CN111107035B - 基于行为辨识的安全态势感知与防护方法及装置 - Google Patents

基于行为辨识的安全态势感知与防护方法及装置 Download PDF

Info

Publication number
CN111107035B
CN111107035B CN201811248135.4A CN201811248135A CN111107035B CN 111107035 B CN111107035 B CN 111107035B CN 201811248135 A CN201811248135 A CN 201811248135A CN 111107035 B CN111107035 B CN 111107035B
Authority
CN
China
Prior art keywords
security
path
network
node
security situation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811248135.4A
Other languages
English (en)
Other versions
CN111107035A (zh
Inventor
王蒙蒙
罗鑫
吴宝江
朱兴国
王栋
李杨
马克祥
马建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Electronic and Information Technology of CETC
Original Assignee
China Academy of Electronic and Information Technology of CETC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Electronic and Information Technology of CETC filed Critical China Academy of Electronic and Information Technology of CETC
Priority to CN201811248135.4A priority Critical patent/CN111107035B/zh
Publication of CN111107035A publication Critical patent/CN111107035A/zh
Application granted granted Critical
Publication of CN111107035B publication Critical patent/CN111107035B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种基于行为辨识的安全态势感知与防护方法,该方法具体包括:步骤1,对SDN控制器中的应用程序进行合法性检测;步骤2,实时收集网络中各节点的安全态势要素,其中,所述节点包括SDN交换机以及其他与SDN控制器交互的设备;步骤3,计算网络中各节点的安全态势值;步骤4,根据节点的安全态势和传输链路的承载能力,对传输路径的安全态势进行评估;步骤5,周期性地执行步骤1至4,根据节点和路径的安全态势信息,对网络进行安全态势感知;步骤6,执行步骤1至5,获取当前安全态势感知结果及各节点、路径的历史安全态势信息,按需调度网络中分散的安全资源,动态隔离网络中的恶意节点,对攻击进行全局预警和动态防护。

