一种软件定义网络安全态势评估方法技术

本发明专利技术公开了一种软件定义网络安全态势评估方法，结合SDN集中控制和收集信息直接、快速的优势，针对SDN转发面典型的三类攻击提出了一个开放的SDN安全态势评估框架，该安全框架与SDN控制器的架构紧密契合，其中异常检测模块根据SDN和各类攻击特性提取特征指标，并且选取支持向量分类算法(SVM)进行识别，给出攻击的预判。而安全态势评估模块根据异常检测模块收集的信息对网络安全态势进行量化评估，并通过阈值的设置来调节评估系统对攻击的敏感程度和抗噪声能力。最后本发明专利技术对不同的攻击基于层次分析法(AHP)分配不同的权值，从而拟合出网络的综合安全态势值。本发明专利技术灵活、简单，能准确地检测到攻击行为并给出网络的安全态势量化评估，以较小的代价实现对SDN转发面安全状况的监测和评估。

【技术实现步骤摘要】
一种软件定义网络安全态势评估方法
本专利技术涉及一种数字信息传输技术，具体涉及一种网络安全状况监测评估技术，用于软件定义网络(SoftwareDefinedNetwork)的安全态势评估。
技术介绍
随着软件定义网络(SDN)的普及和进一步研究，网络具有更大的灵活性、开放性和可维护性，网络开发或维护者可以将各种不同功能的应用部署到控制器中实现网络的持续创新。一项重要的应用是对网状况的态势感知，即对影响网络安全的因素进行获取、理解和评估，是对网络安全性进行定量分析，这在网络安全监测和防护领域有重要的意义。而现有对SDN网络安全的研究特别是对网络转发面的研究主要是接入认证、简单的入侵检测等，如在SDN中控制器通过TLS/SSL来认证和授权转发节点的身份以保证转发设备身份的可靠性以及控制器与转发面信道的安全。SDN网络除了认证、授权外还需要对网络节点的行为进行监测、评估，以获取网络的安全态势。传统分布式网络中对网络安全态势评估存在诸多问题，首先传统网络除了要直接从相邻观节点观测到的数据中得出直接信任值外还要接收别的节点对特定节点的推荐信息，同时要确保推荐信息不被伪造，从而增加了信息收集量和甄别的难度。另外传统网络在参数信息的传递与计算上具有空间局限性,由于分布式网络数据的收集要从局部到整体逐级传递，给网络带来较高的负担和延时，难以对网络的变化进行全面实时的监测。而且传统网络中设备差异大，要收集的信息可能千差万别，给评估方法的建模带来新的难度。传统安全评估方案都较复杂，评估模型复杂化这对于全网安全方案的升级变更带来不便，可扩展性差。因此现有网络安全状况研究方案的缺点使得对网络进行准确、实时以及高效的检测评估带来困难。
技术实现思路
针对现有技术的不足，本专利技术旨在提供一种SDN网络安全态势评估方法，通过在SDN中设置异常检测模块和安全态势评估模块，由SDN控制器负责整个网络集中化的监测和评估，同时保证方案的简洁、高效和较强的可扩展性强。其中异常检测模块针对三类典型网络攻击的特点抽取出要在SDN中进行检测的具体特征，并应用SVM分类器对异常状况进行分类和识别，而安全态势评估模块则根据得到的统计数据利用贝叶斯理论得到攻击的信任值，并且根据不同攻击的威胁程度基于层次分析法拟合出综合的网络安全态势值。为了实现上述目的，本专利技术采用如下技术方案：首先由异常检测模块给出各类攻击的预判，然后安全态势评估模块在预判的基础上建立针对各类攻击的网络安全态势，具体包括如下步骤：步骤1，控制器周期性地对各个转发节点的网络指标参数进行采集，异常检测模块根据各类攻击的特点从采集到的样本数据中提取具体的特征指标；步骤2，在一段时间内收集各类攻击的特征指标Y＝(y1,y2,..yn)，将这些特征指标作为训练集，通过支持向量机(SVM)分类器进行训练：首先确定分类个数为2，即正常或异常，分类器将所有样本集的特征分类，计算SVM分类器中每个特征向量的相关值，并根据这些相关值计算协方差矩阵空间，然后计算特征系数，获得模型参数；最后对步骤1中的样本数据进行测试分类；步骤3，进行M次采样后，统计出在该M次采样中，转发节点在各类攻击下的正常次数和异常次数；步骤4，安全态势评估模块接收到所述异常检测模块的统计数据后，根据贝叶斯理论计算出转发节点在各类攻击下的当前信任值，以评估在各类攻击下转发节点的安全状况；步骤5，安全态势评估模块在步骤4中计算得出的各个信任值和不同攻击类型对网络的不同危害程度的基础上，为各类攻击对网络安全态势的影响分配相应的权值，并通过拟合得到网络的综合安全态势值。需要说明的是，所述攻击类型包括TCP洪泛攻击、网络扫描攻击以及转发设备俘获攻击。进一步需要说明的是，所述TCP洪泛攻击的特征指标包括流平均数据包数以及流平均字节数，其中流平均数据包数以及流平均字节数均采用下式进行计算：其中X＝(x1,x2...xn)是各流的数据包数目或者字节数目组成的序列，并且按从小到大排列,即x1≤x2≤...≤xn。进一步需要说明的是，所述网络扫描攻击的特征指标包括端口号变化率和大于空闲超时流表项比例，其中端口号变化率采用如下公式进行计算：其中，和分别为t2和t1时刻下的端口号数目；另外，所述大于空闲超时流表项比例为超过空闲超时的流表项数站总流表项数的比例，所述空闲超时是指一个流表项没有数据流的时间超过设定的值后流表项会被删除。进一步需要说明的是，所述转发设备俘获特征指标包括转发节点端口流量变化率和流表一致性检查，其中端口号流量变化率的计算方法如下：Rtra＝(Stra2-Stra1)/(t2-t1)；其中Stra2,Stra1分别为t2和t1时刻的端口数据流速率；流表一致性检查是指检查控制器和交换机流表状态是否出现不一致。需要说明的是，步骤4中，根据贝叶斯理论，二元事件服从Beta分布，则转发节点在每个攻击类型下的当前信任值计算如下：其中，m'和m分别为在该类攻击下的正常次数和异常次数，m'+m＝M。进一步需要说明的是，样本数据进行实时更新，大小为M的样本组成一个长度为M的窗口，若当前的信任值T0计算完成后，样本中的数据整体右移一位，原来的第M个样本数据即离当前时间最远、最陈旧数据的从窗口中淘汰，然后把刚计算出来的T0放入原来T1的位置，即第一个位置，参与下一次信任值的计算，同时保证样本实时更新。需要说明的是，步骤5中，不同攻击类型的权值是基于层次分析法进行分配的，并且当遭受某类攻击超过一定程度后将对得到的权值进行修正；所述综合安全态势值的计算方法具体如下：5.1初始化要拟合的元素个数n、某时刻转发节点在各类攻击下的信任值T＝{TAttack1,TAttack2,...TAttackN}、n×n判断矩阵A以及各类攻击的惩罚阈值C＝{c1,c2,...,cn}；5.2将判断矩阵A的每一列归一化：5.3将归一化后的矩阵按行求和：5.4对向量进行归一化：则特征向量为W＝[ω1,ω2,...ωn]T,即得到基础权值；5.5求得特征根值其中A为判断矩阵，W为基础权值，并据此计算一致性指标CI＝(t-n)/(n-1)；对照随机一致性指标进行一致性检验，如果不通过则调整判断矩阵A并跳转到步骤5.2；否则转到步骤5.6；5.6如果检测到第i类攻击的异常次数mi大于相应的惩罚阈值ci，则令Δi＝mi-ci，对该类攻击的基础权值进行修正其中5.7对权值向量归一化:得到最终权值:a＝[a1,a2,...an]T；5.8求出最终拟合后的安全态势值本专利技术的有益效果在于：1、本专利技术以安全态势值来表示转发节点遭受攻击的状况，充分利用SDN集中控制机制，由SDN控制器充当安全评估的主体，引进动态变化的安全态势值作为转发节点的安全度量，避免在网络不稳定时单次判断造成高误判率；同时SDN控制器对转发面设备进行信息收集，跳数少、速度快，保证了实时性，同时转发面设备支持统一的标准如OpenFlow协议，使得信息的收集更加规范高效，从而能以较小代价在整个SDN网络上对安全状况做出客观、实时的评估；2、本专利技术具有开放性和可扩展性，网络开发和维护人员可以根据各自特定的需求对安全框架进行扩展，同时所得的评估结果可以被其它上层应用所使用，对于新的攻击只要添加对于这种攻击的检测指标就能得到针对这种攻击本文档来自技高网...

【技术保护点】
一种软件定义网络安全态势评估方法，其特征在于：首先由异常检测模块给出各类攻击的预判，然后安全态势评估模块在预判的基础上建立针对各类攻击的网络安全态势，具体包括如下步骤：步骤1，控制器周期性地对各个转发节点的网络指标参数进行采集，异常检测模块根据各类攻击的特点从采集到的样本数据中提取具体的特征指标；步骤2，在一段时间内收集各类攻击的特征指标Y＝(y1,y2,..yn)，将这些特征指标作为训练集，通过支持向量机(SVM)分类器进行训练：首先确定分类个数为2，即正常或异常，分类器将所有样本集的特征分类，计算SVM分类器中每个特征向量的相关值，并根据这些相关值计算协方差矩阵空间，然后计算特征系数，获得模型参数；最后对步骤1中的样本数据进行测试分类；步骤3，进行M次采样后，统计出在该M次采样中，转发节点在各类攻击下的正常次数和异常次数；步骤4，安全态势评估模块接收到所述异常检测模块的统计数据后，根据贝叶斯理论计算出转发节点在各类攻击下的当前信任值，以评估在各类攻击下转发节点的安全状况；步骤5，安全态势评估模块在步骤4中计算得出的各个信任值和不同攻击类型对网络的不同危害程度的基础上，为各类攻击对网络安全态势的影响分配相应的权值，并通过拟合得到网络的综合安全态势值。...

【技术特征摘要】
1.一种软件定义网络安全态势评估方法，其特征在于：首先由异常检测模块给出各类攻击的预判，然后安全态势评估模块在预判的基础上建立针对各类攻击的网络安全态势，具体包括如下步骤：步骤1，控制器周期性地对各个转发节点的网络指标参数进行采集，异常检测模块根据各类攻击的特点从采集到的样本数据中提取具体的特征指标；步骤2，在一段时间内收集各类攻击的特征指标Y＝(y1,y2,..yn)，将这些特征指标作为训练集，通过支持向量机(SVM)分类器进行训练：首先确定分类个数为2，即正常或异常，分类器将所有样本集的特征分类，计算SVM分类器中每个特征向量的相关值，并根据这些相关值计算协方差矩阵空间，然后计算特征系数，获得模型参数；最后对步骤1中的样本数据进行测试分类；步骤3，进行M次采样后，统计出在该M次采样中，转发节点在各类攻击下的正常次数和异常次数；步骤4，安全态势评估模块接收到所述异常检测模块的统计数据后，根据贝叶斯理论计算出转发节点在各类攻击下的当前信任值，以评估在各类攻击下转发节点的安全状况；根据贝叶斯理论，二元事件服从Beta分布，则转发节点收集M次预判值后，在每个攻击类型下的当前信任值计算方法如下：其中，m'和m分别为在该类攻击下的正常次数和异常次数，m'+m＝M；样本数据进行实时更新，大小为M的样本组成一个长度为M的窗口，若当前的信任值T0计算完成后，样本中的数据整体右移一位，原来的第M个样本数据即离当前时间最远、最陈旧数据的从窗口中淘汰，然后把刚计算出来的T0放入原来T1的位置，即第一个位置，参与下一次信任值的计算，同时保证样本实时更新；步骤5，安全态势评估模块在步骤4中计算得出的各个信任值和不同攻击类型对网络的不同危害程度的基础上，为各类攻击对网络安全态势的影响分配相应的权值，并通过拟合得到网络的综合安全态势值。2.根据权利要求1所述的一种软件定义网络安全态势评估方法，其特征在于，所述攻击类型包括TCP洪泛攻击、网络扫描攻击以及转发设备俘获攻击。3.根据权利要求2所述的一种软件定义网络安全态势评估方法，其特征在于，所述TCP洪泛攻击的特征指标包括流平均数据包数以及流平均字节数，其中流平均数据包数以及流平均字节数均采用下式进行计算...

【专利技术属性】
技术研发人员：李兴华，何龚敏，郭佳，刘海，张俊伟，马建峰，姜奇，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61