本发明专利技术涉及网络监控领域,更具体的,涉及一种云安全服务功能树网络入侵检测系统,所述的系统包括服务树拓扑编排模块、服务树拓扑映射模块、流特征数据库模块、全局资源监控模块;本发明专利技术利用网络功能虚拟化技术提供云安全资源;根据云安全态势灵活定制安全防御策略,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别;依据安全防御策略,可在细分后的云安全服务功能树分支中,依据当前分支的网络流特性调度相应的云安全VNF进行更细粒度处理,大大提高了网络的安全性。
A Cloud Security Service Function Tree Network Intrusion Detection System
【技术实现步骤摘要】
一种云安全服务功能树网络入侵检测系统
本专利技术涉及网络监控领域,更具体地,涉及一种在SDN\NFV云计算环境中实现的基于决策树分类的云安全服务功能树网络入侵检测系统。
技术介绍
在接入网络的两台主机进行通信的过程中,其数据报文的传递需要经过分布在数据中心各处的各种网络功能节点,才能保证在通信的过程中能够为用户提供安全、迅捷、稳定的网络服务。当业务的网络流量需要按照业务逻辑所要求的既定顺序,经过相应的网络功能节点对网络数据报文处理再进行交付,这些网络流量所经过的网络功能节点及链路,通常叫做服务功能链。传统网络中的服务功能链和底层物理网络拓扑紧密耦合、难于部署、更新困难,而网络功能的实现依赖于静态部署于数据中心各处的专用网络功能硬件设备。在业务需求发生变更时,服务链为应对新的业务需求需要进行变更和负载能力扩容时,都需要对物理网络拓扑进行修改。云计算概念的提出打破了传统数据中心的信息孤岛困局,在云计算数据中心中,得益于虚拟化技术的广泛使用,SDN技术和NFV技术实现了租户逻辑组网与底层物理网络的解耦,控制层和转发层的分离,虚拟化网络功能VNF的动态创建和灵活部署。因此,通过在云计算环境中部署服务功能链,为解决网络安全问题提供了新的思路。
技术实现思路
为克服上述现有技术所述的在业务需求发生变更时,服务链为应对新的业务需求需要进行变更和负载能力扩容时,都需要对物理网络拓扑进行修改的不足,本专利技术提供了一种云安全服务功能树网络入侵检测系统。为解决上述技术问题,本专利技术的技术方案如下:一种云安全服务功能树网络入侵检测系统,包括服务树拓扑编排模块、服务树拓扑映射模块、流特征数据库模块、全局资源监控模块;所述流特征数据库模块用于存储网络攻击的网络流特征数据,结合云安全态势选取相应的网络攻击流特征数据集构建相应的训练集;所述的服务树拓扑编排模块用于结合云安全态势构建决策树分类模型,使用流特征数据库模块中构建好的训练集对决策树模型进行训练与剪枝,将训练好的决策树分类模型传递给服务树拓扑映射模块;所述的服务树拓扑映射模块用于接收服务树拓扑编排模块所构建的决策树分类模型,将决策树分类模型的决策规则匹配节点映射到相应的服务功能树节点中,在服务功能树节点完成对网络流量的匹配与分类;所述的全局资源监控模块用于对流特征数据库模块、服务树拓扑编排模块以及服务树拓扑映射模块中全网范围内的资源进行监控与维护,从而在云安全服务功能树拓扑的映射以及虚拟逻辑网络的构建过程中,提供底层基础设施的实际承载能力信息,优化VNF资源的映射和部署。优选的,所述的决策树分类模型对多个服务功能链进行堆叠复用来优化安全功能编排和虚拟资源部署,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别完成特异性的细粒度处理。优选的,所述的服务树拓扑映射模块包括流量调度子模块以及VNF资源调度子模块,所述的流量调度子模块用于对网络数据报文进行分类治理,完成转发策略匹配;所述的VNF资源调度子模块用于根据服务功能树编排策略进行按需调度与分类。优选的,所述的流量调度子模块利用OpenFlow多级流表根据来源方向来对网络数据报文进行分类治理。优选的,所述的VNF资源调度子模块使用Docker容器作为虚拟网络功能的承载,根据服务功能树编排策略进行按需调度。优选的,所述的全局资源监控模块还包括拓扑发现子模块、VNF资源监控子模块以及基础设施资源监控子模块;所述的拓扑发现子模块用于完成全网范围的网络拓扑发现和虚拟主机发现;所述的VNF资源监控子模块用于完成对全网范围内VNF资源的状态分析与统计;所述的基础设施资源监控子模块用于对基础设施层的物理设备运行状态进行监控;拓扑发现子模块,VNF资源监控子模块以及基础设施资源监控子模块各个子模块间相互独立工作,将各自监控的状态信息统一汇总递呈至全局资源监控模块中进行处理。优选的,所述的拓扑发现子模块通过对SDN控制器中进行模块化的二次开发而实现,该模块通过封装LLDP链路发现协议和ARP协议作为探测报文,完成全网范围的网络拓扑发现和虚拟主机发现。优选的,所述的VNF资源监控子模块通过在VNF节点部署网络流特征采集模块并实时更新网络流特征信息至VNF资源监控子模块,完成对全网范围内VNF资源的状态分析与统计。优选的,所述的基础设施资源监控子模块,通过实时获取全网范围内物理服务器的计算、存储和网络等资源的使用情况,来对基础设施层的物理设备运行状态进行监控。与现有技术相比,本专利技术技术方案的有益效果是:(1)为解决服务功能链处理逻辑单一,多条服务功能链间虚拟功能节点相互独立且复用率低等问题,本专利技术在虚拟逻辑网络层面提出了一个新的服务功能树型拓扑结构。通过对多个服务功能链的堆叠复用来优化功能和资源部署;在树型拓扑的分支结点实现不同种类网络流量的分流和分隔。(2)依据决策树分类思想构建云安全服务功能树模型,将决策规则匹配节点映射到相应的服务功能树拓扑节点中,在服务功能树节点对流入该节点的网络流特征进行采集与分析,并与决策规则进行匹配从而决定网络流的下一跳分支走向,对可疑网络流量进行逐步细分识别。与单一节点上利用决策树对可疑网流量进行处理相比,服务功能树可以在每个决策规则匹配节点间,按照流量特征灵活嵌入相应的虚拟网络功能进行特异性处理。附图说明图1为本专利技术的系统总体结构示意图;图2为云安全服务树功能树拓扑的示意图;图3为OVS双桥架构网络报文转发示意图;图4为OpenFlow多级流表设计示意图;具体实施方式附图仅用于示例性说明,不能理解为对本专利的限制;为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。下面结合附图和实施例对本专利技术的技术方案做进一步的说明。实施例1如图1,图2所示,一种云安全服务功能树网络入侵检测系统,包括服务树拓扑编排模块1、服务树拓扑映射模块2、流特征数据库模块3、全局资源监控模块4;所述流特征数据库模块3用于存储网络攻击的网络流特征数据,结合云安全态势选取相应的网络攻击流特征数据集构建相应的训练集;所述的服务树拓扑编排模块1用于结合云安全态势构建决策树分类模型,使用流特征数据库模块3中构建好的训练集对决策树模型进行训练与剪枝,将训练好的决策树分类模型传递给服务树拓扑映射模块2;所述的服务树拓扑映射模块2用于接收服务树拓扑编排模块1所构建的决策树分类模型,将决策树分类模型的决策规则匹配节点映射到相应的服务功能树节点中,在服务功能树节点完成对网络流量的匹配与分类;所述的全局资源监控模块4用于对流特征数据库模块3、服务树拓扑编排模块1以及服务树拓扑映射模块2中全网范围内的资源进行监控与维护,在云安全服务功能树拓扑的映射以及虚拟逻辑网络的构建过程中,提供底层基础设施的实际承载能力信息,优化VNF资源的映射和部署。作为一个优选的实施例,所述的决策树分类模型对多个服务功能链进行堆叠复用来优化安全功能编排和虚拟资源部署,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别完成特异性的细粒度处理。作为一个优选的实施例,所述的服务树拓扑映射模块2包括流量调度子模块5以及VNF资源调度子模块6,所述的本文档来自技高网...
【技术保护点】
1.一种云安全服务功能树网络入侵检测系统,其特征在于,包括服务树拓扑编排模块(1)、服务树拓扑映射模块(2)、流特征数据库模块(3)、全局资源监控模块(4);所述流特征数据库模块(3)用于存储网络攻击的网络流特征数据,结合云安全态势选取相应的网络攻击流特征数据集构建相应的训练集;所述的服务树拓扑编排模块(1)用于结合云安全态势构建决策树分类模型,使用流特征数据库模块(3)中构建好的训练集对决策树模型进行训练与剪枝,将训练好的决策树分类模型传递给服务树拓扑映射模块(2);所述的服务树拓扑映射模块(2)用于接收服务树拓扑编排模块(1)所构建的决策树分类模型,将决策树分类模型的决策规则匹配节点映射到相应的服务功能树节点中,在服务功能树节点完成对网络流量的匹配与分类;所述的全局资源监控模块(4)用于对流特征数据库模块(3)、服务树拓扑编排模块(1)以及服务树拓扑映射模块(2)中全网范围内的资源进行监控与维护,在云安全服务功能树拓扑的映射以及虚拟逻辑网络的构建过程中,提供底层基础设施的实际承载能力信息,优化VNF资源的映射和部署。
【技术特征摘要】
1.一种云安全服务功能树网络入侵检测系统,其特征在于,包括服务树拓扑编排模块(1)、服务树拓扑映射模块(2)、流特征数据库模块(3)、全局资源监控模块(4);所述流特征数据库模块(3)用于存储网络攻击的网络流特征数据,结合云安全态势选取相应的网络攻击流特征数据集构建相应的训练集;所述的服务树拓扑编排模块(1)用于结合云安全态势构建决策树分类模型,使用流特征数据库模块(3)中构建好的训练集对决策树模型进行训练与剪枝,将训练好的决策树分类模型传递给服务树拓扑映射模块(2);所述的服务树拓扑映射模块(2)用于接收服务树拓扑编排模块(1)所构建的决策树分类模型,将决策树分类模型的决策规则匹配节点映射到相应的服务功能树节点中,在服务功能树节点完成对网络流量的匹配与分类;所述的全局资源监控模块(4)用于对流特征数据库模块(3)、服务树拓扑编排模块(1)以及服务树拓扑映射模块(2)中全网范围内的资源进行监控与维护,在云安全服务功能树拓扑的映射以及虚拟逻辑网络的构建过程中,提供底层基础设施的实际承载能力信息,优化VNF资源的映射和部署。2.根据权利要求1所述的一种云安全服务功能树网络入侵检测系统,其特征在于,所述的决策树分类模型对多个服务功能链进行堆叠复用来优化安全功能编排和虚拟资源部署,在靠近网络攻击来源的方向部署云安全服务功能树,对可疑网络流量进行逐步细分识别完成特异性的细粒度处理。3.根据权利要求2所述的一种云安全服务功能树网络入侵检测系统,其特征在于,其特征在于,所述的服务树拓扑映射模块(2)包括流量调度子模块(5)以及VNF资源调度子模块(6),所述的流量调度子模块(5)用于对网络数据报文进行分类治理,完成转发策略匹配;所述的VNF资源调度子模块(6)用于根据服务功能树编排策略进行按需调度与分类。4.根据权利要求3所述的一种云安全服务功能树网络入侵检测系统,其特征在于,其...
【专利技术属性】
技术研发人员:余顺争,罗经伦,
申请(专利权)人:中山大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。