Description

基于行为辨识的安全态势感知与防护方法及装置
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种基于行为辨识的安全态势感知与防护方法及装置。
背景技术
网络空间中的安全态势感知与防护问题近年来已成为国内外学者的研究热点。目前获取安全态势的主要技术包括:1)应用大数据处理和可视化技术对网络安全态势进行分析;2)基于网络安全事件,对网络安全状态进行量化表达等。然而,受态势信息的获取时间、信息收集的全面性和防护策略不及时等因素的影响,在适时且全面地找出网络中的真实威胁并进行有效防护方面的工作并不理想,从而限制了工作人员做出最佳响应决策的能力。
Shin等人基于网络安全虚拟化技术(Network Security Virtualization,NSV),通过对网络中的防火墙、入侵检测系统等安全资源进行全局性调度,实现了对网络中已有威胁的感知和防护。然而,该类防护算法是利用网络中已有的安全资源对常见威胁进行辨识,并未考虑网络中各节点和传输路径自身的可信性和安全态势,这将导致一些被攻击者攻陷的安全节点和路径也能够轻易地参与到防护过程中,从而使得诸多防护手段失去作用。
发明内容
本发明要解决的技术问题是当前网络安全态势信息获取能力受限、无法从全局角度进行动态防护的问题,提供一种基于行为辨识的安全态势感知与防护方法。
本发明采用的技术方案是,所述基于行为辨识的安全态势感知与防护方法,用于SDN网络,其中,所述网络中的实体具体包括:SDN控制器、SDN交换机,以及与所述SDN控制器、SDN交换机连接的安全资源和终端,所述方法具体包括:
步骤1,对SDN控制器中的应用程序进行合法性检测;
步骤2,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,其中,所述节点包括SDN交换机以及其他与SDN控制器交互的设备;
步骤3,根据获取的节点安全态势要素,计算网络中各节点的安全态势值;
步骤4,根据节点的安全态势和传输链路的承载能力,对传输路径的安全态势进行评估;
步骤5,周期性地执行步骤1至4,根据节点和路径的安全态势信息,对网络进行全局、实时地安全态势感知;
步骤6,执行步骤1至5,获取当前安全态势感知结果及各节点、路径的历史安全态势信息,基于安全虚拟化技术,按需调度网络中分散的安全资源,动态隔离网络中的恶意节点,对攻击进行全局预警和动态防护。
优选地,检测SDN控制器中与态势感知模块交互的应用程序,确认其身份和访问权限的合法性,具体包括:
在新的应用程序试图访问SDN控制器中的安全态势感知与防护模块并向该模块提供服务之前,首先向可信第三方私钥生成中心PKG提供该应用程序的基本信息,申请其用于提供服务的合法身份标示,并获取PKG提供的合法身份标示;
在应用程序向安全态势感知与防护模块提供服务时,安全态势感知与防护模块根据所述应用程序的身份标示对其身份的合法性以及访问控制权限的有效性进行检测。
优选地,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,具体包括:
根据公式1计算数据包的成功转发率
Figure BSA0000172647080000031
Figure BSA0000172647080000032
其中,Nrelay表示最近λ个会话中数据包被成功转发的数量,Ntotal为最近λ个会话中收到数据包的总数量,
Figure BSA0000172647080000033
表示交换机vi成功转发数据包的可能性;
根据公式2计算路径不被破坏的可能性
Figure BSA0000172647080000034
Figure BSA0000172647080000035
其中,Nbroken表示在最新λ个会话中被交换机vi破坏的会话量,
Figure BSA0000172647080000036
表示在最新的λ个会话中交换机vi不会破坏路径的可能性;
根据公式3计算每个会话至少成功转发ò个数据包的可能性
Figure BSA0000172647080000037
Figure BSA0000172647080000038
其中,
Figure BSA0000172647080000039
为交换机vi在每个会话中均能成功转发ò以上个数据包的会话数量;λ为最近时间内的会话总数,
Figure BSA00001726470800000310
表示节点vi在每个会话中均能够成功转发ò以上个数据包的百分比。
优选地,根据获取的节点安全态势要素,计算网络中各节点的安全态势值,具体包括:
对于任意交换机节点vi∈V,其安全态势用k维向量Ti表示,即:
Figure BSA00001726470800000311
其中,1≤i≤n,n为网络中的交换机总数,
Figure BSA00001726470800000312
表示交换机节点vi安全态势的第j个属性,j∈{1,...,k},并且每一个属性
Figure BSA00001726470800000313
与第j个网络事件相关联。
优选地,根据节点的安全态势和传输链路的承载能力,对路径的安全态势进行评估具体包括:
给定路径p={v1,......,vn},根据公式4计算其第j个安全态势属性
Figure BSA0000172647080000041
由该路径上每个节点发生第j种网络事件的可能性表示:
Figure BSA0000172647080000042
将路径p={v1,......,vn}的多个安全态势属性进行聚合,根据公式5计算得到该路径的整体安全态势值T(p):
Figure BSA0000172647080000043
其中,ωj为第j个安全态势属性
Figure BSA0000172647080000044
对应的权重,表示用户对网络中事件发生的敏感程度,给定敏感度向量α(j),则权重ωj表示为:
Figure BSA0000172647080000045
优选地,步骤6具体包括:
步骤61,获取源节点vs,目的节点vd,带宽需求br;
步骤62,SDN控制器根据系统提供的带宽信息,读取网络拓扑;
步骤63,基于K-shortest算法,计算可能的路径集合Ppaths={P1,......,PK},其中包含从vs至vd的不同传输路径;
步骤64,通过SDN控制器收集路径集合Ppaths中所有节点的最新状态信息并针对路径Pκ∈Ppaths,根据公式6和公式7计算当前安全态势结果:
Figure BSA0000172647080000046
Figure BSA0000172647080000047
或者,直接获取获取最近一次的历史安全态势感知结果;
步骤65,针对路径Pκ∈Ppaths,获取历史安全态势库中其最近tpre时间内路径Pκ的x次历史安全态势要素信息,根据公式6和公式7,计算不同历史时刻Pκ的安全态势值,形成历史安全态势值集合
Figure BSA0000172647080000051
步骤66,基于当前安全态势感知结果和历史安全态势结果,根据公式8计算路径Pκ的综合安全态势:
Figure BSA0000172647080000052
从Ppaths中选取综合安全态势值最大的路径作为传输路径;
步骤67,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的交换机。
优选地,步骤6具体包括:
步骤61’,输入源节点vs,目的节点vd,带宽需求br,安全需求R={r1,r2,...,rn};
步骤62’,通过SDN控制器收集网络中设备和安全资源信息;
步骤63’,分析安全需求R={r1,r2,…,rn},提取满足其安全需求的安全资源集D={sd1,sd2,…,sdn};
步骤64’,通过步骤61至步骤66计算vs至sd1之间的最大综合安全态势值路径P(vs,sd1);
步骤65’,对安全设备sdi∈D,若i>1,通过步骤61至步骤66计算sdi-1至sdi之间的最大综合安全态势值路径
Figure BSA0000172647080000053
步骤66’,通过步骤61至步骤66计算sdn至vd之间的最大综合安全态势值路径P(sdn,vd);
步骤67’,对步骤64’至66’中得到的路径信息进行聚合,得到vs至vd之间满足安全需求R的最大综合安全态势值路径:{P(vs,sd1),P(sd1,sd2),...,P(sdn-1,sdn),P(sdn,vd)};
步骤68’,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的安全设备和交换机。
本发明还提供一种基于行为辨识的安全态势感知与防护装置,所述装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的方法的步骤。
采用上述技术方案,本发明至少具有下列优点:
借助于本发明实施例的技术方案,将SDN控制器实时获取的节点状态信息作为输入,对节点和路径的安全态势进行评估;并能够根据用户的安全需求,对SDN中分散的安全资源进行按需调度,能够阻止攻击者通过恶意或不可信节点对网络发起的攻击,有效提高了SDN中安全资源的利用率,为网络中安全路径的动态、按需构建和恶意节点的追踪朔源机制提供了新的解决方案。
附图说明
图1为本发明实施例的基于行为辨识的安全态势感知与防护方法的处理流程图;
图2为本发明实施例的基于行为辨识的安全态势感知与防护方法的执行过程示意图。
具体实施方式
本发明的目的在于提供一种基于行为辨识的安全态势感知与防护方法,用于解决当前网络安全态势信息获取能力受限、无法从全局角度进行动态防护问题。首先,通过SDN控制器实时获取的网络状态信息,对节点和路径的异常行为进行辨识,实时评估节点和路径的安全态势;其次,基于安全态势计算结果和安全资源的虚拟化调度算法,对网络中分散的安全资源进行灵活调度,构建出满足用户安全需求的防护方案,从而防止攻击者通过恶意或不可信节点对网铬发起攻击,提高网络中安全资源的利用率,实现攻击全局预警和动态防护。
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明实施例针对工作人员在获取和掌控网络安全态势方面的迫切需求,结合软件定义网络和安全虚拟化技术,从大量且存在噪声的节点行为数据中对网络攻击活动进行辨识,计算关键节点和路径的安全态势,实现攻击预警和动态防护。实施过程主要包括控制器应用程序合法性检测、节点安全态势要素获取、节点安全态势感知、路径安全态势感知、基于安全态势的网络动态防御五个阶段,具体流程和执行过程分别如图1和图2所示。
用G=(V,E)表示一个简单的实验网络,V是所有节点的集合,其中每一个节点表示网络中的一个交换机或安全设备;E是图中边的集合,表示网络中节点之间的连通性;实验网络的拓扑结构设计如图2所示。网络中包括四类实体:控制器(Controller)、交换机(S1-S11)、终端(Host1-Host4)和安全资源(SD)。其中,S3是一个被攻击者攻陷的交换机,S10为配有防火墙或入侵检测系统等安全资源的节点,即安全节点。
根据本发明实施例的基于行为辨识的安全态势感知与防护方法用于SDN网络,其中,所述网络中的节点具体包括:SDN控制器、SDN交换机,以及与所述控制器和SDN交换机连接的安全资源、终端等,具体包括:
步骤1,检测SDN控制器中与态势感知模块交互的应用程序,确认其身份和访问权限的合法性;具体包括:
在新的应用程序试图访问SDN控制器中的安全态势感知与防护模块并向该模块提供服务之前,应用程序需首先向可信第三方私钥生成中心PKG提供其开发者、序列号、名称、主要功能、版本号、创建时间和大小等基本信息,申请用于向安全态势感知与防护模块提供服务的合法身份标示,并获取PKG提供的合法身份标示;在应用程序向安全态势感知与防护模块提供服务时,安全态势感知与防护模块根据所述应用程序的身份标示对其身份的合法性以及访问控制权限的有效性进行检测。
步骤2,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素;节点包括SDN交换机以及其他与SDN控制器交互的设备。具体包括:
根据公式1计算数据包的成功转发率
Figure BSA0000172647080000081
Figure BSA0000172647080000082
其中,Nrelay表示最近λ个会话中数据包被成功转发的数量,Ntotal为最近λ个会话中收到数据包的总数量,
Figure BSA0000172647080000083
表示交换机vi成功转发数据包的可能性;
根据公式2计算路径不被破坏的可能性
Figure BSA0000172647080000084
Figure BSA0000172647080000085
其中,Nbroken表示在最新λ个会话中被交换机vi破坏的会话量,
Figure BSA0000172647080000086
表示在最新的λ个会话中交换机vi不会破坏路径的可能性;
根据公式3计算每个会话至少成功转发ò个数据包的可能性
Figure BSA0000172647080000087
Figure BSA0000172647080000088
其中,
Figure BSA0000172647080000089
为交换机vi在每个会话中均能成功转发ò以上个数据包的会话数量;λ为最近时间内的会话总数,
Figure BSA00001726470800000810
表示节点vi在每个会话中均能够成功转发ò以上个数据包的百分比。
步骤3,根据获取的节点安全态势要素,计算网络中各节点的安全态势值;具体包括:
对于任意交换机节点vi∈V,其安全态势用k维向量Ti表示,即:
Figure BSA00001726470800000811
其中,1≤i≤n,n为网络中的交换机总数,
Figure BSA00001726470800000812
表示交换机节点vi安全态势的第j个属性,j∈{1,...,k},并且每一个属性
Figure BSA00001726470800000813
与第j个网络事件相关联。
步骤4,根据节点的安全态势和传输链路的承载能力,对传输路径的安全态势进行评估;具体包括:
给定路径p={v1,......,vn},根据公式4计算其第j个安全态势属性
Figure BSA0000172647080000091
由该路径上每个节点发生第j种网络事件的可能性表示:
Figure BSA0000172647080000092
将路径p={v1,......,vn}的多个安全态势属性进行聚合,根据公式5计算得到该路径的整体安全态势值T(p):
Figure BSA0000172647080000093
其中,ωj为第j个安全态势属性
Figure BSA0000172647080000094
对应的权重,表示用户对网络中事件发生的敏感程度,给定敏感度向量α(j),则权重ωj表示为:
Figure BSA0000172647080000095
步骤5,周期性地执行步骤1至4,根据节点、传输路径的安全态势信息,对网络进行全局、实时地安全态势感知;
步骤6,执行步骤1至5,获取当前的安全态势感知结果及各节点、路径的历史安全态势信息,基于安全虚拟化技术,按需调度网络中分散的安全资源,动态隔离网络中的恶意节点,在提高网络中安全资源利用率的同时,实现攻击的全局预警和动态防护。
具体地,在本发明一个实施例中,进行基础防护,步骤6具体包括:
步骤61,获取源节点vs,目的节点vd,带宽需求br;
步骤62,SDN控制器根据系统提供的带宽信息,读取网络拓扑;
步骤63,基于K-shortest算法,计算可能的路径集合Ppaths={P1,......,PK},其中包含从vs至vd的不同传输路径;
步骤64,通过SDN控制器收集路径集合Ppaths中所有节点的最新状态信息并针对路径Pκ∈Ppaths,根据公式6和公式7计算当前安全态势结果:
Figure BSA0000172647080000101
Figure BSA0000172647080000102
步骤65,针对路径Pκ∈Ppaths,获取历史安全态势库中其最近tpre时间内路径Pκ的x次历史安全态势要素信息,根据公式6和公式7,计算不同历史时刻Pκ的安全态势值,形成历史安全态势值集合
Figure BSA0000172647080000103
步骤66,基于当前安全态势感知结果和历史安全态势结果,根据公式8计算路径Pκ的综合安全态势:
Figure BSA0000172647080000104
从Ppaths中选取综合安全态势值最大的路径作为传输路径;
步骤67,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的交换机。
在本发明实施例的另一个实施例中,还可以根据用户需要进行高级防护,步骤6具体包括:
