一种基于SDN控制器网络威胁快速感知方法与流程

本发明涉及一种基于SDN控制器网络威胁快速感知方法。

背景技术：

随着互联网科技的飞速发展，人类已步入信息时代，信息技术极大地推进了社会变革以及人类生活方式转变的速度，促进了人类信息的高效共享。然而，现有互联网基础架构相对僵化，其控制逻辑和数据层面垂直耦合的特征，导致高效的网络或服务管理成为现有互联网的一大难题。随着未来网络技术研究的不断进步，软件定义网络技术成为解决上述难题的主流选择方案[1]。SDN网络技术通过将网络的数据平面和控制层面解耦合，即通过将网络的控制逻辑从路由器或交换机中剥离出来，达到对网络或服务高效管理和动态配置的目的[2]，极大地推动了信息网络技术的进展

现有信息网络控制和数据层面垂直耦合导致配置复杂、对网络失效反应慢等，难以满足“高速”、“高效”、“海量”、“泛在”等通信需求。SDN作为一种新型网络架构通过将网络的数据平面和控制层面解耦合，达到对网络或服务高效管理和动态配置的目的，极大地推动了信息网络技术的进展。然而，伴随着各种新型网络威胁在数量和复杂性上的快速发展，主流网络攻击类型也由松散的个体攻击进化为协同式团体攻击，迫使网络界寻求更先进的网络威胁检测方案，以保障网络服务的可靠性。在通常的网络威胁中，攻击流量占据的比例非常小，即使是攻击流量，攻击特征字在整个攻击流量中占据的比例也非常小。因此，如何从海量网络数据中快速感知网络威胁并识别网络攻击流量，成为现有网络安全研究领域的难题。

美国斯坦福大学展开了有关用于软件定义网络的OpenFlow协议、控制器可伸缩性、监测调试工具链、网络虚拟化等方面的研究。国内侧重于网络源地址有效性验证、网络安全和无线嵌入式OpenFlow/MPLS技术，基于软件定义网络协议OpenFlow的统一控制面的研究。目前,网络攻击检测算法可分为基于异常检测和滥用检测等。滥用检测从已知的网络数据攻击包中提取攻击特征，并根据一定的标准将这些攻击特征整理成一条条的规则，然后抓取网络数据包进行分析。数据包的某些特征与检测规则库中某条规则完全匹配时，则认为该网络数据包是攻击包。基于异常检测是从抓获的网络数据包中提取特征，然后与正常网络数据集特征进行分析，如果经过算法处理之后的数据与正常网络数据的轮廓产生了偏离，系统就会判定当前的网络数据包是攻击数据包，然后对攻击数据包做出告警响应和拦截等。

但是，现有方法中采用的软件定义网络的研究大多集中在架构层面的控制层和数据层机制设计，但有关其安全检测技术的研究却鲜有涉及。然而，安全性是保障任何新兴信息网络技术部署和应用的前提和基础，现有通信与网络测试技术均针对传统信息网络架构进行设计和开发，现有的滥用检测算法在模式规则很多的情况下，算法表现出来的性能将会非常差；基于异常检测的最严重的问题就是误报率很高。其原始设计出发点和适用场景均难以适配软件定义网络的测试需求。

技术实现要素：

本发明提出了一种基于SDN控制器网络威胁快速感知方法，针对网络空间安全测试需求，围绕高速网络环境的网络安全问题，以协同感知技术和虚拟化技术为基础，原创性、系统性地创建软件定义的分布式网络威胁检测体系理论，提出网络威胁快速感知和识别机制与方法，有效满足未来军用信息网络架构的安全测试需求。

为了实现上述目的，本发明采用如下技术方案：

一种基于SDN控制器网络威胁快速感知方法，包括以下步骤：

(1)利用网络资源动态感知网络状态信息；

(2)基于博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，生成网络安全事件行为描述信息；

(3)根据收集到的网络威胁、网络安全事件行为描述信息，综合历史记录，做出智慧决策，最终判别出网络威胁事件的存在性及危害等级。

所述步骤(2)中，具体包括：

(2-1)通过与数据层的交互消息，感知所管辖网络设备的反应速度，根据其掌握的网络全局视图，动态判断出可能发生网络威胁事件的网络设备具体位置和数量；

(2-2)利用网络设备在转发网络数据包时，感知网络流量的具体特征，检测异常流量，并实时预警；

(2-3)利用网络设备在转发网络流量时，发现自身资源被某些恶意流量严重消耗，继而发送状态信息进行通告，实现对网络安全事件的通告；

所述步骤(2)还包括利用网络安全中间件根据自身安全策略，主动汇报网络异常事件到控制中心，实现对网络安全事件的预警和检测。

所述网络安全中间件为杀毒软件、防火墙等。

所述步骤(2)中，首先引入网络威胁的精确表征和分类机制，采用网络安全事件行为描述对网络威胁类型、威胁等级、拓扑位置进行刻画，具体定义如下：

BDSC∈{S^T,S^D,S^L} (1)

上式中，S代表某网络安全事件/网络威胁，S的上标T、D、L分别代表网络安全事件类型描述、威胁等级描述和网络拓扑位置描述。

所述步骤(2)中，引入行为匹配机制，定义行为差异度的行为比较准则，行为差异度使用闵可夫斯基距离来表示，具体如下：

$D\left(b\right(m),b(n\left)\right)={\[\underset{k}{\Σ}|{\mathrm{\μ}}_k\left(m\right)-{\mathrm{\μ}}_k\left(n\right){|}^q\]}^{\frac{1}{q}}---\left(2\right)$

公式(2)中，b(m)和b(n)分别表示网络安全事件m和n的BDSC信息，D(b(m),b(n))代表网络安全事件行为描述b(m)和b(n)之间的差异度；μk(m)和μk(n)分别表示络安全事件行为描述b(m)和b(n)的第k个分量，q代表闵可夫斯基距离的参数。

所述步骤(2)中，定义行为贴近度的行为比较准则，行为贴近度参照模糊数学中对贴近度的描述，通过引入模糊内积和模糊外积的概念进行综合表示，其具体形式如下：

公式(3)中，∧和∨分别代表网络安全事件行为描述中取各分量的较小值和较大值，S(b(m),b(n))代表网络安全事件行为描述b(m)和b(n)之间的贴近度。

一种基于SDN控制器网络威胁快速感知系统，包括控制层和数据层，所述控制层包括控制中心，所述数据层包括多个网络测试设备；

所述网络测试设备，被配置为收集网络资源使用率信息、流量特征信息，并将感知的状态信息传输给控制中心，所述控制中心，利用博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，最终判定出网络威胁、网络安全事件的具体特征，并对其进行实时预警。

所述网络测试设备，包括路由器、服务器、交换机或/和防火墙。

所述数据层的网络测试为分布式结构。

本发明的有益效果为：

(1)本发明提出了“两层”、“两域”的软件定义的分布式网络威胁检测机制与理论模型：数据层负责各种网络设备的状态感知并生成网络状态描述；控制层负责生成网络安全事件行为描述并汇报给控制中心；实体域设计数据层和控制层网络设备；行为域负责对各种网络设备状态以及网络威胁、网络安全事件特征进行行为描述，达到精确刻画网络状态的目的。

(2)本发明创新性地引入控制层与数据层智慧协作分布式安全检测机制，并通过博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，最终判定出网络威胁、网络安全事件的具体特征，使网络更安全、可靠。

附图说明

图1是网络安全检测体系工作流程示意图；

图2是分布式网络威胁检测架构示意图。

具体实施方式：

下面结合附图与实施例对本发明作进一步说明。

如图1所示，本发明提出的软件定义的分布式网络威胁检测机制与理论模型包含“两层”、“两域”：数据层主要负责路由器、交换机、防火墙、服务器等各种网络设备的状态感知并生成网络状态描述；控制层主要负责生成网络安全事件行为描述并汇报给控制中心；实体域设计各种数据层和控制层网络设备，包括路由器、交换机、防火墙、控制中心等；行为域负责对各种网络设备状态以及网络威胁、网络安全事件特征进行行为描述，达到精确刻画网络状态的目的。

如图2所示，本发明创新性地引入控制层与数据层智慧协作分布式安全检测机制，通过分布于网络各处的路由器、防火墙、服务器、交换机等网络设备收集网络数据层“零碎”的各种网络资源使用率信息、流量特征信息等，并通过适当的博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，最终判定出网络威胁、网络安全事件的具体特征，使网络更安全、可靠。

分布式安全检测机制的基本工作流程为：

首先，通过合理利用各种网络资源(如路由器、防火墙等)动态感知网络状态信息；

其次，通过合理的博弈决策算法，智能生成网络安全事件行为描述信息汇报给网络操作系统即控制中心；

最后，控制中心根据收集到的网络威胁、网络安全事件行为描述信息，综合历史记录等知识库信息，做出智慧决策，最终判别出网络威胁事件的存在性及危害等级等。

软件定义的网络威胁检测体系可方便地实现对网络安全事件的动态感知和识别，主要包含以下几个步骤：

步骤1控制中心(如图1)通过与数据层的交互消息，智慧感知所管辖网络设备的反应速度，根据其掌握的网络全局视图，动态判断出可能发生网络威胁事件的网络设备具体位置和数量等；

步骤2数据层网络设备在转发网络数据包时，感知网络流量的具体特征(如发往某个位置某个端口的流量异常多)，并适时通告控制中心进行预警；

步骤3数据层网络设备在转发网络流量时，发现自身处理器、带宽、流表存储空间等资源被某些恶意流量严重消耗，继而发送状态信息通告控制中心，实现对网络安全事件的通告；

步骤4防火墙等网络中间件根据自身安全策略，主动汇报网络异常事件到控制中心，实现对网络安全事件的预警和检测。

本发明首先引入网络威胁的精确表征和分类机制，采用网络安全事件行为描述(Behavior Description for Security Cases，简称BDSC)对网络威胁类型、威胁等级、拓扑位置等进行统一、精确、全面刻画，其具体定义如下：

BDSC∈{S^T,S^D,S^L} (1)

上式中，S代表某网络安全事件/网络威胁，S的上标T、D、L分别代表网络安全事件类型描述、威胁等级描述、网络拓扑位置描述。其中网络安全事件的类型包括针对SDN控制器的攻击、针对网络路由器的攻击、针对网络防火墙的攻击、针对网络服务器的攻击等；威胁等级暂定为严重、较严重、一般、忽略四个等级；网络拓扑位置代表网络威胁在网络何处被检测到，即检测到网络安全事件的一个或多个网络设备的位置标识信息(例如，针对传统的IPv4互联网而言，位置标识即IP地址)。

基于上述网络安全事件行为描述，定义的网络威胁检测体系可方便地实现对网络安全事件的动态感知和识别，具体步骤参见具体实施方法的步骤1到步骤4。

另外，软件定义的控制中心在检测到网络安全事件后，可通过重新配置对应位置路由器的转发流表或防火墙的过滤规则，快速、有效地抑制网络威胁的危害。

为实现上述博弈决策算法，本发明引入行为匹配机制，具体定义两种行为比较准则：行为差异度和行为贴近度。

行为差异度使用闵可夫斯基(Minkowski)距离来表示，具体如下：

$D\left(b\right(m),b(n\left)\right)={\[\underset{k}{\Σ}|{\mathrm{\μ}}_k\left(m\right)-{\mathrm{\μ}}_k\left(n\right){|}^q\]}^{\frac{1}{q}}---\left(2\right)$

公式(2)中，b(m)和b(n)分别表示网络安全事件m和n的BDSC信息，D(b(m),b(n))代表网络安全事件行为描述b(m)和b(n)之间的差异度；μk(m)和μk(n)分别表示络安全事件行为描述b(m)和b(n)的第k个分量(此处k＝3，因为本项目中BDSC包含类型描述、威胁等级描述、网络拓扑位置描述)，q代表闵可夫斯基距离的参数。

行为贴近度可以参照模糊数学中对贴近度的描述，通过引入模糊内积和模糊外积的概念进行综合表示，其具体形式如下：

公式(3)中，∧和∨分别代表网络安全事件行为描述中取各分量(类型描述、威胁等级描述、网络拓扑位置描述等)的较小值和较大值，S(b(m),b(n))代表网络安全事件行为描述b(m)和b(n)之间的贴近度。

定义的分布式网络威胁检测技术体系可以根据行为差异度和行为贴近度判断网络威胁，进行网络威胁检测。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。