基于行为辨识的安全态势感知与防护方法及装置制造方法及图纸

本发明专利技术提出了一种基于行为辨识的安全态势感知与防护方法，该方法具体包括：步骤1，对SDN控制器中的应用程序进行合法性检测；步骤2，实时收集网络中各节点的安全态势要素，其中，所述节点包括SDN交换机以及其他与SDN控制器交互的设备；步骤3，计算网络中各节点的安全态势值；步骤4，根据节点的安全态势和传输链路的承载能力，对传输路径的安全态势进行评估；步骤5，周期性地执行步骤1至4，根据节点和路径的安全态势信息，对网络进行安全态势感知；步骤6，执行步骤1至5，获取当前安全态势感知结果及各节点、路径的历史安全态势信息，按需调度网络中分散的安全资源，动态隔离网络中的恶意节点，对攻击进行全局预警和动态防护。

Safety situation awareness and protection method and device based on behavior identification

【技术实现步骤摘要】
基于行为辨识的安全态势感知与防护方法及装置
本专利技术涉及计算机网络
，尤其涉及一种基于行为辨识的安全态势感知与防护方法及装置。
技术介绍
网络空间中的安全态势感知与防护问题近年来已成为国内外学者的研究热点。目前获取安全态势的主要技术包括：1)应用大数据处理和可视化技术对网络安全态势进行分析；2)基于网络安全事件，对网络安全状态进行量化表达等。然而，受态势信息的获取时间、信息收集的全面性和防护策略不及时等因素的影响，在适时且全面地找出网络中的真实威胁并进行有效防护方面的工作并不理想，从而限制了工作人员做出最佳响应决策的能力。Shin等人基于网络安全虚拟化技术(NetworkSecurityVirtualization，NSV)，通过对网络中的防火墙、入侵检测系统等安全资源进行全局性调度，实现了对网络中已有威胁的感知和防护。然而，该类防护算法是利用网络中已有的安全资源对常见威胁进行辨识，并未考虑网络中各节点和传输路径自身的可信性和安全态势，这将导致一些被攻击者攻陷的安全节点和路径也能够轻易地参与到防护过程中，从而使得诸多防护手段失去作用。
技术实现思路
本专利技术要解决的技术问题是当前网络安全态势信息获取能力受限、无法从全局角度进行动态防护的问题，提供一种基于行为辨识的安全态势感知与防护方法。本专利技术采用的技术方案是，所述基于行为辨识的安全态势感知与防护方法，用于SDN网络，其中，所述网络中的实体具体包括：SDN控制器、SDN交换机，以及与所述SDN控制器、SDN交换机连接的安全资源和终端，所述方法具体包括：步骤1，对SDN控制器中的应用程序进行合法性检测；步骤2，基于SDN网络的集中管控架构，实时收集网络中各节点的安全态势要素，其中，所述节点包括SDN交换机以及其他与SDN控制器交互的设备；步骤3，根据获取的节点安全态势要素，计算网络中各节点的安全态势值；步骤4，根据节点的安全态势和传输链路的承载能力，对传输路径的安全态势进行评估；步骤5，周期性地执行步骤1至4，根据节点和路径的安全态势信息，对网络进行全局、实时地安全态势感知；步骤6，执行步骤1至5，获取当前安全态势感知结果及各节点、路径的历史安全态势信息，基于安全虚拟化技术，按需调度网络中分散的安全资源，动态隔离网络中的恶意节点，对攻击进行全局预警和动态防护。优选地，检测SDN控制器中与态势感知模块交互的应用程序，确认其身份和访问权限的合法性，具体包括：在新的应用程序试图访问SDN控制器中的安全态势感知与防护模块并向该模块提供服务之前，首先向可信第三方私钥生成中心PKG提供该应用程序的基本信息，申请其用于提供服务的合法身份标示，并获取PKG提供的合法身份标示；在应用程序向安全态势感知与防护模块提供服务时，安全态势感知与防护模块根据所述应用程序的身份标示对其身份的合法性以及访问控制权限的有效性进行检测。优选地，基于SDN网络的集中管控架构，实时收集网络中各节点的安全态势要素，具体包括：根据公式1计算数据包的成功转发率其中，Nrelay表示最近λ个会话中数据包被成功转发的数量，Ntotal为最近λ个会话中收到数据包的总数量，表示交换机vi成功转发数据包的可能性；根据公式2计算路径不被破坏的可能性其中，Nbroken表示在最新λ个会话中被交换机vi破坏的会话量，表示在最新的λ个会话中交换机vi不会破坏路径的可能性；根据公式3计算每个会话至少成功转发ò个数据包的可能性其中，为交换机vi在每个会话中均能成功转发ò以上个数据包的会话数量；λ为最近时间内的会话总数，表示节点vi在每个会话中均能够成功转发ò以上个数据包的百分比。优选地，根据获取的节点安全态势要素，计算网络中各节点的安全态势值，具体包括：对于任意交换机节点vi∈V，其安全态势用k维向量Ti表示，即：其中，1≤i≤n，n为网络中的交换机总数，表示交换机节点vi安全态势的第j个属性，j∈{1，...，k}，并且每一个属性与第j个网络事件相关联。优选地，根据节点的安全态势和传输链路的承载能力，对路径的安全态势进行评估具体包括：给定路径p＝{v1，......，vn}，根据公式4计算其第j个安全态势属性由该路径上每个节点发生第j种网络事件的可能性表示：将路径p＝{v1，......，vn}的多个安全态势属性进行聚合，根据公式5计算得到该路径的整体安全态势值T(p)：其中，ωj为第j个安全态势属性对应的权重，表示用户对网络中事件发生的敏感程度，给定敏感度向量α(j)，则权重ωj表示为：优选地，步骤6具体包括：步骤61，获取源节点vs，目的节点vd，带宽需求br；步骤62，SDN控制器根据系统提供的带宽信息，读取网络拓扑；步骤63，基于K-shortest算法，计算可能的路径集合Ppaths＝{P1，......，PK}，其中包含从vs至vd的不同传输路径；步骤64，通过SDN控制器收集路径集合Ppaths中所有节点的最新状态信息并针对路径Pκ∈Ppaths，根据公式6和公式7计算当前安全态势结果：或者，直接获取获取最近一次的历史安全态势感知结果；步骤65，针对路径Pκ∈Ppaths，获取历史安全态势库中其最近tpre时间内路径Pκ的x次历史安全态势要素信息，根据公式6和公式7，计算不同历史时刻Pκ的安全态势值，形成历史安全态势值集合步骤66，基于当前安全态势感知结果和历史安全态势结果，根据公式8计算路径Pκ的综合安全态势：从Ppaths中选取综合安全态势值最大的路径作为传输路径；步骤67，SDN控制器将路径信息转换为对应的转发策略，并下发至对应的交换机。优选地，步骤6具体包括：步骤61’，输入源节点vs，目的节点vd，带宽需求br，安全需求R＝{r1，r2，...，rn}；步骤62’，通过SDN控制器收集网络中设备和安全资源信息；步骤63’，分析安全需求R＝{r1，r2，…，rn}，提取满足其安全需求的安全资源集D＝{sd1，sd2，…，sdn}；步骤64’，通过步骤61至步骤66计算vs至sd1之间的最大综合安全态势值路径P(vs，sd1)；步骤65’，对安全设备sdi∈D，若i＞1，通过步骤61至步骤66计算sdi-1至sdi之间的最大综合安全态势值路径步骤66’，通过步骤61至步骤66计算sdn至vd之间的最大综合安全态势值路径P(sdn，vd)；步骤67’，对步骤64’至66’中得到的路径信息进行聚合，得到vs至vd之间满足安全需求R的最大综合安全态势值路径：{P(vs，sd1)，P(sd1，sd2)，...，P(sdn-1，sdn)，P(sdn，vd)}；步骤68’，SDN控制器将路径信息转换为对应的转发策略，并下发至对应本文档来自技高网...

【技术保护点】
1.一种基于行为辨识的安全态势感知与防护方法，其特征在于，用于SDN网络，其中，所述网络中的实体具体包括：SDN控制器、SDN交换机，以及与所述SDN控制器、SDN交换机连接的安全资源和终端，所述方法具体包括：/n步骤1，对SDN控制器中的应用程序进行合法性检测；/n步骤2，基于SDN网络的集中管控架构，实时收集网络中各节点的安全态势要素，其中，所述节点包括SDN交换机以及其他与SDN控制器交互的设备；/n步骤3，根据获取的节点安全态势要素，计算网络中各节点的安全态势值；/n步骤4，根据节点的安全态势和传输链路的承截能力，对传输路径的安全态势进行评估；/n步骤5，周期性地执行步骤1至4，根据节点和路径的安全态势信息，对网络进行全局、实时地安全态势感知；/n步骤6，执行步骤1至5，获取当前安全态势感知结果及各节点、路径的历史安全态势信息，基于安全虚拟化技术，按需调度网络中分散的安全资源，动态隔离网络中的恶意节点，对攻击进行全局预警和动态防护。/n

【技术特征摘要】
1.一种基于行为辨识的安全态势感知与防护方法，其特征在于，用于SDN网络，其中，所述网络中的实体具体包括：SDN控制器、SDN交换机，以及与所述SDN控制器、SDN交换机连接的安全资源和终端，所述方法具体包括：
步骤1，对SDN控制器中的应用程序进行合法性检测；
步骤2，基于SDN网络的集中管控架构，实时收集网络中各节点的安全态势要素，其中，所述节点包括SDN交换机以及其他与SDN控制器交互的设备；
步骤3，根据获取的节点安全态势要素，计算网络中各节点的安全态势值；
步骤4，根据节点的安全态势和传输链路的承截能力，对传输路径的安全态势进行评估；
步骤5，周期性地执行步骤1至4，根据节点和路径的安全态势信息，对网络进行全局、实时地安全态势感知；
步骤6，执行步骤1至5，获取当前安全态势感知结果及各节点、路径的历史安全态势信息，基于安全虚拟化技术，按需调度网络中分散的安全资源，动态隔离网络中的恶意节点，对攻击进行全局预警和动态防护。


2.根据权利要求1所述的，其特征在于，检测SDN控制器中与态势感知模块交互的应用程序，确认其身份和访问权限的合法性，具体包括：
在新的应用程序试图访问SDN控制器中的安全态势感知与防护模块并向该模块提供服务之前，首先向可信第三方私钥生成中心PKG提供该应用程序的基本信息，申请其用于提供服务的合法身份标示，并获取PKG提供的合法身份标示；
在应用程序向安全态势感知与防护模块提供服务时，安全态势感知与防护模块根据所述应用程序的身份标示对其身份的合法性以及访问控制权限的有效性进行检测。


3.根据权利要求1所述的，其特征在于，基于SDN网络的集中管控架构，实时收集网络中各节点的安全态势要素，具体包括：
根据公式1计算数据包的成功转发率



其中，Nrelay表示最近λ个会话中数据包被成功转发的数量，Ntotal为最近λ个会话中收到数据包的总数量，表示交换机vi成功转发数据包的可能性；
根据公式2计算路径不被破坏的可能性



其中，Nbroken表示在最新λ个会话中被交换机vi破坏的会话量，表示在最新的λ个会话中交换机vi不会破坏路径的可能性；
根据公式3计算每个会话至少成功转发ò个数据包的可能性



其中，为交换机vi在每个会话中均能成功转发ò以上个数据包的会话数量；λ为最近时间内的会话总数，表示节点vi在每个会话中均能够成功转发ò以上个数据包的百分比。


4.根据权利要求3所述的，其特征在于，根据获取的节点安全态势要素，计算网络中各节点的安全态势值，具体包括：
对于任意交换机节点vi∈V，其安全态势用k维向量Ti表示，即：其中，1≤i≤n，n为网络中的交换机总数，表示交换机节点vi安全态势的第j个属性，j∈{1，...，k}，并且每一个属性与第j个网络事件相关联。


5.根据权利要求4所述的，其特征在于，根据节点的安全态势和传输链路的承载能力，对路径的安全态势进行评估具体包括：
给定路径p＝{v1，......，vn}，根据公式4计算其...

【专利技术属性】
技术研发人员：王蒙蒙，罗鑫，吴宝江，朱兴国，王栋，李杨，马克祥，马建，
申请(专利权)人：中国电子科技集团公司电子科学研究院，
类型：发明
国别省市：北京;11