类模型,将决策树分类模型的决策规则匹配节点映射到相应的服务功能树节点中,在服务功能树节点完成对网络流量的匹配与分类;所述的全局资源监控模块用于对流特征数据库模块、服务树拓扑编排模块以及服务树拓扑映射模块中全网范围内的资源进行监控与维护,从而在云安全服务功能树拓扑的映射以及虚拟逻辑网络的构建过程中,提供底层基础设施的实际承载能力信息,优化vnf资源的映射和部署。优选的,所述的决策树分类模型对多个服务功能链进行堆叠复用来优化安全功能编排和虚拟资源部署,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别完成特异性的细粒度处理。优选的,所述的服务树拓扑映射模块包括流量调度子模块以及vnf资源调度子模块,所述的流量调度子模块用于对网络数据报文进行分类治理,完成转发策略匹配;所述的vnf资源调度子模块用于根据服务功能树编排策略进行按需调度与分类。优选的,所述的流量调度子模块利用openflow多级流表根据来源方向来对网络数据报文进行分类治理。优选的,所述的vnf资源调度子模块使用docker容器作为虚拟网络功能的承载,根据服务功能树编排策略进行按需调度。优选的,所述的全局资源监控模块还包括拓扑发现子模块、vnf资源监控子模块以及基础设施资源监控子模块;所述的拓扑发现子模块用于完成全网范围的网络拓扑发现和虚拟主机发现;所述的vnf资源监控子模块用于完成对全网范围内vnf资源的状态分析与统计;所述的基础设施资源监控子模块用于对基础设施层的物理设备运行状态进行监控;拓扑发现子模块,vnf资源监控子模块以及基础设施资源监控子模块各个子模块间相互独立工作,将各自监控的状态信息统一汇总递呈至全局资源监控模块中进行处理。优选的,所述的拓扑发现子模块通过对sdn控制器中进行模块化的二次开发而实现,该模块通过封装lldp链路发现协议和arp协议作为探测报文,完成全网范围的网络拓扑发现和虚拟主机发现。优选的,所述的vnf资源监控子模块通过在vnf节点部署网络流特征采集模块并实时更新网络流特征信息至vnf资源监控子模块,完成对全网范围内vnf资源的状态分析与统计。优选的,所述的基础设施资源监控子模块,通过实时获取全网范围内物理服务器的计算、存储和网络等资源的使用情况,来对基础设施层的物理设备运行状态进行监控。与现有技术相比,本发明技术方案的有益效果是:(1)为解决服务功能链处理逻辑单一,多条服务功能链间虚拟功能节点相互独立且复用率低等问题,本发明在虚拟逻辑网络层面提出了一个新的服务功能树型拓扑结构。通过对多个服务功能链的堆叠复用来优化功能和资源部署;在树型拓扑的分支结点实现不同种类网络流量的分流和分隔。(2)依据决策树分类思想构建云安全服务功能树模型,将决策规则匹配节点映射到相应的服务功能树拓扑节点中,在服务功能树节点对流入该节点的网络流特征进行采集与分析,并与决策规则进行匹配从而决定网络流的下一跳分支走向,对可疑网络流量进行逐步细分识别。与单一节点上利用决策树对可疑网流量进行处理相比,服务功能树可以在每个决策规则匹配节点间,按照流量特征灵活嵌入相应的虚拟网络功能进行特异性处理。附图说明图1为本发明的系统总体结构示意图;图2为云安全服务树功能树拓扑的示意图;图3为ovs双桥架构网络报文转发示意图;图4为openflow多级流表设计示意图;具体实施方式附图仅用于示例性说明,不能理解为对本专利的限制;为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。下面结合附图和实施例对本发明的技术方案做进一步的说明。实施例1如图1,图2所示,一种云安全服务功能树网络入侵检测系统,包括服务树拓扑编排模块1、服务树拓扑映射模块2、流特征数据库模块3、全局资源监控模块4;所述流特征数据库模块3用于存储网络攻击的网络流特征数据,结合云安全态势选取相应的网络攻击流特征数据集构建相应的训练集;所述的服务树拓扑编排模块1用于结合云安全态势构建决策树分类模型,使用流特征数据库模块3中构建好的训练集对决策树模型进行训练与剪枝,将训练好的决策树分类模型传递给服务树拓扑映射模块2;所述的服务树拓扑映射模块2用于接收服务树拓扑编排模块1所构建的决策树分类模型,将决策树分类模型的决策规则匹配节点映射到相应的服务功能树节点中,在服务功能树节点完成对网络流量的匹配与分类;所述的全局资源监控模块4用于对流特征数据库模块3、服务树拓扑编排模块1以及服务树拓扑映射模块2中全网范围内的资源进行监控与维护,在云安全服务功能树拓扑的映射以及虚拟逻辑网络的构建过程中,提供底层基础设施的实际承载能力信息,优化vnf资源的映射和部署。作为一个优选的实施例,所述的决策树分类模型对多个服务功能链进行堆叠复用来优化安全功能编排和虚拟资源部署,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别完成特异性的细粒度处理。作为一个优选的实施例,所述的服务树拓扑映射模块2包括流量调度子模块5以及vnf资源调度子模块6,所述的流量调度子模块5用于对网络数据报文进行分类治理,完成转发策略匹配;所述的vnf资源调度子模块6用于根据服务功能树编排策略进行按需调度与分类。作为一个优选的实施例,所述的流量调度子模块5利用openflow多级流表根据来源方向来对网络数据报文进行分类治理。作为一个优选的实施例,所述的vnf资源调度子模块6使用docker容器作为虚拟网络功能的承载,根据服务功能树编排策略进行按需调度。作为一个优选的实施例,所述的全局资源监控模块4还包括拓扑发现子模块7、vnf资源监控子模块8以及基础设施资源监控子模块9;所述的拓扑发现子模块7用于完成全网范围的网络拓扑发现和虚拟主机发现;所述的vnf资源监控子模块8用于完成对全网范围内vnf资源的状态分析与统计;所述的基础设施资源监控子模块9用于对基础设施层的物理设备运行状态进行监控;拓扑发现子模块7,vnf资源监控子模块8以及基础设施资源监控子模块9各个子模块间相互独立工作,将各自监控的状态信息统一汇总递呈至全局资源监控模块4中进行处理。作为一个优选的实施例,所述的拓扑发现子模块7通过对sdn控制器中进行模块化的二次开发而实现,该模块通过封装lldp链路发现协议和arp协议作为探测报文,完成全网范围的网络拓扑发现和虚拟主机发现。作为一个优选的实施例,所述的vnf资源监控子模块8通过在vnf节点部署网络流特征采集模块并实时更新网络流特征信息至vnf资源监控子模块8,完成对全网范围内vnf资源的状态分析与统计。作为一个优选的实施例,所述的基础设施资源监控子模块9,通过实时获取全网范围内物理服务器的计算、存储和网络等资源的使用情况,来对基础设施层的物理设备运行状态进行监控。图2所示为工作时,云安全服务树功能树拓扑示意图,最底层为多个数据中心硬件物理设备构成的基础设施;将底层物理设备资源进行虚拟化后构建云安全资源池,供云安全服务功能树进行调度和编排;中间层为对基础设施层资源进行虚拟化后,所形成的vnf云安全资源池的示意图,跨数据中心虚拟化后的vnf通信通过vxlan隧道实现;最顶层为虚拟逻辑网络层中的树型拓扑结构,按照服务树拓扑编排策略连通各个vnf节点,构成树型拓扑,每条树的分支用于处理具有相应特征的网络流量。实施例2如图3以及图4所示,在本实施例将服务功能树的树状拓扑与决策树对网络攻击流量识别与分类特点相结合,把决策树节点的特征规则匹配分布式化至服务功能树的各个vnf节点中去实现。在决策树分类思想的指导下,每条以服务树的根结点为起点到每一个叶子结点的路径,都是具有某些特征的网络流量所流经的vnf节点路径。图3中为跨数据中心的vnf通信过程中,虚拟化的容器网络实现。在宿主机通过网络虚拟化技术构建两个ovs虚拟网桥,其中br-int虚拟网桥主要承担容器数据交换网络中的本地网段内数据包交换的角色;br-tun虚拟网桥则根据来源方向来对网络数据报文进行分类治理完成转发策略匹配。通过虚拟化技术,将vnf容器的虚拟网卡vnic绑定至ovs虚拟网桥的虚拟端口vport构建通信通道;通过构建vxlan隧道,完成跨数据中心容器网络通信。