CN105978916A

CN105978916A - 一种sdn网络的安全审计系统

Info

Publication number: CN105978916A
Application number: CN201610567165.6A
Authority: CN
Inventors: 刘静; 何运; 庄俊玺; 赖英旭
Original assignee: Beijing University of Technology
Current assignee: Beijing University of Technology
Priority date: 2016-07-19
Filing date: 2016-07-19
Publication date: 2016-09-28

Abstract

本发明公开一种SDN网络的安全审计系统，包括：所述事件生成模块，用于将网络中与安全有关状态信息转换为预设格式的安全审计事件，事件存储模块，用于安全审计事件存储到数据库中；事件分析模块，用于从数据库中对安全审计事件进行DDoS攻击回溯分析，能够分析出DDoS攻击中的攻击者和僵尸主机集合，同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为。采用本发明的技术方案，可对SDN网络中与安全有关的活动进行记录，建立网络中的安全审计事件数据库，根据安全审计数据能分析出网络中的安全事件过程，为网络管理员分析和识别攻击行为提供有力的证据。

Description

一种SDN网络的安全审计系统

技术领域

本发明属于信息安全技术领域，尤其涉及一种SDN网络的安全审计系统。

背景技术

SDN的安全问题根据其网络架构特征，主要集中在控制平面，数据平面以及控制平面和数据平面之间的通信。控制平面主要研究SDN控制器的安全性，控制器集中管控的特性提高网络部署与管理的效率，也引出一些安全隐患，如目前收到研究者关注的控制器可靠性和健壮性的问题目，控制器成为网络的核心后，更要考虑控制器故障造成的损失及安全事故。数据平面的安全问题如恶意流量的注入造成未知流量引发大量PACKET_IN消息发往控制器会造成控制器资源耗尽出现DoS攻击，此外数据平面的流表规则一致性问题、防篡改问题也备受研究者关注。控制平面和数据平面的通信安全方面目前很多控制器都提供TSL协议来保证通信的安全，同时也有较多研究者关注控制器和交换机之间的可信认证。

目前SDN网络中的安全审计方面的研究尚属少数，基本思路多围绕控制器自身安全性进行探讨。还没有一个完整的对SDN网络状态进行监控采集和分析的系统，这是目前SDN网络安全研究方面的一个空缺，而少数研究者提到的SDN网络的安全审计也仅仅涉及了事件的采集并没有对事件的分析。

发明内容

本发明要解决的技术问题是，提供一种SDN网络的安全审计系统，以解决SDN网络中状态采集、事件生成、事件分析的问题。

为解决上述问题，本发明采用如下的技术方案：

一种SDN网络的安全审计系统包括：

事件生成模块，用于将网络中与安全有关状态信息转换为预设格式的安全审计事件；

事件存储模块，用于所述安全审计事件存储到数据库中；

事件分析模块，用于调用数据库中对安全审计事件进行DDoS攻击回溯分析，分析出DDoS攻击中的攻击者，同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为。

作为优选，还包括：自动响应模块，用于根据事件分析模块发送的备份指令，将可疑流量重定向到指定的存储中心进行存储以备后续的流量分析。

作为优选，还包括：事件浏览模块，用于呈现数据库中所述安全审计事件以及事件分析模块的分析结果。

作为优选，所述事件分析模块采用滑动分割算法对安全审计事件进行分析提取用户网络访问记录中体现出的网络访问行为模式，

作为优选，所述事件分析模块采用基于Levenshtein算法的模式相似度计算方法，通过模式之间的相似度来衡量行为模式是否为异常或正常。

作为优选，所述安全审计事件的预设格式包含：源IP地址、目的IP地址、源端口、目的端口、所属协议、数据包数目、字节数目。

作为优选，所述事件存储模块采用MySQL数据库进行存储。

本发明的SDN网络的安全审计系统包括：事件生成模块，用于将网络中与安全有关状态信息转换为预设格式的安全审计事件，事件存储模块，用于安全审计事件存储到数据库中；事件分析模块，用于调用数据库对安全审计事件进行DDoS攻击回溯分析，能够分析出DDoS攻击中的攻击者，同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为；自动响应模式，用于将可疑流量重定向到指定的存储中心进行存储以备后续的流量分析。采用本发明的技术方案，可对SDN网络中与安全有关的活动进行记录，建立网络中的安全审计事件数据库，根据安全审计数据能分析出网络中的安全事件过程，为网络管理员分析和识别攻击行为提供有力的证据。

附图说明

图1为本发明SDN网络的安全审计系统的结构示意图。

图2为DDoS攻击时序图；

图3为自动响应模块工作原理图；

图4为自动响应模块引流功能示意图。

具体实施方式

以下结合具体实施例，并参照附图，对本发明进一步详细说明。

如图1所示，本发明提供一种SDN网络的安全审计系统包括：事件生成模块、事件存储模块、事件分析模块、事件浏览模块以及自动响应模块。

事件生成模块，位于Floodlight控制器中，用于将网络中与安全有关状态信息转换为预设格式的安全审计事件，所述安全审计事件预设格式为：

flow(src_ip,dst_ip,src_port,dst_port,protocol,packet_count,byte_count)，其中，src_ip为源IP地址，dst_ip为目的IP地址，src_port为源端口，dst_port为目的端口，protocol为所属协议，packet_count为数据包数目，byte_count为字节数目。

事件存储模块，位于Floodlight控制器中，用于所述安全审计事件存储到数据库中，作为优选，所述事件存储模块采用MySQL数据库进行存储；

事件分析模块，独立于Floodlight控制器，用于调用数据库中对安全审计事件进行DDoS攻击回溯分析，分析出DDoS攻击中的攻击者，同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为；优先地，采用滑动分割算法对安全审计事件进行分析提取用户网络访问记录中体现出的网络访问行为模式，采用基于Levenshtein算法的模式相似度计算方法，通过模式之间的相似度来衡量行为模式是否为异常或正常。

自动响应模块，位于Floodlight控制器中，具有引流备份功能，用于根据事件分析模块发送的备份指令，将可疑流量重定向到指定的存储中心进行存储以备后续的流量分析。

事件浏览模块，独立于Floodlight控制器，用于呈现数据库中所述安全审计事件以及事件分析模块的分析结果，提供事件的查询和检索服务，可根据时间和事件属性字段进行查询和检索事件记录。

所述事件分析模块对安全审计事件进行DDoS攻击回溯分析，具体过程如下：

Floodlight控制器通过事件生成模块对流建立请求PACKET_IN报文进行解析，获取相关流记录信息，控制器实时不间断地解析PACKET_IN报文记录流信息：控制器实时不间断地把网络的中所有网络访问记录(流记录)均存储到审计数据存储中心的数据库中，当检测到DDoS攻击时立即调用攻击回溯算法进行回溯追踪确定僵尸主机集合ZH和攻击者Attacker。

如图2所示，攻击从t₀时刻开始，在[t₀,t_s]时间段，攻击者Attacker主动向ZH发起通信目的在于向ZH下达攻击命令，在[t_s,t_detect]时间段接收到Attacker下达的攻击命令后ZH中的主机成员开始向目标主机th发送大量的报文(如，UDP报文)。在t_detect时刻系统中检测到DDoS攻击出现被立即调用攻击回溯算法。

攻击回溯过程描述：

第一步、确定僵尸主机集合ZHset，通过以下公式确定可能的僵尸主机集合，即

ZHset＝{src_ip|flowLog_i[dst_ip]＝＝th_ip&&flow_volume_i＞MaxVolume,

flowLog_i∈flowLogSet_attack,src_ip∈flowLog_i,i＝1,2,...|flowLogSet_attack|}

其中，flowLogSet_attack为[t_detect-Δt_attack,t_detect]时间段内的所有网络流记录，flowLog_i[dst_ip]即为该条流记录中的目的地址，th_ip表示目标主机的IP地址，flow_volume_i表示从flowLog_i[src_ip]到flowLog_i[dst_ip]单向流量，可以用packet_count或byte_count作为计量单位来计算。若单向流量flow_volume_i超过预设的阈值MaxVolume并且该条流记录的目的IP地址为目标主机的IP地址则该条流记录中的源IP地址将被加入到ZHset中，目标主机的IP地址由DDoS攻击检测模块提供或者直接有被攻击主机提供。

第二步、确定攻击者，当发生DDoS攻击时攻击者至少和僵尸主机集合中的每台主机通信一次，因此，在[t_detect-Δt_attack-Δt_{setup_attack},t_s]时间段内的流记录中和ZHset通信次数最频繁的主机最有可能是攻击者。通过ZHset和[t_detect-Δt_attack-Δt_{setup_attack},t_s]时间段内的流记录flowLogSet_{setup_attack}通过以下公式可以确定出幕后的DDoS攻击者集合attackHostSet，即

攻击回溯算法伪代码如表1：

表1攻击回溯算法

如表1中描述Δt_{setup_attack}＝(2^i-1-1)×Δt_attack(i＝0,1,...)，根据i的取值发生扩展直到攻击者的集合不为空，即确定了可能的攻击者集合算法则终止，该回溯算法的时间复杂度主要决定于审计数据库中流记录的条目数量，时间复杂度为Ο(n)。

事件分析模块采用基于Levenshtein算法的模式相似度计算方法，通过模式之间的相似度来衡量行为模式是否为异常或正常，具体过程如下:

两个字符串之间的相似度通过编辑距离(Levenshtein distance)来度量。Levenshtein距离由俄国科学家Levenshtein最先提出，指两个字符串之间，由一个字符串转换成另一个字符串所需的最少编辑操作次数，编辑操作包括替换、插入、删除，而每种不同的操作具有不同的权值，根据权值来计算相似度，权值是可以自定义的，一般情况(默认情况下)三种操作的权值均为1。

设有两个字符串S和T：S＝s₁s₂...s_m，T＝t₁t₂...t_m。首先建立一个(m+1)×(n+1)阶矩阵LD来表示S和T的匹配关系，LD也称匹配关系矩阵，一般情况下，第1列表示S，第1行表示T，LD_(m+1)×(n+1)＝{d_ij}(0≤i≤m,0≤j≤n)。

由式(1)进行初始化填充矩阵LD：

d_{i j} = \{\begin{matrix} i & j = 0 \\ j & i = 0 \\ m i n (d_{i - 1 j - 1}, d_{i - 1 j}, d_{i j - 1}) + a_{i j} & i, j > 0 \end{matrix} - - - (1)

其中：

矩阵LD最右下角的元素d_mn即是字符串S和T之间的Levenshtein距离，记作ld。ld直观的代表了字符串S转换到字符串T所需要最少编辑操作次数。算法时间复杂度Ο(m*n)，m和n分别为字符串S和T的长度。

两个字符串之间的编辑距离(LD距离)可看作两个字符串相似度的一种度量，LD距离越小则相似度越大，基于编辑距离计算两个字符串相似度的公式如下：其中，ld用来表示两个字符串之间的Levenshtein距离，m和n分别是两个字符串的长度，similarity的值越大表示两个字符串之间的相似度越高。如两个字符串S1＝'CD'，S2＝'CE'，则similarity(S1,S2)＝0.5。字符串可看作元素为字符的数组，而相应的用户行为模式(序列模式)可以看作元素是字符串的数组，这个数组中的一个元素代表了一个基本操作(用户行为)。由此可以将Levenshtein算法扩展应用到序列模式相似度的计算上来，其中的区别仅仅是原Levenshtein算法针对的是比较字符串中单个字符是否相同，而扩展到序列模式相似度计算时变成了比较序列模式中单个序列元素(一个用户行为)是否相同，而单个序列模式自身是一个字符串的形式存在，这样本质上就是由比较单个字符是否相同扩展成了比较单个字符串是否相同。如果两个序列模式seq₁＝['mail','cd','vi.c','gcc']，seq₂＝['mail','cd','ls','vi.c','gcc']计算它们之间的相似度similarity(seq₁,seq₂)＝0.8。

综上所述，基于Levenshtein算法计算两个序列模式的相似度是可行的，一个序列中由于序列元素之间存在一定的相关性，这种相关性直观体现在它们的排列顺序上，只要序列中元素排列顺序发生改变则计算出来相似度很接近零，这是符合序列模式自身特性的，因此公式对于计算序列模式相似度是具备普遍适用性的。本发明采用此方法计算出两个序列模式的相似度，并用相似度来完成序列模式之间的比较。

所述自动响应模块的引流备份具体过程如下：

如图3所示，自动响应模块接收安全审计分析模块发出的命令及参数并执行响应操作，自动响应模块将自身具备的功能以REST API的形式作为服务(Service)接口向外部开放，这样安全审计分析模块调用其REST API触发自动响应模块执行相应的操作。此外，其他网络安全设备也能利用该模块提供的REST API接口调用该模块提供的功能服务。

如图4所示，假设在某时刻检测到交换机SW1的端口1流量异常，此时要求对SW1的端口1的流量进行镜像处理，将流量引到和SW5相连的DataBase，这里的DataBase是广义上的DataBase可用来存储流量数据。此刻，交换机SW1端口1所连接的PC1正在和SW3端口3相连的PC3进行通信(可能为异常通信行为)，PC1和PC3进行通信时控制器计算两者之间的通信路径为Path1(PC1,PC3)＝[PC1,SW1-1,SW1-2,SW3-1,SW3-3,PC3],并按照该路径Path1向SW1和SW3下发流表项(Normal Flow Entry)。

考虑到需要将SW1端口1的流量引到DataBase进行备份处理，首先控制器需要计算PC1到DataBase的通信路径，通信路径为：

Path2(PC1,DataBase)＝[PC1,SW1-1,SW1-2,SW3-1,SW3-2，SW4-1，SW4-2，SW5-1，SW5-2，DataBase]，计算出该路径之后需要对比Path1和Path2发现两条路径有重合点SW3，因此在SW3上安装特殊流表项(Special Flow Entry)，该流表项能将数据正常转发给PC3的同时拷贝一份转发给DataBase，实现该项功能只要将流表项中的output操作指令指向多个端口即可，如本例中output＝SW3-3,SW3-2,将数据分别访问SW3的端口3(给PC3)和端口2(给SW4)；下发特殊流表项之后需要按照Path2中重合点之后的路径安装正常的流表项保证在SW3(重合点)上拷贝的数据包能顺利转发到DataBase，Path2中重合点之后的路径为Path2’＝[SW4-1，SW4-2，SW5-1，SW5-2，DataBase]。

采用本发明的技术方案，事件分析模块从数据库中查询事件记录数据并按照分析算法进行事件分析，如分析用户行为模式等，同时根据分析的结果向自动响应模块发送备份指令，自动响应模块接收到事件分析模块的指令后执行响应操作。事件分析模块将分析的结果发送该事件浏览模块，事件浏览模块除了给用户呈现数据库中的安全审计事还呈现事件分析模块提交的分析结果。应用层中的第三方应用，如第三方入侵检测系统等能调用控制器中的自动响应模块提供的服务，当第三方应用检测出系统中存在安全攻击行为时能通过自动响应模块提供的外部接口(REST API)让自动响应模块执行响应操作。第三方应用也能和事件分析模块进行交互，如第三方应检测出系统中存在安全威胁时可以通知事件分析模块进行对系统中的事件记录数据进行审计分析，并将审计分析的结果反馈给第三方应用，第三方应用根据此结果执行相应的响应操作。

以上实施例仅为本发明的示例性实施例，不用于限制本发明，本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内，对本发明做出各种修改或等同替换，这种修改或等同替换也应视为落在本发明的保护范围内。

Claims

1.一种SDN网络的安全审计系统，其特征在于，包括：

事件存储模块，用于所述安全审计事件存储到数据库中；

2.如权利要求1所述的SDN网络的安全审计系统，其特征在于，还包括：自动响应模块，用于根据事件分析模块发送的备份指令，将可疑流量重定向到指定的存储中心进行存储以备后续的流量分析。

3.如权利要求2所述的SDN网络的安全审计系统，其特征在于，还包括：事件浏览模块，用于呈现数据库中所述安全审计事件以及事件分析模块的分析结果。

4.如权利要求1所述的SDN网络的安全审计系统，其特征在于，所述事件分析模块采用滑动分割算法对安全审计事件进行分析提取用户网络访问记录中体现出的网络访问行为模式。

5.如权利要求所述的SDN网络的安全审计系统，其特征在于，所述事件分析模块采用基于Levenshtein算法的模式相似度计算方法，通过模式之间的相似度来衡量行为模式是否为异常或正常。

6.如权利要求1所述的SDN网络的安全审计系统，其特征在于，所述安全审计事件的预设格式包含：源IP地址、目的IP地址、源端口、目的端口、所属协议、数据包数目、字节数目。

7.如权利要求1所述的SDN网络的安全审计系统，其特征在于，所述事件存储模块采用MySQL数据库进行存储。