步骤61’,输入源节点vs,目的节点vd,带宽需求br,安全需求R={r1,r2,...,rn};
步骤62’,通过SDN控制器收集网络中设备和安全资源信息;
步骤63’,分析安全需求R={r1,r2,…,rn},提取满足其安全需求的安全资源集D={sd1,sd2,…,sdn};
步骤64’,通过步骤61至步骤66计算vs至sd1之间的最大综合安全态势值路径P(vs,sd1);
步骤65’,对安全设备sdi∈D,若i>1,通过步骤61至步骤66计算sdi-1至sdi之间的最大综合安全态势值路径
Figure BSA0000172647080000105
步骤66’,通过步骤61至步骤66计算sdn至vd之间的最大综合安全态势值路径P(sdn,vd);
步骤67’,对步骤64’至66’中得到的路径信息进行聚合,得到vs至vd之间满足安全需求R的最大综合安全态势值路径:{P(vs,sd1),P(sd1,sd2),...,P(sdn-1,sdn),P(sdn,vd)};
步骤68’,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的安全设备和交换机。
以下对本发明实施例的上述技术方案进行具体说明。
步骤1,进行控制器中应用程序的合法性检测。
由于控制器中与安全态势感知与防护模块交互的应用程序类型较多,为防止恶意应用程序对态势感知与防护模块的非法访问,首先对控制器上态势感知与防护模块的安全状态进行检查,检查内容主要包括应用程序身份的合法性、应用程序访问控制权限的有效性等。
当新的应用程序试图访问安全态势感知与防护模块时,在向该模块提供服务之前,应用程序需先向可信第三方私钥生成中心PKG提供其开发者、序列号、名称、主要功能、版本号、创建时间和大小等信息,申请其用于提供服务的合法身份标示。在获得PKG提供的合法身份标示后,应用程序方可对态势感知与防护模块进行访问。
步骤2,获取节点安全态势要素。
节点的安全态势依据每个节点的历史行为计算得出,被定义为该节点在下一时刻出现相同行为的可能性。网络中每个节点的安全态势可由一个多维向量表示,每个向量表示该节点执行一个网络事件的可能性。对于任意交换机节点vi∈V,1≤i≤n,n为网络中的节点总数,其安全态势用一个k维向量Ti表示:
Figure BSA0000172647080000111
其中,
Figure BSA0000172647080000112
表示节点vi安全态势中的第j个属性,j∈{1,...,k},并且每一个属性
Figure BSA0000172647080000113
与第j个网络事件相关联。每个节点的安全态势与其唯一的合法身份相匹配。本发明考虑的节点行为主要包括如下部分:
Figure BSA0000172647080000114
数据包的成功转发率。Nrelay表示最近λ个会话中数据包被成功转发的数量,Ntotal为最近λ个会话中收到数据包的总数量,
Figure BSA0000172647080000121
则表示节点vi成功转发数据包的可能性,则其计算方式如下:
Figure BSA0000172647080000122
Figure BSA0000172647080000123
路径不被破坏的可能性。Nbroken表示在最新λ个会话中被节点vi破坏的会话量,
Figure BSA0000172647080000124
表示在最新的λ个会话中节点vi不会破坏路径的可能性,可表示为:
Figure BSA0000172647080000125
Figure BSA0000172647080000126
每个会话至少成功转发ò个数据包的可能性。
Figure BSA0000172647080000127
为节点vi在每个会话中均能成功转发ò以上个数据包的会话数量;λ为最近时间内的会话总数,
Figure BSA0000172647080000128
表示节点vi在每个会话中均能够成功转发ò以上个数据包的百分比,可表示为:
Figure BSA0000172647080000129
步骤3,对节点安全态势进行评估。
根据获取的节点安全态势要素,对单个节点的安全态势进行评估。将各节点的安全态势用一个多维向量表示,每个向量表示该节点执行一个网络事件的可能性。对于任意交换机节点vi∈V,1≤i≤n,n为网络中的节点总数,其安全态势Ti可用k维向量Ti表示,即:
Figure BSA00001726470800001210
其中,
Figure BSA00001726470800001211
表示节点vi安全态势的第j个属性,j∈{1,...,k},并且每一个属性
Figure BSA00001726470800001212
与第j个网络事件相关联。
步骤4,对路径安全态势进行评估。
网络传输路径的安全态势可通过节点的安全态势、带宽等因素进行衡量,方案在对网络传输路径的安全态势进行度量时,分别考虑了两个方面:节点的安全态势和链路的承载能力。节点的安全态势可根据上述节点的相关属性计算得出,而链路的承载能力通常由两个节点之间的链路带宽表示。由于SDN控制器可以实时地获取基础设施层的网络资源信息,并生成满足用户带宽需求的拓扑信息。因此,当用户对网络带宽有特殊要求时,可通过控制器对基础设施层的设备和带宽等资源状态信息进行收集,获取满足用户带宽需求的拓扑信息,从而对路径安全态势进行评估。在下述内容中,将控制器生成的满足带宽需求的拓扑信息作为输入,确保传输路径满足用户带宽需求。
给定路径p={v1,......,vn},其第j个安全态势属性
Figure BSA0000172647080000131
由该路径上每个节点发生第j种网络事件的可能性来表示,计算方式如下:
Figure BSA0000172647080000132
对路径p={v1,......,vn}的多个安全态势属性进行聚合,得到该路径的整体安全态势值T(p):
Figure BSA0000172647080000133
其中,ωj为第j个安全态势属性
Figure BSA0000172647080000134
对应的权重,表示用户对网络中事件发生的敏感程度。给定敏感度向量α(j),则权重ωj可表示为:
Figure BSA0000172647080000135
(5)基于网络安全态势的动态防护
该阶段主要基于安全态势感知结果,对网络中的恶意节点实施动态隔离,并基于安全虚拟化技术,对网络中的安全资源进行按需、灵活调度,动态构建出满足用户安全需求的最大安全态势值路径,实现网络安全态势的全局感知和动态防护。主要包括两个防护阶段。
1)基础防护
控制器在对基础设施层的资源信息进行感知和收集后,首先依据用户指定的带宽需求生成虚拟网络拓扑;若用户并无特殊的带宽需求,则SDN控制器依据实际的物理连接情况生成网络拓扑。通过对节点网络行为的相关信息进行实时获取,计算各节点的数据包的成功转发率、路径不被破坏的可能性等信息,得到各个节点的安全态势值。基于网络安全态势的基础动态防护算法在进行安全路径构建时,将过滤低安全态势的节点,因为它们明显降低了整条路径的安全态势值。
步骤1:输入源节点vs,目的节点vd,带宽需求br;
步骤2:SDN控制器根据系统提供的带宽信息,读取网络拓扑;
步骤3:基于K-shortest算法,计算可能的路径集合Ppaths={P1,......,PK},其中包含从vs至vd的不同传输路径;
步骤4:系统通过控制器收集路径集合Ppaths中所有节点的最新状态信息;
步骤5:针对路径Pκ∈Ppaths,根据如下公式计算其承载能力信息:
Figure BSA0000172647080000141
Figure BSA0000172647080000142
步骤6:针对路径Pκ∈Ppaths,获取历史安全态势库中其最近tpre时间内路径Pκ的x历史安全态势感知要素信息,基于步骤5,计算不同历史时刻Pκ的安全态势值,形成集合
Figure BSA0000172647080000143
步骤7:基于步骤5中的当前安全态势感知结果和步骤6中的历史安全态势结果,根据如下公式计算路径Pκ的综合安全态势:
Figure BSA0000172647080000144
从Ppaths中选取综合安全态势值最大的路径作为传输路径;
步骤8:控制器将路径信息转换为对应的转发策略,并下发至对应的交换机。
2)基于用户需求的高级防护
网络中的用户通常会根据网络的基本安全状况动态地改变自身的安全需求,为了适应用户不断增长和变化的安全需求,方案基于网络安全态势和用户的动态安全需求,设计了一种基于安全态势和用户安全需求的高级防护算法,具体流程如下:
步骤1:输入源节点vs,目的节点vd,带宽需求br,安全需求R={r1,r2,...,rn};
步骤2:通过SDN控制器收集网络中设备和安全资源信息;
步骤3:分析安全需求R={r1,r2,...,rn},提取满足其安全需求的安全资源集D={sd1,sd2,...,sdn};
步骤4:通过基础防护功能计算vs至sd1之间的最大综合安全态势值路径P(vs,sd1);
步骤5:对安全设备sdi∈D,若i>1,通过基础防护功能计算sdi-1至sdi之间的最大综合安全态势值路径
Figure BSA0000172647080000151
步骤6:根据基础防护功能计算sdn至vd之间的最大综合安全态势值路径P(sdn,vd);
步骤7:对步骤4至6中得到的路径信息进行聚合,得到vs至vd之间满足安全需求R的最大综合安全态势值路径:{P(vs,sd1),P(sd1,sd2),...,P(sdn-1,sdn),P(sdn,vd)};
步骤8:SDN控制器将路径信息转换为对应的转发策略,并下发至对应的安全设备和交换机。
基于安全态势和用户安全需求的高级防护算法能够首先对网络中的安全态势进行感知,利用控制器对网络信息流和基础设施层设备的集中管控能力,灵活调度网络中的安全设备,使得信息流可以动态地流经满足用户安全需求的安全设备,从而屏蔽了安全态势值较低的异常节点,实现了对网络的动态、全局防护。此外,基于安全态势和用户安全需求的高级防护算法能够动态、按需调度网络中的安全资源,提高了网络中安全资源的利用率。
从上面的描述可以看出,本发明实施例结合SDN的集中管控特性和网络安全虚拟化技术,从网络全局角度出发,设计了一种基于行为辨识的安全态势感知与防护方法。首先,通过SDN控制器实时获取的网络状态信息,对节点和路径的安全态势进行实时评估;其次,基于安全态势计算结果和安全资源的虚拟化调度算法,对SDN网络中分散的安全资源进行灵活调度,并选择安全态势较高的网络设备参与安全路径构建,最终构建出满足用户安全需求的防护方案,实现了对网络中节点、路径的安全态势感知与动态防护。方案提高了SDN网络中安全资源的利用率,并能够阻止攻击者通过恶意或不可信节点对网络发起的攻击。
综上所述,本发明实施例将SDN控制器实时获取的节点状态信息作为输入,对节点和路径的安全态势进行评估;并能够根据用户的安全需求,对SDN中分散的安全资源进行按需调度,能够阻止攻击者通过恶意或不可信节点对网络发起的攻击,有效提高了SDN中安全资源的利用率,为网络中安全路径的动态、按需构建和恶意节点的追踪朔源机制提供了新的解决方案。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。

Claims (8)

1.一种基于行为辨识的安全态势感知与防护方法,其特征在于,用于SDN网络,其中,所述网络中的实体具体包括:SDN控制器、SDN交换机,以及与所述SDN控制器、SDN交换机连接的安全资源和终端,所述方法具体包括:
步骤1,对SDN控制器中的应用程序进行合法性检测;
步骤2,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,其中,所述节点包括SDN交换机以及其他与SDN控制器交互的设备;
步骤3,根据获取的节点安全态势要素,计算网络中各节点的安全态势值;
步骤4,根据节点的安全态势和传输链路的承载能力,对传输路径的安全态势进行评估;
步骤5,周期性地执行步骤1至4,根据节点和路径的安全态势信息,对网络进行全局、实时地安全态势感知;
步骤6,执行步骤1至5,获取当前安全态势感知结果及各节点、路径的历史安全态势信息,并利用动态防护算法构建安全路径,动态隔离网络中的恶意节点,对攻击进行全局预警和动态防护。
2.根据权利要求1所述的方法,其特征在于,检测SDN控制器中与态势感知模块交互的应用程序,确认其身份和访问权限的合法性,具体包括:
在新的应用程序试图访问SDN控制器中的安全态势感知与防护模块并向该模块提供服务之前,首先向可信第三方私钥生成中心PKG提供该应用程序的基本信息,申请其用于提供服务的合法身份标示,并获取PKG提供的合法身份标示;
在应用程序向安全态势感知与防护模块提供服务时,安全态势感知与防护模块根据所述应用程序的身份标示对其身份的合法性以及访问控制权限的有效性进行检测。
3.根据权利要求1所述的方法,其特征在于,基于SDN网络的集中管控架构,实时收集网络中各节点的安全态势要素,具体包括:
根据公式1计算数据包的成功转发率
Figure FDA0003511972830000021
Figure FDA0003511972830000022
其中,Nrelay表示最近λ个会话中数据包被成功转发的数量,Ntotal为最近λ个会话中收到数据包的总数量,
Figure FDA0003511972830000023
表示交换机vi成功转发数据包的可能性;
根据公式2计算路径不被破坏的可能性
Figure FDA0003511972830000024
Figure FDA0003511972830000025
其中,Nbroken表示在最新λ个会话中被交换机vi破坏的会话量,
Figure FDA0003511972830000026
表示在最新的λ个会话中交换机vi不会破坏路径的可能性;
根据公式3计算每个会话至少成功转发∈个数据包的可能性
Figure FDA0003511972830000027
Figure FDA0003511972830000028
其中,
Figure FDA0003511972830000029
为交换机vi在每个会话中均能成功转发∈以上个数据包的会话数量;λ为最近时间内的会话总数,
Figure FDA00035119728300000210
表示节点vi在每个会话中均能够成功转发∈以上个数据包的百分比。
4.根据权利要求3所述的方法,其特征在于,根据获取的节点安全态势要素,计算网络中各节点的安全态势值,具体包括:
对于任意交换机节点vi∈V,其安全态势用k维向量Ti表示,即:
Figure FDA00035119728300000211
其中,1≤i≤n,n为网络中的交换机总数,
Figure FDA00035119728300000212
表示交换机节点vi安全态势的第j个属性,j∈{1,...,k},并且每一个属性
Figure FDA00035119728300000213
与第j个网络事件相关联。
5.根据权利要求4所述的方法,其特征在于,根据节点的安全态势和传输链路的承载能力,对路径的安全态势进行评估具体包括:
给定路径p={v1,......,vn},根据公式4计算其第j个安全态势属性
Figure FDA0003511972830000031
由该路径上每个节点发生第j种网络事件的可能性表示:
Figure FDA0003511972830000032
将路径p={v1,……,vn}的多个安全态势属性进行聚合,根据公式5计算得到该路径的整体安全态势值T(p):
Figure FDA0003511972830000033
其中,ωj为第j个安全态势属性
Figure FDA0003511972830000034
对应的权重,表示用户对网络中事件发生的敏感程度,给定敏感度向量α(j),则权重ωj表示为:
Figure FDA0003511972830000035
6.根据权利要求1至5中任一项所述的方法,其特征在于,步骤6具体包括:
步骤61,获取源节点vs,目的节点vd,带宽需求br
步骤62,SDN控制器根据系统提供的带宽信息,读取网络拓扑;
步骤63,基于K-shortest算法,计算可能的路径集合Ppaths={P1,......,PK},其中包含从vs至vd的不同传输路径;
步骤64,通过SDN控制器收集路径集合Ppaths中所有节点的最新状态信息并针对路径Pκ∈Ppaths,根据公式6和公式7计算当前安全态势结果:
Figure FDA0003511972830000036
Figure FDA0003511972830000037
或者,直接获取最近一次的历史安全态势感知结果;
步骤65,针对路径Pk∈Ppaths,获取历史安全态势库中其最近tpre时间内路径Pκ的x次历史安全态势要素信息,根据公式6和公式7,计算不同历史时刻Pk的安全态势值,形成历史安全态势值集合
Figure FDA0003511972830000041
步骤66,基于当前安全态势感知结果和历史安全态势结果,根据公式8计算路径Pκ的综合安全态势:
Figure FDA0003511972830000042
从Ppaths中选取综合安全态势值最大的路径作为传输路径;
步骤67,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的交换机。
7.根据权利要求6所述的方法,其特征在于,步骤6具体包括:
步骤61’,输入源节点vs,目的节点vd,带宽需求br,安全需求R={r1,r2,...,rn};
步骤62’,通过SDN控制器收集网络中设备和安全资源信息;
步骤63’,分析安全需求R={r1,r2,…,rn},提取满足其安全需求的安全资源集D={sd1,sd2,…,sdn};
步骤64’,通过步骤61至步骤66计算vs至sd1之间的最大综合安全态势值路径P(vs,sd1);
步骤65’,对安全设备sdι∈D,若ι>1,通过步骤61至步骤66计算sdι-1至sdι之间的最大综合安全态势值路径
Figure FDA0003511972830000043
步骤66’,通过步骤61至步骤66计算sdn至vd之间的最大综合安全态势值路径P(sdn,vd);
步骤67’,对步骤64’至66’中得到的路径信息进行聚合,得到vs至vd之间满足安全需求R的最大综合安全态势值路径:{P(vs,sd1),P(sd1,sd2),…,P(sdn-1,sdn),P(sdn,vd)};
步骤68’,SDN控制器将路径信息转换为对应的转发策略,并下发至对应的安全设备和交换机。
8.一种基于行为辨识的安全态势感知装置,其特征在于,所述装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的方法的步骤。
CN201811248135.4A 2018-10-25 2018-10-25 基于行为辨识的安全态势感知与防护方法及装置 Active CN111107035B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811248135.4A CN111107035B (zh) 2018-10-25 2018-10-25 基于行为辨识的安全态势感知与防护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811248135.4A CN111107035B (zh) 2018-10-25 2018-10-25 基于行为辨识的安全态势感知与防护方法及装置

Publications (2)

Publication Number Publication Date
CN111107035A CN111107035A (zh) 2020-05-05
CN111107035B true CN111107035B (zh) 2022-05-17

Family

ID=70418100

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811248135.4A Active CN111107035B (zh) 2018-10-25 2018-10-25 基于行为辨识的安全态势感知与防护方法及装置

Country Status (1)

Country Link
CN (1) CN111107035B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116545890A (zh) * 2023-04-26 2023-08-04 苏州维格纳信息科技有限公司 一种基于区块链的信息传输管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6985959B1 (en) * 2000-11-01 2006-01-10 Nortel Networks Limited Constraint route dissemination using distributed route exchanges
CN108337223A (zh) * 2017-11-30 2018-07-27 中国电子科技集团公司电子科学研究院 一种网络攻击的评估方法
CN108696515A (zh) * 2018-04-28 2018-10-23 深圳大图科创技术开发有限公司 基于大数据的网络安全态势感知系统
CN109660526A (zh) * 2018-12-05 2019-04-19 国网江西省电力有限公司信息通信分公司 一种应用于信息安全领域的大数据分析方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6985959B1 (en) * 2000-11-01 2006-01-10 Nortel Networks Limited Constraint route dissemination using distributed route exchanges
CN108337223A (zh) * 2017-11-30 2018-07-27 中国电子科技集团公司电子科学研究院 一种网络攻击的评估方法
CN108696515A (zh) * 2018-04-28 2018-10-23 深圳大图科创技术开发有限公司 基于大数据的网络安全态势感知系统
CN109660526A (zh) * 2018-12-05 2019-04-19 国网江西省电力有限公司信息通信分公司 一种应用于信息安全领域的大数据分析方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《Situation Awareness Measurement Enhanced For Efficient Monitoring in the Internet Of Things》;Audrey Ann Gendreau;《2015 IEEE Region 10 Symposium》;20151231;全文 *
基于安全态势感知在网络攻击防御中的应用;王楠等;《电信技术》;20170325(第03期);全文 *

Also Published As

Publication number Publication date
CN111107035A (zh) 2020-05-05

Similar Documents

Publication Publication Date Title
Wang et al. SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking
Kumar et al. A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing
Patel et al. An intrusion detection and prevention system in cloud computing: A systematic review
Seufert et al. Machine learning for automatic defence against distributed denial of service attacks
Xuan et al. Detecting application denial-of-service attacks: A group-testing-based approach
CN114679338A (zh) 一种基于网络安全态势感知的网络风险评估方法
CN112153047B (zh) 一种基于区块链的网络安全运维及防御方法及系统
Vieira et al. Autonomic intrusion detection and response using big data
Pandey et al. A statistical and distributed packet filter against DDoS attacks in Cloud environment
CN113240116B (zh) 基于类脑平台的智慧防火云系统
CN114915476A (zh) 一种基于网络安全测评过程的攻击推演图生成方法及系统
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
Kholidy et al. Ha-cids: A hierarchical and autonomous ids for cloud systems
CN110365673B (zh) 一种隔离网络攻击面的方法、服务器和系统
Appiah-Kubi et al. Decentralized intrusion prevention (DIP) against co-ordinated cyberattacks on distribution automation systems
Ujcich et al. Causal Analysis for {Software-Defined} Networking Attacks
CN111107035B (zh) 基于行为辨识的安全态势感知与防护方法及装置
Halman et al. MCAD: A Machine learning based cyberattacks detector in Software-Defined Networking (SDN) for healthcare systems
Hariri et al. Quality-of-protection (QoP)-an online monitoring and self-protection mechanism
Schulter et al. Intrusion detection for computational grids
CN116232770A (zh) 一种基于sdn控制器的企业网络安全防护系统及方法
Schulter et al. A grid-based intrusion detection system
Kamatchi et al. An efficient security framework to detect intrusions at virtual network layer of cloud computing
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
KR102444922B1 (ko) 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant