一种基于SDN控制器网络威胁快速感知方法技术

本发明专利技术公开了一种基于SDN控制器网络威胁快速感知方法，利用网络资源动态感知网络状态信息；基于博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，生成网络安全事件行为描述信息；根据收集到的网络威胁、网络安全事件行为描述信息，综合历史记录，做出智慧决策，最终判别出网络威胁事件的存在性及危害等级。本发明专利技术能够实现对网络安全事件的协同检测，最终判定出网络威胁、网络安全事件的具体特征，使网络更安全、可靠。

【技术实现步骤摘要】

本专利技术涉及一种基于SDN控制器网络威胁快速感知方法。
技术介绍
随着互联网科技的飞速发展，人类已步入信息时代，信息技术极大地推进了社会变革以及人类生活方式转变的速度，促进了人类信息的高效共享。然而，现有互联网基础架构相对僵化，其控制逻辑和数据层面垂直耦合的特征，导致高效的网络或服务管理成为现有互联网的一大难题。随着未来网络技术研究的不断进步，软件定义网络技术成为解决上述难题的主流选择方案[1]。SDN网络技术通过将网络的数据平面和控制层面解耦合，即通过将网络的控制逻辑从路由器或交换机中剥离出来，达到对网络或服务高效管理和动态配置的目的[2]，极大地推动了信息网络技术的进展现有信息网络控制和数据层面垂直耦合导致配置复杂、对网络失效反应慢等，难以满足“高速”、“高效”、“海量”、“泛在”等通信需求。SDN作为一种新型网络架构通过将网络的数据平面和控制层面解耦合，达到对网络或服务高效管理和动态配置的目的，极大地推动了信息网络技术的进展。然而，伴随着各种新型网络威胁在数量和复杂性上的快速发展，主流网络攻击类型也由松散的个体攻击进化为协同式团体攻击，迫使网络界寻求更先进的网络威胁检测方案，以保障网络服务的可靠性。在通常的网络威胁中，攻击流量占据的比例非常小，即使是攻击流量，攻击特征字在整个攻击流量中占据的比例也非常小。因此，如何从海量网络数据中快速感知网络威胁并识别网络攻击流量，成为现有网络安全研究领域的难题。美国斯坦福大学展开了有关用于软件定义网络的OpenFlow协议、控制器可伸缩性、监测调试工具链、网络虚拟化等方面的研究。国内侧重于网络源地址有效性验证、网络安全和无线嵌入式OpenFlow/MPLS技术，基于软件定义网络协议OpenFlow的统一控制面的研究。目前,网络攻击检测算法可分为基于异常检测和滥用检测等。滥用检测从已知的网络数据攻击包中提取攻击特征，并根据一定的标准将这些攻击特征整理成一条条的规则，然后抓取网络数据包进行分析。数据包的某些特征与检测规则库中某条规则完全匹配时，则认为该网络数据包是攻击包。基于异常检测是从抓获的网络数据包中提取特征，然后与正常网络数据集特征进行分析，如果经过算法处理之后的数据与正常网络数据的轮廓产生了偏离，系统就会判定当前的网络数据包是攻击数据包，然后对攻击数据包做出告警响应和拦截等。但是，现有方法中采用的软件定义网络的研究大多集中在架构层面的控制层和数据层机制设计，但有关其安全检测技术的研究却鲜有涉及。然而，安全性是保障任何新兴信息网络技术部署和应用的前提和基础，现有通信与网络测试技术均针对传统信息网络架构进行设计和开发，现有的滥用检测算法在模式规则很多的情况下，算法表现出来的性能将会非常差；基于异常检测的最严重的问题就是误报率很高。其原始设计出发点和适用场景均难以适配软件定义网络的测试需求。
技术实现思路
本专利技术提出了一种基于SDN控制器网络威胁快速感知方法，针对网络空间安全测试需求，围绕高速网络环境的网络安全问题，以协同感知技术和虚拟化技术为基础，原创性、系统性地创建软件定义的分布式网络威胁检测体系理论，提出网络威胁快速感知和识别机制与方法，有效满足未来军用信息网络架构的安全测试需求。为了实现上述目的，本专利技术采用如下技术方案：一种基于SDN控制器网络威胁快速感知方法，包括以下步骤：(1)利用网络资源动态感知网络状态信息；(2)基于博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，生成网络安全事件行为描述信息；(3)根据收集到的网络威胁、网络安全事件行为描述信息，综合历史记录，做出智慧决策，最终判别出网络威胁事件的存在性及危害等级。所述步骤(2)中，具体包括：(2-1)通过与数据层的交互消息，感知所管辖网络设备的反应速度，根据其掌握的网络全局视图，动态判断出可能发生网络威胁事件的网络设备具体位置和数量；(2-2)利用网络设备在转发网络数据包时，感知网络流量的具体特征，检测异常流量，并实时预警；(2-3)利用网络设备在转发网络流量时，发现自身资源被某些恶意流量严重消耗，继而发送状态信息进行通告，实现对网络安全事件的通告；所述步骤(2)还包括利用网络安全中间件根据自身安全策略，主动汇报网络异常事件到控制中心，实现对网络安全事件的预警和检测。所述网络安全中间件为杀毒软件、防火墙等。所述步骤(2)中，首先引入网络威胁的精确表征和分类机制，采用网络安全事件行为描述对网络威胁类型、威胁等级、拓扑位置进行刻画，具体定义如下：BDSC∈{ST,SD,SL本文档来自技高网...

【技术保护点】
一种基于SDN控制器网络威胁快速感知方法，其特征是：包括以下步骤：(1)利用网络资源动态感知网络状态信息；(2)基于博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，生成网络安全事件行为描述信息；(3)根据收集到的网络威胁、网络安全事件行为描述信息，综合历史记录，做出智慧决策，最终判别出网络威胁事件的存在性及危害等级。

【技术特征摘要】
1.一种基于SDN控制器网络威胁快速感知方法，其特征是：包括以下步骤：(1)利用网络资源动态感知网络状态信息；(2)基于博弈决策算法、行为匹配机制将其与控制层收集到的全网状态信息进行博弈决策，实现对网络安全事件的协同检测，生成网络安全事件行为描述信息；(3)根据收集到的网络威胁、网络安全事件行为描述信息，综合历史记录，做出智慧决策，最终判别出网络威胁事件的存在性及危害等级。2.如权利要求1所述的一种基于SDN控制器网络威胁快速感知方法，其特征是：所述步骤(2)中，具体包括：(2-1)通过与数据层的交互消息，感知所管辖网络设备的反应速度，根据其掌握的网络全局视图，动态判断出可能发生网络威胁事件的网络设备具体位置和数量；(2-2)利用...

【专利技术属性】
技术研发人员：丁亚林，吴恒奎，
申请(专利权)人：中国电子科技集团公司第四十一研究所，
类型：发明
国别省市：山东;37