CN114500092B - 一种基于sdn的工业互联网标识异常流量识别方法 - Google Patents
一种基于sdn的工业互联网标识异常流量识别方法 Download PDFInfo
- Publication number
- CN114500092B CN114500092B CN202210172821.8A CN202210172821A CN114500092B CN 114500092 B CN114500092 B CN 114500092B CN 202210172821 A CN202210172821 A CN 202210172821A CN 114500092 B CN114500092 B CN 114500092B
- Authority
- CN
- China
- Prior art keywords
- flow
- identification
- request
- analysis
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 title claims abstract description 12
- 238000004458 analytical method Methods 0.000 claims abstract description 42
- 238000005070 sampling Methods 0.000 claims abstract description 14
- 230000004044 response Effects 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000007619 statistical method Methods 0.000 claims description 2
- 238000004422 calculation algorithm Methods 0.000 abstract description 6
- 238000007405 data analysis Methods 0.000 abstract description 6
- 238000005206 flow analysis Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000007853 buffer solution Substances 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Algebra (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于SDN的工业互联网标识异常流量识别方法,其特征在于,调整现有标识节点服务器的部署模式,将传统网络架构改为SDN网络架构,以便灵活的管控流量;还提供了一种异常流量识别的算法,通过流量采样分析和流表统计数据,计算识别出疑似流量,识别疑似流量后通过流量分析,识别该流量的特征,同时结合系统资源下发相应的防护策略。本发明可以识别出当前的疑似异常流量,并添加相应的防护策略,对标识解析系统进行防护;本发明重点突出计算的参数是从流量包中获取到和标识数据解析业务相关的数据,利用标识数据解析的业务特点,设定更加契合标识数据解析的业务场景的异常流量识别算法,有效识别标识异常流量。
Description
技术领域
本发明涉及工业互联网标识解析请求服务领域,具体涉及一种基于SDN的工业互联网标识异常流量识别方法。
背景技术
工业互联网是链接工业全系统、全产业链、全价值链,并且支撑工业智能化发展的关键基础设施,是新一代信息技术与制造业深度融合所形成的新兴业态和应用模式,是互联网从消费领域向生产领域、从虚拟经济向实体经济拓展的核心载体,也是全球新一轮产业竞争的制高点。工业互联网标识解析是工业互联网重要网络基础设施,为工业设备、机器、物料、零部件和产品提供编码、注册与解析服务,并通过标识实现对异主、异地、异构信息的互联互通、安全共享及智能关联,是实现工业互联网快速发展的重要基石。
工业互联网标识解析能够支撑工业数据流通和信息交互,支持工业互联网中设备、人、物料等的全生命周期管理,是打破信息孤岛、实现数据互操作、挖掘海量数据的基础。标识解析安全是工业互联网健康发展的前提和保障,一旦标识解析体系遭入侵或攻击,波及范围不仅是单个企业,更可延伸至其他工业互联网关键要素乃至整个工业互联网生态。做好标识解析安全保障工作是确保工业互联网应用生态、工业互联网关键要素等安全的重要保证。
发明内容
本发明在现有工业互联网标识解析服务的基础上,采用SDN(Software DefinedNetwork,软件定义网络)的网络架构部署模式,通过制定策略,下发Openflow流表,接管标识解析请求的流量。通过对解析数据包的流量采样分析和对流表中数据包的个数统计,结合标识请求的行为特征,设计出一种工业互联网标识异常流量的识别算法,识别出当前的疑似异常流量,并添加相应的防护策略,对标识解析系统进行防护。
为实现上述目的,本发明采用了如下技术方案:
1.一种基于SDN的工业互联网标识异常流量识别方法,其特征在于,在标识请求客户端和标识请求服务器之间,增加一个SDN交换机,将标识请求的流量通过openflow流表进行管控;
对标识请求的流量进行定时的流量采集分析和流表数据监控,通过对采样数据的分析,在一个采样周期内对标识请求的流量做数据包采样分析和基于流表的数据包个数统计分析;检测疑似异常流量;具体包括如下步骤:
S1:通过流表统计信息获取流量包的个数,设为x,针对x的计算取值如下:先对x求方差,标记标识请求量在一段时间内的变化情况;
假设采样和计算的间隔为t,取样数量为n,流量从t1-tn分别为x1-xn,计算t1-tn时间段的流量方差值:
其中,xi为ti时刻的流量值,μ1为t1到tn时刻流量的平均值;
t2-tn+1时刻的值为:
其中,x为t时刻的流量值,μ2为t2到tn+1时刻流量的平均值;
设定阈值θ,请求流量的变化率设为:
S2:对采集的数据包做分析,获取标识解析请求的响应时间,取当前采样时间段内的平均时间r,给定一般响应时间阈值R,响应时间增长率设为:
S3:统计标识解析请求包的源IP重复率y,比如100个包中有50个是同源IP,则y=50%;
S4:统计标识解析请求包中标识编码重复率z,比如100个包中有20个编码相同,则z=20%;
S5:针对工业互联网标识解析请求的行为特征,分析出变量f、g、y、z对系统的影响如下:
(1)当f偏大时,说明此段时间内有请求数突增的情况;
(2)当t偏大时,说明此段时间内请求的响应时间突增;
(3)当y偏大,z也偏大时,说明同一个源IP对同一个编码的请求增多,但由于标识解析系统设置了缓存服务,因此对系统一般不会造成危害;
(4)当y偏大,z偏小时,说明同一个源IP同时在请求不同的编码解析;当y偏小,z偏大时,说明大量不同源IP在同时请求同一个编码解析,虽然z比较大时,可以用缓存系统缓冲,但不排除有攻击源的可能,因此,这两种情况会出现在标识系统被攻击的场景中;
(5)当y和z都偏小时,说明同一时间段,不同源在请求不同的编码解析,这种情况,一般是正常的;需要结合f和t的值做综合计算:
对上述4个变量设置权重a,b,c,c作为y和z差值的绝对值的一个权重,其中a+b+c=1;
设置异常阈值α,α范围为(0,1);当af+bt+c|y-z|>α时,则疑似有异常流量;
S6:结合当前标识解析系统资源的利用率r,所述系统资源包括cpu,内存、带宽,对标识解析系统添加防护策略;例如,如果r比较高,则对于重复率高的IP,下发相关流表,对此部分IP做限速处理;如果来源大多是同一个IP和同一个编码解析请求的,则认为缓存服务能够缓解,但如果过高,已经影响了正常的系统运行,需要下发流表,丢弃该部分包。
与现有技术相比,本发明的有益效果在于:
本发明在现有工业互联网标识解析服务的基础上,提供了一种工业互联网标识异常流量的识别算法,识别出当前的疑似异常流量,并添加相应的防护策略,对标识解析系统进行防护。本发明重点突出计算的参数是从流量包中获取到和标识数据解析业务相关的数据,利用标识数据解析的业务特点,设定更加契合标识数据解析的业务场景的异常流量识别算法,有效识别标识异常流量。
附图说明
图1为本发明系统部署图;
图2为本发明系统建设功能模块图。
具体实施方式
下面将结合本发明的附图,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
实施例
基于SDN的工业互联网标识异常流量的识别方法,整体部署见附图1,在标识请求客户端和标识请求服务器之间,增加一个SDN交换机,将标识请求的流量通过openflow流表进行管控。完成标识解析系统从传统网络向SDN网络的改造后,对标识请求的流量进行定时的流量采集分析和流表数据监控。通过对采样数据的分析,根据上述算法,检测疑似异常流量。
实施的具体流程如下:
步骤一、调整标识解析系统的网络架构部署,加入SDN交换机。
步骤二、对SDN交换机下发流表,将标识请求流量引入标识解析服务器。
步骤三、对SDN交换机的流量数据包进行采样监控,设定采样间隔。
步骤四、设定各初始阈值和权重值。
步骤五、对采集的数据包做流量分析,获取包体中的源IP、标识编码信息、标识请求的响应时间,保存该部分信息。同时对标识请求流量包个数做统计。
步骤六、根据所述的算法,对流量数据进行计算。如果计算结果大于阈值,根据采集的包特征,触发防护策略下发。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的仅为发明的优选例,并不用来限制本发明,在不脱离本发明新型精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (1)
1.一种基于SDN的工业互联网标识异常流量识别方法,其特征在于,在标识请求客户端和标识请求服务器之间,增加一个SDN交换机,将标识请求的流量通过openflow流表进行管控;
对标识请求的流量进行定时的流量采集分析和流表数据监控,在一个采样周期内对标识请求的流量作数据包采样分析和基于流表的数据包个数统计分析,检测疑似异常流量,具体包括如下步骤:
S1:通过流表统计信息获取流量包的个数,设为x,针对x的计算取值如下:先对x求方差,标记标识请求量在一段时间内的变化情况;
假设采样和计算的间隔为t,取样数量为n,流量从t1-tn分别为x1-xn,计算t1-tn时间段的流量方差值:
其中,xi为ti时刻的流量值,μ1为t1到tn时刻流量的平均值;
计算t2-tn+1时间段的流量方差值:
其中,μ2为t2到tn+1时刻流量的平均值;
设定阈值θ,请求流量的变化率设为:
S2:对采集的数据包做分析,获取标识解析请求的响应时间,取当前采样时间段内的平均时间r,给定响应时间阈值R,响应时间增长率设为:
S3:统计标识解析请求包的源IP重复率y;
S4:统计标识解析请求包中标识编码重复率z;
S5:针对工业互联网标识解析请求的行为特征,分析出变量f、g、y、z对系统的影响如下:
(1)当f偏大时,说明此段时间内有请求数突增的情况;
(2)当g偏大时,说明此段时间内请求的响应时间突增;
(3)当y偏大,z也偏大时,说明同一个源IP对同一个标识编码的请求增多;
(4)当y偏大,z偏小时,说明同一个源IP同时在请求不同的标识编码解析;当y偏小,z偏大时,说明大量不同源IP在同时请求同一个标识编码解析;
(5)当y和z都偏小时,说明同一时间段,不同源在请求不同的标识编码解析;需要结合f和t的值做综合计算:
对上述4个变量设置权重a,b,c,c作为y和z差值的绝对值的一个权重,其中a+b+c=1;
设置异常阈值α,α范围为(0,1);当af+bt+c|y-z|>α时,则疑似有异常流量;
S6:结合当前标识解析系统资源的利用率r,所述系统资源包括cpu,内存、带宽,对标识解析系统添加防护策略。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210172821.8A CN114500092B (zh) | 2022-02-24 | 2022-02-24 | 一种基于sdn的工业互联网标识异常流量识别方法 |
| PCT/CN2022/143135 WO2023160227A1 (zh) | 2022-02-24 | 2022-12-29 | 一种基于sdn的工业互联网标识异常流量识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210172821.8A CN114500092B (zh) | 2022-02-24 | 2022-02-24 | 一种基于sdn的工业互联网标识异常流量识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114500092A CN114500092A (zh) | 2022-05-13 |
| CN114500092B true CN114500092B (zh) | 2023-11-17 |
Family
ID=81484602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210172821.8A Active CN114500092B (zh) | 2022-02-24 | 2022-02-24 | 一种基于sdn的工业互联网标识异常流量识别方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114500092B (zh) |
| WO (1) | WO2023160227A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500092B (zh) * | 2022-02-24 | 2023-11-17 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识异常流量识别方法 |
| CN115174211B (zh) * | 2022-07-05 | 2023-04-07 | 北京珞安科技有限责任公司 | 基于流量分析与控制的工业安全防护系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357622A (zh) * | 2016-08-29 | 2017-01-25 | 北京工业大学 | 基于软件定义网络的网络异常流量检测防御系统 |
| CN111294342A (zh) * | 2020-01-17 | 2020-06-16 | 深圳供电局有限公司 | 一种软件定义网络中DDos攻击的检测方法及系统 |
| CN111935063A (zh) * | 2020-05-28 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种终端设备异常网络访问行为监测系统及方法 |
| CN112788062A (zh) * | 2021-01-29 | 2021-05-11 | 湖南大学 | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 |
| CN113259355A (zh) * | 2021-05-20 | 2021-08-13 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识切片管理系统 |
| CN113645118A (zh) * | 2021-07-09 | 2021-11-12 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识流量缓存处理方法 |
| CN114050928A (zh) * | 2021-11-10 | 2022-02-15 | 湖南大学 | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3282665B1 (en) * | 2016-08-10 | 2021-01-27 | Nokia Solutions and Networks Oy | Anomaly detection in software defined networking |
| CN106572107B (zh) * | 2016-11-07 | 2019-08-09 | 北京科技大学 | 一种面向软件定义网络的DDoS攻击防御系统与方法 |
| CN111200605B (zh) * | 2019-12-31 | 2022-05-03 | 网络通信与安全紫金山实验室 | 一种基于Handle系统的恶意标识防御方法及系统 |
| CN113556354B (zh) * | 2021-07-29 | 2022-03-01 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
| CN113645238B (zh) * | 2021-08-11 | 2023-04-25 | 码客工场工业科技(北京)有限公司 | 一种面向Handle标识体系的DDoS防御方法 |
| CN114500092B (zh) * | 2022-02-24 | 2023-11-17 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识异常流量识别方法 |
-
2022
- 2022-02-24 CN CN202210172821.8A patent/CN114500092B/zh active Active
- 2022-12-29 WO PCT/CN2022/143135 patent/WO2023160227A1/zh unknown
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357622A (zh) * | 2016-08-29 | 2017-01-25 | 北京工业大学 | 基于软件定义网络的网络异常流量检测防御系统 |
| CN111294342A (zh) * | 2020-01-17 | 2020-06-16 | 深圳供电局有限公司 | 一种软件定义网络中DDos攻击的检测方法及系统 |
| CN111935063A (zh) * | 2020-05-28 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种终端设备异常网络访问行为监测系统及方法 |
| CN112788062A (zh) * | 2021-01-29 | 2021-05-11 | 湖南大学 | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 |
| CN113259355A (zh) * | 2021-05-20 | 2021-08-13 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识切片管理系统 |
| CN113645118A (zh) * | 2021-07-09 | 2021-11-12 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识流量缓存处理方法 |
| CN114050928A (zh) * | 2021-11-10 | 2022-02-15 | 湖南大学 | 一种基于机器学习的sdn流表溢出攻击检测与缓解方法 |
Non-Patent Citations (1)
| Title |
|---|
| 安颖 ; 孙琼 ; 黄小红 ; .基于OpenFlow的SDN网络环境下DDoS攻击检测系统.东南大学学报(自然科学版).2017,(S1),第18-23页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023160227A1 (zh) | 2023-08-31 |
| CN114500092A (zh) | 2022-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114500092B (zh) | 一种基于sdn的工业互联网标识异常流量识别方法 | |
| CN100563168C (zh) | 应用流量统计方法及装置 | |
| CN106557401A (zh) | 一种it设备监控指标的动态阈值设定方法及系统 | |
| Basat et al. | Memento: Making sliding windows efficient for heavy hitters | |
| US8797876B2 (en) | Identification of underutilized network devices | |
| CN106878314B (zh) | 基于可信度的网络恶意行为检测方法 | |
| CN114363064B (zh) | 一种物联网业务适配的动态数据加密策略系统 | |
| CN112688822B (zh) | 基于多点协同的边缘计算故障或安全威胁监测系统与方法 | |
| CN111782700B (zh) | 基于双层结构的数据流频次估计方法、系统及介质 | |
| JP2009527839A (ja) | 通信ネットワークのトランザクション監視のための方法及びシステム | |
| Fan et al. | Dynamic virtual network embedding of mobile cloud system based on global resources in internet of vehicles | |
| CN110460608B (zh) | 一种包含关联分析的态势感知方法和系统 | |
| CN100493001C (zh) | G比特流率下多粒度的网络自动聚类方法 | |
| CN108063814B (zh) | 一种负载均衡方法及装置 | |
| CN116232777B (zh) | SDN-IIOT中基于统计度量的DDoS攻击检测与防御方法及相关设备 | |
| CN112261019A (zh) | 分布式拒绝服务攻击检测方法、装置及存储介质 | |
| CN105493096A (zh) | 分布式模式发现 | |
| Li et al. | Ladderfilter: Filtering infrequent items with small memory and time overhead | |
| CN115296904A (zh) | 域名反射攻击检测方法及装置、电子设备、存储介质 | |
| CN115567243A (zh) | 一种基于关键字的交换机监控方法 | |
| CN114760087A (zh) | 软件定义工业互联网中的DDoS攻击检测方法及系统 | |
| Wang et al. | Improving the two-stage detection of cyberattacks in SDN environment using dynamic thresholding | |
| CN112905852A (zh) | 一种基于会话索引的应用性能报文存储装置 | |
| CN113965492A (zh) | 一种数据流统计方法及装置 | |
| Peng et al. | Anomaly detection based on multiple streams clustering for train real-time ethernet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |