CN111431939B - 基于cti的sdn恶意流量防御方法 - Google Patents
基于cti的sdn恶意流量防御方法 Download PDFInfo
- Publication number
- CN111431939B CN111431939B CN202010334949.0A CN202010334949A CN111431939B CN 111431939 B CN111431939 B CN 111431939B CN 202010334949 A CN202010334949 A CN 202010334949A CN 111431939 B CN111431939 B CN 111431939B
- Authority
- CN
- China
- Prior art keywords
- flow
- network
- sdn
- security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 46
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000001914 filtration Methods 0.000 claims abstract description 7
- 238000000605 extraction Methods 0.000 claims abstract description 6
- 238000012544 monitoring process Methods 0.000 claims abstract description 4
- 239000013598 vector Substances 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000003058 natural language processing Methods 0.000 claims description 4
- 238000007781 pre-processing Methods 0.000 claims description 4
- 238000013528 artificial neural network Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 238000002372 labelling Methods 0.000 claims description 2
- 238000001514 detection method Methods 0.000 description 18
- 238000012360 testing method Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000011161 development Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 239000008186 active pharmaceutical agent Substances 0.000 description 4
- 238000010276 construction Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012300 Sequence Analysis Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- QVGXLLKOCUKJST-UHFFFAOYSA-N atomic oxygen Chemical compound [O] QVGXLLKOCUKJST-UHFFFAOYSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 229910052760 oxygen Inorganic materials 0.000 description 1
- 239000001301 oxygen Substances 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于CTI的SDN恶意流量防御方法,包括如下步骤:收集关于SDN网络的安全威胁情报信息,并将安全威胁情报信息作为原始情报数据;对原始情报数据进行安全概念提取和数据过滤,以构建网络安全威胁情报的知识图谱;利用SDN控制器对SDN网络中的流量进行监控,并进行流量特征统计;查询知识图谱,根据流量统计特征判断流量是否是恶意流量;以及如果判断是恶意流量且有情报能够提供对应的防御措施,则SDN控制器应用程序将防御措施转化为具体的流规则,并下发到数据平面交换机中。本发明的基于CTI的SDN恶意流量防御方法可以有效识别恶意流量并采取应对措施以保证网络的安全。
Description
技术领域
本发明是关于网络安全技术领域,特别是关于一种基于CTI的SDN恶意流量防御方法。
背景技术
软件定义网络是一种新兴的网络体系结构,近年来得到了广泛的应用,其核心思想是网络的控制和数据平面分离,将控制逻辑集中到一个称为SDNSDN控制器的实体上,从而通过软件开发应用程序来实现网络的可编程性。与传统网络相比,SDN的管理更加简单高效且通用。SDN在网络安全方面也具有优势。传统网络的安全策略必须在路由器和交换机等网络设备以及防火墙和入侵检测系统等中间盒中实现,而这些设备是通过特定于制造商的命令进行配置的,不具有通用性。相比之下,SDN的统一管理方式以及和制造商无关的特性可以有效降低配置或修改安全策略时出现人为错误的可能性。