1)服务树拓扑编排模块1服务树拓扑编排模块1采用c4.5决策树算法来完成云安全服务功能树的编排与构建;通过二分法对取连续值的网络流特征进行离散化处理,二分法的核心思想是将特征am的k个不同特征取值按照升序进行排序;利用二分法以临近两个特征取值的中间值作为阈值将所有特征取值分成两部分,共有k-1种划分方式;分别计算这k-1种划分方式对应的信息增益,当取得信息增益最大时,则选取该划分阈值为特征am的二分阈值。在构建决策树的过程中为防止过拟合现象的出现,采用悲观剪枝后剪枝算法,悲观剪枝算法不需要额外的测试数据集,自上而下对决策树进行修剪。2)服务树拓扑映射模块2根据云安全服务功能树的架构模型,为确保高可用和可拓展性,设计了一个ovs双桥架构方案,如图3所示。在宿主机通过网络虚拟化技术构建两个ovs虚拟网桥,其中br-int虚拟网桥主要承担容器数据交换网络中的本地网段内数据包交换的角色,完成vlan标签的标记与剥离和正常的数据包转发功能;br-tun虚拟网桥则利用openflow协议1.3版本的多级流表根据来源方向来对网络数据报文进行分类治理完成转发策略匹配,如图4所示为多级流表设计示意图;通过vxlan的隧道封包技术,负责数据包在数据中心间的大二层网络范围内通信。ovs通过在br-int和br-tun两个虚拟网桥之间建立一对patch端口来实现数据包的流通。如图4所示,br-tun虚拟网桥中多级流表的处理逻辑设计说明如下:table0对所有流经br-tun虚拟网桥的数据包进行处理,依据来源不同将数据包提交给对应的下一级流表进行匹配处理。其中,本地网段的数据包从patch-int端口流入br-tun网桥,则将其传递给table1进行处理;跨数据中心间流入的数据包则从vxlan端口流入,提交给table2进行处理。table1完成本地网段数据包跨数据中心转发的功能。若为组播或广播报文,则跳转至table11中,将报文从所有的vxlan端口泛洪发送;若为单播报文,则依据vlanid标签来判断数据报文的下一跳流向的数据中心隧道端口,并将报文向相应的隧道端口完成转发。table2中,对别的数据中心流入本地网段的数据报文进行处理,根据相应的隧道来源tunnelid为报文标记相应的vlan标签,通过patch-int端口递交给本地网段的虚拟网桥br-int进行处理。table10中,对table1跳转递呈的单播报文进行处理,剥离vlanid后添加相应的vxlantunnelid,并从相应的vxlan端口发出。table11中,对table1跳转递呈的组播或广播报文进行处理,剥离vlanid后从所有的vxlan端口泛洪发出。3)流特征数据库模块3流特征数据库模块3主要存储了常见的网络攻击发生时,其网络流特征表现的统计值。针对常见的网络攻击的原理,选用9个网络流量特征来提供给决策树进行构建,分别为时间窗口内流入vnf的tcp数据包占全部数据包的比例、udp数据包占全部数据包的比例、icmp数据包占全部数据包的比例、tcp数据包中syn数据包的比例、不同目的主机地址数据包占全部数据包的比例、不同目的端口数据包占全部数据包的比例、不同源主机数据包占全部数据包的比例、不同源端口数据包占全部数据包比例、流入vnf数据包的平均带宽。在选取网络流特征中,网络流存在瞬时变化速率快且时间相关性低等特点,通过采用基于时间的统计特性,来实现对网络异常攻击流量更准确的反映;利用时间窗的概念,来平滑网络流瞬时变化属性,采用1秒的时间窗口来刻画流量特征。4)全局资源监控模块4全局监控模块主要为控制管理层提供全局视野,从拓扑发现子模块7中获取全网拓扑,从基础设施资源监控子模块9中获取全网范围的可用计算资源,从vnf资源监控子模块8中获取全网安全态势。相同或相似的标号对应相同或相似的部件;附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。当前第1页12当前第1页12