基于信息熵计算对SDN网络主动安全防御的方法与流程

本发明涉及sdn网络安全技术领域，尤其涉及基于信息熵计算对sdn网络主动安全防御的方法。

背景技术：

软件定义网络是网络虚拟化的一种实现方式，其核心技术openflow通过将网络设备的控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能，为核心网络及应用的创新提供了良好的平台，对网络流量的管理，一直是网络系统安全的一个重要组成部分，包括bt,p2p，非法网站访问等应用流量的管理，对僵木蠕，病毒，spam，ddos等异常流量的及时处理等等，已经成为实现网络系统安全的最重要措施之一。

传统的网络交换机，通过数据流量的目的mac地址，目的ip地址进行数据转发，由于其网络拓扑结构的不合理，导致其效率低下，无法实现控制与转发的分离，无法对网络中的异常流量，如ddos，僵木蠕，病毒，spam等异常流量进行识别，分类，以及对这些流量进行特定处理，进而不能够对sdn网络进行主动安全防御的保护，存在着极大的风险隐患。

技术实现要素：

本发明的目的是为了解决现有技术中存在的网络拓扑结构的不合理、效率低下以及不能够对sdn网络进行主动安全防御的保护缺点，而提出的基于信息熵计算对sdn网络主动安全防御的方法。

为了实现上述目的，本发明采用了如下技术方案：基于信息熵计算对sdn网络主动安全防御的方法，包括以下步骤：

s01：输入流量，将sdn中的网络流量输入到sdn交换机内，获取原始的网络流量；

s02：信息熵计算，对获取的网络流量利用信息熵的计算方式进行计算，获得网络流量的熵值数据；

s03：判断熵值，定义目的地址信息熵阙值，判断网络流量的熵值与目的地址信息熵阙值的数据大小；

s04：生产转发表，将判断后符合sdn网络安全的网络流量，逐项匹配，进行正常网络动作执行；

s05：流量处理，对所有表项均不匹配的网络流量转发至特定地址进行处理，剔除掉异常的sdn网络流量。

作为上述技术方案的进一步描述：

所述步骤s02中，定义经过sdn网络的目的ip地址为x，在某一段时间内，ip目的地址范围可能由n个，那么网内目的ip的信息熵值公式为：

作为上述技术方案的进一步描述：

所述步骤s03中，定义目的地址信息熵阙值为a，比较目的地址信息熵值与阙值大小，熵值大于阙值时，判断网络流量为正常流量；

当熵值小于阙值时，判断网络流量为异常流量。

作为上述技术方案的进一步描述：

所述步骤s04中，对于正常流量，按照sdn网络转发表的优先级进行逐项匹配；

其中，sdn网络转发表为openflow流表，由matchfields、priority、counters、instructions、timeouts和cookie组成。

作为上述技术方案的进一步描述：

所述步骤s05中，对于所有表项均不匹配的网络流量的处理方式为丢弃或引流，进而对不符合sdn网络安全要求的网络流量进行剔除，确保sdn网络的安全性。

作为上述技术方案的进一步描述：

所述网络流量信息熵的计算方式还可以应用于源ip、源应用端口和目的应用端口进行信息熵的计算。

作为上述技术方案的进一步描述：

所述步骤s05中，所有表项均不匹配的网络流量的处理均在sdn交换机内的sdn网络中进行。

有益效果

本发明提供了基于信息熵计算对sdn网络主动安全防御的方法。具备以下有益效果：

(1)：该sdn网络主动安全防御的方法利用对网络流量进行信息熵计算的方式，可以避免现有网络安全设备部署架构中的缺陷，提高网络的实时转发效率，消除网络不合理的拓扑结构，进而消除网络单独故障，降低网络的风险隐患。

(2)：该sdn网络主动安全防御的方法可以自定义转发流表，对异常流量进行处理，通过信息熵的计算，主动识别并处理sdn网络内异常流量，从而达到主动性网络安全防御的目的。

附图说明

图1为本发明提出的基于信息熵计算对sdn网络主动安全防御的方法的流程示意图；

图2为本发明中openflow流表的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

如图1和图2所示，基于信息熵计算对sdn网络主动安全防御的方法，包括以下步骤：

s01：输入流量，将sdn中的网络流量输入到sdn交换机内，获取原始的网络流量；

s02：信息熵计算，对获取的网络流量利用信息熵的计算方式进行计算，获得网络流量的熵值数据；

s03：判断熵值，定义目的地址信息熵阙值，判断网络流量的熵值与目的地址信息熵阙值的数据大小；

s04：生产转发表，将判断后符合sdn网络安全的网络流量，逐项匹配，进行正常网络动作执行；

s05：流量处理，对所有表项均不匹配的网络流量转发至特定地址进行处理，剔除掉异常的sdn网络流量。

以源/目的ip地址为例，在正常网络流量中，ip源和目的地址是随机的，其应用端口，也是随机的，如果大量源/目的ip地址集中与某一个或者几个ip地址，针对的应用端口又集中与某一个tcp/udp端口时，意味着这些流量的信息熵下降，有可能是ddos攻击，或者针对某类应用的病毒流量，当然也有可能是p2p业务流量，具体分析后，这样的流量需要做进一步处理，将其引流至清洗设备或者丢弃，或者经过深度学习之后，系统识别了某类业务流量，作白名单处理；

步骤s02中，定义经过sdn网络的目的ip地址为x，在某一段时间内，ip目的地址范围可能由n个，那么网内目的ip的信息熵值公式为：

步骤s03中，定义目的地址信息熵阙值为a，比较目的地址信息熵值与阙值大小，熵值大于阙值时，即h(x)>a，判断网络流量为正常流量；

当熵值小于阙值时，即h(x)<＝a，判断网络流量为异常流量。

步骤s04中，对于正常流量，按照sdn网络转发表的优先级进行逐项匹配；

其中，sdn网络转发表为openflow流表，由matchfields、priority、counters、instructions、timeouts和cookie组成。

步骤s05中，对于所有表项均不匹配的网络流量的处理方式为丢弃或引流，进而对不符合sdn网络安全要求的网络流量进行剔除，确保sdn网络的安全性。

步骤s05中，所有表项均不匹配的网络流量的处理均在sdn交换机内的sdn网络中进行。

网络流量信息熵的计算方式还可以应用于源ip、源应用端口和目的应用端口进行信息熵的计算；

当对源ip、源应用端口和目的应用端口进行信息熵计算时，同样也遵守上述步骤s01、s02、s03、s04和s05，同时openflow流表的结构可以再次自定义，或者采用上述openflow流表的同样结构。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。