一种基于SDN控制器网络威胁快速感知方法与流程

技术特征：

1.一种基于SDN控制器网络威胁快速感知方法，其特征是：包括以下步骤：

(1)利用网络资源动态感知网络状态信息；

(2)基于博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，生成网络安全事件行为描述信息；

(3)根据收集到的网络威胁、网络安全事件行为描述信息，综合历史记录，做出智慧决策，最终判别出网络威胁事件的存在性及危害等级。

2.如权利要求1所述的一种基于SDN控制器网络威胁快速感知方法，其特征是：所述步骤(2)中，具体包括：

(2-1)通过与数据层的交互消息，感知所管辖网络设备的反应速度，根据其掌握的网络全局视图，动态判断出可能发生网络威胁事件的网络设备具体位置和数量；

(2-2)利用网络设备在转发网络数据包时，感知网络流量的具体特征，检测异常流量，并实时预警；

(2-3)利用网络设备在转发网络流量时，发现自身资源被某些恶意流量严重消耗，继而发送状态信息进行通告，实现对网络安全事件的通告。

3.如权利要求1所述的一种基于SDN控制器网络威胁快速感知方法，其特征是：所述步骤(2)还包括利用网络安全中间件根据自身安全策略，主动汇报网络异常事件到控制中心，实现对网络安全事件的预警和检测。

4.如权利要求1所述的一种基于SDN控制器网络威胁快速感知方法，其特征是：所述步骤(2)中，首先引入网络威胁的精确表征和分类机制，采用网络安全事件行为描述对网络威胁类型、威胁等级、拓扑位置进行刻画，具体定义如下：

BDSC∈{S^T,S^D,S^L} (1)

上式中，S代表某网络安全事件/网络威胁，S的上标T、D、L分别代表网络安全事件类型描述、威胁等级描述和网络拓扑位置描述。

5.如权利要求1所述的一种基于SDN控制器网络威胁快速感知方法，其特征是：所述步骤(2)中，引入行为匹配机制，定义行为差异度的行为比较准则，行为差异度使用闵可夫斯基距离来表示，具体如下：

公式(2)中，b(m)和b(n)分别表示网络安全事件m和n的BDSC信息，D(b(m),b(n))代表网络安全事件行为描述b(m)和b(n)之间的差异度；μk(m)和μk(n)分别表示络安全事件行为描述b(m)和b(n)的第k个分量，q代表闵可夫斯基距离的参数。

6.如权利要求1所述的一种基于SDN控制器网络威胁快速感知方法，其特征是：所述步骤(2)中，定义行为贴近度的行为比较准则，行为贴近度参照模糊数学中对贴近度的描述，通过引入模糊内积和模糊外积的概念进行综合表示，其具体形式如下：

公式(3)中，∧和∨分别代表网络安全事件行为描述中取各分量的较小值和较大值，S(b(m),b(n))代表网络安全事件行为描述b(m)和b(n)之间的贴近度。

7.一种基于SDN控制器网络威胁快速感知系统，其特征是：包括控制层和数据层，所述控制层包括控制中心，所述数据层包括多个网络测试设备；

所述网络测试设备，被配置为收集网络资源使用率信息、流量特征信息，并将感知的状态信息传输给控制中心，所述控制中心，利用博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，最终判定出网络威胁、网络安全事件的具体特征，并对其进行实时预警。

8.如权利要求7所述的一种基于SDN控制器网络威胁快速感知系统，其特征是：所述网络测试设备，包括路由器、服务器、交换机或/和防火墙。

9.如权利要求7所述的一种基于SDN控制器网络威胁快速感知系统，其特征是：所述数据层的网络测试为分布式结构。