CN110650012A - 一种改进的sdn网络攻击检测方法及系统 - Google Patents
一种改进的sdn网络攻击检测方法及系统 Download PDFInfo
- Publication number
- CN110650012A CN110650012A CN201911134863.7A CN201911134863A CN110650012A CN 110650012 A CN110650012 A CN 110650012A CN 201911134863 A CN201911134863 A CN 201911134863A CN 110650012 A CN110650012 A CN 110650012A
- Authority
- CN
- China
- Prior art keywords
- controller
- switch
- network attack
- network
- noise simulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种改进的SDN网络攻击检测方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;同时,为不同分类构建不同的噪声模拟网络攻击模型,再使用真实网络攻击流量训练所述噪声模拟网络攻击模型,当不同分类的网络攻击模型训练完毕后,再交替接入机器学习模块,作为机器学习模块的模拟攻击源,帮助提升机器学习模块检测的能力。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种改进的SDN网络攻击检测方法及系统。
背景技术
现有的SDN网络中控制器与交换机之间不强制建立TLS安全通道,并且默认状态为非开启状态,使得网络变得脆弱,控制器与交换机之间可能出现明文通信,任何第三方都可以截获或者修改双方的通信内容,容易受到中间人的攻击。控制器与交换机之间缺乏对证书的验证,攻击者容易截取控制器发送给交换机的请求,伪装成控制器与交换机进行通信,从而获得交换机与控制器之间通信的所有内容。
同时,在SDN网络系统中还需要引入新的网络攻击检测理念。
所以急需一种针对性改进SDN网络漏洞的安全认证检测方法和系统。
发明内容
本发明的目的在于提供一种改进的SDN网络攻击检测方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;同时,为不同分类构建不同的噪声模拟网络攻击模型,再使用真实网络攻击流量训练所述噪声模拟网络攻击模型,当不同分类的网络攻击模型训练完毕后,再交替接入机器学习模块,作为机器学习模块的模拟攻击源,帮助提升机器学习模块检测的能力。
第一方面,本申请提供一种改进的SDN网络攻击检测方法,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;将所述历史访问数据中攻击数据的特征向量输入分类器,由所述分类器为其中频率高于第一阈值的、或者频率低于第二阈值的攻击数据打标;基于打标的攻击数据、未打标的攻击数据的特征向量,分别构建第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,应用两个模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
所述生成器根据判别器的反馈结果调整第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率在预先设置的阈值范围内时,表明第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型训练完毕;
将所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替接入机器学习模块,所述机器学习模块借助所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
结合第一方面,在第一方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第一方面,在第一方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第一方面,在第一方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
第二方面,本申请提供一种改进的SDN网络攻击检测系统,所述系统包括:网关服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机,以及检测构建模块、生成器、判别器、机器学习模块;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述检测构建模块根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;将所述历史访问数据中攻击数据的特征向量输入分类器,由所述分类器为其中频率高于第一阈值的、或者频率低于第二阈值的攻击数据打标;基于打标的攻击数据、未打标的攻击数据的特征向量,分别构建第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,应用两个模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
所述生成器根据判别器的反馈结果调整第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率在预先设置的阈值范围内时,表明第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型训练完毕;
将所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替接入机器学习模块,所述机器学习模块借助所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
结合第二方面,在第二方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第二方面,在第二方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第二方面,在第二方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
本发明提供一种改进的SDN网络攻击检测方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;同时,为不同分类构建不同的噪声模拟网络攻击模型,再使用真实网络攻击流量训练所述噪声模拟网络攻击模型,当不同分类的网络攻击模型训练完毕后,再交替接入机器学习模块,作为机器学习模块的模拟攻击源,帮助提升机器学习模块检测的能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明改进的SDN网络攻击检测方法的流程图;
图2为本发明改进的SDN网络攻击检测系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的改进的SDN网络攻击检测方法的流程图,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;将所述历史访问数据中攻击数据的特征向量输入分类器,由所述分类器为其中频率高于第一阈值的、或者频率低于第二阈值的攻击数据打标;基于打标的攻击数据、未打标的攻击数据的特征向量,分别构建第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,应用两个模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
所述生成器根据判别器的反馈结果调整第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率在预先设置的阈值范围内时,表明第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型训练完毕;
将所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替接入机器学习模块,所述机器学习模块借助所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
图2为本申请提供的改进的SDN网络攻击检测系统的架构图,所述系统包括:网关服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机,以及检测构建模块、生成器、判别器、机器学习模块;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述检测构建模块根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;将所述历史访问数据中攻击数据的特征向量输入分类器,由所述分类器为其中频率高于第一阈值的、或者频率低于第二阈值的攻击数据打标;基于打标的攻击数据、未打标的攻击数据的特征向量,分别构建第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,应用两个模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
所述生成器根据判别器的反馈结果调整第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率在预先设置的阈值范围内时,表明第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型训练完毕;
将所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替接入机器学习模块,所述机器学习模块借助所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (8)
1.一种改进的SDN网络攻击检测方法,其特征在于,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;将所述历史访问数据中攻击数据的特征向量输入分类器,由所述分类器为其中频率高于第一阈值的、或者频率低于第二阈值的攻击数据打标;基于打标的攻击数据、未打标的攻击数据的特征向量,分别构建第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,应用两个模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
所述生成器根据判别器的反馈结果调整第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率在预先设置的阈值范围内时,表明第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型训练完毕;
将所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替接入机器学习模块,所述机器学习模块借助所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
2.根据权利要求1所述的方法,其特征在于,所述数字签名证书采用了哈希运算。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
5.一种改进的SDN网络攻击检测系统,其特征在于,所述系统包括:网关服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机,以及检测构建模块、生成器、判别器、机器学习模块;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述检测构建模块根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;将所述历史访问数据中攻击数据的特征向量输入分类器,由所述分类器为其中频率高于第一阈值的、或者频率低于第二阈值的攻击数据打标;基于打标的攻击数据、未打标的攻击数据的特征向量,分别构建第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,应用两个模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
所述生成器根据判别器的反馈结果调整第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率在预先设置的阈值范围内时,表明第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型训练完毕;
将所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,按照一定策略交替接入机器学习模块,所述机器学习模块借助所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
6.根据权利要求5所述的系统,其特征在于,所述数字签名证书采用了哈希运算。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911134863.7A CN110650012A (zh) | 2019-11-19 | 2019-11-19 | 一种改进的sdn网络攻击检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911134863.7A CN110650012A (zh) | 2019-11-19 | 2019-11-19 | 一种改进的sdn网络攻击检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110650012A true CN110650012A (zh) | 2020-01-03 |
Family
ID=68995933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911134863.7A Pending CN110650012A (zh) | 2019-11-19 | 2019-11-19 | 一种改进的sdn网络攻击检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110650012A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111404947A (zh) * | 2020-03-19 | 2020-07-10 | 李子钦 | 一种OpenFlow网络中的轻量级控制通道通信保护方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6823454B1 (en) * | 1999-11-08 | 2004-11-23 | International Business Machines Corporation | Using device certificates to authenticate servers before automatic address assignment |
US20150193694A1 (en) * | 2014-01-06 | 2015-07-09 | Cisco Technology, Inc. | Distributed learning in a computer network |
CN109831428A (zh) * | 2019-01-29 | 2019-05-31 | 内蒙古大学 | Sdn网络攻击检测及防御的方法和装置 |
-
2019
- 2019-11-19 CN CN201911134863.7A patent/CN110650012A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6823454B1 (en) * | 1999-11-08 | 2004-11-23 | International Business Machines Corporation | Using device certificates to authenticate servers before automatic address assignment |
US20150193694A1 (en) * | 2014-01-06 | 2015-07-09 | Cisco Technology, Inc. | Distributed learning in a computer network |
CN109831428A (zh) * | 2019-01-29 | 2019-05-31 | 内蒙古大学 | Sdn网络攻击检测及防御的方法和装置 |
Non-Patent Citations (2)
Title |
---|
孟庆月: "《SDN网络南向安全防护系统研究与实现》", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
武天博: "《基于GAN-LSTM的APT攻击检测技术的研究》", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111404947A (zh) * | 2020-03-19 | 2020-07-10 | 李子钦 | 一种OpenFlow网络中的轻量级控制通道通信保护方法及系统 |
CN111404947B (zh) * | 2020-03-19 | 2023-04-18 | 李子钦 | 一种OpenFlow网络中的轻量级控制通道通信保护方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wazid et al. | AKM-IoV: Authenticated key management protocol in fog computing-based Internet of vehicles deployment | |
CN109309565B (zh) | 一种安全认证的方法及装置 | |
CN108964919B (zh) | 基于车联网的具有隐私保护的轻量级匿名认证方法 | |
US8209744B2 (en) | Mobile device assisted secure computer network communication | |
EP3677005B1 (en) | Authentication protocol based on trusted execution environment | |
CN110808836A (zh) | 一种网络认证攻击预测方法及系统 | |
US20030204724A1 (en) | Methods for remotely changing a communications password | |
CN107612934A (zh) | 一种基于密钥分割的区块链移动端计算系统和方法 | |
CN110855695A (zh) | 一种改进的sdn网络安全认证方法及系统 | |
CN108989325A (zh) | 加密通信方法、装置及系统 | |
CN110839036B (zh) | 一种sdn网络的攻击检测方法及系统 | |
CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
CN112351037A (zh) | 用于安全通信的信息处理方法及装置 | |
WO2015158228A1 (zh) | 一种服务器、用户设备以及用户设备与服务器的交互方法 | |
CN112380584A (zh) | 区块链数据更新方法、装置、电子设备和存储介质 | |
CN115277168A (zh) | 一种访问服务器的方法以及装置、系统 | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
CN114666040B (zh) | 基于量子密码网络的射频识别认证系统及方法 | |
CN110839037A (zh) | 一种sdn网络的攻击场景挖掘方法及系统 | |
CN110855693A (zh) | 一种基于cnn的网络认证方法及系统 | |
CN110661816B (zh) | 一种基于区块链的跨域认证方法与电子设备 | |
US11240661B2 (en) | Secure simultaneous authentication of equals anti-clogging mechanism | |
CN110650012A (zh) | 一种改进的sdn网络攻击检测方法及系统 | |
CN110855694A (zh) | 一种改进的网络认证检测方法及系统 | |
Chang et al. | On making U2F protocol leakage-resilient via re-keying |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200103 |
|
RJ01 | Rejection of invention patent application after publication |