CN116232770A - 一种基于sdn控制器的企业网络安全防护系统及方法 - Google Patents
一种基于sdn控制器的企业网络安全防护系统及方法 Download PDFInfo
- Publication number
- CN116232770A CN116232770A CN202310504934.8A CN202310504934A CN116232770A CN 116232770 A CN116232770 A CN 116232770A CN 202310504934 A CN202310504934 A CN 202310504934A CN 116232770 A CN116232770 A CN 116232770A
- Authority
- CN
- China
- Prior art keywords
- user
- network
- behavior
- controller
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 100
- 230000006399 behavior Effects 0.000 claims abstract description 98
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 88
- 230000007246 mechanism Effects 0.000 claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims abstract description 13
- 238000004891 communication Methods 0.000 claims abstract description 10
- 238000001514 detection method Methods 0.000 claims description 54
- 230000006870 function Effects 0.000 claims description 27
- 238000010586 diagram Methods 0.000 claims description 18
- 238000012795 verification Methods 0.000 claims description 18
- 230000003993 interaction Effects 0.000 claims description 15
- 238000010801 machine learning Methods 0.000 claims description 15
- 238000013475 authorization Methods 0.000 claims description 13
- 230000000007 visual effect Effects 0.000 claims description 13
- 238000013528 artificial neural network Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000001914 filtration Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 10
- 230000002787 reinforcement Effects 0.000 claims description 10
- 230000004927 fusion Effects 0.000 claims description 9
- 230000015654 memory Effects 0.000 claims description 9
- 230000002452 interceptive effect Effects 0.000 claims description 7
- 238000012549 training Methods 0.000 claims description 7
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 6
- 239000013598 vector Substances 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 5
- 238000007781 pre-processing Methods 0.000 claims description 4
- 230000003203 everyday effect Effects 0.000 claims description 3
- 238000013139 quantization Methods 0.000 claims description 3
- 238000007789 sealing Methods 0.000 claims description 3
- 230000007787 long-term memory Effects 0.000 claims description 2
- 238000013507 mapping Methods 0.000 claims description 2
- 230000006403 short-term memory Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 15
- 238000013461 design Methods 0.000 abstract description 11
- 238000007726 management method Methods 0.000 description 41
- 239000000047 product Substances 0.000 description 17
- 230000002159 abnormal effect Effects 0.000 description 10
- 238000004590 computer program Methods 0.000 description 9
- 238000011160 research Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000001788 irregular Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000002829 reductive effect Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000007500 overflow downdraw method Methods 0.000 description 3
- 238000005192 partition Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 210000004556 brain Anatomy 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000008092 positive effect Effects 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000005923 long-lasting effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 238000013441 quality evaluation Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络信息通信防护技术领域,公开了一种基于SDN控制器的企业网络安全防护系统及方法。该方法结合企业认证的ip地址,利用RSA加密算法生成动态口令验证用户身份;经动态口令认证后的用户,利用彩虹等级机制,赋予用户不同的权限;对用户下发的操作指令使用PMCT‑tree索引算法,在规则匹配库内进行规则匹配,同时不定期地对用户行为进行动态分析判断;基于动态分析判断的用户行为,检测是否存在显式或隐式的异常行为。本发明从源头入手解决企业网络操作过程中的风险,从而避免企业网络遭受攻击。本发明有针对性地设计了一套策略方案,以此来加强对控制器的安全防护,进而保障SDN网络的安全。
Description
技术领域
本发明属于网络信息通信防护技术领域,尤其涉及一种基于SDN控制器的企业网络安全防护系统及方法。
背景技术
软件定义网络(Software Defined Network,SDN)作为一种新型架构,它的出现解决了传统网络分布式架构的缺点。传统网路架构没有中心的控制节点,要由每台设备自己决定如何转发,因此难以从整个网络的角度对流量进行调控。
而SDN架构通过解耦数据平面和控制平面,实现了一种对网络集中管控的优秀特性,这种特性使得管理者可以快速部署智能灵活的网络,后期维护和扩容也变得方便,极大地节约网络的管理成本。
但在企业实际应用中,正是SDN网络集中管控的特性使得企业网络更容易受到来自外部和内部的攻击,威胁着企业的网络安全和数据安全,尤其是针对SDN 控制器的攻击危害极大。SDN控制器是整个网络的大脑,通过控制器可以了解整个网络的详细信息,也能实现网络运维策略的下发与调整,一旦控制器遭受到攻击,整个网络将会受到影响,企业内部数据也将会被暴露出来。
在访问权限控制方面,传统访问控制模型主要采用自主访问控制(DiscretionaryAccess Control,DAC)、强制访问控制(Mandatory Access Control,MAC)等模型。在某种意义上DAC能够将多用户访问权限进行隔离以及确保敏感资源不被非法用户访问。但是DAC也存在比较严重的问题,它没有办法将文件设置统一的访问权限开放给特定的一组用户,只能针对性对某个用户进行单独授权;而且由于资源客体的所有者可以自主地将权限转移给别的用户主体,导致信息在转移时访问权限发生改变,使得资源所有者很难对自己管理的资源实施控制。MAC过分强调保密性,从而缺乏灵活性、易用性比较差、且适用范围比较小。
此外现有研究绝大部分是针对应用层以下的安全防护,并且都有了很成熟的商业产品。但是针对应用层之上的研究较少,相应的产品也比较少,特别是专门针对SDN控制器及其特性的安全防护研究相对较少。
通过上述分析,现有技术存在的问题及缺陷为:现有技术在SDN网络的安全保障上效果差。不能过滤和拦截不合理、不规范、不稳定和不安全的操作信息,不能有效从源头规避企业网络遭受攻击;不能有效不定期地对企业网络行为信息进行评估和风险检验,而且不能有效收集整理企业网络运行中的多种数据进行可视化预警显示。
