CN111294328A - 基于信息熵计算对sdn网络主动安全防御的方法 - Google Patents

基于信息熵计算对sdn网络主动安全防御的方法 Download PDF

Info

Publication number
CN111294328A
CN111294328A CN201911013338.XA CN201911013338A CN111294328A CN 111294328 A CN111294328 A CN 111294328A CN 201911013338 A CN201911013338 A CN 201911013338A CN 111294328 A CN111294328 A CN 111294328A
Authority
CN
China
Prior art keywords
network
sdn
information entropy
flow
entropy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911013338.XA
Other languages
English (en)
Inventor
邓玉成
肖晓滨
朱晓华
吴南亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Technology Network Communication Co ltd
Original Assignee
Shanghai Technology Network Communication Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Technology Network Communication Co ltd filed Critical Shanghai Technology Network Communication Co ltd
Priority to CN201911013338.XA priority Critical patent/CN111294328A/zh
Publication of CN111294328A publication Critical patent/CN111294328A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/29Flow control; Congestion control using a combination of thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于信息熵计算对SDN网络主动安全防御的方法,包括以下步骤:S01:输入流量;S02:信息熵计算,定义目的地址信息熵阙值,判断网络流量的熵值与目的地址信息熵阙值的数据大小;S03:判断熵值;S04:生产转发表;S05:流量处理。本发明中,该SDN网络主动安全防御的方法利用对网络流量进行信息熵计算的方式,可以避免现有网络安全设备部署架构中的缺陷,提高网络的实时转发效率,消除网络不合理的拓扑结构,进而消除网络单独故障,降低网络的风险隐患,并且可以自定义转发流表,对异常流量进行处理,通过信息熵的计算,主动识别并处理SDN网络内异常流量,从而达到主动性网络安全防御的目的。

Description

基于信息熵计算对SDN网络主动安全防御的方法
技术领域
本发明涉及SDN网络安全技术领域,尤其涉及基于信息熵计算对SDN网络主动安全防御的方法。
背景技术
软件定义网络是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台,对网络流量的管理,一直是网络系统安全的一个重要组成部分,包括BT,P2P,非法网站访问等应用流量的管理,对僵木蠕,病毒,SPAM,DDOS等异常流量的及时处理等等,已经成为实现网络系统安全的最重要措施之一。
传统的网络交换机,通过数据流量的目的MAC地址,目的IP地址进行数据转发,由于其网络拓扑结构的不合理,导致其效率低下,无法实现控制与转发的分离,无法对网络中的异常流量,如DDOS,僵木蠕,病毒,SPAM等异常流量进行识别,分类,以及对这些流量进行特定处理,进而不能够对SDN网络进行主动安全防御的保护,存在着极大的风险隐患。
发明内容
本发明的目的是为了解决现有技术中存在的网络拓扑结构的不合理、效率低下以及不能够对SDN网络进行主动安全防御的保护缺点,而提出的基于信息熵计算对SDN网络主动安全防御的方法。
为了实现上述目的,本发明采用了如下技术方案:基于信息熵计算对SDN网络主动安全防御的方法,包括以下步骤:
S01:输入流量,将SDN中的网络流量输入到SDN交换机内,获取原始的网络流量;
S02:信息熵计算,对获取的网络流量利用信息熵的计算方式进行计算,获得网络流量的熵值数据;
S03:判断熵值,定义目的地址信息熵阙值,判断网络流量的熵值与目的地址信息熵阙值的数据大小;
S04:生产转发表,将判断后符合SDN网络安全的网络流量,逐项匹配,进行正常网络动作执行;
S05:流量处理,对所有表项均不匹配的网络流量转发至特定地址进行处理,剔除掉异常的SDN网络流量。
作为上述技术方案的进一步描述:
所述步骤S02中,定义经过SDN网络的目的IP地址为x,在某一段时间内,IP目的地址范围可能由n个,那么网内目的IP的信息熵值公式为:
Figure BDA0002244858500000021
作为上述技术方案的进一步描述:
所述步骤S03中,定义目的地址信息熵阙值为a,比较目的地址信息熵值与阙值大小,熵值大于阙值时,判断网络流量为正常流量;
当熵值小于阙值时,判断网络流量为异常流量。
作为上述技术方案的进一步描述:
所述步骤S04中,对于正常流量,按照SDN网络转发表的优先级进行逐项匹配;
其中,SDN网络转发表为OpenFlow流表,由Match Fields、Priority、Counters、Instructions、Timeouts和Cookie组成。
作为上述技术方案的进一步描述:
所述步骤S05中,对于所有表项均不匹配的网络流量的处理方式为丢弃或引流,进而对不符合SDN网络安全要求的网络流量进行剔除,确保SDN网络的安全性。
作为上述技术方案的进一步描述:
所述网络流量信息熵的计算方式还可以应用于源IP、源应用端口和目的应用端口进行信息熵的计算。
作为上述技术方案的进一步描述:
所述步骤S05中,所有表项均不匹配的网络流量的处理均在SDN交换机内的SDN网络中进行。
有益效果
本发明提供了基于信息熵计算对SDN网络主动安全防御的方法。具备以下有益效果:
(1):该SDN网络主动安全防御的方法利用对网络流量进行信息熵计算的方式,可以避免现有网络安全设备部署架构中的缺陷,提高网络的实时转发效率,消除网络不合理的拓扑结构,进而消除网络单独故障,降低网络的风险隐患。
(2):该SDN网络主动安全防御的方法可以自定义转发流表,对异常流量进行处理,通过信息熵的计算,主动识别并处理SDN网络内异常流量,从而达到主动性网络安全防御的目的。
附图说明
图1为本发明提出的基于信息熵计算对SDN网络主动安全防御的方法的流程示意图;
图2为本发明中OpenFlow流表的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
如图1和图2所示,基于信息熵计算对SDN网络主动安全防御的方法,包括以下步骤:
S01:输入流量,将SDN中的网络流量输入到SDN交换机内,获取原始的网络流量;
S02:信息熵计算,对获取的网络流量利用信息熵的计算方式进行计算,获得网络流量的熵值数据;
S03:判断熵值,定义目的地址信息熵阙值,判断网络流量的熵值与目的地址信息熵阙值的数据大小;
S04:生产转发表,将判断后符合SDN网络安全的网络流量,逐项匹配,进行正常网络动作执行;
S05:流量处理,对所有表项均不匹配的网络流量转发至特定地址进行处理,剔除掉异常的SDN网络流量。
以源/目的IP地址为例,在正常网络流量中,IP源和目的地址是随机的,其应用端口,也是随机的,如果大量源/目的IP地址集中与某一个或者几个IP地址,针对的应用端口又集中与某一个tcp/udp端口时,意味着这些流量的信息熵下降,有可能是DDOS攻击,或者针对某类应用的病毒流量,当然也有可能是P2P业务流量,具体分析后,这样的流量需要做进一步处理,将其引流至清洗设备或者丢弃,或者经过深度学习之后,系统识别了某类业务流量,作白名单处理;
步骤S02中,定义经过SDN网络的目的IP地址为x,在某一段时间内,IP目的地址范围可能由n个,那么网内目的IP的信息熵值公式为:
Figure BDA0002244858500000051
步骤S03中,定义目的地址信息熵阙值为a,比较目的地址信息熵值与阙值大小,熵值大于阙值时,即H(X)>a,判断网络流量为正常流量;
当熵值小于阙值时,即H(X)<=a,判断网络流量为异常流量。
步骤S04中,对于正常流量,按照SDN网络转发表的优先级进行逐项匹配;
其中,SDN网络转发表为OpenFlow流表,由Match Fields、Priority、Counters、Instructions、Timeouts和Cookie组成。
步骤S05中,对于所有表项均不匹配的网络流量的处理方式为丢弃或引流,进而对不符合SDN网络安全要求的网络流量进行剔除,确保SDN网络的安全性。
步骤S05中,所有表项均不匹配的网络流量的处理均在SDN交换机内的SDN网络中进行。
网络流量信息熵的计算方式还可以应用于源IP、源应用端口和目的应用端口进行信息熵的计算;
当对源IP、源应用端口和目的应用端口进行信息熵计算时,同样也遵守上述步骤S01、S02、S03、S04和S05,同时OpenFlow流表的结构可以再次自定义,或者采用上述OpenFlow流表的同样结构。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

Claims (7)

1.基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,包括以下步骤:
S01:输入流量,将SDN中的网络流量输入到SDN交换机内,获取原始的网络流量;
S02:信息熵计算,对获取的网络流量利用信息熵的计算方式进行计算,获得网络流量的熵值数据;
S03:判断熵值,定义目的地址信息熵阙值,判断网络流量的熵值与目的地址信息熵阙值的数据大小;
S04:生产转发表,将判断后符合SDN网络安全的网络流量,逐项匹配,进行正常网络动作执行;
S05:流量处理,对所有表项均不匹配的网络流量转发至特定地址进行处理,剔除掉异常的SDN网络流量。
2.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S02中,定义经过SDN网络的目的IP地址为x,在某一段时间内,IP目的地址范围可能由n个,那么网内目的IP的信息熵值公式为:
Figure FDA0002244858490000011
3.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S03中,定义目的地址信息熵阙值为a,比较目的地址信息熵值与阙值大小,熵值大于阙值时,判断网络流量为正常流量;
当熵值小于阙值时,判断网络流量为异常流量。
4.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S04中,对于正常流量,按照SDN网络转发表的优先级进行逐项匹配;
其中,SDN网络转发表为OpenFlow流表,由Match Fields、Priority、Counters、Instructions、Timeouts和Cookie组成。
5.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S05中,对于所有表项均不匹配的网络流量的处理方式为丢弃或引流,进而对不符合SDN网络安全要求的网络流量进行剔除,确保SDN网络的安全性。
6.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述网络流量信息熵的计算方式还可以应用于源IP、源应用端口和目的应用端口进行信息熵的计算。
7.根据权利要求1所述的基于信息熵计算对SDN网络主动安全防御的方法,其特征在于,所述步骤S05中,所有表项均不匹配的网络流量的处理均在SDN交换机内的SDN网络中进行。
CN201911013338.XA 2019-10-23 2019-10-23 基于信息熵计算对sdn网络主动安全防御的方法 Pending CN111294328A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911013338.XA CN111294328A (zh) 2019-10-23 2019-10-23 基于信息熵计算对sdn网络主动安全防御的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911013338.XA CN111294328A (zh) 2019-10-23 2019-10-23 基于信息熵计算对sdn网络主动安全防御的方法

Publications (1)

Publication Number Publication Date
CN111294328A true CN111294328A (zh) 2020-06-16

Family

ID=71025870

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911013338.XA Pending CN111294328A (zh) 2019-10-23 2019-10-23 基于信息熵计算对sdn网络主动安全防御的方法

Country Status (1)

Country Link
CN (1) CN111294328A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111885092A (zh) * 2020-09-10 2020-11-03 中国联合网络通信集团有限公司 一种边缘节点的DDoS攻击检测方法、处理方法及SDN
CN112788039A (zh) * 2021-01-15 2021-05-11 合肥浩瀚深度信息技术有限公司 一种DDoS攻击识别方法、装置及存储介质
CN112788066A (zh) * 2021-02-26 2021-05-11 中南大学 物联网设备的异常流量检测方法、系统及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180109556A1 (en) * 2016-10-17 2018-04-19 Foundation Of Soongsil University Industry Cooperation SOFTWARE DEFINED NETWORK CAPABLE OF DETECTING DDoS ATTACKS AND SWITCH INCLUDED IN THE SAME
CN109274673A (zh) * 2018-09-26 2019-01-25 广东工业大学 一种网络流量异常检测和防御方法
CN109302378A (zh) * 2018-07-13 2019-02-01 哈尔滨工程大学 一种SDN网络DDoS攻击检测方法
CN110225037A (zh) * 2019-06-12 2019-09-10 广东工业大学 一种DDoS攻击检测方法和装置
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180109556A1 (en) * 2016-10-17 2018-04-19 Foundation Of Soongsil University Industry Cooperation SOFTWARE DEFINED NETWORK CAPABLE OF DETECTING DDoS ATTACKS AND SWITCH INCLUDED IN THE SAME
CN109302378A (zh) * 2018-07-13 2019-02-01 哈尔滨工程大学 一种SDN网络DDoS攻击检测方法
CN109274673A (zh) * 2018-09-26 2019-01-25 广东工业大学 一种网络流量异常检测和防御方法
CN110225037A (zh) * 2019-06-12 2019-09-10 广东工业大学 一种DDoS攻击检测方法和装置
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111885092A (zh) * 2020-09-10 2020-11-03 中国联合网络通信集团有限公司 一种边缘节点的DDoS攻击检测方法、处理方法及SDN
CN112788039A (zh) * 2021-01-15 2021-05-11 合肥浩瀚深度信息技术有限公司 一种DDoS攻击识别方法、装置及存储介质
CN112788066A (zh) * 2021-02-26 2021-05-11 中南大学 物联网设备的异常流量检测方法、系统及存储介质

Similar Documents

Publication Publication Date Title
CN108289104B (zh) 一种工业SDN网络DDoS攻击检测与缓解方法
CN108683682B (zh) 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN111294328A (zh) 基于信息熵计算对sdn网络主动安全防御的方法
Xing et al. SDNIPS: Enabling software-defined networking based intrusion prevention system in clouds
US10742722B2 (en) Server load balancing
US9106443B2 (en) Forwarding table optimization with flow data
CN109274673B (zh) 一种网络流量异常检测和防御方法
Van Trung et al. A multi-criteria-based DDoS-attack prevention solution using software defined networking
WO2015078233A1 (zh) 一种基于OpenFlow的SDN虚拟化平台下行信令处理方法
EP2882162A1 (en) Data stream security processing method and apparatus
CN105282169A (zh) 基于SDN控制器阈值的DDoS攻击预警方法及其系统
TWI360978B (en) Network message processing using inverse pattern m
WO2015192319A1 (zh) 软件定义网络中识别攻击流的方法、装置以及设备
CN105429879B (zh) 流表项查询方法、设备及系统
WO2011131076A1 (zh) 建立流转发表项的方法及数据通信设备
EP2073457A1 (en) A method and apparatus for preventing igmp message attack
CN101184000A (zh) 基于报文采样和应用签名的互联网应用流量识别方法
CN112448954B (zh) 面向分布式访问控制策略的配置弱点分析方法和系统
Luo et al. SDN/NFV-based security service function tree for cloud
JP5153480B2 (ja) ゲートウェイ装置およびパケットフィルタリング方法
US9130885B1 (en) End-to-end cache for network elements
CN113949550B (zh) 一种SDN环境下的DDoS攻击检测方法
CN103139206A (zh) 一种僵尸主机的检测方法及装置
US20230037476A1 (en) Adapting forwarding database learning rate based on fill level of forwarding table
US10205658B1 (en) Reducing size of policy databases using bidirectional rules

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200616