【技术实现步骤摘要】
基于行为辨识的安全态势感知与防护方法及装置
本专利技术涉及计算机网络
,尤其涉及一种基于行为辨识的安全态势感知与防护方法及装置。
技术介绍
网络空间中的安全态势感知与防护问题近年来已成为国内外学者的研究热点。目前获取安全态势的主要技术包括:1)应用大数据处理和可视化技术对网络安全态势进行分析;2)基于网络安全事件,对网络安全状态进行量化表达等。然而,受态势信息的获取时间、信息收集的全面性和防护策略不及时等因素的影响,在适时且全面地找出网络中的真实威胁并进行有效防护方面的工作并不理想,从而限制了工作人员做出最佳响应决策的能力。Shin等人基于网络安全虚拟化技术(NetworkSecurityVirtualization,NSV),通过对网络中的防火墙、入侵检测系统等安全资源进行全局性调度,实现了对网络中已有威胁的感知和防护。然而,该类防护算法是利用网络中已有的安全资源对常见威胁进行辨识,并未考虑网络中各节点和传输路径自身的可信性和安全态势,这将导致一些被攻击者攻陷的安全节点和路径也能够轻易地参与到防护过程中,从而使得诸多防护手段失去作用。
技术实现思路
本专利技术要解决的技术问题是当前网络安全态势信息获取能力受限、无法从全局角度进行动态防护的问题,提供一种基于行为辨识的安全态势感知与防护方法。本专利技术采用的技术方案是,所述基于行为辨识的安全态势感知与防护方法,用于SDN网络,其中,所述网络中的实体具体包括:SDN控制器、SDN交换机,以及与所述SDN控制器、SDN交换机连接的 ...
【技术保护点】
1.一种基于行为辨识的安全态势感知与防护方法,其特征在于,用于SDN网络,其中,所述网络中的实体具体包括:SDN控制器、SDN交换机,以及与所述SDN控制器、SDN交换机连接的安全资源和终端,所述方法具体包括:/n步骤1,对SDN控制器中的应用程序进行合法性检测;/n步骤2,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,其中,所述节点包括SDN交换机以及其他与SDN控制器交互的设备;/n步骤3,根据获取的节点安全态势要素,计算网络中各节点的安全态势值;/n步骤4,根据节点的安全态势和传输链路的承截能力,对传输路径的安全态势进行评估;/n步骤5,周期性地执行步骤1至4,根据节点和路径的安全态势信息,对网络进行全局、实时地安全态势感知;/n步骤6,执行步骤1至5,获取当前安全态势感知结果及各节点、路径的历史安全态势信息,基于安全虚拟化技术,按需调度网络中分散的安全资源,动态隔离网络中的恶意节点,对攻击进行全局预警和动态防护。/n
【技术特征摘要】
1.一种基于行为辨识的安全态势感知与防护方法,其特征在于,用于SDN网络,其中,所述网络中的实体具体包括:SDN控制器、SDN交换机,以及与所述SDN控制器、SDN交换机连接的安全资源和终端,所述方法具体包括:
步骤1,对SDN控制器中的应用程序进行合法性检测;
步骤2,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,其中,所述节点包括SDN交换机以及其他与SDN控制器交互的设备;
步骤3,根据获取的节点安全态势要素,计算网络中各节点的安全态势值;
步骤4,根据节点的安全态势和传输链路的承截能力,对传输路径的安全态势进行评估;
步骤5,周期性地执行步骤1至4,根据节点和路径的安全态势信息,对网络进行全局、实时地安全态势感知;
步骤6,执行步骤1至5,获取当前安全态势感知结果及各节点、路径的历史安全态势信息,基于安全虚拟化技术,按需调度网络中分散的安全资源,动态隔离网络中的恶意节点,对攻击进行全局预警和动态防护。
2.根据权利要求1所述的,其特征在于,检测SDN控制器中与态势感知模块交互的应用程序,确认其身份和访问权限的合法性,具体包括:
在新的应用程序试图访问SDN控制器中的安全态势感知与防护模块并向该模块提供服务之前,首先向可信第三方私钥生成中心PKG提供该应用程序的基本信息,申请其用于提供服务的合法身份标示,并获取PKG提供的合法身份标示;
在应用程序向安全态势感知与防护模块提供服务时,安全态势感知与防护模块根据所述应用程序的身份标示对其身份的合法性以及访问控制权限的有效性进行检测。
3.根据权利要求1所述的,其特征在于,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,具体包括:
根据公式1计算数据包的成功转发率
其中,Nrelay表示最近λ个会话中数据包被成功转发的数量,Ntotal为最近λ个会话中收到数据包的总数量,表示交换机vi成功转发数据包的可能性;
根据公式2计算路径不被破坏的可能性
其中,Nbroken表示在最新λ个会话中被交换机vi破坏的会话量,表示在最新的λ个会话中交换机vi不会破坏路径的可能性;
根据公式3计算每个会话至少成功转发ò个数据包的可能性
其中,为交换机vi在每个会话中均能成功转发ò以上个数据包的会话数量;λ为最近时间内的会话总数,表示节点vi在每个会话中均能够成功转发ò以上个数据包的百分比。
4.根据权利要求3所述的,其特征在于,根据获取的节点安全态势要素,计算网络中各节点的安全态势值,具体包括:
对于任意交换机节点vi∈V,其安全态势用k维向量Ti表示,即:其中,1≤i≤n,n为网络中的交换机总数,表示交换机节点vi安全态势的第j个属性,j∈{1,...,k},并且每一个属性与第j个网络事件相关联。
5.根据权利要求4所述的,其特征在于,根据节点的安全态势和传输链路的承载能力,对路径的安全态势进行评估具体包括:
给定路径p={v1,......,vn},根据公式4计算其...
【专利技术属性】
技术研发人员:王蒙蒙,罗鑫,吴宝江,朱兴国,王栋,李杨,马克祥,马建,
申请(专利权)人:中国电子科技集团公司电子科学研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。