随着全球信息化的发展,网络空间中的利益竞争愈发激烈,网络攻防成为常态。目前网络攻击和攻击导致的恶意流量仍然是互联网最大的安全威胁之一。恶意流量给系统安全、数据安全带来巨大的损失。当前,网络攻击的主要特点是攻击方法不断创新,攻击频率持续增高,攻击规模越来越大,攻击场景越来越复杂。攻击的隐蔽性和多态性加深了恶意流量检测与防御的难度。虽然SDN网络架构与传统网络不同,但是传统的网络攻击仍然能起到攻击效果。恶意流量检测一直是网络安全领域的难点问题。现有的网络异常检测方法根据算法的复杂度,可以分为轻量级的检测方法和重量级的检测方法。轻量级的检测方法包括基于参数统计的检测方法、基于信息熵的检测方法和基于标签的检测方法。重量级的检测方法主要指采用机器学习或数据挖掘等技术的方法,包括基于单分类支持向量机和主动学习的方法、基于主成分分析的方法、基于时间序列分析的方法和基于健壮多元概率校准模型的方法等。
在网络空间的攻防博弈过程中,同样遵从信息制胜的规律,知己知彼才能实现特定目标。在很长时间内,网络防御思路都是以漏洞作为中心,在还原网络攻击和预测未知攻击方面具有很大不足。网络威胁情报的出现弥补了这些缺陷。网络威胁情报是指通过对网络威胁的特征和模式进行追踪分析而构建的知识集合,主要包括威胁的场景、方式以及其他线索,并提供可供参考的操作性意见。这些信息可以帮助防御方发现可能面对的危险,在攻击的较早阶段就采取应对措施。情报信息也有助于还原已经发生的攻击事件,并预测可能发生的攻击。
CTI服务器是一台与交换机相联的计算机,是整个Call Center的核心,它将电话交换系统和计算机系统有机地结合起来,充分利用交换机话路交换功能和计算机系统数据处理功能。当前已经有相关工作利用网络安全威胁情报提升SDN网络安全。现有技术已经提出了在虚拟网络上实现主动恶意流量检测的方案。利用一个入侵检测系统(BroIDS)检测攻击和威胁,然后根据CTI提供的信息将威胁应对措施转化为流规则并下发给交换机,可以阻止恶意流量或者将恶意流量导向蜜罐进行进一步分析。同时现有技术还提出了一种基于风险分析的SDN网络威胁防御模型。该模型从CTI服务器上获取威胁信息,利用威胁信息识别来自可靠性低的服务器的流量并确定应对措施,之后对恶意流量进行过滤。该模型同样是在虚拟网络上进行验证,因此,这两种方案都没有考虑物理测试环境下系统的有效性。
公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
发明内容
本发明的目的在于提供一种基于CTI的SDN恶意流量防御方法,其能够有效识别恶意流量并采取应对措施以保证网络的安全。
为实现上述目的,本发明提供了一种基于CTI的SDN恶意流量防御方法,包括如下步骤:收集关于SDN网络的安全威胁情报信息,并将安全威胁情报信息作为原始情报数据;对原始情报数据进行安全概念提取和数据过滤,以构建网络安全威胁情报的知识图谱;利用SDN控制器对SDN网络中的流量进行监控,并进行流量特征统计;查询知识图谱,根据流量统计特征判断流量是否是恶意流量;以及如果判断是恶意流量且有情报能够提供对应的防御措施,则SDN控制器应用程序将防御措施转化为具体的流规则,并下发到数据平面交换机中。
在本发明的一实施方式中,关于SDN网络的安全威胁情报信息收集自互联网的公开资源,公开资源包括传统资源和非传统资源,其中,传统资源包括安全漏洞数据库,非传统资源包括社交媒体、安全博客、技术论坛、代码仓库。
在本发明的一实施方式中,对原始情报数据进行安全概念提取和数据过滤,以构建网络安全威胁情报的知识图谱包括如下步骤:对原始情报数据进行数据预处理,并将预处理后的情报数据存储在网络安全语料库中;使用自然语言处理模型对存储在网络安全语料库中的情报数据进行处理,提取其中的安全概念并打上标签,安全概念将作为知识图谱中的实体,其中,标签包括:攻击的含义、攻击的结果、攻击的目标软件、攻击的目标硬件、攻击的操作系统环境、版本信息、网络相关术语和文件名,其中,具有两个或两个以上标签的情报被保留;采用统一网络安全本体来提供网络安全领域的信息,并使用DBpedia和YAGO来将知识图谱中的字符串形式的实体与真实世界中的概念联系起来;将实体用RDF元组的形式存储在知识图谱中;使用基于知识图谱的推理技术将事实推断出来并具体化为显性知识;以及构建向量化知识图谱。
在本发明的一实施方式中,构建向量化知识图谱包括如下步骤:使用神经网络语言模型将知识图谱中以文本形式存在的实体进行文本向量化;将知识图谱中的每个节点都映射到向量空间中;以及利用知识图谱进行事实推理,并在向量空间进行相似度运算或搜索操作。
在本发明的一实施方式中,根据流量统计特征判断流量是否是恶意流量包括如下步骤:SDN控制器对SDN网络中的流量特征进行统计;在知识图谱中用统计特征作为关键字进行搜索;以及查找到异常流量的统计阈值,并进行对比;其中,对恶意流量进行分析与检测的基本单元是IP数据流,并且其中,在进行关键字搜索时,将搜索任务划分为两个子任务在知识图谱和向量空间上依次进行搜索。
本发明还公开了一种基于CTI的SDN恶意流量防御系统,包括:互联网;CTI服务器,其被配置为从互联网收集关于SDN网络的安全威胁情报信息,并对网络安全威胁情报信息进行处理,以转化为网络安全威胁情报的知识图谱;SDN控制器,其与CTI服务器通信连接,SDN控制器用于实时获取SDN网络的流量特征信息,并通过查询知识图谱以检测是否存在恶意流量;以及数据平面交换机,其与SDN控制器通信连接,其用于接收由SDN控制器应用程序将威胁防御策略转换为的流规则。
在本发明的一实施方式中,关于SDN网络的安全威胁情报信息收集自互联网的公开资源,公开资源包括传统资源和非传统资源,其中,传统资源包括安全漏洞数据库,非传统资源包括社交媒体、安全博客、技术论坛、代码仓库。
在本发明的一实施方式中,收集安全威胁情报信息是利用网络爬虫或者网站API进行的,在收集安全威胁情报信息时根据关键字进行筛选,从而忽略掉不相关的情报信息,其中,所选择的关键字是网络安全相关概念和系统信息,收集到原始情报数据之后进行数据预处理,预处理后的情报数据被存储在网络安全语料库中。
本发明还公开了一种基于CTI的SDN恶意流量防御系统的测试系统,其包括:互联网;CTI服务器,其被配置为从互联网收集关于SDN网络的安全威胁情报信息,并对网络安全威胁情报信息进行处理,以转化为网络安全威胁情报的知识图谱;SDN控制器,其与CTI服务器通信连接,SDN控制器用于实时获取SDN网络的流量特征信息,并通过查询知识图谱以检测是否存在恶意流量;以及多台数据平面交换机,其分别与SDN控制器通信连接,其用于接收通过SDN控制器应用程序将威胁防御策略转换为的流规则,其中,第一数据平面交换机作为防火墙,其余每台数据平面交换机分别连接有主机。
在本发明的一实施方式中,控制器应用程序从CTI服务器获取威胁信息并生成流规则,并通过FLOW_MOD消息下发给第一数据平面交换机,第一数据平面交换机与攻击机群通信连接,其中,攻击机群用于生成恶意流量。
与现有技术相比,根据本发明的基于CTI的SDN恶意流量防御方法及系统具有如下优点:本发明提出了一种利用网络安全威胁情报进行SDN恶意流量防御的系统及方法,通过统计网络中的流量特征并与安全威胁情报提供的信息进行对比来检测恶意流量,然后将对应的应对措施转化为流规则来对恶意流量进行针对性防御。本发明的SDN恶意流量防御方法能够从互联网上收集网络安全威胁情报并转化为便于计算机处理的知识图谱。SDN控制器监控网络中流量特征并使用知识图谱进行恶意流量识别,然后通过应用程序将CTI提供的威胁应对措施转换为流规则并安装到交换机的流表中,从而实现了对恶意流量的检测和处理。本发明通过在硬件环境中对系统进行了实际测试,实验结果表明本发明的方法可以有效识别恶意流量并采取应对措施以保证网络的安全。
附图说明
图1是根据本发明一实施方式的基于CTI的SDN恶意流量防御方法流程图;
图2是根据本发明一实施方式的网络安全威胁情报的知识图谱构建流程图;
图3是根据本发明一实施方式的基于CTI的SDN恶意流量防御系统结构框图;
图4是根据本发明一实施方式的基于CTI的SDN恶意流量防御系统的测试系统结构框图;
图5是根据本发明一实施方式的网络吞吐量对比图。
图6A是根据本发明一实施方式的情报的知识图谱;
图6B是根据本发明一实施方式的向量化知识图谱。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
如图1所示,根据本发明优选实施方式的基于CTI的SDN恶意流量防御方法,包括如下步骤:步骤101:收集关于SDN网络的安全威胁情报信息,并将安全威胁情报信息作为原始情报数据;步骤102:对原始情报数据进行安全概念提取和数据过滤,以构建网络安全威胁情报的知识图谱;步骤103:利用SDN控制器对SDN网络中的流量进行监控,并进行流量特征统计;步骤104:查询知识图谱,根据流量统计特征判断流量是否是恶意流量;以及步骤105:如果判断是恶意流量且有情报能够提供对应的防御措施,则SDN控制器应用程序将防御措施转化为具体的流规则,并下发到数据平面交换机中。进行流量特征统计所选取的流量特征需要能够检测尽可能多的恶意流量类型,而且能够达到较高的准确度。
在步骤101中,关于SDN网络的安全威胁情报信息收集自互联网的公开资源,公开资源包括传统资源和非传统资源,其中,传统资源包括安全漏洞数据库,非传统资源包括社交媒体、安全博客、技术论坛、代码仓库。
本发明使用知识图谱存储网络安全情报,可以利用知识图谱推理各个情报之间的关系,便于对网络威胁进行全面和细致的分析并制定应对策略。收集安全威胁情报信息包括以下步骤:首先,从公开漏洞库、博客、安全社区等收集网络安全相关信息,然后按类别提取有价值的部分构成安全信息语料库,之后进一步构建网络威胁情报知识图谱。
具体的,如图2所示,网络安全威胁情报知识图谱构建过程如下:
(1)网络威胁情报资源:
本发明使用的网络威胁情报主要收集自公开资源,例如安全漏洞数据库、社交媒体、博客、代码仓库等。这些资源可以分为两部分——传统的资源和非传统的资源。传统资源包括国家漏洞库等专业的网络安全信息发布中心以及入侵检测系统等网络监管系统。非传统的资源包括一些非正式的网络安全信息源,例如安全博客、技术论坛、社交媒体、代码仓库等。非传统的信息源是对传统信息源的有益补充,因为许多安全分析人员会通过这些渠道发布自己发现的安全漏洞信息,而且这些信息源更加具有时效性和灵活性。
收集情报资源的主要方法就是利用网络爬虫或者网站API。在收集情报的时候需要根据一定关键字进行筛选,从而忽略掉不相关的情报信息。选择的关键字主要是网络安全相关概念和系统信息。收集到原始信息之后需要进行数据预处理,例如删除停止词、执行词干分析、名词组块分析等,然后将预处理后的情报数据存储在网络安全语料库中。
(2)安全概念提取和数据过滤:
收集的原始情报信息以文本文件形式存在,需要将这些文本文件转化为格式化数据。对于收集到的每一条原始情报信息,使用自然语言处理组件Stanford CoreNLP等自然语言处理模型进行处理,提取其中的安全概念并打上标签,这些概念将作为知识图谱中的实体。使用的标签有:攻击的含义,攻击的结果、攻击的目标软件、攻击的目标硬件、攻击的操作系统环境、版本信息、网络相关术语、文件名和其他技术术语。为了提高知识图谱中网络威胁情报的有效性,只保留有两个或两个以上标签的情报。例如,对于原始情报语句“FloodLight are vulnerable to a DoS Attack”,进行安全概念提取和打标签之后的结果为:
(3)知识图谱的构建:
在构建知识图谱过程中,术语所包含意义的唯一性很重要。然而,在自然语言中,相同的词语可能包含不同的意义或代表不同的概念,这种语义的混淆在知识图谱中是需要杜绝的。为了解决这一问题,本文采用统一网络安全本体(Unified CybersecurityOntology,UCO)来提供网络安全领域的信息,并使用DBpedia和YAGO来将知识图谱中的字符串形式的实体与真实世界中的概念联系起来。例如,使用YAGO将字符串“FloodLight”映射为yago:SDNController。之后,将这些实体用RDF元组的形式存储进知识图谱之中,RDF元组可以很方便进行图形化表示。需要说明的是,情报都是具有时间维度的,一条信息在给定的时间可以被认为是重要的信息,而在其他时间则是无用的。为了进行恶意流量特征识别,还需要包含攻击流量的特征描述。为了整合这些信息,在本体中包含了数量、时间、流量特征属性:
hasCounter:表示具有相同情报信息的原始情报数量。可以作为情报的可信程度指标以及记录情报的聚合情况。
hasBeginTime:表示收集到第一条包含此情报的原始情报的时间。
hasLastTime:表示收集到最后一条包含此情报的原始情报的时间,指示情报的时效性。
hasVulnerability:情报中包含的漏洞类型。
hasTrafficFeature:针对漏洞的攻击流量所具有的统计特征。
isCurrentlyValid:表示此情报是否仍然具有利用价值。
最终得到图形化表示的情报,如图6A所示的情报的知识图谱。如图6A显示了情报“Int1242611341”的图形化表示。这条情报是关于“Vul1426796181”漏洞的,该漏洞是由影响“FloodLight”控制器的“DoS”造成的。该情报由251条原始情报支持,系统接收到具有此智能的第一条原始情报时间是1457668500,接收到最后一条原始情报的时间是1457669700。
将构建威胁情报以RDF方式存储在知识图谱之后,可以使用基于知识图谱的推理技术来将事实推断出来并具体化为显性知识。例如,基于描述的逻辑表示框架(如OWL),可以利用图中隐含的公理来计算一致性、概念可满足性、不相容性和包容性等逻辑关系。但是仍然存在的缺点就是在处理诸如本体对齐、实例匹配和语义搜索时候速度比较慢。为了解决这一问题,将知识图谱之中的节点进行向量化,每一个节点都映射到向量空间之中。这样就可以利用知识图谱进行事实推理,在向量空间进行快速的相似度运算或搜索操作。
在本发明的一实施方式中,构建向量化知识图谱包括如下步骤:使用神经网络语言模型(neural network language model,NNLM)将知识图谱中以文本形式存在的实体进行文本向量化;将知识图谱中的每个节点都映射到向量空间中;以及利用知识图谱进行事实推理,并在向量空间进行相似度运算或搜索操作。向量化之后的知识图谱如图6B所示。构建的知识图谱还可以进行扩充,形成更加全面的知识库。
在本发明的一实施方式中,为了提高恶意流量检测效率,本文采用轻量级的恶意流量检测方法,根据流量统计特征判断是否是恶意流量。对恶意流量进行分析与检测的基本单元是IP数据流。对于IP数据流,统计信息pkt_size,pkts,bytes,duration,tcp flag等在流量分类中拥有区分度。本文选择的统计特征如表1所示。
表1流特征属性
根据流量统计特征判断流量是否是恶意流量包括如下步骤:首先,SDN控制器对SDN网络中的流量特征进行统计。然后在知识图谱中用统计特征作为关键字进行搜索。查找到异常流量的统计阈值,并进行对比就可以判断是否是恶意流量。然后根据知识图谱中提供的相关应对措施进行恶意流量的防御。进行关键字搜索的时候,可以结合知识图谱和向量的优势提升搜索效率。对于一个搜索任务QVKG,可以划分为两个子任务在知识图谱和向量空间上依次进行。即:
QVKG→QV∩QKG
例如搜索“FloodLight”,可以首先使用知识图谱确定“FloodLight”属于“Controller”,这样可以有效缩小搜索范围,之后在向量空间使用向量比对的方式搜索到“FloodLight”。再例如,搜索“denial of service”,可以首先推断出这个实体属于“Vulnerability”,然后在向量空间执行进一步的搜索。
本发明的一实施方式中,在检测到恶意流量之后,需要将知识图谱提供的恶意流量防御措施转化为流规则。例如,如果知识图谱提供的应对措施是阻碍来自某一IP地址为SRC_IP的流量,那么应用就需要生成“srcIP=SRC_IP,action=DROP”的流规则并安装到数据平面交换机中。可编程性是SDN的重要特性,主要体现在可以通过编写应用程序来实现各种网络功能,可以极大提高网络管理的灵活性。本文开发应用程序来实现将情报转换为流规则并安装在交换机流表中的目标,应用程序的核心是流规则转换引擎。有两种SDN应用程序开发方法,第一种是使用SDN控制器公开的REST API接口进行开发,这种方式可以使用与控制器开发语言不同的编程语言。第二种是通过实现内部服务模块MD-SAL进行开发,需要调用SDN控制器的库和函数,因此开发语言需要与控制器一致。本文采用的控制器是使用Java语言开发的OpenDayLight OxygenSR2版本控制器。在发明中使用REST API接口进行应用程序的开发。然而该方法仅是示例性的而非限制性的。
如图3所示,本发明还公开了一种基于CTI的SDN恶意流量防御系统,包括:互联网301、CTI服务器302、SDN控制器303以及数据平面交换机304。CTI服务器302被配置为从互联网301收集关于SDN网络的安全威胁情报信息,并对网络安全威胁情报信息进行处理,以转化为网络安全威胁情报的知识图谱305。SDN控制器303与CTI服务器302通信连接,SDN控制器303用于实时获取SDN网络的流量特征信息,并通过查询知识图谱305以检测是否存在恶意流量。数据平面交换机304与SDN控制器303通信连接,其用于接收通过SDN控制器应用程序将威胁防御策略转换为的流规则。
在本发明的一实施方式中,关于SDN网络的安全威胁情报信息收集自互联网的公开资源,公开资源包括传统资源和非传统资源,其中,传统资源包括安全漏洞数据库,非传统资源包括社交媒体、安全博客、技术论坛、代码仓库。
如图4所示,本发明还公开了一种基于CTI的SDN恶意流量防御系统的测试系统,其包括:互联网401、CTI服务器402、SDN控制器403、多台数据平面交换机(例如本实例中设置为四台s1、s2、s3、s4)以及攻击机群404。CTI服务器402被配置为从互联网收集关于SDN网络的安全威胁情报信息,并对网络安全威胁情报信息进行处理,以转化为网络安全威胁情报的知识图谱。SDN控制器403与CTI服务器402通信连接,SDN控制器403用于实时获取SDN网络的流量特征信息,并通过查询知识图谱以检测是否存在恶意流量。数据平面交换机s1、s2、s3、s4分别与SDN控制器403通信连接,其用于接收通过SDN控制器应用程序将威胁防御策略转换为的流规则。其中,第一数据平面交换机s1作为防火墙,其余每台数据平面交换机s2、s3、s4分别连接有主机405a、405b、405c。SDN控制器应用程序从CTI服务器402获取威胁信息并生成流规则,并通过FLOW_MOD消息下发给第一数据平面交换机s1,第一数据平面交换机s1与攻击机群404通信连接,其中,攻击机群404用于生成恶意流量。
下面介绍恶意流量防御测试过程:
使用具有10台攻击主机的攻击机群生成拒绝服务攻击流量,每台攻击机以10pps的速率生成500个SYN数据包。控制器检测到SYN的数量SYNflag为4800,持续时间duration为50秒,将这些特征提交给CTI服务器进行查询之后,判断为拒绝服务攻击,给出的防御措施是丢弃来自恶意IP地址的数据包。因此,SDN控制器生成一系列的流规则。为了验证流规则有效性,生成恶意流量进行测试。首先观察交换机s1最初的流规则条目的数据包计数和字节计数都为0。然后测试位于恶意IP的攻击机到SDN网络内主机的连接。使用一台攻击机向网络内主机发送1000个ICMP数据包。测试结果表明,数据包丢失率为100%。连接建立失败说明生成的流规则有效。
本发明通过测试实验对比了没有进行恶意流量防御和进行恶意流量防御两种状态之下网络的吞吐量。一共进行了五次实验,分别向网络注入不同规模的流量并收集链路吞吐量。仍然使用10台攻击机以10pps的速率发送数据包,控制每次实验发送的数据包总量。实验结果如图5所示,横坐标为每次试验发送的数据包总量,纵坐标为网络吞吐量,线501和线502分别表示使用系统进行防御和不进行防御两种状态。可以看出,与不进行恶意流量防御相比,吞吐量降低了90%到95%。即大部分恶意流量都被丢弃,说明本发明的系统对于恶意流量的防御是十分有效的。
前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。
Claims (3)
1.一种基于CTI的SDN恶意流量防御方法,其特征在于,包括如下步骤:
从互联网收集关于SDN网络的安全威胁情报信息,并将所述安全威胁情报信息作为原始情报数据;
对所述原始情报数据进行安全概念提取和数据过滤,以构建网络安全威胁情报的知识图谱;
利用SDN控制器对SDN网络中的流量进行监控,并进行流量特征统计;
查询所述知识图谱,根据流量统计特征判断所述流量是否是恶意流量;以及
如果判断是恶意流量且有情报能够提供对应的防御措施,则SDN控制器应用程序将所述防御措施转化为具体的流规则,并下发到数据平面交换机中;
其中,对所述原始情报数据进行安全概念提取和数据过滤,以构建网络安全威胁情报的知识图谱包括如下步骤:
对所述原始情报数据进行数据预处理,并将预处理后的情报数据存储在网络安全语料库中;
使用自然语言处理模型对存储在所述网络安全语料库中的情报数据进行处理,提取其中的安全概念并打上标签,所述安全概念将作为所述知识图谱中的实体,其中,所述标签包括:攻击的含义、攻击的结果、攻击的目标软件、攻击的目标硬件、攻击的操作系统环境、版本信息、网络相关术语和文件名,其中,具有两个或两个以上标签的情报被保留;
采用统一网络安全本体来提供网络安全领域的信息,并使用DBpedia和YAGO来将所述知识图谱中的字符串形式的实体与真实世界中的概念联系起来;
将所述实体用RDF元组的形式存储在所述知识图谱中;
使用基于所述知识图谱的推理技术将事实推断出来并具体化为显性知识;以及
构建向量化知识图谱;
并且其中,所述构建向量化知识图谱包括如下步骤:
使用神经网络语言模型将所述知识图谱中以文本形式存在的实体进行文本向量化;
将所述知识图谱中的每个节点都映射到向量空间中;以及
利用所述知识图谱进行事实推理,并在所述向量空间进行相似度运算或搜索操作。
2.如权利要求1所述的基于CTI的SDN恶意流量防御方法,其特征在于,所述关于SDN网络的安全威胁情报信息收集自所述互联网的公开资源,所述公开资源包括传统资源和非传统资源,其中,所述传统资源包括安全漏洞数据库,所述非传统资源包括社交媒体、安全博客、技术论坛、代码仓库。
3.如权利要求1所述的基于CTI的SDN恶意流量防御方法,其特征在于,所述根据流量统计特征判断所述流量是否是恶意流量包括如下步骤:
SDN控制器对SDN网络中的流量特征进行统计;
在所述知识图谱中用统计特征作为关键字进行搜索;以及
查找到异常流量的统计阈值,并进行对比;
其中,对所述恶意流量进行分析与检测的基本单元是IP数据流,
并且其中,在进行关键字搜索时,将搜索任务划分为两个子任务在所述知识图谱和所述向量空间上依次进行搜索。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010334949.0A CN111431939B (zh) | 2020-04-24 | 2020-04-24 | 基于cti的sdn恶意流量防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010334949.0A CN111431939B (zh) | 2020-04-24 | 2020-04-24 | 基于cti的sdn恶意流量防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111431939A CN111431939A (zh) | 2020-07-17 |
| CN111431939B true CN111431939B (zh) | 2022-03-22 |
Family
ID=71554625
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010334949.0A Active CN111431939B (zh) | 2020-04-24 | 2020-04-24 | 基于cti的sdn恶意流量防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111431939B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112187716B (zh) * | 2020-08-26 | 2021-07-20 | 中国科学院信息工程研究所 | 一种网络攻击中恶意代码的知识图谱展示方法 |
| US20220179908A1 (en) * | 2020-12-03 | 2022-06-09 | Institute For Information Industry | Information security device and method thereof |
| CN112907321B (zh) * | 2021-02-03 | 2021-08-27 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于大数据的数据挖掘与分析的信息安全异常感知平台 |
| CN112463992B (zh) * | 2021-02-04 | 2021-06-11 | 中至江西智能技术有限公司 | 基于麻将领域知识图谱的决策辅助自动问答方法及系统 |
| CN115001724B (zh) * | 2021-03-01 | 2023-04-07 | 腾讯科技(深圳)有限公司 | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
| CN113572781A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 网络安全威胁信息归集方法 |
| CN113824729B (zh) * | 2021-09-27 | 2023-01-06 | 杭州安恒信息技术股份有限公司 | 一种加密流量检测方法、系统及相关装置 |
| CN114143049B (zh) * | 2021-11-18 | 2024-08-02 | 北京明略软件系统有限公司 | 异常流量检测方法、装置、存储介质以及电子设备 |
| CN114584392B (zh) * | 2022-03-29 | 2023-11-17 | 江苏省未来网络创新研究院 | 一种基于源端流量染色的工业互联网平台接入侧防护方法 |
| CN115314303A (zh) * | 2022-08-10 | 2022-11-08 | 重庆电子工程职业学院 | 一种基于全网联动的网络安全防御方法及系统 |
| CN116055192B (zh) * | 2023-02-02 | 2024-09-27 | 深圳市方联伟业科技有限公司 | 企业网络安全监控系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109857917A (zh) * | 2018-12-21 | 2019-06-07 | 中国科学院信息工程研究所 | 面向威胁情报的安全知识图谱构建方法及系统 |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
| CN110290116A (zh) * | 2019-06-04 | 2019-09-27 | 中山大学 | 一种基于知识图谱的恶意域名检测方法 |
| CN110717049A (zh) * | 2019-08-29 | 2020-01-21 | 四川大学 | 一种面向文本数据的威胁情报知识图谱构建方法 |
| CN110910243A (zh) * | 2019-09-26 | 2020-03-24 | 山东佳联电子商务有限公司 | 一种基于可重构大数据知识图谱技术的产权交易方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11228616B2 (en) * | 2017-12-06 | 2022-01-18 | Qatar Foundation | Methods and systems for monitoring network security |
-
2020
- 2020-04-24 CN CN202010334949.0A patent/CN111431939B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109857917A (zh) * | 2018-12-21 | 2019-06-07 | 中国科学院信息工程研究所 | 面向威胁情报的安全知识图谱构建方法及系统 |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
| CN110290116A (zh) * | 2019-06-04 | 2019-09-27 | 中山大学 | 一种基于知识图谱的恶意域名检测方法 |
| CN110717049A (zh) * | 2019-08-29 | 2020-01-21 | 四川大学 | 一种面向文本数据的威胁情报知识图谱构建方法 |
| CN110910243A (zh) * | 2019-09-26 | 2020-03-24 | 山东佳联电子商务有限公司 | 一种基于可重构大数据知识图谱技术的产权交易方法 |
Non-Patent Citations (6)
| Title |
|---|
| IntelFlow: Towards adding Cyber Threat Intelligence to Software Defined Networks;Javier Richard Quinto Ancieta, Christian Esteve Rothenberg;《XV Brazilian Symposium on Information and System Security》;20151231;第1-4页 * |
| SDN框架下不良数据计算机网络管理系统设计;苏恒阳;《计算机测量与控制》;20170425(第04期);全文 * |
| Using Cyber Threat Intelligence in SDN Security;Ozgur Yurekten, Mehmet Demirci;《2017 INTERNATIONAL CONFERENCE ON COMPUTER SCIENCE AND ENGINEERING (UBMK)》;20171031;第377-382页 * |
| Using Cyber Threat Intelligence to Prevent Malicious Known Traffic in a SDN Physical Testbed;Garcia,JB,Vilchez,VS,Castro,JZ,Arroyo,JLQ;《IEEE 26th International Conference on Electronics, Electrical Engineering and Computing (INTERCON)》;20191231;第1-4页 * |
| 网络空间威胁情报共享技术综述;杨沛安等;《计算机科学》;20180615(第06期);全文 * |
| 软件定义网络流的安全要素知识图谱研究;游瑞邦,袁子牧,涂碧波,孟丹;《信息安全学报》;20190731;第4卷(第4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111431939A (zh) | 2020-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111431939B (zh) | 基于cti的sdn恶意流量防御方法 | |
| Navarro et al. | A systematic survey on multi-step attack detection | |
| Ren et al. | Cskg4apt: A cybersecurity knowledge graph for advanced persistent threat organization attribution | |
| US11269995B2 (en) | Chain of events representing an issue based on an enriched representation | |
| Fredj | A realistic graph‐based alert correlation system | |
| Ning et al. | Hypothesizing and reasoning about attacks missed by intrusion detection systems | |
| Sadighian et al. | Semantic-based context-aware alert fusion for distributed Intrusion Detection Systems | |
| Gomes et al. | Cryingjackpot: Network flows and performance counters against cryptojacking | |
| Dodia et al. | Exposing the rat in the tunnel: Using traffic analysis for tor-based malware detection | |
| Tang et al. | Advanced Persistent Threat intelligent profiling technique: A survey | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| Zhang et al. | Cross-site scripting (XSS) detection integrating evidences in multiple stages | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| Chen et al. | Advanced persistent threat organization identification based on software gene of malware | |
| CN117454376A (zh) | 工业互联网数据安全检测响应与溯源方法及装置 | |
| Chun et al. | An empirical study of intelligent security analysis methods utilizing big data | |
| Roschke et al. | Using vulnerability information and attack graphs for intrusion detection | |
| Aldwairi et al. | n‐Grams exclusion and inclusion filter for intrusion detection in Internet of Energy big data systems | |
| Jia et al. | MAGIC: Detecting Advanced Persistent Threats via Masked Graph Representation Learning | |
| Tao et al. | A hybrid alarm association method based on AP clustering and causality | |
| CN118138361A (zh) | 一种基于可自主进化智能体的安全策略制定方法和系统 | |
| CN117792741A (zh) | 基于行为特征分析的网络攻击检测及溯源方法 | |
| Paul et al. | Survey of polymorphic worm signatures | |
| Xu | Correlation analysis of intrusion alerts | |
| Anashkin et al. | Implementation of Behavioral Indicators in Threat Detection and User Behavior Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240708 Address after: No. 0901, 9th Floor, Building 9, Business Inner Ring Road, Zhengzhou Area (Zhengdong), Zhengzhou Pilot Free Trade Zone, 450000 Henan Province Patentee after: Henan Hezhong Xintai Technology Co.,Ltd. Country or region after: China Address before: 450000 No.2, Yinhe street, Huiji District, Zhengzhou City, Henan Province Patentee before: PHYSICAL EDUCATION COLLEGE OF ZHENGZHOU University Country or region before: China |
|
| TR01 | Transfer of patent right |