CN110855694A - 一种改进的网络认证检测方法及系统 - Google Patents

一种改进的网络认证检测方法及系统 Download PDF

Info

Publication number
CN110855694A
CN110855694A CN201911134847.8A CN201911134847A CN110855694A CN 110855694 A CN110855694 A CN 110855694A CN 201911134847 A CN201911134847 A CN 201911134847A CN 110855694 A CN110855694 A CN 110855694A
Authority
CN
China
Prior art keywords
controller
switch
network
network attack
trusted authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911134847.8A
Other languages
English (en)
Inventor
娈靛浆
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Original Assignee
Wuhan Sipuleng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuleng Technology Co Ltd filed Critical Wuhan Sipuleng Technology Co Ltd
Priority to CN201911134847.8A priority Critical patent/CN110855694A/zh
Publication of CN110855694A publication Critical patent/CN110855694A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种改进的网络认证检测方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;同时,分析构建一个噪声模拟网络攻击模型,首先使用真实网络攻击流量训练所述噪声模拟网络攻击模型,当噪声模拟网络攻击模型训练完毕后,再接入机器学习模块,作为机器学习模块的模拟攻击源,不间断地攻击训练机器学习模块,帮助提升机器学习模块检测的能力。

Description

一种改进的网络认证检测方法及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种改进的网络认证检测方法及系统。
背景技术
现有的SDN网络中控制器与交换机之间不强制建立TLS安全通道,并且默认状态为非开启状态,使得网络变得脆弱,控制器与交换机之间可能出现明文通信,任何第三方都可以截获或者修改双方的通信内容,容易受到中间人的攻击。控制器与交换机之间缺乏对证书的验证,攻击者容易截取控制器发送给交换机的请求,伪装成控制器与交换机进行通信,从而获得交换机与控制器之间通信的所有内容。
同时,在SDN网络系统中还需要引入新的网络攻击检测理念。
所以急需一种针对性改进SDN网络漏洞的安全认证检测方法和系统。
发明内容
本发明的目的在于提供一种改进的网络认证检测方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;同时,分析构建一个噪声模拟网络攻击模型,首先使用真实网络攻击流量训练所述噪声模拟网络攻击模型,当噪声模拟网络攻击模型训练完毕后,再接入机器学习模块,作为机器学习模块的模拟攻击源,不间断地攻击训练机器学习模块,帮助提升机器学习模块检测的能力。
第一方面,本申请提供一种改进的网络认证检测方法,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;基于所述攻击数据的特征向量,构建噪声模拟网络攻击模型,应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
将所述噪声模拟网络攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络攻击模型训练完毕;
将所述噪声模拟网络攻击模型接入机器学习模块,所述机器学习模块借助所述噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
结合第一方面,在第一方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第一方面,在第一方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第一方面,在第一方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
第二方面,本申请提供一种改进的网络认证检测系统,所述系统包括:网关服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机,以及检测构建模块、生成器、判别器、机器学习模块;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述检测构建模块根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;基于所述攻击数据的特征向量,构建噪声模拟网络攻击模型,应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
将所述噪声模拟网络攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络攻击模型训练完毕;
将所述噪声模拟网络攻击模型接入机器学习模块,所述机器学习模块借助所述噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
结合第二方面,在第二方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第二方面,在第二方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第二方面,在第二方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
本发明提供一种改进的网络认证检测方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;同时,分析构建一个噪声模拟网络攻击模型,首先使用真实网络攻击流量训练所述噪声模拟网络攻击模型,当噪声模拟网络攻击模型训练完毕后,再接入机器学习模块,作为机器学习模块的模拟攻击源,不间断地攻击训练机器学习模块,帮助提升机器学习模块检测的能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明改进的网络认证检测方法的流程图;
图2为本发明改进的网络认证检测系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的改进的网络认证检测方法的流程图,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;基于所述攻击数据的特征向量,构建噪声模拟网络攻击模型,应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
将所述噪声模拟网络攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络攻击模型训练完毕;
将所述噪声模拟网络攻击模型接入机器学习模块,所述机器学习模块借助所述噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
图2为本申请提供的改进的网络认证检测系统的架构图,所述系统包括:网关服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机,以及检测构建模块、生成器、判别器、机器学习模块;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述检测构建模块根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;基于所述攻击数据的特征向量,构建噪声模拟网络攻击模型,应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
将所述噪声模拟网络攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络攻击模型训练完毕;
将所述噪声模拟网络攻击模型接入机器学习模块,所述机器学习模块借助所述噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种改进的网络认证检测方法,其特征在于,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;基于所述攻击数据的特征向量,构建噪声模拟网络攻击模型,应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
将所述噪声模拟网络攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络攻击模型训练完毕;
将所述噪声模拟网络攻击模型接入机器学习模块,所述机器学习模块借助所述噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
2.根据权利要求1所述的方法,其特征在于,所述数字签名证书采用了哈希运算。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
5.一种改进的网络认证检测系统,其特征在于,所述系统包括:网关服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机,以及检测构建模块、生成器、判别器、机器学习模块;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述检测构建模块根据已知的网络攻击类型的特征,分析提取网络流量数据中攻击数据的特征向量;基于所述攻击数据的特征向量,构建噪声模拟网络攻击模型,应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合;
将所述噪声模拟网络攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络攻击流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络攻击流量在特征向量上差别很大,判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器;
生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络攻击模型训练完毕;
将所述噪声模拟网络攻击模型接入机器学习模块,所述机器学习模块借助所述噪声模拟网络攻击模型,不间断丰富各种网络攻击特征向量样本,对真实网络流量进行网络攻击检测。
6.根据权利要求5所述的系统,其特征在于,所述数字签名证书采用了哈希运算。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
CN201911134847.8A 2019-11-19 2019-11-19 一种改进的网络认证检测方法及系统 Pending CN110855694A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911134847.8A CN110855694A (zh) 2019-11-19 2019-11-19 一种改进的网络认证检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911134847.8A CN110855694A (zh) 2019-11-19 2019-11-19 一种改进的网络认证检测方法及系统

Publications (1)

Publication Number Publication Date
CN110855694A true CN110855694A (zh) 2020-02-28

Family

ID=69602625

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911134847.8A Pending CN110855694A (zh) 2019-11-19 2019-11-19 一种改进的网络认证检测方法及系统

Country Status (1)

Country Link
CN (1) CN110855694A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115906032A (zh) * 2023-02-20 2023-04-04 之江实验室 一种识别模型的修正方法、装置和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130290706A1 (en) * 2012-04-30 2013-10-31 General Electric Company System and method for securing controllers
CN105933125A (zh) * 2016-07-07 2016-09-07 北京邮电大学 一种软件定义网络中的南向安全认证方法及装置
CN108881131A (zh) * 2017-06-23 2018-11-23 中国人民解放军理工大学 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130290706A1 (en) * 2012-04-30 2013-10-31 General Electric Company System and method for securing controllers
CN105933125A (zh) * 2016-07-07 2016-09-07 北京邮电大学 一种软件定义网络中的南向安全认证方法及装置
CN108881131A (zh) * 2017-06-23 2018-11-23 中国人民解放军理工大学 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
孟庆月: "SDN网络南向安全防护系统研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
武天博: "基于GAN-LSTM的APT攻击检测技术的研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115906032A (zh) * 2023-02-20 2023-04-04 之江实验室 一种识别模型的修正方法、装置和存储介质

Similar Documents

Publication Publication Date Title
CN109309565B (zh) 一种安全认证的方法及装置
US11223480B2 (en) Detecting compromised cloud-identity access information
US11336641B2 (en) Security enhanced technique of authentication protocol based on trusted execution environment
US8209744B2 (en) Mobile device assisted secure computer network communication
CN110808836A (zh) 一种网络认证攻击预测方法及系统
US20140281493A1 (en) Provisioning sensitive data into third party
US20030204724A1 (en) Methods for remotely changing a communications password
CN110855695A (zh) 一种改进的sdn网络安全认证方法及系统
JP2011515961A (ja) クライアント側証明書認証情報の認証保存方法と認証保存システム
Alashwali et al. What’s in a downgrade? A taxonomy of downgrade attacks in the TLS protocol and application protocols using TLS
CN110839036B (zh) 一种sdn网络的攻击检测方法及系统
CN113204772B (zh) 数据处理方法、装置、系统、终端、服务器和存储介质
CN107204985A (zh) 基于加密密钥的权限认证方法、装置及系统
EP3674938A2 (en) Identifying computing processes on automation servers
CN107277017A (zh) 基于加密密钥和设备指纹的权限认证方法、装置及系统
WO2015158228A1 (zh) 一种服务器、用户设备以及用户设备与服务器的交互方法
CN115277168A (zh) 一种访问服务器的方法以及装置、系统
CN116743470A (zh) 业务数据加密处理方法及装置
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN110650012A (zh) 一种改进的sdn网络攻击检测方法及系统
CN110839037A (zh) 一种sdn网络的攻击场景挖掘方法及系统
US11184339B2 (en) Method and system for secure communication
CN110855693A (zh) 一种基于cnn的网络认证方法及系统
CN110855694A (zh) 一种改进的网络认证检测方法及系统
Chang et al. On making U2F protocol leakage-resilient via re-keying

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200228

RJ01 Rejection of invention patent application after publication