CN107070700B

CN107070700B - 一种基于身份自动识别的网络服务提供方法

Info

Publication number: CN107070700B
Application number: CN201710133178.7A
Authority: CN
Inventors: 董黎刚; 杨丹丹; 周敬; 何博翰; 王伟明
Original assignee: Zhejiang Gongshang University
Current assignee: Zhejiang Gongshang University
Priority date: 2017-03-07
Filing date: 2017-03-07
Publication date: 2020-01-21
Anticipated expiration: 2037-03-07
Also published as: CN107070700A

Abstract

本发明公开了一种基于身份自动识别的网络服务提供方法。它主要包括以下步骤：1）采用sFlow技术提取出网络用户流量特征信息：时间戳、源IP地址、流量大小；2）统计每个IP地址一周内对应时间区间上的网络在线次数；3）利用k‑means均值算法，根据每周对应时间区间上的网络在线次数，对IP地址进行聚类分析，得到N个用户类别，以及每个用户类别各自特征信息的特征中心值；4）对N个用户类别分别制定相应的网络策略；5）下发OpenFlow流表到OVS交换机上；6）在OVS交换机上，按照流表进行转发；7）每周将新获取到的网络用户流量特征信息与N个用户类别的特征中心值进行匹配，将其IP地址归属到与特征中心值相似度最高的用户类别，更新用户类别所含的IP地址。

Description

一种基于身份自动识别的网络服务提供方法

技术领域

本发明涉及基于SDN(Software Defined Network，软件定义网络)架构下利用数据挖掘动态分析网络用户行为特征信息，并将分析结果应用于网络服务的制定和自动下发，为网络用户提供定制化的网络服务。

背景技术

网络安全问题是当前网络面临的一项亟待解决的问题，解决网络安全问题最有效的手段之一是使用防火墙。而传统防火墙网络架构存在的主要问题之一是防火墙安全策略是由网络管理员逐一进行配置，给网络管理员带来庞大的负担。而SDN网络的出现可以很好地解决上述问题。

近几年，随着互联网技术和电子商务的快速发展，为了维护互联网安全，阻止潜在的威胁，并给网络用户提供个性化的网络服务。在大数据环境下，基于数据挖掘技术的网络用户行为分析吸引不少网络安全研究者。通过分析网络用户的行为数据可以发现网络用户的行为特征，从而为更新安全策略提供依据。对网络用户行为分析主要集中在两个方向，网络用户异常行为分析和网络用户行为偏好分析。对网络用户异常行为进行分析是为了维护互联网安全，防御潜在威胁；对网络用户行为偏好分析是为了给网络用户提供定制化的网络服务。

目前对于网络用户行为分析的研究，大多是对网络用户正常上网行为进行统计分析或是预测分析，从而得到用户行为偏好和行为趋势，其最终是网络用户行为信息的呈现，并没有对网络用户的身份进行自动识别。

然而，在网络管理当中，网络管理员每天都有大量而繁琐的工作需要完成。其中网络服务策略的制定和下发，需要网络管理员根据网络用户的IP地址，手动的制定相关的网络服务并且下发，然而网络用户的IP地址可能动态变化，从而需要网络管理员人为的进行身份识别，这显然加剧了网络管理员的工作负荷，而且过多的人为干预，增加了网络管理的出错概率。

发明内容

本发明的目的是设计一种基于身份自动识别的网络服务提供方法，用SDN交换机取代传统的防火墙设备，使用数据挖掘技术对网络中的用户行为数据分析，进行网络用户的身份自动识别，并将分析得到的用户行为特征信息应用到网络服务的策略上，为网络用户提供定制的个性化的网络服务。

一种基于身份自动识别的网络服务提供方法，其特征在于，使用数据挖掘技术分析网络用户的流量数据信息，从而获取网络用户的具体行为特征，根据系统预设的行为特征相对应的网络策略，给网络用户提供个性化的网络服务。其方法包括以下步骤：

1-1)在OVS(OpenvSwitch)交换机上创建sFlow Agent并设置相关参数(时间间隔和采样频率)，通过sFlow-RT提供的访问接口获取网络用户流量特征信息：时间戳、源IP地址、流量大小；

1‐2)取每天8：00—23:00之间的流量信息并以每10分钟作为一个时间区间，汇总“IP地址、时间区间、对应流量大小”三部分信息，计算出每天每个IP地址在时间区间上的平均流量值作为各自的流量阈值，统计出所有IP地址一周内时间区间上的在线次数(时间区间上流量小于阈值，视为不在线；反之，视为在线)；

1-3)利用k-means均值算法，根据每周对应时间区间上的在线次数，对IP地址进行聚类分析，得到N个用户类别(类别之间的特征相似性最小，同一类别的特征相似性最大，每个用户类别含有多个IP地址)，以及每个用户类别各自特征信息的特征中心值；

1‐4)对N个用户类别分别制定相应的网络策略(OpenFlow流表形式)；

1‐5)下发OpenFlow流表到OVS交换机上；

1‐6)在OVS交换机上，按照流表进行转发；

1‐7)每周将新获取到的网络用户流量特征信息与N个用户类别的特征中心值进行匹配，将其IP地址归属到与特征中心值相似度最高的用户类别，更新网络策略，然后跳转到步骤1-4)。

本发明的有益效果：

我们提出的一种基于身份自动识别的网络服务提供方法，是在SDN架构下利用数据挖掘动态分析网络用户行为特征信息，自动识别出网络用户的特征身份，并将分析结果应用于网络服务的制定和自动下发，从而减轻了网络管理员制定和下发网络服务策略的工作负荷，并且能够为网络用户提供定制化的网络服务。

附图说明

图1OVS交换机信息；

图2系统验证实验拓扑。

具体实施方式

以下通过附图和具体实施方式对本发明做进一步的说明。

1‐5)下发OpenFlow流表到OVS交换机上；

1‐6)在OVS交换机上，按照流表进行转发；

1‐7)每周将新获取到的网络用户流量特征信息与N个用户类别的特征中心值进行匹配，将其IP地址归属到与特征中心值相似度最高的用户类别，更新网络策略，然后跳转到步骤1-4)；

实施例

1.实验环境的搭建

1.1OpenvSwitch(OVS)的安装及配置

操作系统为Linux系统，在命令行终端搜索OVS相关资源，输入命令：#apt‐cachesearch openvswitch，可看到关于OVS的各种组件。在本实例中用到的主要组件是openvswitch‐switch，该组件是OVS的实现模块，而可看到的组件列表中的openvswitch‐common包含了openvswitch‐switch，因此我们只需要安装openvswitch‐common即可。

安装openvswitch‐common组件，在命令行终端输入:#apt‐get installopenvswitch‐common。安装完成后，通过查看OVS的版本信息来验证是否成功安装，#ovs‐vsctl show。

根据验证要求，需要创建一个具有四个接口的OVS交换机，首先创建一个网桥br0，然后将enp3s0、enp5s0、enp5s1、enp5s2四块网卡全部挂载到br0上，到此一个包含四个接口支持OpenFlow协议的交换机搭建成功，如图1所示。

安装完OVS交换机之后就需要对其进行相关配置，首先是设置OVS与控制器之间的连接，OVS与控制器的连接有三种方式，分别为：TCP、SSL、UNIX。本实例选择TCP的方式与控制器进行连接。在终端输入：#ovs‐vsctl set‐controller br0 tcp:10.20.218.202:6633，将OVS连接到IP地址为：10.20.218.202这台PC上，默认端口为6633。

1.2sFlow技术相关配置

采用sFlow技术，在OVS交换机上安装sFlow Agent，用来统计端口信息，并将信息封装成sFlow报文发送给安装在控制器PC上的sFlow Collector(sFlow Collector可以是服务器也可以是普通的PC机，主要负责接收sFlow报文数据)。在sFlow Collector端需要安装特定的软件对sFlow报文进行解析：sFlow‐RT，可以登录http://sflowrt.com网站进行下载安装。

在安装有OVS的终端输入命令：

#ovs-vsctl----id＝@sflow create sFlow agent＝eth0target＝\"10.20.218.202:6343\"header＝128sampling＝64polling＝1----set bridge br0sflow＝@sflow

到此，OVS的安装和配置就已经完成，整个实验环境搭建结束。

2.具体实验

2.1用户流量数据采集

sFlow‐RT提供了各种流量数据的JSON格式访问接口，通过这些接口我们可以获取到网络用户的上网流量信息，主要使用到的接口如表2‐1所示。

表2-1 sFlow-RT提供的数据访问接口

将/activeflows/{agent}/{name}/json访问接口参数设置为？maxFlows＝50&minValue＝0&aggMode＝max，可以获取到当前时刻网络中流量大小排名前200的用户流量信息，信息包含IP地址、协议类型和流量大小三部分。

但是要分析一个网络用户的上网行为是少不了用户的上网时间，因此需要我们给获取到的用户信息添加一个时间戳，最后保存用户流量数据信息格式为：

时间戳

源IP地址

流量大小

对JSON格式数据的解析以及数据信息的储存，伪代码如下。

将获取到的网络用户的特征流量信息(时间戳、源IP地址、流量大小)保存到.csv格式文件中。

2.2在线次数统计

取每天8：00—23:00之间的流量信息并以每10分钟作为一个时间区间，汇总“IP地址、时间区间、以及对应流量大小”信息，计算出每个IP地址在时间区间上的平均流量值作为各自的流量阈值，统计出所有IP地址一周内时间区间上的在线次数(时间区间上流量小于阈值，视为不在线；反之，视为在线)。

2.3k‐means均值算法聚类分析

本实验完成的是一种基于身份自动识别的网络服务提供方法，参考学院具体网络用户，设计出三个用户类别：教师、研究生、本科生。根据每周对应时间区间上的在线次数，对整个学院的网络用户IP地址进行聚类分析。我们使用weka数据挖掘工具，设置相关参数：numClusters＝3，seed＝200，其他参数选择默认值，结果如表2‐2所示：

表2‐2某学院网络用户聚类结果

从聚类的结果中可以看出，Cluster0(73％)是本科生，Cluster1(12％)是研究生，Cluster2(16％)是教师。

2.4用户类别相应的网络策略

本实验完成的是一种基于身份自动识别的网络服务提供方法，设计出三个用户类别：教师、研究生、本科生。选取网络服务：搜索引擎(百度)、网络视频(芒果TV)、网络新闻(新闻直播吧)和网络游戏(游民星空)。对不同身份类型的人，实施的策略如表2‐3所示，其中“是”表示该用户类别可以访问该网站，而“否”表示该用户类别不能访问该网站。

在完成实验环境搭建之后，按照设计的拓扑进行物理设备的连接及相关配置，接下来进行系统的验证。实验物理拓扑如图2所示。

表2-3不同身份类型的策略设计

在策略下发时需要域名对应的服务器IP地址，可使用nslookup命令获取对应域名服务器IP地址，结果如如表2‐4所示。

表2-4域名对应的服务器IP地址

2.5网络策略制定与部署

此实验的操作比较简单，以OpenFlow流表的形式部署网络策略，只需要运行一个定时程序即可，基于用户类别部署网络策略的代码每周执行一次。

相应的程序执行之后，可以查看OVS交换机上的流表项，如如表2‐5所示。

表2-5策略下发之后OVS上存在的流表项

2.6实验结果验证

在IP为10.20.216.33的PC上验证对教师的策略，；在IP为10.20.216.11的PC上验证对研究生的策略；在IP为10.20.216.44的PC上验证对本科生的策略，从上述实验结果验证得到，对不同用户类别的IP地址所能访问和不能访问的网站是不相同的，这就证实了针对不同用户类别的IP地址所下发的策略是有效的。也说明了基于身份自动识别的网络服务提供方法可以实现的。

Claims

1.一种基于身份自动识别的网络服务提供方法，其特征在于，获取网络用户流量特征信息，根据系统预设的行为特征相对应的网络策略，给网络用户提供个性化的网络服务，具体包括以下步骤：

1-1）在OVS（OpenvSwitch）交换机上创建sFlow Agent并设置时间间隔和采样频率参数，通过sFlow-RT提供的访问接口获取网络用户流量特征信息：时间戳、源IP地址、流量大小；

1-2）取每天8：00—23:00之间的流量信息并以每10分钟作为一个时间区间，汇总IP地址、时间区间、对应流量大小三部分信息，计算出每天每个IP地址在时间区间上的平均流量值作为各自的流量阈值，统计出所有IP地址一周内各时间区间上的在线次数，时间区间上流量小于阈值，视为不在线，反之，视为在线；

1-3）利用k-means均值算法，根据每周对应时间区间上的在线次数，对IP地址进行聚类分析，得到N个用户类别，以及每个用户类别各自特征信息的特征中心值，所述类别之间的特征相似性最小，同一类别的特征相似性最大，每个用户类别含有多个IP地址；

1-4）对N个用户类别以OpenFlow流表形式分别制定相应的网络策略；

1-5）下发OpenFlow流表到OVS交换机上；

1-6）在OVS交换机上，按照流表进行转发；

1-7）每周将新获取到的网络用户流量特征信息与N个用户类别的特征中心值进行匹配，将其IP地址归属到与特征中心值相似度最高的用户类别，更新用户类别所含的IP地址，然后跳转到步骤1-4）。