发明内容
为克服相关技术中存在的问题,本发明公开实施例提供了一种基于SDN控制器的企业网络安全防护系统及方法。
所述技术方案如下:基于SDN控制器的企业网络安全防护方法,包括以下步骤:
S1,结合企业认证的ip地址,利用RSA加密算法生成动态口令,验证用户身份;
S2,经动态口令认证后的用户,利用彩虹等级机制,赋予用户不同的权限;对用户下发的操作指令使用PMCT-tree索引算法,在规则匹配库内进行规则匹配,同时不定期地对用户行为进行动态分析判断;
S3,基于动态分析判断的用户行为,检测是否存在显式或隐式的异常行为;采用改进的加强学习型KNN算法,通过参数前向传递和增加异常行为判定算法检测用户的显式异常行为;使用长短期记忆神经网络和注意力机制辨别用户的行为分类,对异常行为轨迹的相似性进行比较,检测出隐藏在常规操作行为中的隐式异常行为;利用OpenDaylight控制器的REST API北向接口将实时SDN网络状态展示在客户端的前端界面,同时利用OpenDaylight控制器南向接口的OpenFlow协议下发流表到交换机。
在步骤S1中,生成动态口令包括:
(a)将IP地址和随机数转换为两个素数,分别记为p和q;
(b)计算素数p和素数q的乘积n,表达式为:
(c)计算乘积n的欧拉函数
,表达式为:
(d)随机选择一个与欧拉函数
互质的整数e,满足:
式中,
表示整数e与欧拉函数
的最大公约数;
(e)计算整数e与n的模反元素d,满足:
式中,
表示求模运算;
(f)将乘积n和整数e封装成公钥,将乘积n和模反元素d封装成私钥。
在步骤S1中,验证用户身份包括:判断是否存在这个用户,再判断用户的密码是否匹配,以及判断生成的动态口令是否正确,判断动态口令时,经用户输入的动态口令使用私钥解密,然后将变换后的IP地址和随机数还原,之后判断IP地址是否为企业认证地址,且随机数是否与注册时一致;
其中,判断动态口令具体步骤如下:
获取封装为私钥的乘积n和模反元素d;
对于明文M经过加密
得到密文C;
将密文C解密为明文M,解密算法为:
其中,
表示明文M的e次方,
表示密文C的d次方,
表示对乘积n取模。
在步骤S2中,彩虹等级机制包括:
(Ⅰ)初始用户分配等级1权限,仅能查看网络基本情况;
(Ⅱ)从等级2开始,用户对网络下发指令,等级越高允许下发的指令越多,用户拥有更多操作的权限;
(Ⅲ)从等级6开始,以上的用户拥有对低于等级6用户的监督权限;
(Ⅳ)从等级7开始,以上的用户拥有对低于等级7用户操作的审核权限;
(Ⅴ)低等级的用户操作不能直接下发,经指定等级的用户进行审核;
(Ⅵ)等级9用户拥有着账号封禁的权限;
(Ⅶ)等级7-9用户间进行相互监督;
(Ⅷ)用户等级通过用户的信用度动态调整,最高调整等级为6,最低的调整为账号被封禁。
在步骤S2中,PMCT-tree索引算法包括:
步骤1,确定T树分块与分块节点:对利用企业网络内部管理规则、SDN网络规则的一致性方法建立的三个安全规则匹配库,将T-tree分为三个Rule block分块,每个分块中包含至多M个Rule node,每个Rule node对应规则匹配库中的相应网络判定规则;
步骤2,抽取边缘阈值及子块信息构造PMC:对三个T-tree规则分块进行阈值提取,并根据各子块信息构造出一组多路分支树形结构PMC;
步骤3,结合PMC和T树进行待查关键字Kvalue索引匹配:收集用户的网络操作行为,提取关键操作信息作为待查关键字Kvalue,Kvalue进入规则匹配库进行规则匹配,检验是否符合企业网络内部管理规则、SDN网络规则的一致性。
在一个实施例中,收集用户的网络操作行为后进行合理性校验,具体包括:
步骤一,当用户输入操作指令后,请求调用规则匹配库,将用户的操作与三个规则匹配子库进行匹配判断;
步骤二,调用conflict_Judge函数判断操作指令是否冲突;
步骤三,调用standard_Judge函数判断操作指令是否规范;
步骤四,调用reasonable_Judge函数判断操作指令是否合理。
在步骤S3中,改进的加强学习型KNN算法包括:
步骤a、数据处理;对于实时收集的数据,在数据预处理时,提取出区分用户行为的多个特征;将特征值进行数字量化,同时映射到高维空间,在高维空间里,不同簇类之间距离的计算采用欧式距离公式为:
式中,h为欧式距离,
表示两个簇类在n维空间的坐标位置;
步骤b、调整k值;每次K值的调整,将K值、簇类的数量参数计算一个奖励值传递到下一个KNN算法模型中,在下一个KNN模型中,根据奖励值再调整包括K值的参数;所述KNN算法模型包括:如果一个样本在特征空间中的K个最邻近的样本中的大多数属于某一个类别,则该样本也同样属于这个类别;其中,样本间距离的度量使用欧氏距离方式进行计算。
在步骤S3中,使用长短期记忆神经网络和注意力机制辨别用户的行为分类,对异常行为轨迹的相似性进行比较,检测出隐藏在常规操作行为中的隐式异常行为包括:
(A)使用GloVe进行词向量训练,将用户行为事件转换成一系列的矩阵;
(B)使用LSTM-Attention模型对新事件进行识别,并完成编号;
(C)固定时间特征点融合:为不同因素设置不同的权重,根据融合公式C生成用户行为特征点,特征融合公式为:
其中:
表示LSTM网络在时刻
的隐藏状态,
表示将LSTM网络中的单元状态融合到特征向量中的偏置,m表示特征点融合时不同因素的权重之和,
代表第t个特征因素的权重;
(D)用户行为可行域:在每个时间段,通过调整权重因子,计算出正常特征点的范围并对行为轨迹点进行记录,最终获得用户行为可行域;
(E)异常行为轨迹绘制:根据每个时间段内最大特征值点确定上确界事件,根据每个时间段内最小特征值点确定下确界事件,最终绘制异常行为轨迹图;
(F)隐式异常行为检测:绘制一周内的用户行为轨迹图,每天的行为轨迹图绘制完成后,使用轨迹比较方法进行曲线相似性比较,如果行为轨迹与可行域范围差距大于一个阈值
就进行报警操作。
本发明的另一目的在于提供一种基于SDN控制器的企业网络安全防护系统,该系统包括:
安全防护业务模块,用于在用户操作指令到达控制器前对各网络行为进行分析处理,采用用户授权认证、等级权限校验、规则匹配、合理性校验和基于机器学习的异常行为检测对生成的口令进行检测、过滤、优化,将优化后的指令传送至控制器;
交互业务模块,包括交换机交互模块,负责控制器与交换机设备之间的通信,包括ODL控制器获取网络拓扑信息和下达流表至交换机;
客户端交互模块负责控制器与客户端之间的通信,包括用户通过客户端执行网络管理操作至ODL控制器和ODL控制器将网络设备信息反馈至客户端进行可视化展示;
可视化展示业务模块,用于对网络实时运行状态、网络设备与网络策略复数关系、网络故障情况进行展示;在SpringBoot框架下使用vis.js进行网络拓扑的绘制,使用Neo4j图数据库和Echars工具库进行知识图谱的绘制,展现网络设备与网络中部署的策略之间的关系。
所述安全防护业务模块包括:
用户授权认证模块,在用户注册时采用RSA加密和企业认定IP绑定的方式生成动态验证口令,在登陆检查时验证IP信息是否与注册时一致;
等级权限校验模块,利用彩虹判断该用户所执行的操作是否符合所在的等级权限;
规则匹配模块,根据企业网络内部管理规则、SDN网络规则的一致性判断方法建立三个安全规则匹配库,采用PMCT-tree索引算法,在规则匹配库内进行规则匹配;
合理性校验模块,调用规则匹配库,将用户操作与规则匹配库的三个子库进行匹配判断;
机器学习用户异常行为检测模块,采用改进的加强学习型KNN算法,通过参数前向反馈进行加强学习,同时加入异常行为判定算法,检测出用户的异常行为;对于隐式异常行为检测,使用LSTM神经网络与行为轨迹识别模型进行检测。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明针对上述问题,从SDN的“大脑”控制器入手,有针对性地设计了一套策略方案,以此来加强对控制器的安全防护,进而保障SDN网络的安全。
本发明加强SDN控制器的授权认证,阻止和防范攻击者获得控制器的操作权限;加强内部管理人员的等级权限管理,通过规范和约束管理人员的操作权限,将企业网络的风险限制在可控范围内,进而提高企业网络的安全性;过滤和拦截不合理、不规范、不稳定和不安全的人员操作,从源头入手解决企业网络操作过程中的风险,从而避免企业网络遭受攻击;不定期地对企业网络操作人员的行为进行评估和风险检验,实现在攻击发生之前提前发现源头所在,为网络防御提供支持;收集整理企业网络运行中的多种数据,分析并以可视化的方式展现,给管理人员提供清晰的网络运行状态、实时风险状态和各种故障信息,为安全防护提供借鉴。
相比于现有技术,本发明的优点进一步包括:(1)用户注册登陆功能:加强授权认证,防止非法用户的入侵;(2)操作审核功能:提供高等级管理员对低等级用户操作进行审核的功能,高等级用户可以查看具体的操作和人员信息,然后决定通过此操作还是拒绝此操作;(3)过滤拦截功能:拦截由于异常攻击或者操作失误下发的破坏性指令;(4)异常检测功能:使用机器学习模型不定期地检测用户的行为,如果用户出现了异常行为就应向高级管理员告警;(5)可视化展示功能:展示网络实时状态、异常告警信息、路由故障以及基于交换机和流表附属关系的信息图谱。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理;
图1是本发明实施例1提供的基于SDN控制器的企业网络安全防护系统示意图;
图2是本发明实施例2提供的本发明实施例提供的基于SDN控制器的企业网络安全防护系统框图;
图3是本发明实施例2提供的用户授权认证模块示意图;
图4是本发明实施例2提供的等级权限校验模块原理示意图;
图5是本发明实施例2提供的规则匹配模块原理示意图;
图6是本发明实施例2提供的合理性校验模块原理图;
图7是本发明实施例2提供的机器学习用户异常行为检测模块中加强学习型KNN判定模型原理图;
图8是本发明实施例2提供的机器学习用户异常行为检测模块中改进的加强学习型KNN算法开始时先运行经典的KNN算法对模型进行训练产生的两种结果示意图;
图9是本发明实施例2提供的行为特征融合方法与一个行为轨迹特征检测模型,通过对用户周期性的行为轨迹进行相似性比较,找出隐藏在常规操作行为中的异常行为,并进行拦截原理图;
图10是本发明实施例2提供的控制器交互业务模块对于ODL南北向接口的具体调用方法原理图;
图11是本发明实施例2提供的可视化展示业务模块原理图;
图12是本发明实施例提供的基于SDN控制器的企业网络安全防护方法流程图;
图中:1、安全防护业务模块;2、交互业务模块;3、可视化展示业务模块。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其他方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似改进,因此本发明不受下面公开的具体实施的限制。
