一种SDN网络的攻击检测方法及系统与流程

技术特征：

1.一种sdn网络的攻击检测方法，其特征在于，所述方法包括：

获取网络流量数据，根据网络特征，识别网络的类型；

使用openflow协议收集流量统计信息，分析提取网络流量数据中的特征向量，由所述特征向量聚合出流条目传输速率、数据包传输速率、数据传输速率、数据包均值、持续时间标准差、数据包标准差、单向流表比率中的一种或若干种；

将所述特征向量以及所述聚合出的流条目传输速率、数据包传输速率、数据传输速率、数据包均值、持续时间标准差、数据包标准差、单向流表比率中的一种或若干种信息输入到卷积神经网络模型进行攻击检测分析；

当识别网络为sdn网络时，下发控制指令给控制器和交换机，所述控制指令携带有网络中间可信任机构ca的标识和地址；

所述控制器和交换机接收所述控制指令，分别向网络中间可信任机构ca发送身份认证请求，所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识；

所述可信任机构ca接收到所述身份认证请求，根据设备标识查询数据库，判断所述控制器和交换机是否合法，如果判断结果为合法，则所述可信任机构ca将一条明文消息以及使用ca私钥对明文消息的数字签名证书一起返回给所述控制器和交换机；如果判断结果为不合法，则所述可信任机构ca返回认证失败的通知；

所述控制器和交换机接收到所述可信任机构ca发送的数字签名证书，使用所述可信任机构ca的公钥对所述数字签名证书进行验证，若验证成功，则所述控制器和交换机将所述数字签名证书替换为各自的身份信息；若验证不成功，则所述控制器和交换机向所述可信任机构ca发送认证错误的通知；

所述控制器和交换机在验证成功后，交换机向控制器发送加密安全连接请求，所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数；

所述控制器接收到所述加密安全连接请求后，向所述交换机返回响应消息，所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书；

所述交换机接收到所述响应消息后，使用所述可信任机构ca的公钥对控制器的数字签名证书进行验证，如果验证成功，则生成第三随机数，并使用控制器的公钥对所述第三随机数进行加密，与交换机的数字签名证书一起发送给所述控制器；

所述控制器接收到所述交换机发送的消息后，使用所述可信任机构ca的公钥对交换机的数字签名证书进行验证，如果验证成功，则使用控制器的私钥解密消息中的所述第三随机数密文，完成控制器和交换机的密钥协商；

所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信；

所述攻击检测分析结果显示主机是否被攻击，以及与该被攻击的主机通信的其他主机的具体位置。

2.根据权利要求1所述的方法，其特征在于，所述数字签名证书采用了哈希运算。

3.根据权利要求1-2任一项所述的方法，其特征在于，所述加密算法包括des、md5、aes中任意一种。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述网络中间可信任机构ca可以是认证服务器、密钥服务器、数字证书服务器中任意一种。

5.一种sdn网络的攻击检测系统，其特征在于，所述系统包括：网关服务器、分析服务器、网络中间可信任机构ca、至少一个sdn控制器和至少一个sdn交换机；

所述网关服务器获取网络流量数据，根据网络特征，识别网络的类型；

所述分析服务器使用openflow协议收集流量统计信息，分析提取网络流量数据中的特征向量，由所述特征向量聚合出流条目传输速率、数据包传输速率、数据传输速率、数据包均值、持续时间标准差、数据包标准差、单向流表比率中的一种或若干种；

将所述特征向量以及所述聚合出的流条目传输速率、数据包传输速率、数据传输速率、数据包均值、持续时间标准差、数据包标准差、单向流表比率中的一种或若干种信息输入到卷积神经网络模型进行攻击检测分析；

当识别网络为sdn网络时，下发控制指令给至少一个控制器和至少一个交换机，所述控制指令携带有网络中间可信任机构ca的标识和地址；

所述至少一个控制器和至少一个交换机接收所述控制指令，分别向网络中间可信任机构ca发送身份认证请求，所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识；

所述可信任机构ca接收到所述身份认证请求，根据设备标识查询数据库，判断所述至少一个控制器和至少一个交换机是否合法，如果判断结果为合法，则所述可信任机构ca将一条明文消息以及使用ca私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机；如果判断结果为不合法，则所述可信任机构ca返回认证失败的通知；

所述至少一个控制器和至少一个交换机接收到所述可信任机构ca发送的数字签名证书，使用所述可信任机构ca的公钥对所述数字签名证书进行验证，若验证成功，则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息；若验证不成功，则所述至少一个控制器和至少一个交换机向所述可信任机构ca发送认证错误的通知；

所述至少一个控制器和至少一个交换机在验证成功后，交换机向对应控制器发送加密安全连接请求，所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数；

所述控制器接收到所述加密安全连接请求后，向所述交换机返回响应消息，所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书；

所述交换机接收到所述响应消息后，使用所述可信任机构ca的公钥对控制器的数字签名证书进行验证，如果验证成功，则生成第三随机数，并使用控制器的公钥对所述第三随机数进行加密，与交换机的数字签名证书一起发送给所述控制器；

所述控制器接收到所述交换机发送的消息后，使用所述可信任机构ca的公钥对交换机的数字签名证书进行验证，如果验证成功，则使用控制器的私钥解密消息中的所述第三随机数密文，完成控制器和交换机的密钥协商；

所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信；

所述攻击检测分析结果显示主机是否被攻击，以及与该被攻击的主机通信的其他主机的具体位置。

6.根据权利要求5所述的系统，其特征在于，所述数字签名证书采用了哈希运算。

7.根据权利要求5-6任一项所述的系统，其特征在于，所述加密算法包括des、md5、aes中任意一种。

8.根据权利要求5-7任一项所述的系统，其特征在于，所述网络中间可信任机构ca可以是认证服务器、密钥服务器、数字证书服务器中任意一种。