CN111107035B - 基于行为辨识的安全态势感知与防护方法及装置 - Google Patents
基于行为辨识的安全态势感知与防护方法及装置 Download PDFInfo
- Publication number
- CN111107035B CN111107035B CN201811248135.4A CN201811248135A CN111107035B CN 111107035 B CN111107035 B CN 111107035B CN 201811248135 A CN201811248135 A CN 201811248135A CN 111107035 B CN111107035 B CN 111107035B
- Authority
- CN
- China
- Prior art keywords
- security
- path
- network
- node
- security situation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于行为辨识的安全态势感知与防护方法,该方法具体包括:步骤1,对SDN控制器中的应用程序进行合法性检测;步骤2,实时收集网络中各节点的安全态势要素,其中,所述节点包括SDN交换机以及其他与SDN控制器交互的设备;步骤3,计算网络中各节点的安全态势值;步骤4,根据节点的安全态势和传输链路的承载能力,对传输路径的安全态势进行评估;步骤5,周期性地执行步骤1至4,根据节点和路径的安全态势信息,对网络进行安全态势感知;步骤6,执行步骤1至5,获取当前安全态势感知结果及各节点、路径的历史安全态势信息,按需调度网络中分散的安全资源,动态隔离网络中的恶意节点,对攻击进行全局预警和动态防护。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种基于行为辨识的安全态势感知与防护方法及装置。
背景技术
网络空间中的安全态势感知与防护问题近年来已成为国内外学者的研究热点。目前获取安全态势的主要技术包括:1)应用大数据处理和可视化技术对网络安全态势进行分析;2)基于网络安全事件,对网络安全状态进行量化表达等。然而,受态势信息的获取时间、信息收集的全面性和防护策略不及时等因素的影响,在适时且全面地找出网络中的真实威胁并进行有效防护方面的工作并不理想,从而限制了工作人员做出最佳响应决策的能力。
Shin等人基于网络安全虚拟化技术(Network Security Virtualization,NSV),通过对网络中的防火墙、入侵检测系统等安全资源进行全局性调度,实现了对网络中已有威胁的感知和防护。然而,该类防护算法是利用网络中已有的安全资源对常见威胁进行辨识,并未考虑网络中各节点和传输路径自身的可信性和安全态势,这将导致一些被攻击者攻陷的安全节点和路径也能够轻易地参与到防护过程中,从而使得诸多防护手段失去作用。
发明内容
本发明要解决的技术问题是当前网络安全态势信息获取能力受限、无法从全局角度进行动态防护的问题,提供一种基于行为辨识的安全态势感知与防护方法。
本发明采用的技术方案是,所述基于行为辨识的安全态势感知与防护方法,用于SDN网络,其中,所述网络中的实体具体包括:SDN控制器、SDN交换机,以及与所述SDN控制器、SDN交换机连接的安全资源和终端,所述方法具体包括:
步骤1,对SDN控制器中的应用程序进行合法性检测;
步骤2,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,其中,所述节点包括SDN交换机以及其他与SDN控制器交互的设备;
步骤3,根据获取的节点安全态势要素,计算网络中各节点的安全态势值;
步骤4,根据节点的安全态势和传输链路的承载能力,对传输路径的安全态势进行评估;
步骤5,周期性地执行步骤1至4,根据节点和路径的安全态势信息,对网络进行全局、实时地安全态势感知;
步骤6,执行步骤1至5,获取当前安全态势感知结果及各节点、路径的历史安全态势信息,基于安全虚拟化技术,按需调度网络中分散的安全资源,动态隔离网络中的恶意节点,对攻击进行全局预警和动态防护。
优选地,检测SDN控制器中与态势感知模块交互的应用程序,确认其身份和访问权限的合法性,具体包括:
在新的应用程序试图访问SDN控制器中的安全态势感知与防护模块并向该模块提供服务之前,首先向可信第三方私钥生成中心PKG提供该应用程序的基本信息,申请其用于提供服务的合法身份标示,并获取PKG提供的合法身份标示;
在应用程序向安全态势感知与防护模块提供服务时,安全态势感知与防护模块根据所述应用程序的身份标示对其身份的合法性以及访问控制权限的有效性进行检测。
优选地,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,具体包括:
优选地,根据获取的节点安全态势要素,计算网络中各节点的安全态势值,具体包括:
对于任意交换机节点vi∈V,其安全态势用k维向量Ti表示,即:其中,1≤i≤n,n为网络中的交换机总数,表示交换机节点vi安全态势的第j个属性,j∈{1,...,k},并且每一个属性与第j个网络事件相关联。
优选地,根据节点的安全态势和传输链路的承载能力,对路径的安全态势进行评估具体包括:
将路径p={v1,......,vn}的多个安全态势属性进行聚合,根据公式5计算得到该路径的整体安全态势值T(p):
优选地,步骤6具体包括:
步骤61,获取源节点vs,目的节点vd,带宽需求br;
步骤62,SDN控制器根据系统提供的带宽信息,读取网络拓扑;
步骤63,基于K-shortest算法,计算可能的路径集合Ppaths={P1,......,PK},其中包含从vs至vd的不同传输路径;
步骤64,通过SDN控制器收集路径集合Ppaths中所有节点的最新状态信息并针对路径Pκ∈Ppaths,根据公式6和公式7计算当前安全态势结果:
或者,直接获取获取最近一次的历史安全态势感知结果;
步骤66,基于当前安全态势感知结果和历史安全态势结果,根据公式8计算路径Pκ的综合安全态势:
从Ppaths中选取综合安全态势值最大的路径作为传输路径;
步骤67,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的交换机。
优选地,步骤6具体包括:
步骤61’,输入源节点vs,目的节点vd,带宽需求br,安全需求R={r1,r2,...,rn};
步骤62’,通过SDN控制器收集网络中设备和安全资源信息;
步骤63’,分析安全需求R={r1,r2,…,rn},提取满足其安全需求的安全资源集D={sd1,sd2,…,sdn};
步骤64’,通过步骤61至步骤66计算vs至sd1之间的最大综合安全态势值路径P(vs,sd1);
步骤66’,通过步骤61至步骤66计算sdn至vd之间的最大综合安全态势值路径P(sdn,vd);
步骤67’,对步骤64’至66’中得到的路径信息进行聚合,得到vs至vd之间满足安全需求R的最大综合安全态势值路径:{P(vs,sd1),P(sd1,sd2),...,P(sdn-1,sdn),P(sdn,vd)};
步骤68’,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的安全设备和交换机。
本发明还提供一种基于行为辨识的安全态势感知与防护装置,所述装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的方法的步骤。
采用上述技术方案,本发明至少具有下列优点:
借助于本发明实施例的技术方案,将SDN控制器实时获取的节点状态信息作为输入,对节点和路径的安全态势进行评估;并能够根据用户的安全需求,对SDN中分散的安全资源进行按需调度,能够阻止攻击者通过恶意或不可信节点对网络发起的攻击,有效提高了SDN中安全资源的利用率,为网络中安全路径的动态、按需构建和恶意节点的追踪朔源机制提供了新的解决方案。
附图说明
图1为本发明实施例的基于行为辨识的安全态势感知与防护方法的处理流程图;
图2为本发明实施例的基于行为辨识的安全态势感知与防护方法的执行过程示意图。
具体实施方式
本发明的目的在于提供一种基于行为辨识的安全态势感知与防护方法,用于解决当前网络安全态势信息获取能力受限、无法从全局角度进行动态防护问题。首先,通过SDN控制器实时获取的网络状态信息,对节点和路径的异常行为进行辨识,实时评估节点和路径的安全态势;其次,基于安全态势计算结果和安全资源的虚拟化调度算法,对网络中分散的安全资源进行灵活调度,构建出满足用户安全需求的防护方案,从而防止攻击者通过恶意或不可信节点对网铬发起攻击,提高网络中安全资源的利用率,实现攻击全局预警和动态防护。
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明实施例针对工作人员在获取和掌控网络安全态势方面的迫切需求,结合软件定义网络和安全虚拟化技术,从大量且存在噪声的节点行为数据中对网络攻击活动进行辨识,计算关键节点和路径的安全态势,实现攻击预警和动态防护。实施过程主要包括控制器应用程序合法性检测、节点安全态势要素获取、节点安全态势感知、路径安全态势感知、基于安全态势的网络动态防御五个阶段,具体流程和执行过程分别如图1和图2所示。
用G=(V,E)表示一个简单的实验网络,V是所有节点的集合,其中每一个节点表示网络中的一个交换机或安全设备;E是图中边的集合,表示网络中节点之间的连通性;实验网络的拓扑结构设计如图2所示。网络中包括四类实体:控制器(Controller)、交换机(S1-S11)、终端(Host1-Host4)和安全资源(SD)。其中,S3是一个被攻击者攻陷的交换机,S10为配有防火墙或入侵检测系统等安全资源的节点,即安全节点。
根据本发明实施例的基于行为辨识的安全态势感知与防护方法用于SDN网络,其中,所述网络中的节点具体包括:SDN控制器、SDN交换机,以及与所述控制器和SDN交换机连接的安全资源、终端等,具体包括:
步骤1,检测SDN控制器中与态势感知模块交互的应用程序,确认其身份和访问权限的合法性;具体包括:
在新的应用程序试图访问SDN控制器中的安全态势感知与防护模块并向该模块提供服务之前,应用程序需首先向可信第三方私钥生成中心PKG提供其开发者、序列号、名称、主要功能、版本号、创建时间和大小等基本信息,申请用于向安全态势感知与防护模块提供服务的合法身份标示,并获取PKG提供的合法身份标示;在应用程序向安全态势感知与防护模块提供服务时,安全态势感知与防护模块根据所述应用程序的身份标示对其身份的合法性以及访问控制权限的有效性进行检测。
步骤2,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素;节点包括SDN交换机以及其他与SDN控制器交互的设备。具体包括:
步骤3,根据获取的节点安全态势要素,计算网络中各节点的安全态势值;具体包括:
对于任意交换机节点vi∈V,其安全态势用k维向量Ti表示,即:其中,1≤i≤n,n为网络中的交换机总数,表示交换机节点vi安全态势的第j个属性,j∈{1,...,k},并且每一个属性与第j个网络事件相关联。
步骤4,根据节点的安全态势和传输链路的承载能力,对传输路径的安全态势进行评估;具体包括:
将路径p={v1,......,vn}的多个安全态势属性进行聚合,根据公式5计算得到该路径的整体安全态势值T(p):
步骤5,周期性地执行步骤1至4,根据节点、传输路径的安全态势信息,对网络进行全局、实时地安全态势感知;
步骤6,执行步骤1至5,获取当前的安全态势感知结果及各节点、路径的历史安全态势信息,基于安全虚拟化技术,按需调度网络中分散的安全资源,动态隔离网络中的恶意节点,在提高网络中安全资源利用率的同时,实现攻击的全局预警和动态防护。
具体地,在本发明一个实施例中,进行基础防护,步骤6具体包括:
步骤61,获取源节点vs,目的节点vd,带宽需求br;
步骤62,SDN控制器根据系统提供的带宽信息,读取网络拓扑;
步骤63,基于K-shortest算法,计算可能的路径集合Ppaths={P1,......,PK},其中包含从vs至vd的不同传输路径;
步骤64,通过SDN控制器收集路径集合Ppaths中所有节点的最新状态信息并针对路径Pκ∈Ppaths,根据公式6和公式7计算当前安全态势结果:
步骤66,基于当前安全态势感知结果和历史安全态势结果,根据公式8计算路径Pκ的综合安全态势:
从Ppaths中选取综合安全态势值最大的路径作为传输路径;
步骤67,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的交换机。
在本发明实施例的另一个实施例中,还可以根据用户需要进行高级防护,步骤6具体包括:
步骤61’,输入源节点vs,目的节点vd,带宽需求br,安全需求R={r1,r2,...,rn};
步骤62’,通过SDN控制器收集网络中设备和安全资源信息;
步骤63’,分析安全需求R={r1,r2,…,rn},提取满足其安全需求的安全资源集D={sd1,sd2,…,sdn};
步骤64’,通过步骤61至步骤66计算vs至sd1之间的最大综合安全态势值路径P(vs,sd1);
步骤66’,通过步骤61至步骤66计算sdn至vd之间的最大综合安全态势值路径P(sdn,vd);
步骤67’,对步骤64’至66’中得到的路径信息进行聚合,得到vs至vd之间满足安全需求R的最大综合安全态势值路径:{P(vs,sd1),P(sd1,sd2),...,P(sdn-1,sdn),P(sdn,vd)};
步骤68’,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的安全设备和交换机。
以下对本发明实施例的上述技术方案进行具体说明。
步骤1,进行控制器中应用程序的合法性检测。
由于控制器中与安全态势感知与防护模块交互的应用程序类型较多,为防止恶意应用程序对态势感知与防护模块的非法访问,首先对控制器上态势感知与防护模块的安全状态进行检查,检查内容主要包括应用程序身份的合法性、应用程序访问控制权限的有效性等。
当新的应用程序试图访问安全态势感知与防护模块时,在向该模块提供服务之前,应用程序需先向可信第三方私钥生成中心PKG提供其开发者、序列号、名称、主要功能、版本号、创建时间和大小等信息,申请其用于提供服务的合法身份标示。在获得PKG提供的合法身份标示后,应用程序方可对态势感知与防护模块进行访问。
步骤2,获取节点安全态势要素。
节点的安全态势依据每个节点的历史行为计算得出,被定义为该节点在下一时刻出现相同行为的可能性。网络中每个节点的安全态势可由一个多维向量表示,每个向量表示该节点执行一个网络事件的可能性。对于任意交换机节点vi∈V,1≤i≤n,n为网络中的节点总数,其安全态势用一个k维向量Ti表示:
步骤3,对节点安全态势进行评估。
根据获取的节点安全态势要素,对单个节点的安全态势进行评估。将各节点的安全态势用一个多维向量表示,每个向量表示该节点执行一个网络事件的可能性。对于任意交换机节点vi∈V,1≤i≤n,n为网络中的节点总数,其安全态势Ti可用k维向量Ti表示,即:其中,表示节点vi安全态势的第j个属性,j∈{1,...,k},并且每一个属性与第j个网络事件相关联。
步骤4,对路径安全态势进行评估。
网络传输路径的安全态势可通过节点的安全态势、带宽等因素进行衡量,方案在对网络传输路径的安全态势进行度量时,分别考虑了两个方面:节点的安全态势和链路的承载能力。节点的安全态势可根据上述节点的相关属性计算得出,而链路的承载能力通常由两个节点之间的链路带宽表示。由于SDN控制器可以实时地获取基础设施层的网络资源信息,并生成满足用户带宽需求的拓扑信息。因此,当用户对网络带宽有特殊要求时,可通过控制器对基础设施层的设备和带宽等资源状态信息进行收集,获取满足用户带宽需求的拓扑信息,从而对路径安全态势进行评估。在下述内容中,将控制器生成的满足带宽需求的拓扑信息作为输入,确保传输路径满足用户带宽需求。
对路径p={v1,......,vn}的多个安全态势属性进行聚合,得到该路径的整体安全态势值T(p):
(5)基于网络安全态势的动态防护
该阶段主要基于安全态势感知结果,对网络中的恶意节点实施动态隔离,并基于安全虚拟化技术,对网络中的安全资源进行按需、灵活调度,动态构建出满足用户安全需求的最大安全态势值路径,实现网络安全态势的全局感知和动态防护。主要包括两个防护阶段。
1)基础防护
控制器在对基础设施层的资源信息进行感知和收集后,首先依据用户指定的带宽需求生成虚拟网络拓扑;若用户并无特殊的带宽需求,则SDN控制器依据实际的物理连接情况生成网络拓扑。通过对节点网络行为的相关信息进行实时获取,计算各节点的数据包的成功转发率、路径不被破坏的可能性等信息,得到各个节点的安全态势值。基于网络安全态势的基础动态防护算法在进行安全路径构建时,将过滤低安全态势的节点,因为它们明显降低了整条路径的安全态势值。
步骤1:输入源节点vs,目的节点vd,带宽需求br;
步骤2:SDN控制器根据系统提供的带宽信息,读取网络拓扑;
步骤3:基于K-shortest算法,计算可能的路径集合Ppaths={P1,......,PK},其中包含从vs至vd的不同传输路径;
步骤4:系统通过控制器收集路径集合Ppaths中所有节点的最新状态信息;
步骤5:针对路径Pκ∈Ppaths,根据如下公式计算其承载能力信息:
步骤7:基于步骤5中的当前安全态势感知结果和步骤6中的历史安全态势结果,根据如下公式计算路径Pκ的综合安全态势:
从Ppaths中选取综合安全态势值最大的路径作为传输路径;
步骤8:控制器将路径信息转换为对应的转发策略,并下发至对应的交换机。
2)基于用户需求的高级防护
网络中的用户通常会根据网络的基本安全状况动态地改变自身的安全需求,为了适应用户不断增长和变化的安全需求,方案基于网络安全态势和用户的动态安全需求,设计了一种基于安全态势和用户安全需求的高级防护算法,具体流程如下:
步骤1:输入源节点vs,目的节点vd,带宽需求br,安全需求R={r1,r2,...,rn};
步骤2:通过SDN控制器收集网络中设备和安全资源信息;
步骤3:分析安全需求R={r1,r2,...,rn},提取满足其安全需求的安全资源集D={sd1,sd2,...,sdn};
步骤4:通过基础防护功能计算vs至sd1之间的最大综合安全态势值路径P(vs,sd1);
步骤6:根据基础防护功能计算sdn至vd之间的最大综合安全态势值路径P(sdn,vd);
步骤7:对步骤4至6中得到的路径信息进行聚合,得到vs至vd之间满足安全需求R的最大综合安全态势值路径:{P(vs,sd1),P(sd1,sd2),...,P(sdn-1,sdn),P(sdn,vd)};
步骤8:SDN控制器将路径信息转换为对应的转发策略,并下发至对应的安全设备和交换机。
基于安全态势和用户安全需求的高级防护算法能够首先对网络中的安全态势进行感知,利用控制器对网络信息流和基础设施层设备的集中管控能力,灵活调度网络中的安全设备,使得信息流可以动态地流经满足用户安全需求的安全设备,从而屏蔽了安全态势值较低的异常节点,实现了对网络的动态、全局防护。此外,基于安全态势和用户安全需求的高级防护算法能够动态、按需调度网络中的安全资源,提高了网络中安全资源的利用率。
从上面的描述可以看出,本发明实施例结合SDN的集中管控特性和网络安全虚拟化技术,从网络全局角度出发,设计了一种基于行为辨识的安全态势感知与防护方法。首先,通过SDN控制器实时获取的网络状态信息,对节点和路径的安全态势进行实时评估;其次,基于安全态势计算结果和安全资源的虚拟化调度算法,对SDN网络中分散的安全资源进行灵活调度,并选择安全态势较高的网络设备参与安全路径构建,最终构建出满足用户安全需求的防护方案,实现了对网络中节点、路径的安全态势感知与动态防护。方案提高了SDN网络中安全资源的利用率,并能够阻止攻击者通过恶意或不可信节点对网络发起的攻击。
综上所述,本发明实施例将SDN控制器实时获取的节点状态信息作为输入,对节点和路径的安全态势进行评估;并能够根据用户的安全需求,对SDN中分散的安全资源进行按需调度,能够阻止攻击者通过恶意或不可信节点对网络发起的攻击,有效提高了SDN中安全资源的利用率,为网络中安全路径的动态、按需构建和恶意节点的追踪朔源机制提供了新的解决方案。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
Claims (8)
1.一种基于行为辨识的安全态势感知与防护方法,其特征在于,用于SDN网络,其中,所述网络中的实体具体包括:SDN控制器、SDN交换机,以及与所述SDN控制器、SDN交换机连接的安全资源和终端,所述方法具体包括:
步骤1,对SDN控制器中的应用程序进行合法性检测;
步骤2,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,其中,所述节点包括SDN交换机以及其他与SDN控制器交互的设备;
步骤3,根据获取的节点安全态势要素,计算网络中各节点的安全态势值;
步骤4,根据节点的安全态势和传输链路的承载能力,对传输路径的安全态势进行评估;
步骤5,周期性地执行步骤1至4,根据节点和路径的安全态势信息,对网络进行全局、实时地安全态势感知;
步骤6,执行步骤1至5,获取当前安全态势感知结果及各节点、路径的历史安全态势信息,并利用动态防护算法构建安全路径,动态隔离网络中的恶意节点,对攻击进行全局预警和动态防护。
2.根据权利要求1所述的方法,其特征在于,检测SDN控制器中与态势感知模块交互的应用程序,确认其身份和访问权限的合法性,具体包括:
在新的应用程序试图访问SDN控制器中的安全态势感知与防护模块并向该模块提供服务之前,首先向可信第三方私钥生成中心PKG提供该应用程序的基本信息,申请其用于提供服务的合法身份标示,并获取PKG提供的合法身份标示;
在应用程序向安全态势感知与防护模块提供服务时,安全态势感知与防护模块根据所述应用程序的身份标示对其身份的合法性以及访问控制权限的有效性进行检测。
3.根据权利要求1所述的方法,其特征在于,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,具体包括:
6.根据权利要求1至5中任一项所述的方法,其特征在于,步骤6具体包括:
步骤61,获取源节点vs,目的节点vd,带宽需求br;
步骤62,SDN控制器根据系统提供的带宽信息,读取网络拓扑;
步骤63,基于K-shortest算法,计算可能的路径集合Ppaths={P1,......,PK},其中包含从vs至vd的不同传输路径;
步骤64,通过SDN控制器收集路径集合Ppaths中所有节点的最新状态信息并针对路径Pκ∈Ppaths,根据公式6和公式7计算当前安全态势结果:
或者,直接获取最近一次的历史安全态势感知结果;
步骤66,基于当前安全态势感知结果和历史安全态势结果,根据公式8计算路径Pκ的综合安全态势:
从Ppaths中选取综合安全态势值最大的路径作为传输路径;
步骤67,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的交换机。
7.根据权利要求6所述的方法,其特征在于,步骤6具体包括:
步骤61’,输入源节点vs,目的节点vd,带宽需求br,安全需求R={r1,r2,...,rn};
步骤62’,通过SDN控制器收集网络中设备和安全资源信息;
步骤63’,分析安全需求R={r1,r2,…,rn},提取满足其安全需求的安全资源集D={sd1,sd2,…,sdn};
步骤64’,通过步骤61至步骤66计算vs至sd1之间的最大综合安全态势值路径P(vs,sd1);
步骤66’,通过步骤61至步骤66计算sdn至vd之间的最大综合安全态势值路径P(sdn,vd);
步骤67’,对步骤64’至66’中得到的路径信息进行聚合,得到vs至vd之间满足安全需求R的最大综合安全态势值路径:{P(vs,sd1),P(sd1,sd2),…,P(sdn-1,sdn),P(sdn,vd)};
步骤68’,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的安全设备和交换机。
8.一种基于行为辨识的安全态势感知装置,其特征在于,所述装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811248135.4A CN111107035B (zh) | 2018-10-25 | 2018-10-25 | 基于行为辨识的安全态势感知与防护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811248135.4A CN111107035B (zh) | 2018-10-25 | 2018-10-25 | 基于行为辨识的安全态势感知与防护方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111107035A CN111107035A (zh) | 2020-05-05 |
CN111107035B true CN111107035B (zh) | 2022-05-17 |
Family
ID=70418100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811248135.4A Active CN111107035B (zh) | 2018-10-25 | 2018-10-25 | 基于行为辨识的安全态势感知与防护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111107035B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116545890A (zh) * | 2023-04-26 | 2023-08-04 | 苏州维格纳信息科技有限公司 | 一种基于区块链的信息传输管理系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6985959B1 (en) * | 2000-11-01 | 2006-01-10 | Nortel Networks Limited | Constraint route dissemination using distributed route exchanges |
CN108337223A (zh) * | 2017-11-30 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 一种网络攻击的评估方法 |
CN108696515A (zh) * | 2018-04-28 | 2018-10-23 | 深圳大图科创技术开发有限公司 | 基于大数据的网络安全态势感知系统 |
CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104580168B (zh) * | 2014-12-22 | 2019-02-26 | 华为技术有限公司 | 一种攻击数据包的处理方法、装置及系统 |
-
2018
- 2018-10-25 CN CN201811248135.4A patent/CN111107035B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6985959B1 (en) * | 2000-11-01 | 2006-01-10 | Nortel Networks Limited | Constraint route dissemination using distributed route exchanges |
CN108337223A (zh) * | 2017-11-30 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 一种网络攻击的评估方法 |
CN108696515A (zh) * | 2018-04-28 | 2018-10-23 | 深圳大图科创技术开发有限公司 | 基于大数据的网络安全态势感知系统 |
CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
Non-Patent Citations (2)
Title |
---|
《Situation Awareness Measurement Enhanced For Efficient Monitoring in the Internet Of Things》;Audrey Ann Gendreau;《2015 IEEE Region 10 Symposium》;20151231;全文 * |
基于安全态势感知在网络攻击防御中的应用;王楠等;《电信技术》;20170325(第03期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111107035A (zh) | 2020-05-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking | |
Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
Patel et al. | An intrusion detection and prevention system in cloud computing: A systematic review | |
Seufert et al. | Machine learning for automatic defence against distributed denial of service attacks | |
Xuan et al. | Detecting application denial-of-service attacks: A group-testing-based approach | |
CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
CN112153047B (zh) | 一种基于区块链的网络安全运维及防御方法及系统 | |
Vieira et al. | Autonomic intrusion detection and response using big data | |
Pandey et al. | A statistical and distributed packet filter against DDoS attacks in Cloud environment | |
CN113240116B (zh) | 基于类脑平台的智慧防火云系统 | |
CN114915476A (zh) | 一种基于网络安全测评过程的攻击推演图生成方法及系统 | |
Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
Kholidy et al. | Ha-cids: A hierarchical and autonomous ids for cloud systems | |
CN110365673B (zh) | 一种隔离网络攻击面的方法、服务器和系统 | |
Appiah-Kubi et al. | Decentralized intrusion prevention (DIP) against co-ordinated cyberattacks on distribution automation systems | |
Ujcich et al. | Causal Analysis for {Software-Defined} Networking Attacks | |
CN111107035B (zh) | 基于行为辨识的安全态势感知与防护方法及装置 | |
Halman et al. | MCAD: A Machine learning based cyberattacks detector in Software-Defined Networking (SDN) for healthcare systems | |
Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
Schulter et al. | Intrusion detection for computational grids | |
CN116232770A (zh) | 一种基于sdn控制器的企业网络安全防护系统及方法 | |
Schulter et al. | A grid-based intrusion detection system | |
Kamatchi et al. | An efficient security framework to detect intrusions at virtual network layer of cloud computing | |
KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
KR102444922B1 (ko) | 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |