CN110830498A - 一种基于挖掘的持续攻击检测方法及系统 - Google Patents

一种基于挖掘的持续攻击检测方法及系统 Download PDF

Info

Publication number
CN110830498A
CN110830498A CN201911134820.9A CN201911134820A CN110830498A CN 110830498 A CN110830498 A CN 110830498A CN 201911134820 A CN201911134820 A CN 201911134820A CN 110830498 A CN110830498 A CN 110830498A
Authority
CN
China
Prior art keywords
controller
switch
data
network
trusted authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911134820.9A
Other languages
English (en)
Inventor
娈靛浆
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Original Assignee
Wuhan Sipuleng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuleng Technology Co Ltd filed Critical Wuhan Sipuleng Technology Co Ltd
Priority to CN201911134820.9A priority Critical patent/CN110830498A/zh
Publication of CN110830498A publication Critical patent/CN110830498A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于挖掘的持续攻击检测方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;基于流行度和连接方向的流量日志进行缩减,并提供对时间窗口的灵活配置。

Description

一种基于挖掘的持续攻击检测方法及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于挖掘的持续攻击检测方法及系统。
背景技术
现有的SDN网络中控制器与交换机之间不强制建立TLS安全通道,并且默认状态为非开启状态,使得网络变得脆弱,控制器与交换机之间可能出现明文通信,任何第三方都可以截获或者修改双方的通信内容,容易受到中间人的攻击。控制器与交换机之间缺乏对证书的验证,攻击者容易截取控制器发送给交换机的请求,伪装成控制器与交换机进行通信,从而获得交换机与控制器之间通信的所有内容。
同时,针对持续性的网络攻击,单一的检测手段难以将持续性网络攻击从网络活动中分离出来。
所以急需一种针对性改进基于挖掘的持续攻击检测方法和系统。
发明内容
本发明的目的在于提供一种基于挖掘的持续攻击检测方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;基于流行度和连接方向的流量日志进行缩减,并提供对时间窗口的灵活配置。
第一方面,本申请提供一种基于挖掘的持续攻击检测方法,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
导入网络流量数据后,对数据进行过滤和删减,将处理后的数据通过持久化层存储在原始数据表中;其中所述过滤和删减是利用基于流行度和安全人员标记数据构建可信名单,之后利用可信名单对数据进行过滤;
根据安全人员预先设定的时间窗口,从存储原始数据的数据库中提取指定时间窗口的数据,抽取数据的特征成为特征集,日志数据的特征由内部主机和域名对来标识,网络流日志数据的特征由源端点和目的端点来标识;
对数据进行归一化处理,并给出主机对之间的网络行为的异常评分,将异常评分最高的部分数据存储在异常检测结果数据库中,得到持续攻击的检测结果。
结合第一方面,在第一方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第一方面,在第一方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第一方面,在第一方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
第二方面,本申请提供一种基于挖掘的持续攻击检测系统,所述系统包括:网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述分析服务器导入网络流量数据后,对数据进行过滤和删减,将处理后的数据通过持久化层存储在原始数据表中;其中所述过滤和删减是利用基于流行度和安全人员标记数据构建可信名单,之后利用可信名单对数据进行过滤;
根据安全人员预先设定的时间窗口,从存储原始数据的数据库中提取指定时间窗口的数据,抽取数据的特征成为特征集,日志数据的特征由内部主机和域名对来标识,网络流日志数据的特征由源端点和目的端点来标识;
对数据进行归一化处理,并给出主机对之间的网络行为的异常评分,将异常评分最高的部分数据存储在异常检测结果数据库中,得到持续攻击的检测结果。
结合第二方面,在第二方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第二方面,在第二方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第二方面,在第二方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
本发明提供一种基于挖掘的持续攻击检测方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;基于流行度和连接方向的流量日志进行缩减,并提供对时间窗口的灵活配置。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于挖掘的持续攻击检测方法的流程图;
图2为本发明基于挖掘的持续攻击检测系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的基于挖掘的持续攻击检测方法的流程图,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
导入网络流量数据后,对数据进行过滤和删减,将处理后的数据通过持久化层存储在原始数据表中;其中所述过滤和删减是利用基于流行度和安全人员标记数据构建可信名单,之后利用可信名单对数据进行过滤;
根据安全人员预先设定的时间窗口,从存储原始数据的数据库中提取指定时间窗口的数据,抽取数据的特征成为特征集,日志数据的特征由内部主机和域名对来标识,网络流日志数据的特征由源端点和目的端点来标识;
对数据进行归一化处理,并给出主机对之间的网络行为的异常评分,将异常评分最高的部分数据存储在异常检测结果数据库中,得到持续攻击的检测结果。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
图2为本申请提供的基于挖掘的持续攻击检测系统的架构图,所述系统包括:网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述分析服务器导入网络流量数据后,对数据进行过滤和删减,将处理后的数据通过持久化层存储在原始数据表中;其中所述过滤和删减是利用基于流行度和安全人员标记数据构建可信名单,之后利用可信名单对数据进行过滤;
根据安全人员预先设定的时间窗口,从存储原始数据的数据库中提取指定时间窗口的数据,抽取数据的特征成为特征集,日志数据的特征由内部主机和域名对来标识,网络流日志数据的特征由源端点和目的端点来标识;
对数据进行归一化处理,并给出主机对之间的网络行为的异常评分,将异常评分最高的部分数据存储在异常检测结果数据库中,得到持续攻击的检测结果。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种基于挖掘的持续攻击检测方法,其特征在于,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
导入网络流量数据后,对数据进行过滤和删减,将处理后的数据通过持久化层存储在原始数据表中;其中所述过滤和删减是利用基于流行度和安全人员标记数据构建可信名单,之后利用可信名单对数据进行过滤;
根据安全人员预先设定的时间窗口,从存储原始数据的数据库中提取指定时间窗口的数据,抽取数据的特征成为特征集,日志数据的特征由内部主机和域名对来标识,网络流日志数据的特征由源端点和目的端点来标识;
对数据进行归一化处理,并给出主机对之间的网络行为的异常评分,将异常评分最高的部分数据存储在异常检测结果数据库中,得到持续攻击的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述数字签名证书采用了哈希运算。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
5.一种基于挖掘的持续攻击检测系统,其特征在于,所述系统包括:网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述分析服务器导入网络流量数据后,对数据进行过滤和删减,将处理后的数据通过持久化层存储在原始数据表中;其中所述过滤和删减是利用基于流行度和安全人员标记数据构建可信名单,之后利用可信名单对数据进行过滤;
根据安全人员预先设定的时间窗口,从存储原始数据的数据库中提取指定时间窗口的数据,抽取数据的特征成为特征集,日志数据的特征由内部主机和域名对来标识,网络流日志数据的特征由源端点和目的端点来标识;
对数据进行归一化处理,并给出主机对之间的网络行为的异常评分,将异常评分最高的部分数据存储在异常检测结果数据库中,得到持续攻击的检测结果。
6.根据权利要求5所述的系统,其特征在于,所述数字签名证书采用了哈希运算。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
CN201911134820.9A 2019-11-19 2019-11-19 一种基于挖掘的持续攻击检测方法及系统 Pending CN110830498A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911134820.9A CN110830498A (zh) 2019-11-19 2019-11-19 一种基于挖掘的持续攻击检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911134820.9A CN110830498A (zh) 2019-11-19 2019-11-19 一种基于挖掘的持续攻击检测方法及系统

Publications (1)

Publication Number Publication Date
CN110830498A true CN110830498A (zh) 2020-02-21

Family

ID=69557085

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911134820.9A Pending CN110830498A (zh) 2019-11-19 2019-11-19 一种基于挖掘的持续攻击检测方法及系统

Country Status (1)

Country Link
CN (1) CN110830498A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1801029A (zh) * 2004-12-31 2006-07-12 联想(北京)有限公司 生成数字证书及应用该所生成的数字证书的方法
CN104901799A (zh) * 2014-03-04 2015-09-09 中兴通讯股份有限公司 一种实现sdn证书资源配置的方法及装置
US20150349964A1 (en) * 2014-05-29 2015-12-03 Brother Kogyo Kabushiki Kaisha Relay device, non-transitory storage medium storing instructions executable by the relay device, and service performing system
CN105933125A (zh) * 2016-07-07 2016-09-07 北京邮电大学 一种软件定义网络中的南向安全认证方法及装置
US20170339133A1 (en) * 2016-05-20 2017-11-23 Avaya Inc. Public Key Infrastructure Exchange Using Netconf for Openflow Enabled Switches
CN108833381A (zh) * 2018-05-31 2018-11-16 中共中央办公厅电子科技学院 软件定义网络的可信连接方法及系统
CN109391650A (zh) * 2017-08-04 2019-02-26 华为技术有限公司 一种建立会话的方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1801029A (zh) * 2004-12-31 2006-07-12 联想(北京)有限公司 生成数字证书及应用该所生成的数字证书的方法
CN104901799A (zh) * 2014-03-04 2015-09-09 中兴通讯股份有限公司 一种实现sdn证书资源配置的方法及装置
US20150349964A1 (en) * 2014-05-29 2015-12-03 Brother Kogyo Kabushiki Kaisha Relay device, non-transitory storage medium storing instructions executable by the relay device, and service performing system
US20170339133A1 (en) * 2016-05-20 2017-11-23 Avaya Inc. Public Key Infrastructure Exchange Using Netconf for Openflow Enabled Switches
CN105933125A (zh) * 2016-07-07 2016-09-07 北京邮电大学 一种软件定义网络中的南向安全认证方法及装置
CN109391650A (zh) * 2017-08-04 2019-02-26 华为技术有限公司 一种建立会话的方法及装置
CN108833381A (zh) * 2018-05-31 2018-11-16 中共中央办公厅电子科技学院 软件定义网络的可信连接方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
孟庆月: ""SDN网络南向安全防护系统研究与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
钟瑶: ""基于数据挖掘的APT攻击检测方法研究与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Similar Documents

Publication Publication Date Title
CN109309565B (zh) 一种安全认证的方法及装置
US10243933B2 (en) Data processing method and apparatus
US11223480B2 (en) Detecting compromised cloud-identity access information
US7752320B2 (en) Method and apparatus for content based authentication for network access
US20090240936A1 (en) System and method for storing client-side certificate credentials
CN110808836A (zh) 一种网络认证攻击预测方法及系统
CN110855695A (zh) 一种改进的sdn网络安全认证方法及系统
CN110839036B (zh) 一种sdn网络的攻击检测方法及系统
CN112448958B (zh) 一种域策略下发方法、装置、电子设备和存储介质
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN110839037A (zh) 一种sdn网络的攻击场景挖掘方法及系统
CN112769789A (zh) 一种加密通信方法及系统
CN110855693A (zh) 一种基于cnn的网络认证方法及系统
CN112422292B (zh) 一种网络安全防护方法、系统、设备及存储介质
CN112995140B (zh) 安全管理系统及方法
CN110855694A (zh) 一种改进的网络认证检测方法及系统
CN115189928A (zh) 一种密码服务虚拟机动态安全迁移方法及系统
US11184339B2 (en) Method and system for secure communication
CN110830498A (zh) 一种基于挖掘的持续攻击检测方法及系统
CN110650012A (zh) 一种改进的sdn网络攻击检测方法及系统
CN112751858B (zh) 数据加密通信终端方法、装置、终端、服务器及存储介质
CN110719301A (zh) 一种流量自适应调度的攻击防御方法及系统
EP3051770A1 (en) User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs
KR100744603B1 (ko) 생체 데이터를 이용한 패킷 레벨 사용자 인증 방법
CN118233218A (zh) 基于分布式可信执行环境应用的远程认证系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200221

RJ01 Rejection of invention patent application after publication