CN111294328A - 基于信息熵计算对sdn网络主动安全防御的方法 - Google Patents
基于信息熵计算对sdn网络主动安全防御的方法 Download PDFInfo
- Publication number
- CN111294328A CN111294328A CN201911013338.XA CN201911013338A CN111294328A CN 111294328 A CN111294328 A CN 111294328A CN 201911013338 A CN201911013338 A CN 201911013338A CN 111294328 A CN111294328 A CN 111294328A
- Authority
- CN
- China
- Prior art keywords
- network
- sdn
- information entropy
- flow
- entropy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于信息熵计算对SDN网络主动安全防御的方法,包括以下步骤:S01:输入流量;S02:信息熵计算,定义目的地址信息熵阙值,判断网络流量的熵值与目的地址信息熵阙值的数据大小;S03:判断熵值;S04:生产转发表;S05:流量处理。本发明中,该SDN网络主动安全防御的方法利用对网络流量进行信息熵计算的方式,可以避免现有网络安全设备部署架构中的缺陷,提高网络的实时转发效率,消除网络不合理的拓扑结构,进而消除网络单独故障,降低网络的风险隐患,并且可以自定义转发流表,对异常流量进行处理,通过信息熵的计算,主动识别并处理SDN网络内异常流量,从而达到主动性网络安全防御的目的。
Description
技术领域
本发明涉及SDN网络安全技术领域,尤其涉及基于信息熵计算对SDN网络主动安全防御的方法。
背景技术
软件定义网络是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台,对网络流量的管理,一直是网络系统安全的一个重要组成部分,包括BT,P2P,非法网站访问等应用流量的管理,对僵木蠕,病毒,SPAM,DDOS等异常流量的及时处理等等,已经成为实现网络系统安全的最重要措施之一。
传统的网络交换机,通过数据流量的目的MAC地址,目的IP地址进行数据转发,由于其网络拓扑结构的不合理,导致其效率低下,无法实现控制与转发的分离,无法对网络中的异常流量,如DDOS,僵木蠕,病毒,SPAM等异常流量进行识别,分类,以及对这些流量进行特定处理,进而不能够对SDN网络进行主动安全防御的保护,存在着极大的风险隐患。
发明内容
本发明的目的是为了解决现有技术中存在的网络拓扑结构的不合理、效率低下以及不能够对SDN网络进行主动安全防御的保护缺点,而提出的基于信息熵计算对SDN网络主动安全防御的方法。
为了实现上述目的,本发明采用了如下技术方案:基于信息熵计算对SDN网络主动安全防御的方法,包括以下步骤:
S01:输入流量,将SDN中的网络流量输入到SDN交换机内,获取原始的网络流量;
S02:信息熵计算,对获取的网络流量利用信息熵的计算方式进行计算,获得网络流量的熵值数据;
S03:判断熵值,定义目的地址信息熵阙值,判断网络流量的熵值与目的地址信息熵阙值的数据大小;
S04:生产转发表,将判断后符合SDN网络安全的网络流量,逐项匹配,进行正常网络动作执行;
S05:流量处理,对所有表项均不匹配的网络流量转发至特定地址进行处理,剔除掉异常的SDN网络流量。
作为上述技术方案的进一步描述:
所述步骤S02中,定义经过SDN网络的目的IP地址为x,在某一段时间内,IP目的地址范围可能由n个,那么网内目的IP的信息熵值公式为:
作为上述技术方案的进一步描述:
所述步骤S03中,定义目的地址信息熵阙值为a,比较目的地址信息熵值与阙值大小,熵值大于阙值时,判断网络流量为正常流量;
当熵值小于阙值时,判断网络流量为异常流量。
作为上述技术方案的进一步描述:
所述步骤S04中,对于正常流量,按照SDN网络转发表的优先级进行逐项匹配;
其中,SDN网络转发表为OpenFlow流表,由Match Fields、Priority、Counters、Instructions、Timeouts和Cookie组成。
作为上述技术方案的进一步描述:
所述步骤S05中,对于所有表项均不匹配的网络流量的处理方式为丢弃或引流,进而对不符合SDN网络安全要求的网络流量进行剔除,确保SDN网络的安全性。
作为上述技术方案的进一步描述:
所述网络流量信息熵的计算方式还可以应用于源IP、源应用端口和目的应用端口进行信息熵的计算。
作为上述技术方案的进一步描述:
所述步骤S05中,所有表项均不匹配的网络流量的处理均在SDN交换机内的SDN网络中进行。
有益效果
本发明提供了基于信息熵计算对SDN网络主动安全防御的方法。具备以下有益效果:
(1):该SDN网络主动安全防御的方法利用对网络流量进行信息熵计算的方式,可以避免现有网络安全设备部署架构中的缺陷,提高网络的实时转发效率,消除网络不合理的拓扑结构,进而消除网络单独故障,降低网络的风险隐患。
(2):该SDN网络主动安全防御的方法可以自定义转发流表,对异常流量进行处理,通过信息熵的计算,主动识别并处理SDN网络内异常流量,从而达到主动性网络安全防御的目的。
附图说明
图1为本发明提出的基于信息熵计算对SDN网络主动安全防御的方法的流程示意图;
图2为本发明中OpenFlow流表的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
如图1和图2所示,基于信息熵计算对SDN网络主动安全防御的方法,包括以下步骤:
S01:输入流量,将SDN中的网络流量输入到SDN交换机内,获取原始的网络流量;
S02:信息熵计算,对获取的网络流量利用信息熵的计算方式进行计算,获得网络流量的熵值数据;
S03:判断熵值,定义目的地址信息熵阙值,判断网络流量的熵值与目的地址信息熵阙值的数据大小;
S04:生产转发表,将判断后符合SDN网络安全的网络流量,逐项匹配,进行正常网络动作执行;
S05:流量处理,对所有表项均不匹配的网络流量转发至特定地址进行处理,剔除掉异常的SDN网络流量。
以源/目的IP地址为例,在正常网络流量中,IP源和目的地址是随机的,其应用端口,也是随机的,如果大量源/目的IP地址集中与某一个或者几个IP地址,针对的应用端口又集中与某一个tcp/udp端口时,意味着这些流量的信息熵下降,有可能是DDOS攻击,或者针对某类应用的病毒流量,当然也有可能是P2P业务流量,具体分析后,这样的流量需要做进一步处理,将其引流至清洗设备或者丢弃,或者经过深度学习之后,系统识别了某类业务流量,作白名单处理;
步骤S02中,定义经过SDN网络的目的IP地址为x,在某一段时间内,IP目的地址范围可能由n个,那么网内目的IP的信息熵值公式为:
步骤S03中,定义目的地址信息熵阙值为a,比较目的地址信息熵值与阙值大小,熵值大于阙值时,即H(X)>a,判断网络流量为正常流量;
当熵值小于阙值时,即H(X)<=a,判断网络流量为异常流量。
步骤S04中,对于正常流量,按照SDN网络转发表的优先级进行逐项匹配;
其中,SDN网络转发表为OpenFlow流表,由Match Fields、Priority、Counters、Instructions、Timeouts和Cookie组成。
步骤S05中,对于所有表项均不匹配的网络流量的处理方式为丢弃或引流,进而对不符合SDN网络安全要求的网络流量进行剔除,确保SDN网络的安全性。
步骤S05中,所有表项均不匹配的网络流量的处理均在SDN交换机内的SDN网络中进行。
网络流量信息熵的计算方式还可以应用于源IP、源应用端口和目的应用端口进行信息熵的计算;
当对源IP、源应用端口和目的应用端口进行信息熵计算时,同样也遵守上述步骤S01、S02、S03、S04和S05,同时OpenFlow流表的结构可以再次自定义,或者采用上述OpenFlow流表的同样结构。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (7)
1.基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,包括以下步骤:
S01:输入流量,将SDN中的网络流量输入到SDN交换机内,获取原始的网络流量;
S02:信息熵计算,对获取的网络流量利用信息熵的计算方式进行计算,获得网络流量的熵值数据;
S03:判断熵值,定义目的地址信息熵阙值,判断网络流量的熵值与目的地址信息熵阙值的数据大小;
S04:生产转发表,将判断后符合SDN网络安全的网络流量,逐项匹配,进行正常网络动作执行;
S05:流量处理,对所有表项均不匹配的网络流量转发至特定地址进行处理,剔除掉异常的SDN网络流量。
2.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S02中,定义经过SDN网络的目的IP地址为x,在某一段时间内,IP目的地址范围可能由n个,那么网内目的IP的信息熵值公式为:
3.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S03中,定义目的地址信息熵阙值为a,比较目的地址信息熵值与阙值大小,熵值大于阙值时,判断网络流量为正常流量;
当熵值小于阙值时,判断网络流量为异常流量。
4.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S04中,对于正常流量,按照SDN网络转发表的优先级进行逐项匹配;
其中,SDN网络转发表为OpenFlow流表,由Match Fields、Priority、Counters、Instructions、Timeouts和Cookie组成。
5.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S05中,对于所有表项均不匹配的网络流量的处理方式为丢弃或引流,进而对不符合SDN网络安全要求的网络流量进行剔除,确保SDN网络的安全性。
6.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述网络流量信息熵的计算方式还可以应用于源IP、源应用端口和目的应用端口进行信息熵的计算。
7.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S05中,所有表项均不匹配的网络流量的处理均在SDN交换机内的SDN网络中进行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911013338.XA CN111294328A (zh) | 2019-10-23 | 2019-10-23 | 基于信息熵计算对sdn网络主动安全防御的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911013338.XA CN111294328A (zh) | 2019-10-23 | 2019-10-23 | 基于信息熵计算对sdn网络主动安全防御的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111294328A true CN111294328A (zh) | 2020-06-16 |
Family
ID=71025870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911013338.XA Pending CN111294328A (zh) | 2019-10-23 | 2019-10-23 | 基于信息熵计算对sdn网络主动安全防御的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111294328A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111885092A (zh) * | 2020-09-10 | 2020-11-03 | 中国联合网络通信集团有限公司 | 一种边缘节点的DDoS攻击检测方法、处理方法及SDN |
| CN112788066A (zh) * | 2021-02-26 | 2021-05-11 | 中南大学 | 物联网设备的异常流量检测方法、系统及存储介质 |
| CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180109556A1 (en) * | 2016-10-17 | 2018-04-19 | Foundation Of Soongsil University Industry Cooperation | SOFTWARE DEFINED NETWORK CAPABLE OF DETECTING DDoS ATTACKS AND SWITCH INCLUDED IN THE SAME |
| CN109274673A (zh) * | 2018-09-26 | 2019-01-25 | 广东工业大学 | 一种网络流量异常检测和防御方法 |