本发明实施例提供的基于SDN控制器的企业网络安全防护方法包括:
S1,结合企业认证的ip地址,利用RSA加密算法生成为克服相关技术中存在的问题,动态口令,验证用户身份;
S2,经动态口令认证后的用户,利用彩虹等级机制,赋予用户不同的权限;对用户下发的操作指令使用PMCT-tree索引算法,在规则匹配库内进行规则匹配,同时不定期地对用户行为进行动态分析判断;
S3,基于动态分析判断的用户行为,检测是否存在显式或隐式的异常行为;采用改进的加强学习型KNN算法,通过参数前向传递和增加异常行为判定算法检测用户的显式异常行为;使用长短期记忆神经网络和注意力机制(LSTM-Attention)辨别用户的行为分类,对异常行为轨迹的相似性进行比较,检测出隐藏在常规操作行为中的隐式异常行为;利用OpenDaylight控制器的REST API北向接口将实时SDN网络状态展示在客户端的前端界面,同时利用OpenDaylight控制器南向接口的OpenFlow协议下发流表到交换机。
实施例1,如图1所示,本发明实施例提供的基于SDN控制器的企业网络安全防护系统为面向客户端开发的针对SDN控制器的网络安全防护系统,使用OpenDaylight控制器集中管控SDN网络,在Mininet中搭建仿真SDN网络环境。将安全防护策略部署于应用层之上,通过口令认证、指令过滤和基于机器学习的异常行为检测实现对SDN控制器的安全防护;借助OpenDaylight控制器的REST API北向接口将实时网络状态展示在前端界面;通过客户端实现管理员用户对网络的控制管理,同时借助OpenDaylight控制器南向接口的OpenFlow协议下发流表到交换机。
具体的,本发明实施例提供的基于SDN控制器的企业网络安全防护系统将安全防护策略部署于应用层之上,在用户注册登陆系统时,创造性的提出了将RSA加密算法和企业IP绑定的方式,生成动态口令以防止非法用户的系统入侵。用户经过认证成功进入基于SDN控制器的企业网络安全防护系统后,设计了一套细粒度的等级权限校验机制——“彩虹”等级机制。在这个机制中,不同的企业网络管理用户根据其职务和信用度的不同被授予不同的权限。具有较高权限的用户拥有更多的操作类型权限,同时还能监督比其权限低的用户。用户的权限会根据用户的信用度升高或降低。符合“彩虹”等级权限校验机制的用户可以在系统中执行相应操作,而对于用户的每一条操作指令,系统会采用自建的安全规则匹配库来进行检索,来判断是否有冲突、不规范、不合理操作。并提出使用PMCT-tree索引算法,在规则匹配库内实现快速、准确的规则匹配。同时,不定期地对用户行为进行动态分析判断,检测其是否存在显式或隐式的异常行为。显式异常行为检测采用改进的加强学习型KNN算法,通过参数前向传递和增加异常行为判定算法,能够在短时间内发现用户的非法行为和异常行为。隐式异常行为检测使用长短期记忆神经网络和注意力机制(LSTM-Attention)辨别用户的行为分类,实现异常行为轨迹的相似性比较,从而更加精准的检测出隐藏在常规操作行为中的异常行为。显式检测与隐式检测相结合,使在网络攻击发生之前将其拦截,极大地保护了企业的网络安全与数据安全。
实施例2,作为本发明的一种实施方式,如图2所示,本发明实施例提供的基于SDN控制器的企业网络安全防护系统包括安全防护业务模块1、交互业务模块2、可视化展示业务模块3。
在本发明实施例,所述安全防护业务模块1,不同于以往在控制器下发流表之后才设置各种安全检测的安全防护策略,本安全业务防护模块在操作指令到达控制器之前对各网络行为进行分析处理,即采用用户授权认证、等级权限校验、规则匹配、合理性校验和基于机器学习的异常行为检测五个功能模块对指令完成一系列的检测、过滤、优化等,将优化后的指令传送至控制器,完成对控制器的安全防护。
所述安全防护业务模块1具体包括:用户授权认证模块、等级权限校验模块、规则匹配模块、合理性校验模块、机器学习异常行为检测模块。
(1)用户授权认证模块,用户授权认证分为两部分:用户注册和用户登陆。在注册时采用了RSA加密和企业认定IP绑定的方式。用户首次提出注册申请时,需要向企业申请一个认证的IP地址,系统会将此IP地址结合一个随机数生成动态验证口令。如图3所示。
其中用户注册时的IP地址必须是通过企业认证的,在登陆检查时也会验证IP信息是否与注册时一致,可以有效防止非法用户的注册使用,起到“外部防护”的作用;用户注册时随机产生一个很大的素数,可以防止因IP信息存在而导致的口令猜测、破解等系统入侵攻击;RSA加密算法是一种使用广泛的非对称加密算法,可以有效防保护用户信息的机密性,防止非法用户的系统入侵;使用动态口令,密码加上口令认证,可以最大限度的保障用户的信息安全,进而保护系统的隐私性、机密性,动态口令生成的过程如下:
(a)将IP地址和随机数转换为两个素数,分别记为p和q;
(b)计算素数p和素数q的乘积n,表达式为:
(c)计算乘积n的欧拉函数
,表达式为:
(d)随机选择一个与欧拉函数
互质的整数e,满足:
式中,
表示整数e与欧拉函数
的最大公约数;
(e)计算整数e与n的模反元素d,满足:
式中,
表示求模运算;
(f)将乘积n和整数e封装成公钥,将乘积n和模反元素d封装成私钥。
用户登陆时,系统首先判断是否存在这个用户,再判断用户的密码是否匹配,最后判断动态口令是否正确。判断动态口令时,经用户输入的动态口令使用私钥解密,然后将变换后的IP地址和随机数还原,之后判断IP地址是否是企业认证的,且随机数是否与注册时的一致。
示例性的,用户在登陆时,系统首先根据数据库数据判断用户是否已经注册并存入数据库中,再判断用户密码是否正确匹配,最后判断动态口令是否与注册时生成的口令正确匹配。
经用户输入的动态口令使用私钥解密,然后将变换后的IP地址和随机数还原,之后判断IP地址是否是企业认证的,且随机数是否与注册时的一致。具体过程如下:
其中,判断动态口令具体步骤如下:
获取封装为私钥的乘积n和模反元素d;
对于明文M经过加密
得到密文C;
将密文C解密为明文M,解密算法为:
其中,
表示明文M的e次方,
表示密文C的d次方,
表示对乘积n取模。
(2)等级权限校验模块,本发明设计了一种等级权限校验机制:“彩虹”等级机制,在这个机制中,不同的企业网络管理用户根据其职务和信用度的不同被授予不同的权限。具有较高权限的用户拥有更多的操作类型权限,同时还能监督比其权限低的用户,可以通过或拒绝低权限用户的一些不合理操作。用户的权限还会根据用户的信用度升高或降低。在用户进行操作时,系统会根据“彩虹”等级机制判断该用户所执行的操作是否符合其所在的等级权限。“彩虹”等级机制的设计如图4所示,具体包括:
(Ⅰ)初始用户分配等级1权限,仅能查看网络基本情况;
(Ⅱ)从等级2开始,用户对网络下发指令,等级越高允许下发的指令越多,用户拥有更多操作的权限;
(Ⅲ)从等级6开始,以上的用户拥有对低于等级6用户的监督权限;
(Ⅳ)从等级7开始,以上的用户拥有对低于等级7用户操作的审核权限;
(Ⅴ)低等级的用户操作不能直接下发,经指定等级的用户进行审核;
(Ⅵ)等级9用户拥有着账号封禁的权限;
(Ⅶ)等级7-9用户间进行相互监督;
(Ⅷ)用户等级通过用户的信用度动态调整,最高调整等级为6,最低的调整为账号被封禁。
示例性的,只有“彩虹”等级高于3的用户才具有改变路由的权限;只有“彩虹”等级高于5的用户才具有删除流表的权限;网络中所有用户都具有请求拓扑信息的权限。
作为可能的另一种实施方式,“彩虹”等级机制包括:
等级1用户仅可以查看网络基本情况,比如交换机数量、网络拓扑结构。
等级2用户允许查看网络基本情况,允许下发20条指令。
等级3用户允许查看网络基本情况,允许下发40条指令。
等级4用户允许查看网络基本情况,允许下发70条指令。
等级5用户允许查看网络基本情况,允许下发100条指令。
等级6用户允许查看网络基本情况,允许下发140条指令,允许删除流表,可以监督低于其等级的用户,删除其下发的流表。
等级7用户允许查看网络基本情况,允许下发180条指令,允许删除流表,拥有对低于其等级用户操作的审核权限。
等级8用户允许查看网络基本情况,无指令下发限制,允许删除流表,拥有对低于其等级用户操作的审核权限,拥有调整低于其等级用户等级的权限。
等级9用户允许查看网络基本情况,无指令下发限制,允许删除流表,拥有对低于其等级用户操作的审核权限,拥有调整低于其等级用户等级的权限,允许封禁低等级用户账号。
(3)规则匹配模块,根据企业网络内部管理规则、SDN网络规则的一致性判断方法等建立了三个安全规则匹配库,分别为冲突规则子库、规范性规则子库、合理性规则子库。其中采用的SDN网络规则的一致性判断方法包括:获取交换机的传输规则,执行传输路径还原操作得到实际传输路径;根据SDN网络中的流表获取得到预期传输路径;将实际传输路径和所述预期传输路径进行匹配处理;匹配处理通过时,判定SDN网络规则为一致状态;当所述匹配处理未通过时,判定所述SDN网络规则为不一致状态。
规则匹配库中冲突规则子库用以拒绝重复的操作行为,规范性规则子库用以拒绝不符合企业网络管理的操作行为,合理性规则子库用以拒绝不合理的操作行为。用户操作指令通过客户端下达至部署于应用层之上的安全防护系统,此时规则匹配模块对其进行规则匹配,进而对用户操作指令进行合理性检验。规则匹配与合理性检验总体流程如图5所示。
针对现实企业运营情况,企业SDN网络中具有数量庞大的管理规则与网络管理操作,所以规则库中也应具有大量的规则信息来适应企业对于网络管理的需求。因此需要实现对用户操作的快速检索匹配以实现企业运营的实时性要求。
本发明采用PMCT-tree索引算法,在规则匹配库内实现快速、准确的规则匹配。具有优先匹配目录的T树(priority match catalog T-tree, PMCT-tree)算法创建在已建立的T-tree索引基础上,它比原T树增加了一种多路分支目录(PMC)。经过实际验证,PMCT-tree算法在安全规则匹配库检索中的有效性和查询响应时间上性能良好。
PMCT-tree索引算法的详细过程包括:
步骤1,首先确定T树分块与分块节点:防护系统中已经根据企业网络内部管理规则、SDN网络规则的一致性判断方法建立三个安全规则匹配库(冲突规则子库、规范性规则子库、合理性规则子库)。基于建立的三个安全规则匹配库,将T-tree分为三个Rule block分块,每个分块中包含至多M个Rule node,每个Rule node即代表对应规则匹配库中的相应网络判定规则,分块节点数M与T-tree深度紧密相关。
步骤2,抽取边缘阈值及子块信息构造PMC:针对三个T-tree规则分块进行阈值提取,并根据各子块信息构造出一组多路分支树形结构,即优先匹配目录PMC(prioritymatch catalog)。
步骤3,结合PMC和T树进行待查关键字Kvalue索引匹配:收集企业用户的网络行为,提取其中的关键操作信息作为待查关键字Kvalue,Kvalue进入规则匹配库进行规则匹配,即检验其是否符合企业网络内部管理规则、SDN网络规则的一致性。通过快速检索,用户操作在短时间内完成三个规则匹配库的规则过滤。
(4)合理性校验模块,请求合理性校验是与规则匹配库搭配使用的,每当有操作到来时,请求合理性校验模块会调用规则匹配库,以此将用户操作与规则匹配库的三个子库进行匹配判断。当用户操作与三个规则匹配库都不冲突时,可认为此操作为合理的、可信的,将此操作放行;否则就拒绝此操作的放行,并上报给高级的系统管理员。
合理性校验模块原理流程如图6所示,具体包括:
步骤一,首先当用户输入操作指令后,请求合理性检验模块会调用规则匹配库,将用户的操作与三个规则匹配子库进行匹配判断,具体判断步骤为
步骤二,调用conflict_Judge函数判断操作指令是否冲突;
步骤三,调用standard_Judge函数判断操作指令是否规范;
步骤四,调用reasonable_Judge函数判断操作指令是否合理;
当用户操作与三个规则匹配库都不冲突时,可认为此操作为合理的、可信的,将此操作放行;如果用户操作与任何一个规则匹配子库冲突,则拒绝此操作的放行,并上报高级系统管理员。
(5)机器学习异常行为检测模块:机器学习异常行为检测模块分为显式异常行为检测和隐式异常行为检测两部分。其中,显示异常行为检测采用改进的加强学习型KNN算法,在KNN算法基础上进行改进,通过参数前向反馈进行加强学习,同时加入了异常行为判定算法,可以在短时间内检测出用户的大多数异常行为;对于隐式异常行为检测,使用LSTM神经网络与行为轨迹识别模型进行检测。
显式异常行为检测使用了一种改进的加强学习型KNN算法,可以对具有明显异常操作意图的行为进行检测,算法结构如图7所示。
示例性的,改进的加强学习型KNN算法在KNN算法基础上进行改进,通过参数前向反馈进行加强学习,同时加入了异常行为判定算法,可以在短时间内检测出用户的大多数异常行为。包括:
首先是数据的处理,对于实时收集的数据,在数据预处理时,提取出了可以区分用户行为的多个特征,比如每日用户发起访问请求的次数,用户访问敏感资源的次数和时间等。
为方便后续不同簇类之间距离的计算,将特征值进行了数字量化,同时将其映射到高维空间。在高维空间里,不同簇类之间距离的计算采用了欧式距离公式
,h为欧式距离,
表示两个簇类在n维空间的坐标位置;然后调整k值,每次K值的调整,模型会将K值、簇类的数量等参数计算一个奖励值传递到下一个KNN算法模型中,在下一个KNN模型中,根据奖励值再调整自己的参数,进而提升模型的识别精度,所述参数包括K值;
所述KNN算法模型包括:如果一个样本在特征空间中的K个最邻近的样本中的大多数属于某一个类别,则该样本也同样属于这个类别;其中,样本间距离的度量使用欧氏距离方式进行计算;
可以理解,加强学习型KNN判定模型的设计是在企业网络管理人员不知情的情况下,系统不定期地对用户行为进行动态分析判断,检测其是否存在异常行为。算法开始时会先运行经典的KNN算法对模型进行训练,会产生两种结果,如图8所示,包括:
(Ⅰ)算法对用户的正常行为进行了分类。
(Ⅱ)对用户的正常和异常行为进行了分类。
第一次KNN算法运行后将最终的参数传递给指定参数的KNN算法模型,针对上述两种结果此次运行的结果如下:
对于(Ⅰ),因为传递的参数中不包括异常行为的参数,所以运行指定参数的KNN模型时,一旦有异常的行为,便能产生异常的参数,行为判定算法会结合实际的人员和网络规划情况判定异常的行为是否是异常的。不定期运行算法训练模型产生的参数仍会得出一样的结果,所以可以实现对异常行为进行检测。
对于(Ⅱ),向前传递的参数中包括异常行为的参数,运行指定参数的KNN模型时初次运行时若不包含异常行为,则产生的参数会与传递参数不同,因此就能发现异常行为所在,通过行为判定算法可以判断其是否是异常行为;若初次运行包含异常行为,则初次运行时不能检测出异常行为,但基于这样一个事实“攻击者的异常行为是持续时间不长的、间断的”,不定期地运行此模型,当碰到不包含异常行为的数据时,之前异常的行为就能被发现,此时就可以进行追踪。
本发明中的改进KNN算法,采用无监督学习的方法,同时又结合了加强学习。对于实时收集的数据,在数据预处理时,提取出了可以区分用户行为的多个特征,为方便后续不同簇类之间距离的计算,将特征值进行了数字量化,同时将其映射到高维空间。在高维空间里,不同簇类之间距离的计算采用了欧式距离公式,在根据距离划分簇类时,着重关注的是算法中K值的选择。
其中,针对较小的K值虽然会减少学习的近似误差,但缺点是学习的误差会增大;较大的K值虽然可以减少学习的误差,但是会增大近似误差,这些都会降低最终预测结果的精度。所以算法中对于K值的确定采用了一种改进的方法,初始时设置一个较小的K值,在后续的模型训练中,不断调整K值的大小,直至达到一个较高的精度。同时每次K值的调整,模型会将K值、簇类的数量等参数计算一个奖励值传递到下一个KNN算法模型中,在下一个KNN模型中,根据奖励值再调整自己的参数,进而提升模型的识别精度。
需要说明的是,加强学习型KNN判定模型中的三个模块的不定期运行不是一致的,其中经典KNN算法模型运行的周期要长,一般为一天或者两天,前反馈参数KNN算法模型运行的周期为数小时,具体周期为几小时是随机的。此外,当有请求操作时,也会运行前反馈参数KNN算法模型,因为其参数已经确定,所以模型的运行速度很快,不会影响系统的正常运行。行为判定算法则是通过分析用户执行的操作类型、用户权限、所在网段、操作执行的频率等来判断异常行为是否属于异常行为。
隐式异常行为检测使用长短期记忆神经网络和注意力机制(LSTM-Attention)辨别用户的行为分类,提出了一种行为特征融合方法与一个行为轨迹特征检测模型,通过对用户周期性的行为轨迹进行相似性比较,找出隐藏在常规操作行为中的异常行为,并进行拦截。
示例性的,隐式异常行为检测如图9所示,包括:
(A)使用GloVe进行词向量训练,将用户行为事件转换成一系列的矩阵。
(B)使用LSTM-Attention模型对新事件进行识别,并完成编号。
(C)固定时间特征点融合:为不同因素设置不同的权重,根据融合公式C生成用户行为的特征点,特征融合公式为:
其中:
表示LSTM网络在时刻
的隐藏状态,
表示将LSTM网络中的单元状态融合到特征向量中的偏置,m表示特征点融合时不同因素的权重之和,
代表第t个特征因素的权重;
(D)用户行为可行域:在每个时间段,通过调整权重因子,计算出正常特征点的范围并对行为轨迹点进行记录,最终获得用户行为可行域。
(E)异常行为轨迹绘制:根据每个时间段内最大特征值点确定上确界事件,根据每个时间段内最小特征值点确定下确界事件,最终绘制异常行为轨迹图。
(F)隐式异常行为检测:绘制一周内的用户行为轨迹图,每天的行为轨迹图绘制完成后,使用轨迹比较方法进行曲线相似性比较,如果行为轨迹与可行域范围差距大于一个阈值β就进行报警等操作。
在本发明实施例中,控制器交互业务模块2有两个功能子模块——交换机交互模块和客户端交互模块。交换机交互模块负责控制器与交换机设备之间的通信,包括ODL控制器获取网络拓扑信息和下达流表至交换机;客户端交互模块负责控制器与客户端之间的通信,包括用户通过客户端执行网络管理操作至ODL控制器和ODL控制器将网络设备信息反馈至客户端进行可视化展示。控制器交互业务模块2完全接管控制器南北向接口,除通过系统的访问外,不允许以其他任何方式访问控制器。
OpenDaylight架构分为南向接口层、控制平面层、北向接口层和网络应用层,而控制器交互业务模块2主要包含了对ODL控制器的南北向接口调用。ODL南向接口层包含多种协议插件,如OpenFlow 1.0、OpenFlow 1.3、OVSDB、NETCONF、LISP、BGP、PCEP和SNMP等;北向接口层可扩展性强,包含开放API接口(包括RESTAPI和OSGI)和认证模块,REST型API用于松耦合应用,OSGI型用于紧耦合应用。控制器交互业务模块2对于ODL南北向接口的具体调用方法如下图10所示。
在南向接口层选用OpenFlow实现与交换机设备的交互,经过安全防护业务模块1优化后的用户操作指令到达时,控制器交互模块会根据指令的内容将其转换为流表,再调用南向接口层的对应的API接口将流表下发至交换机,同时返回流表下发的状态。
在北向接口层选用REST型API,REST型API用于松耦合应用,系统设计时采用模块化设计,模块间采用高内聚、低耦合的设计原则,在获取网络设备信息时使用REST型API与低耦合设计原则相契合。另外,使用基于表述性状态传递(REST)应用程序编程接口不会对网络造成负载,免去了大量的网络开销,并且可以简便快捷地实现网络层状态的获取和管理,且易拓展开发,具有很强的拓展性。基于Spring Boot开发的客户端调用REST API接口从ODL中获取网络拓扑JSON格式信息,进而从JSON信息中解析出设备信息,链路信息和连接信息,最后绘制拓扑并将网络拓扑、设备信息、流表信息、用户操作信息进行可视化展示。
示例性的,OpenFlow实现与交换机设备的交互包括:
步骤1.1,控制器连接到Openflow交换机,并且与交换机建立安全通道;
步骤1.2,控制器向OpenFlow交换机发送Feature Request消息,以获取交换机的信息,例如支持的OpenFlow协议版本和交换机的特性;
步骤1.3,交换机收到Feature Request消息后,会回复Feature Reply消息,告诉控制器交换机的版本和支持的特性,以便控制器可以根据交换机的特性进行相应的配置;
步骤1.4,控制器向交换机发送Packet-in消息,当交换机接收到一个数据包,但是交换机表中没有一个匹配规则来处理这个数据包时,就会发送该消息给控制器。
步骤1.5,控制器向交换机发送Flow-mod消息来下发流表项到交换机,使得交换机可以根据流表匹配规则对收到的数据包进行处理;
步骤1.6,控制器还可以向交换机发送其他类型的消息,例如Port-mod消息来改变交换机端口的状态。
在本发明实施例中,可视化展示业务模块3主要对网络实时运行状态、网络设备与网络策略复数关系、网络故障情况进行展示。其中在SpringBoot框架下使用vis.js进行网络拓扑的绘制,使用Neo4j图数据库和Echars工具库进行知识图谱的绘制,展现网络设备与网络中部署的策略之间的关系。
具体的,可视化展示业务模块3有三个子模块——分别进行网络实时运行状态、网络设备与网络策略附属关系、故障信息的可视化,负责收集并统计网络运行中的一些重要数据并加以分析,最终反馈到前端进行展示。有经验的网络管理员可以分析判断网络运行是否安全,有哪些地方容易受到攻击等,为攻击防御提供借鉴信息。
可以理解,所述收集并统计网络运行中的一些重要数据并加以分析即把一些数据用图绘制了出来,比如告警信息统计(曲线图),交换机分布(饼图)等。
示例性的,所述可视化展示业务模块3采用SpringMVC Web设计模式并基于SpringBoot框架开发,使用vis.js进行网络拓扑的绘制,使用Neo4j图数据库和Echars工具库进行知识图谱的绘制。前端界面展示主要包括主管理界面、网络拓扑界面、展示网络设备与网络策略之间关联的信息图谱界面、路由故障信息界面、流表下发界面、流表删除界面。使用Neo4j图数据库技术构建网络设备与网络指令的信息图谱,展现网络设备与网络中部署的策略之间的关系。在构建知识图谱时,先对原始结构化数据进行数据整合,之后在数据中进行知识抽取,主要的有网络中的设备知识、已部署的策略知识等。完成知识抽取后,信息图谱中已经可以初步表示基本知识,之后再对里面的知识进行实体对齐,主要操作有实体消歧和共指消解。完成此步之后,就可以将数据存入Neo4j图数据库中。系统从图数据库中拿取到消息后,进行一次质量评估,之后在前端界面进行知识图谱的展示,总体构建思路如图11所示。
实施例3,作为本发明的另一种实施方式,如图12所示,本发明实施例提供的基于SDN控制器的企业网络安全防护方法通过口令认证、指令过滤和基于机器学习的异常行为检测实现对SDN控制器的安全防护;借助OpenDaylight控制器的REST API北向接口将实时网络状态展示在前端界面;通过客户端实现管理员用户对网络的控制管理,同时借助OpenDaylight控制器南向接口的OpenFlow协议下发流表到交换机。
具体包括以下步骤:
S101,结合企业认证的ip地址,利用RSA加密算法生成动态口令验证用户身份;
S102,经动态口令认证后的用户,利用彩虹等级机制,赋予用户不同的权限;对用户下发的操作指令使用PMCT-tree索引算法,在规则匹配库内进行规则匹配,同时不定期地对用户行为进行动态分析判断;
S103,基于动态分析判断的用户行为,检测是否存在显式或隐式的异常行为;采用改进的加强学习型KNN算法,通过参数前向传递和增加异常行为判定算法检测用户的显式异常行为;使用长短期记忆神经网络和注意力机制(LSTM-Attention)辨别用户的行为分类,对异常行为轨迹的相似性进行比较,检测出隐藏在常规操作行为中的隐式异常行为。
S104,利用OpenDaylight控制器的REST API北向接口将实时SDN网络状态展示在客户端的前端界面,同时利用OpenDaylight控制器南向接口的OpenFlow协议下发流表到交换机。
实施例性的,步骤S104进一步包括:
(1)opendaylight部署:OpenDaylight控制器(ODL控制器)是目前主流的SDN控制器,OpenDaylight基本架构为三层架构,主要包括开放的北向API、控制器平面,以及南向接口和南向协议插件。其中北向接口层包含了开放的REST API接口及AAA认证部分,应用层是基于OpenDaylight北向接口层的接口所开发出的应用集合。基于此特性,本安全防护系统完全接管控制器北向接口,除通过系统的访问外,不允许其他任何方式访问控制器。考虑到开发效率及便利性,将控制器放在宿主机,配置完成后启动OpenDaylight控制器。
(2)openflow协议:OpenFlow协议是一种用于SDN(软件定义网络)的开放式网络协议,它规定了控制器和交换机之间的通信方式和数据格式。OpenFlow协议将数据包处理与路由逻辑分离开来,使得网络管理员可以根据需求动态地配置网络流量路径、策略和服务质量等。
具体来说,OpenFlow协议定义了以下三个主要部分:
1、控制器-交换机接口;OpenFlow协议规定了SDN控制器和交换机之间的接口协议,包括消息类型、格式、数据元素等,以实现控制器对交换机的远程管理和控制。
2、流表规则;OpenFlow协议还规定了交换机中的流表规则格式和匹配规则,以确定数据包的转发路径和行为。流表规则由多个域组成,如源地址、目的地址、端口号、协议类型等,可以灵活地配置多种类型的流量。
3、控制器应用程序;OpenFlow协议支持控制器应用程序的开发和部署,以实现网络管理和控制功能。控制器应用程序可以利用OpenFlow协议提供的接口和信息,动态地配置流表规则、监控网络状态、实现负载均衡、安全防御等功能。
需要注意的是,OpenFlow协议只定义了SDN控制器和交换机之间的通信协议和数据格式,而并不规定网络拓扑结构和路由算法。在实际应用中,需要根据具体的网络环境和需求进行设计和配置,以实现最优化的网络管理和控制。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
上述装置/单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程。
基于上述本发明实施例记载的技术方案,进一步的可提出以下应用例。
根据本申请的实施例,本发明还提供了一种计算机设备,该计算机设备包括:至少一个处理器、存储器以及存储在所述存储器中并可在所述至少一个处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意各个方法实施例中的步骤。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时可实现上述各个方法实施例中的步骤。
本发明实施例还提供了一种信息数据处理终端,所述信息数据处理终端用于实现于电子装置上执行时,提供用户输入接口以实施如上述各方法实施例中的步骤,所述信息数据处理终端不限于手机、电脑、交换机。
本发明实施例还提供了一种服务器,所述服务器用于实现于电子装置上执行时,提供用户输入接口以实施如上述各方法实施例中的步骤。
本发明实施例还提供了一种计算机程序产品,当计算机程序产品在电子设备上运行时,使得电子设备执行时可实现上述各个方法实施例中的步骤。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random AccessMemory,RAM)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
为进一步证明上述实施例的积极效果,本发明基于上述技术方案进行如下实验。
本发明要解决企业SDN网络面临的如下安全问题:
1、攻击目标特殊性:针对SDN网络的入侵攻击不同于针对传统网络的入侵攻击,此类入侵攻击更多的是针对SDN架构的一些特性实施,传统的安全防护设备和防护手段无法有效识别和抵御此类入侵攻击,所以要设计专门的策略和方法以应对此类入侵攻击;
2、难以发现异常攻击:在传统网络中,攻击者在发起攻击时首先会对网络进行较长时间的信息探测和入侵研究。而在SDN网络中,只要获得SDN控制器的操作权限,探测和入侵时间将会被极大地缩短,因此异常攻击难以被发现,降低了整个网络的安全性能;
3、管理员操作异常:随着SDN网络规模的日益增大,管理人员在进行策略部署时难以避免因操作失误而下发不合理的策略流表;同时,企业内部有时缺乏严格的运维与管理机制,错误流表不能被及时拦截,为SDN网络的安全埋下了隐患,威胁着企业的正常运行和数据安全;
4、内部攻击肆虐:研究表明,部分网络入侵攻击是从企业内部发起的。企业内部的入侵攻击是最难发现与抵御的,通常在发现之前整个入侵攻击过程已经完成了,若不能及时发现这些攻击行为,内部攻击将会持续对企业网络造成破坏;
5、应用层之上防护欠缺:在SDN网络中,应用层以上的安全防护研究极少,恰恰SDN网络的管理与运维大都以应用程序(应用层之上)的方式进行,所以在SDN网络中针对应用层之上的安全防护研究具有很大的意义与应用价值。
基于以上安全问题,需要进行的技术方案包括:采用RSA加密和企业认定IP绑定的方式进行用户授权认证;设计一种等级权限校验机制——“彩虹”等级机制对用户进行细粒度的权限等级划分;建立三个安全规则匹配库对用户进行请求合理性检验;通过机器学习算法对用户的显式或隐式异常行为进行检测。
如今企业的数据安全变得极为重要,对于部分企业来说数据就是他们最珍贵的财富,所以在使用任何新技术、新设备时,首先要考虑的就是安全性问题。而数据的安全是依托企业网络的安全来实现的,没有企业网络的安全,那么企业数据的安全不能有效保障。针对传统网络安全防护手段在SDN网络中的不足,设计并实现了一个符合SDN网络特性的安全防护系统。此系统从用户授权认证、用户等级权限校验、人员操作合理性检验、异常行为拦截、网络运行状态可视化、网络路由故障统计几个方面对企业SDN网络进行安全防护,保证企业网络的安全稳定运行,保障企业内部数据的安全。
本发明是对传统防护策略的补充和加强,从外部非法用户拦截、内部人员操作检测过滤、用户等级权限校验三个方面加强对企业的SDN网络防护,确保企业的网络安全。如今针对SDN网络的专门安全防护研究较少,特别是针对控制器的安全防护研究就更少,所以本发明的应用具有一定的先进性和实时性,在实际应用中具有非常重要的理论和实践意义。
具体的,本发明进一步获得以下效果:
1)在应用层针对SDN控制器进行安全防护:针对SDN控制器在企业网络中面临的安全威胁提出相应防护策略,将安全防护系统置于应用层之上,将安全防护软件内嵌于网络管理系统中,实现对全局网络的控制。与传统防护策略中的接受、检测、处理不同,本安全防护机制在流表到达SDN控制器之前就将用户异常操作进行优化过滤,进一步加强对控制器的安全防护,保障SDN网络的安全,实现企业网络的集中管理与控制,更可以在控制器或上层应用灵活定制网络功能,更好地满足企业网络的需求;
2)提出“彩虹”等级权限管理机制实现企业内网管理:提出“彩虹”等级权限管理机制,在这个机制中,不同的企业网络管理用户根据其职务和信用度的不同被授予不同的权限。具有较高权限的用户拥有更多的操作类型权限,同时还能监督比其权限低的用户,可以同意或否定低权限用户的一些不合理操作。另外,用户的权限还会根据用户的信用度的变动而自动调整。在用户进行操作时,系统会根据“彩虹”等级机制判断该用户所执行的操作是否符合其所在的等级权限,进而通过对用户权限验证和权限分级管理实现对企业内网中用户异常行为和操作失误的安全防护;
3)基于机器学习算法的用户异常行为检测:采用显式异常行为检测与隐式异常行为检测相结合的方式,更加精确和高效地实现了对于异常行为的检测和过滤。其中,显式检测中的KNN算法模型通过参数前向传递和增加异常行为判定算法,使得系统能够在短时间内发现用户的非法行为和异常行为。在该优化算法中,经典KNN模型、前反馈参数KNN算法模型和用户行为判定模型不定期不定间隔运行,从而在提高异常行为检测精度的同时缩短检测时间,同时强化学习KNN模型通过参数前反馈的方式可以实现用户工作地域变化时模型的自适应变化,确保模型的精确性,同时提高了在训练数据较少的情况下异常行为的识别精度;隐式检测中的LSTM-Attention算法模型基于行为特征融合方法和行为轨迹特征检测方法,实现异常行为轨迹的相似性比较,从而更加精准的检测出隐藏在常规操作行为中的异常行为,大大提高了检测过程的精确性和高效性。显式检测与隐式检测相结合,使得系统能够在网络攻击发生之前将其拦截,极大地保护了企业的网络安全与数据安全;
4)使用PMCT-tree算法实现快速规则匹配:PMCT-tree算法的最大特点是把多路分支目录的思想融合到T树中,将T树节点中的临界信息提取压缩,构造出一个层次较小的目录结构,查询时先搜索目录确定关键值被包含的T树块范围再在对应的T树块中匹配,可以减少比较次数,达到快速查询的目的。因此本发明采用PMCT-tree索引算法,可以快速地、准确地在规则匹配库内进行规则查找。PMCT-tree算法的查询策略是通过减少比较次数,以达到快速查询的目的,适用于创建索引数据量相对较大的情况,满足企业SDN网络中具有数量庞大的管理规则与网络管理操作的应用需求。PMCT-tree算法在安全规则匹配库检索中的有效性和查询响应时间上性能良好。通过快速检索,用户操作在短时间内完成三个规则匹配库的规则过滤;
5)基于Neo4j技术构建知识图谱展示网络部署:Neo4j是一个高性能的图形数据库,它将结构化数据存储在网络(从数学角度叫做图)上而不是表中。知识图谱是结构化的语义知识库,提供了一种更好的组织、管理和理解网络部署信息的能力。与传统表格形式相比,使用Neo4j图数据库构建的知识图谱来展示网络设备与设备上具有的指令之间的关系,迅速描述网络拓扑中的交换机设备与其上流表的附属关系,将数据粒度从document级别降到data级别,将网络部署信息表达成更接近于人类认知世界的形式。这样可以实现网络部署信息的快速响应和推理,使网络管理员更加明显地看出网络中的一些关键节点,也能更加清晰地分析出网络中容易遭受到攻击的节点,为网络的安全防御提供借鉴知识。
6)本发明以某油田整个网络为对象,提出应用层的异常访问识别与拦截技术和控制层的异常攻击检测技术,实现了油田企业网络控制层的安全防护。实现了油田企业网络集中控制层由原来的低安全、分散管理变为集中管理与防护控制,网络控制层受到攻击后60秒内自动报警、自动阻断,减少人工运维成本,提高企业管理效率;现有技术绝大部分是针对应用层以下的安全防护,并且都有了很成熟的商业产品。但是针对应用层之上的研究较少,相应的产品也比较少,特别是专门针对SDN控制器及其特性的安全防护研究相对较少,所以本发明具有较大的研究与应用意义。
以上所述,仅为本发明较优的具体的实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种基于SDN控制器的企业网络安全防护方法,其特征在于,该方法包括以下步骤:
S1,结合企业认证的ip地址,利用RSA加密算法生成动态口令,验证用户身份;
S2,经动态口令认证后的用户,利用彩虹等级机制,赋予用户不同的权限;对用户下发的操作指令使用PMCT-tree索引算法,在规则匹配库内进行规则匹配,同时不定期地对用户行为进行动态分析判断;
S3,基于动态分析判断的用户行为,检测是否存在显式或隐式的异常行为;采用改进的加强学习型KNN算法,通过参数前向传递和增加异常行为判定算法检测用户的显式异常行为;使用长短期记忆神经网络和注意力机制辨别用户的行为分类,对异常行为轨迹的相似性进行比较,检测出隐藏在常规操作行为中的隐式异常行为;利用OpenDaylight控制器的REST API北向接口将实时SDN网络状态展示在客户端的前端界面,同时利用OpenDaylight控制器南向接口的OpenFlow协议下发流表到交换机。
2.根据权利要求1所述的基于SDN控制器的企业网络安全防护方法,其特征在于,在步骤S1中,生成动态口令包括:
(a)将IP地址和随机数转换为两个素数,分别记为p和q;
(b)计算素数p和素数q的乘积n,表达式为:
(c)计算乘积n的欧拉函数
,表达式为:
(d)随机选择一个与欧拉函数
互质的整数e,满足:
式中,
表示整数e与欧拉函数
的最大公约数;
(e)计算整数e与n的模反元素d,满足:
式中,
表示求模运算;
(f)将乘积n和整数e封装成公钥,将乘积n和模反元素d封装成私钥。
3.根据权利要求1所述的基于SDN控制器的企业网络安全防护方法,其特征在于,在步骤S1中,验证用户身份包括:
判断是否存在这个用户,再判断用户的密码是否匹配,以及判断生成的动态口令是否正确,判断动态口令时,经用户输入的动态口令使用私钥解密,然后将变换后的IP地址和随机数还原,之后判断IP地址是否为企业认证地址,且随机数是否与注册时一致;
其中,判断动态口令具体步骤如下:
获取封装为私钥的乘积n和模反元素d;
对于明文M经过加密
得到密文C;
将密文C解密为明文M,解密算法为:
其中,
表示明文M的e次方,
表示密文C的d次方,
表示对乘积n取模。
4.根据权利要求1所述的基于SDN控制器的企业网络安全防护方法,其特征在于,在步骤S2中,彩虹等级机制包括:
(Ⅰ)初始用户分配等级1权限,仅能查看网络基本情况;
(Ⅱ)从等级2开始,用户对网络下发指令,等级越高允许下发的指令越多,用户拥有更多操作的权限;
(Ⅲ)从等级6开始,以上的用户拥有对低于等级6用户的监督权限;
(Ⅳ)从等级7开始,以上的用户拥有对低于等级7用户操作的审核权限;
(Ⅴ)低等级的用户操作不能直接下发,经指定等级的用户进行审核;
(Ⅵ)等级9用户拥有着账号封禁的权限;
(Ⅶ)等级7-9用户间进行相互监督;
(Ⅷ)用户等级通过用户的信用度动态调整,最高调整等级为6,最低的调整为账号被封禁。
5.根据权利要求1所述的基于SDN控制器的企业网络安全防护方法,其特征在于,在步骤S2中,PMCT-tree索引算法包括:
步骤1,确定T树分块与分块节点:对利用企业网络内部管理规则、SDN网络规则的一致性方法建立的三个安全规则匹配库,将T-tree分为三个Rule block分块,每个分块中包含至多M个Rule node,每个Rule node对应规则匹配库中的相应网络判定规则;
步骤2,抽取边缘阈值及子块信息构造PMC:对三个T-tree规则分块进行阈值提取,并根据各子块信息构造出一组多路分支树形结构PMC;
步骤3,结合PMC和T树进行待查关键字Kvalue索引匹配:收集用户的网络操作行为,提取关键操作信息作为待查关键字Kvalue,Kvalue进入规则匹配库进行规则匹配,检验是否符合企业网络内部管理规则、SDN网络规则的一致性。
6.根据权利要求5所述的基于SDN控制器的企业网络安全防护方法,其特征在于,收集用户的网络操作行为后进行合理性校验,具体包括:
步骤一,当用户输入操作指令后,请求调用规则匹配库,将用户的操作与三个规则匹配子库进行匹配判断;
步骤二,调用conflict_Judge函数判断操作指令是否冲突;
步骤三,调用standard_Judge函数判断操作指令是否规范;
步骤四,调用reasonable_Judge函数判断操作指令是否合理。
7.根据权利要求1所述的基于SDN控制器的企业网络安全防护方法,其特征在于,在步骤S3中,改进的加强学习型KNN算法包括:
步骤a、数据处理;对于实时收集的数据,在数据预处理时,提取出区分用户行为的多个特征;将特征值进行数字量化,同时映射到高维空间,在高维空间里,不同簇类之间距离的计算采用欧式距离公式为:
式中,h为欧式距离,
表示两个簇类在n维空间的坐标位置;
步骤b、调整k值;每次K值的调整,将K值、簇类的数量参数计算一个奖励值传递到下一个KNN算法模型中,在下一个KNN模型中,根据奖励值再调整包括K值的参数;所述KNN算法模型包括:如果一个样本在特征空间中的K个最邻近的样本中的大多数属于某一个类别,则该样本也同样属于这个类别;其中,样本间距离的度量使用欧氏距离方式进行计算。
8.根据权利要求1所述的基于SDN控制器的企业网络安全防护方法,其特征在于,在步骤S3中,使用长短期记忆神经网络和注意力机制辨别用户的行为分类,对异常行为轨迹的相似性进行比较,检测出隐藏在常规操作行为中的隐式异常行为包括:
(A)使用GloVe进行词向量训练,将用户行为事件转换成一系列的矩阵;
(B)使用LSTM-Attention模型对新事件进行识别,并完成编号;
(C)固定时间特征点融合:为不同因素设置不同的权重,根据融合公式C生成用户行为特征点,特征融合公式为:
其中:
表示LSTM网络在时刻
的隐藏状态,
表示将LSTM网络中的单元状态融合到特征向量中的偏置,m表示特征点融合时不同因素的权重之和,
代表第t个特征因素的权重;
(D)用户行为可行域:在每个时间段,通过调整权重因子,计算出正常特征点的范围并对行为轨迹点进行记录,最终获得用户行为可行域;
(E)异常行为轨迹绘制:根据每个时间段内最大特征值点确定上确界事件,根据每个时间段内最小特征值点确定下确界事件,最终绘制异常行为轨迹图;
(F)隐式异常行为检测:绘制一周内的用户行为轨迹图,每天的行为轨迹图绘制完成后,使用轨迹比较方法进行曲线相似性比较,如果行为轨迹与可行域范围差距大于一个阈值
就进行报警操作。
9.一种基于SDN控制器的企业网络安全防护系统,其特征在于,实施权利要求1-8任意一项所述基于SDN控制器的企业网络安全防护方法,该系统包括:
安全防护业务模块(1),用于在用户操作指令到达控制器前对各网络行为进行分析处理,采用用户授权认证、等级权限校验、规则匹配、合理性校验和基于机器学习的异常行为检测对生成的口令进行检测、过滤、优化,将优化后的指令传送至控制器;
交互业务模块(2),包括交换机交互模块,负责控制器与交换机设备之间的通信,包括ODL控制器获取网络拓扑信息和下达流表至交换机;
客户端交互模块负责控制器与客户端之间的通信,包括用户通过客户端执行网络管理操作至ODL控制器和ODL控制器将网络设备信息反馈至客户端进行可视化展示;
可视化展示业务模块(3),用于对网络实时运行状态、网络设备与网络策略复数关系、网络故障情况进行展示;在SpringBoot框架下使用vis.js进行网络拓扑的绘制,使用Neo4j图数据库和Echars工具库进行知识图谱的绘制,展现网络设备与网络中部署的策略之间的关系。
10.根据权利要求9所述的基于SDN控制器的企业网络安全防护系统,其特征在于,所述安全防护业务模块(1)包括:
用户授权认证模块,在用户注册时采用RSA加密和企业认定IP绑定的方式生成动态验证口令,在登陆检查时验证IP信息是否与注册时一致;
等级权限校验模块,利用彩虹判断该用户所执行的操作是否符合所在的等级权限;
规则匹配模块,根据企业网络内部管理规则、SDN网络规则的一致性判断方法建立三个安全规则匹配库,采用PMCT-tree索引算法,在规则匹配库内进行规则匹配;
合理性校验模块,调用规则匹配库,将用户操作与规则匹配库的三个子库进行匹配判断;
机器学习用户恶意行为检测模块,采用改进的加强学习型KNN算法,通过参数前向反馈进行加强学习,同时加入恶意行为判定算法,检测出用户的恶意行为;对于隐式恶意行为检测,使用LSTM神经网络与行为轨迹识别模型进行检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310504934.8A CN116232770B (zh) | 2023-05-08 | 2023-05-08 | 一种基于sdn控制器的企业网络安全防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310504934.8A CN116232770B (zh) | 2023-05-08 | 2023-05-08 | 一种基于sdn控制器的企业网络安全防护系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116232770A true CN116232770A (zh) | 2023-06-06 |
| CN116232770B CN116232770B (zh) | 2023-07-21 |
Family
ID=86587645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310504934.8A Active CN116232770B (zh) | 2023-05-08 | 2023-05-08 | 一种基于sdn控制器的企业网络安全防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116232770B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117176478A (zh) * | 2023-11-02 | 2023-12-05 | 南京怡晟安全技术研究院有限公司 | 基于用户操作行为的网络安全实训平台构建方法及系统 |
| CN117896121A (zh) * | 2023-12-29 | 2024-04-16 | 北京网藤科技有限公司 | 基于工业网络用户行为学习模型的异常检测方法和系统 |
Citations (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060026681A1 (en) * | 2004-07-29 | 2006-02-02 | Zakas Phillip H | System and method of characterizing and managing electronic traffic |
| CN103516522A (zh) * | 2013-10-12 | 2014-01-15 | 湖南科技大学 | 一种基于零知识证明协议的芯核水印盲检测方法 |
| CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
| US20160112397A1 (en) * | 2014-10-16 | 2016-04-21 | Ca, Inc. | Anomaly detection for access control events |
| US9516053B1 (en) * | 2015-08-31 | 2016-12-06 | Splunk Inc. | Network security threat detection by user/user-entity behavioral analysis |
| CN106411568A (zh) * | 2016-08-30 | 2017-02-15 | 同济大学 | 基于规则冲突的sdn网络状态更新方法及系统 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110266728A (zh) * | 2019-07-17 | 2019-09-20 | 杨鲲 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
| CN110704728A (zh) * | 2019-09-06 | 2020-01-17 | 北京达佳互联信息技术有限公司 | 信息推荐的方法、装置、电子设备及存储介质 |
| CN110753038A (zh) * | 2019-09-29 | 2020-02-04 | 武汉大学 | 一种异常检测自适应权限控制系统及方法 |
| US20200106797A1 (en) * | 2015-12-15 | 2020-04-02 | Flying Cloud Technologies, Inc. | Data Surveillance for Privileged Assets on a Computer Network |
| CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关系统、方法及部署架构 |
| CN111209168A (zh) * | 2020-01-14 | 2020-05-29 | 中国人民解放军陆军炮兵防空兵学院郑州校区 | 一种基于nLSTM-self attention的日志序列异常检测框架 |
| CN111431763A (zh) * | 2020-03-18 | 2020-07-17 | 紫光云技术有限公司 | Sdn控制器的一种连通性检测方法 |
| CN112347498A (zh) * | 2020-12-01 | 2021-02-09 | 南阳理工学院 | 一种加密方法、装置、电子设备及可读存储介质 |
| CN112364328A (zh) * | 2020-12-09 | 2021-02-12 | 国网河北省电力有限公司电力科学研究院 | 一种计算机网络信息安全监护系统 |
| CN112769823A (zh) * | 2021-01-07 | 2021-05-07 | 北京码牛科技有限公司 | 一种基于信息管理的安全网络审计方法及系统 |
| CN112905421A (zh) * | 2021-03-18 | 2021-06-04 | 中科九度(北京)空间信息技术有限责任公司 | 基于注意力机制的lstm网络的容器异常行为检测方法 |
| US20220060509A1 (en) * | 2015-10-28 | 2022-02-24 | Qomplx, Inc. | Privilege assurance of enterprise computer network environments using lateral movement detection and prevention |
| CN114189545A (zh) * | 2021-12-16 | 2022-03-15 | 北京宏天信业信息技术股份有限公司 | 一种互联网用户行为大数据分析方法及系统 |
| CN114978667A (zh) * | 2022-05-17 | 2022-08-30 | 安捷光通科技成都有限公司 | 一种基于图神经网络的SDN网络DDoS攻击检测方法 |
| CN114978584A (zh) * | 2022-04-12 | 2022-08-30 | 深圳市蔚壹科技有限公司 | 基于单位单元的网络安全防护安全方法及系统 |
| CN115104288A (zh) * | 2020-06-10 | 2022-09-23 | 辉达公司 | 使用客户端托管的神经网络的行为建模 |
| CN115189927A (zh) * | 2022-06-24 | 2022-10-14 | 华北电力大学 | 一种基于零信任的电力网络安全防护方法 |
| US20220417273A1 (en) * | 2021-06-24 | 2022-12-29 | Microsoft Technology Licensing, Llc | Anomalous action security assessor |
| CN115913625A (zh) * | 2022-09-28 | 2023-04-04 | 中国建设银行股份有限公司 | 信息处理方法、装置、设备、介质及产品 |
| CN115996146A (zh) * | 2022-12-19 | 2023-04-21 | 华中科技大学 | 数控系统安全态势感知与分析系统、方法、设备及终端 |
-
2023
- 2023-05-08 CN CN202310504934.8A patent/CN116232770B/zh active Active
Patent Citations (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060026681A1 (en) * | 2004-07-29 | 2006-02-02 | Zakas Phillip H | System and method of characterizing and managing electronic traffic |
| CN103516522A (zh) * | 2013-10-12 | 2014-01-15 | 湖南科技大学 | 一种基于零知识证明协议的芯核水印盲检测方法 |
| CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
| US20160112397A1 (en) * | 2014-10-16 | 2016-04-21 | Ca, Inc. | Anomaly detection for access control events |
| US9516053B1 (en) * | 2015-08-31 | 2016-12-06 | Splunk Inc. | Network security threat detection by user/user-entity behavioral analysis |
| US20220060509A1 (en) * | 2015-10-28 | 2022-02-24 | Qomplx, Inc. | Privilege assurance of enterprise computer network environments using lateral movement detection and prevention |
| US20200106797A1 (en) * | 2015-12-15 | 2020-04-02 | Flying Cloud Technologies, Inc. | Data Surveillance for Privileged Assets on a Computer Network |
| CN106411568A (zh) * | 2016-08-30 | 2017-02-15 | 同济大学 | 基于规则冲突的sdn网络状态更新方法及系统 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110266728A (zh) * | 2019-07-17 | 2019-09-20 | 杨鲲 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
| CN110704728A (zh) * | 2019-09-06 | 2020-01-17 | 北京达佳互联信息技术有限公司 | 信息推荐的方法、装置、电子设备及存储介质 |
| CN110753038A (zh) * | 2019-09-29 | 2020-02-04 | 武汉大学 | 一种异常检测自适应权限控制系统及方法 |
| CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关系统、方法及部署架构 |
| CN111209168A (zh) * | 2020-01-14 | 2020-05-29 | 中国人民解放军陆军炮兵防空兵学院郑州校区 | 一种基于nLSTM-self attention的日志序列异常检测框架 |
| CN111431763A (zh) * | 2020-03-18 | 2020-07-17 | 紫光云技术有限公司 | Sdn控制器的一种连通性检测方法 |
| CN115104288A (zh) * | 2020-06-10 | 2022-09-23 | 辉达公司 | 使用客户端托管的神经网络的行为建模 |
| CN112347498A (zh) * | 2020-12-01 | 2021-02-09 | 南阳理工学院 | 一种加密方法、装置、电子设备及可读存储介质 |
| CN112364328A (zh) * | 2020-12-09 | 2021-02-12 | 国网河北省电力有限公司电力科学研究院 | 一种计算机网络信息安全监护系统 |
| CN112769823A (zh) * | 2021-01-07 | 2021-05-07 | 北京码牛科技有限公司 | 一种基于信息管理的安全网络审计方法及系统 |
| CN112905421A (zh) * | 2021-03-18 | 2021-06-04 | 中科九度(北京)空间信息技术有限责任公司 | 基于注意力机制的lstm网络的容器异常行为检测方法 |
| US20220417273A1 (en) * | 2021-06-24 | 2022-12-29 | Microsoft Technology Licensing, Llc | Anomalous action security assessor |
| CN114189545A (zh) * | 2021-12-16 | 2022-03-15 | 北京宏天信业信息技术股份有限公司 | 一种互联网用户行为大数据分析方法及系统 |
| CN114978584A (zh) * | 2022-04-12 | 2022-08-30 | 深圳市蔚壹科技有限公司 | 基于单位单元的网络安全防护安全方法及系统 |
| CN114978667A (zh) * | 2022-05-17 | 2022-08-30 | 安捷光通科技成都有限公司 | 一种基于图神经网络的SDN网络DDoS攻击检测方法 |
| CN115189927A (zh) * | 2022-06-24 | 2022-10-14 | 华北电力大学 | 一种基于零信任的电力网络安全防护方法 |
| CN115913625A (zh) * | 2022-09-28 | 2023-04-04 | 中国建设银行股份有限公司 | 信息处理方法、装置、设备、介质及产品 |
| CN115996146A (zh) * | 2022-12-19 | 2023-04-21 | 华中科技大学 | 数控系统安全态势感知与分析系统、方法、设备及终端 |
Non-Patent Citations (4)
| Title |
|---|
| 杨月江;傅贵;: "基于代数方法的概率报文标注算法研究", 微电子学与计算机, no. 01 * |
| 林玉广;张恒;: "基于机器学习的客户信息安全防护研究", 电信技术, no. 07 * |
| 王振辉;王振铎;姚全珠;: "信息系统内部威胁检测技术研究", 计算机系统应用, no. 12 * |
| 郑明辉;吕经华;: "基于机器学习的企业私有云用户行为分析模型", 中南民族大学学报(自然科学版), no. 03 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117176478A (zh) * | 2023-11-02 | 2023-12-05 | 南京怡晟安全技术研究院有限公司 | 基于用户操作行为的网络安全实训平台构建方法及系统 |
| CN117176478B (zh) * | 2023-11-02 | 2024-02-02 | 南京怡晟安全技术研究院有限公司 | 基于用户操作行为的网络安全实训平台构建方法及系统 |
| CN117896121A (zh) * | 2023-12-29 | 2024-04-16 | 北京网藤科技有限公司 | 基于工业网络用户行为学习模型的异常检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116232770B (zh) | 2023-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zolanvari et al. | Machine learning-based network vulnerability analysis of industrial Internet of Things | |
| Tange et al. | A systematic survey of industrial Internet of Things security: Requirements and fog computing opportunities | |
| Banerjee et al. | A blockchain future for internet of things security: a position paper | |
| US11418523B2 (en) | Artificial intelligence privacy protection for cybersecurity analysis | |
| CN113591119B (zh) | 跨域标识解析节点数据隐私保护与安全共享方法及系统 | |
| CN116232770B (zh) | 一种基于sdn控制器的企业网络安全防护系统及方法 | |
| CN111464563B (zh) | 一种工业控制网络的防护方法及对应的装置 | |
| Di Sarno et al. | A novel security information and event management system for enhancing cyber security in a hydroelectric dam | |
| Zheng et al. | Smart grid: Cyber attacks, critical defense approaches, and digital twin | |
| Yu et al. | A faramework for cyber–physical system security situation awareness | |
| Kumar et al. | Protocols, solutions, and testbeds for cyber-attack prevention in industrial SCADA systems | |
| Songma et al. | Classification via k-means clustering and distance-based outlier detection | |
| CN117319090A (zh) | 一种网络安全智能防护系统 | |
| CN117319064A (zh) | 基于可信计算的网络空间安全管控系统 | |
| Pan et al. | Anomaly behavior analysis for building automation systems | |
| Mumrez et al. | Comparative Study on Smart Grid Security Testbeds Using MITRE ATT&CK Matrix | |
| Potteti et al. | Intrusion detection system using hybrid Fuzzy Genetic algorithm | |
| Yu et al. | Detection and defense against network isolation attacks in software‐defined networks | |
| Sun et al. | A graph embedding‐based approach for automatic cyber‐physical power system risk assessment to prevent and mitigate threats at scale | |
| Kaviyazhiny et al. | Fog computing perspective: technical trends, security practices, and recommendations | |
| Rahim et al. | Improving the security of Internet of Things (IoT) using Intrusion Detection System (IDS) | |
| Leszczyna et al. | Cybersecurity controls | |
| CN111586044B (zh) | 一种针对隐私泄漏的网络数据防护方法及对应的防火墙 | |
| Sindhwad et al. | Security Challenges in Cyber Physical System Communication Protocols: Empirical Analysis Based on Disclosed Vulnerabilities | |
| Gonzalez-Granadillo et al. | Cyber-Physical Solutions for Real-time Detection, Analysis and Visualization at Operational Level in Water CIs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |