本发明专利技术提供一种基于SDN的网络协同异常检测方法。所述方法属于SDN网络应用,通过控制器编程实现,实现方式:在SDN中采集网络节点历史流量数据;利用历史流量数据训练HMRF模型;将待检测实时流量数据输入已有的HMRF行为模型,实现局部及全局网络状态的估计;依据测量数据与模型的偏离程度实现异常网络行为检测;利用通过模型检测的实时流量数据,实现模型的在线更新,增加模型鲁棒性。本发明专利技术利用网络节点的上下文信息,实现分布式网络的协同异常检测。
【技术实现步骤摘要】
本专利技术涉及网络
,更具体地,涉及一种基于软件定义网络(SoftwareDefinedNetwork,简称SDN)的网络协同异常检测方法。
技术介绍
随着计算机网络技术的迅猛发展,网络已经深深地融入政治、经济、文化等领域,给人们的工作生活带来了极大的便利。然而,层出不穷的网络安全问题不仅影响互联网的正常运行,还严重威胁国家的安全,从而引起了全球的关注。根据资料报道,全球的网络每天都在遭受不同程度的威胁,包括:针对个人用户的木马攻击、面向政府与企业的以政治、经济为目的的攻击行为。这些攻击往往造成大面积的网络瘫痪,并导致巨大的经济损失,例如:大规模分布式拒绝服务(DistributedDenialofService,简称DDoS)攻击、蠕虫传播等。中国国家互联网应急中心CNCERT监测发现,2015年针对我国域名系统的DDoS攻击流量进一步增大,2015年8月,我国顶级域名系统先后遭受2次大流量DDoS攻击,峰值流量超过10Gbit/s。2016年10月,美国网络服务供应商迪恩公司的服务器遭到DDoS攻击,造成美国大规模的互联网瘫痪。为了应对各种纷繁复杂的网络威胁,提高网络应对分布式攻击的能力,学术界与工业界提出了许多用于异常检测的方案,包括:在骨干网上部署异常检测策略和相应的杀毒工具、在重要的网络节点设置防火墙等防御加固措施。这些措施在一定程度上减缓网络所受到的攻击与威胁、提高网络运行的稳定性与可靠性。但是,这些方案也存在不足:传统的单点异常检测方法仅通过对网络边界或受保护对象的监控实现防御,没有充分利用网络的互连性以及网络侧分布式节点与链路的信息,从而限制了检测系统的性能。另外,在这种方案中,当网络威胁到达受攻击节点时,检测系统才能检测到异常信号,从而使应急响应的实施非常困难。为了应对单点异常检测方法的不足,需要利用全局网络的信息,采集分布式节点数据,实现网络侧异常检测,提高检测系统的性能。研究人员提出协同异常检测的方案,该方案利用分布式节点的数据,从全局上检测异常行为,但是在实现上受限于传统的TCP/IP网络架构缺乏节点之间的协同机制。SDN是一种新型的网络管理模式,分离了控制平面与数据转发平面,集中化的控制方式可以实现在数据平面设备上采集流量数据,经过分析计算能够应用于网络协同异常检测。从收集到的资料看,目前基于SDN的异常检测方案有以下几种:Braga提出一种轻量级的方法,通过使用NOX控制器实现对DDoS洪水攻击的检测。在这个方案中,利用NOX控制器的可编程接口收集交换机的统计信息,包括:流表的数据包数、字节数、时间间隔等,采用自组织映射(Self-OrganizingMaps,简称SOM)人工神经网络的方法进行分析,进而检测DDoS洪水攻击的特征信号。陈晓帆提出另一种SDN异常检测与拦截方法与系统,该方法在交换机端口对数据流进行随机采样,得到采样数据,提取采样数据的多个特征字段,构造各个特征字段对应的哈希表值,在预设的时间窗口间隔处,计算各个特征字段对应的哈希表的熵值,依据设定的异常判定阈值,检测出异常网络行为。左青云设计了一种基于SDN的轻量级在线流量异常检测方法,该方法中控制器实时获取交换机的流量统计信息,构建基于OpenFlow网络的源、目的结点对(OriginandDestinationPairs,简称OD对)流量矩阵,对常见异常流量特征,构建OD对样本熵矩阵,对不同特征,合并成流量组合熵矩阵,利用主成分分析方法构建异常子空间,实现在线的异常流量检测。上述异常检测方法的优点是利用分布式方法采集网络流量信息进行异常检测。但是在实现协同异常检测中仍然存在局限:它们没有考虑相邻网络节点之间的关联性,这种关联性源自网络自身的互连,即相邻网络节点存在相互作用、相邻节点的异常流量特征存在相似性。由于节点间的这种关联性被忽略,网络节点的上下文信息没有被充分用于异常检测,导致传统的技术难以实现有效的早期检测与早期响应。为此,提出一种新的基于SDN的网络协同异常检测方法是非常有必要的。
技术实现思路
本专利技术为克服上述现有技术所述的至少一种缺陷(不足),提供一种基于SDN的网络协同异常检测方法。该方法通过网络互连节点之间的上下文信息,实时估计局部网络节点及全局网络的行为状态,由此实现分布式网络的协同异常检测。为了实现专利技术目的,采用的技术方案如下:一种基于SDN的网络协同异常检测方法,本方法属于SDN的上层网络应用,通过控制器编程实现,该方法步骤如下:1)利用分布式网络的流量数据构建网络行为模型;2)基于已有的网络行为模型以及实时流量数据,实现局部及全局状态的估计;3)通过实时测量数据与给定模型的拟合度,实现分布式网络的异常行为检测;4)利用通过异常检测的测量数据实现模型的自动更新。所述步骤1)的实现方式:10)采用隐马尔科夫随机场(HiddenMarkovRandomField,简称HMRF)模型对分布式网络的动态变化过程建模;11)采集历史流量数据,包括在SDN中对网络拓扑信息的获取以及对网络流量信息的采集;12)利用采集的历史流量数据训练HMRF模型,得到模型参数。所述步骤2)的实现方式:20)采集实时流量数据;21)基于给定的HMRF模型,利用最大后验(MaximumAPosteriori,简称MAP)估计算法实现局部及全局状态的估计。所述步骤3)的实现方式:利用似然函数,依据实时测量数据与给定的HMRF模型的偏离程度实现异常网络行为检测。所述步骤4)的实现方式:利用通过给定的HMRF模型检测的实时流量数据,实现模型的在线更新。与现有技术相比,本专利技术技术方案的有益效果是:一种基于SDN的网络协同异常检测方法,在新型的网络架构中,不局限于各个网络节点独立测量得到的数据,还充分利用网络节点间的相互作用,实现分布式网络行为及检测异常的早期感知。附图说明图1为本方法的总体框架示意图;图2为本方法SDN中网络协同异常检测网络框架;图3为SDN中的控制器应用开发示意图;图4为SDN控制器链路发现过程;图5为控制器获取交换机端口信息消息交互过程;图6为控制器请求交换机端口信息报文格式;图7为交换机响应控制器请求端口信息报文格式;图8为模型训练过程流程图。具体实施方式附图仅用于示例性说明,不能理解为对本专利的限制;为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。下面结合附图和实施例对本专利技术的技术方案做进一步的说明。总体框架一种基于SDN的网络协同异常检测方法,本方法是属于上层网络应用,本方法的总体框架如图1所示,包括七个部分:HMRF模型、历史流量数据、模型训练、实时流量数据、局部及全局状态估计、异常网络行为检测、模型更新。其中,HMRF用于对分布式网络的动态变化过程进行建模;历史流量数据包括网络拓扑信息以及网络流量信息,用于HMRF模型的训练;模型训练利用历史流量数据训练HMRF模型,得到模型参数;实时流量数据是指在实际应用中采集到的待检测的网络流量信息。局部及全局状态估计是指基于给定的HMRF模型,利用MAP估计算法实现网络状态的估计;异常网络行为检测是利用似然函数,依据实时测量得到的网本文档来自技高网...
【技术保护点】
一种基于SDN的网络协同异常检测方法,属于SDN的上层网络应用,其特征在于,该方法步骤如下:1)在SDN中采集历史流量数据,将其作为模型训练数据集输入模型训练过程,经过训练得到相应的HMRF模型;2)基于步骤1)训练得到的HMRF模型以及采集的实时流量数据,实现局部及全局状态的估计;3)通过实时测量数据与HMRF模型的拟合度,实现分布式网络的异常行为检测;4)采用通过异常检测的测量数据实现HMRF模型的自动更新。
【技术特征摘要】
1.一种基于SDN的网络协同异常检测方法,属于SDN的上层网络应用,其特征在于,该方法步骤如下:1)在SDN中采集历史流量数据,将其作为模型训练数据集输入模型训练过程,经过训练得到相应的HMRF模型;2)基于步骤1)训练得到的HMRF模型以及采集的实时流量数据,实现局部及全局状态的估计;3)通过实时测量数据与HMRF模型的拟合度,实现分布式网络的异常行为检测;4)采用通过异常检测的测量数据实现HMRF模型的自动更新。2.根据权利要求1所述的基于SDN的网络协同异常检测方法,其特征在于,所述步骤1)的实现方式:10)采用隐马尔科夫随机场HMRF模型对分布式网络的动态变化过程建模;11)采集历史流量数据,包括在SDN中对网络拓扑信息的获取以及对网...
【专利技术属性】
技术研发人员:马海寿,谢逸,
申请(专利权)人:中山大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。