| CN109302378A (zh) * | 2018-07-13 | 2019-02-01 | 哈尔滨工程大学 | 一种SDN网络DDoS攻击检测方法 |
| CN110225037A (zh) * | 2019-06-12 | 2019-09-10 | 广东工业大学 | 一种DDoS攻击检测方法和装置 |
| CN110336830A (zh) * | 2019-07-17 | 2019-10-15 | 山东大学 | 一种基于软件定义网络的DDoS攻击检测系统 |
-
2019
- 2019-10-23 CN CN201911013338.XA patent/CN111294328A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180109556A1 (en) * | 2016-10-17 | 2018-04-19 | Foundation Of Soongsil University Industry Cooperation | SOFTWARE DEFINED NETWORK CAPABLE OF DETECTING DDoS ATTACKS AND SWITCH INCLUDED IN THE SAME |
| CN109302378A (zh) * | 2018-07-13 | 2019-02-01 | 哈尔滨工程大学 | 一种SDN网络DDoS攻击检测方法 |
| CN109274673A (zh) * | 2018-09-26 | 2019-01-25 | 广东工业大学 | 一种网络流量异常检测和防御方法 |
| CN110225037A (zh) * | 2019-06-12 | 2019-09-10 | 广东工业大学 | 一种DDoS攻击检测方法和装置 |
| CN110336830A (zh) * | 2019-07-17 | 2019-10-15 | 山东大学 | 一种基于软件定义网络的DDoS攻击检测系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111885092A (zh) * | 2020-09-10 | 2020-11-03 | 中国联合网络通信集团有限公司 | 一种边缘节点的DDoS攻击检测方法、处理方法及SDN |
| CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
| CN112788066A (zh) * | 2021-02-26 | 2021-05-11 | 中南大学 | 物联网设备的异常流量检测方法、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108289104B (zh) | 一种工业SDN网络DDoS攻击检测与缓解方法 | |
| CN108683682B (zh) | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 | |
| CN111294328A (zh) | 基于信息熵计算对sdn网络主动安全防御的方法 | |
| Xing et al. | SDNIPS: Enabling software-defined networking based intrusion prevention system in clouds | |
| US10742722B2 (en) | Server load balancing | |
| US9106443B2 (en) | Forwarding table optimization with flow data | |
| CN109274673B (zh) | 一种网络流量异常检测和防御方法 | |
| Van Trung et al. | A multi-criteria-based DDoS-attack prevention solution using software defined networking | |
| WO2015078233A1 (zh) | 一种基于OpenFlow的SDN虚拟化平台下行信令处理方法 | |
| EP2882162A1 (en) | Data stream security processing method and apparatus | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
| TWI360978B (en) | Network message processing using inverse pattern m | |
| WO2015192319A1 (zh) | 软件定义网络中识别攻击流的方法、装置以及设备 | |
| CN105429879B (zh) | 流表项查询方法、设备及系统 | |
| WO2011131076A1 (zh) | 建立流转发表项的方法及数据通信设备 | |
| CN101184000A (zh) | 基于报文采样和应用签名的互联网应用流量识别方法 | |
| CN112448954B (zh) | 面向分布式访问控制策略的配置弱点分析方法和系统 | |
| CN114513340B (zh) | 一种软件定义网络中的两级DDoS攻击检测与防御方法 | |
| Luo et al. | SDN/NFV-based security service function tree for cloud | |
| JP5153480B2 (ja) | ゲートウェイ装置およびパケットフィルタリング方法 | |
| US9130885B1 (en) | End-to-end cache for network elements | |
| CN113949550B (zh) | 一种SDN环境下的DDoS攻击检测方法 | |
| CN103139206A (zh) | 一种僵尸主机的检测方法及装置 | |
| US20230037476A1 (en) | Adapting forwarding database learning rate based on fill level of forwarding table | |
| US10205658B1 (en) | Reducing size of policy databases using bidirectional rules |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200616 |