一种基于SDN的多属性自调节网络变换系统及方法与流程

一种基于sdn的多属性自调节网络变换系统及方法
技术领域
1.本发明属于网络安全领域，尤其涉及一种基于sdn的网络变换系统及方法。


背景技术：

2.随着攻击愈加智能化、自动化，攻击者有95％的时间用于收集目标网络信息并策划攻击方法。因此，网络扫描作为各种攻击手段的先导技术和初始阶段，为网络攻击的有效实施发挥着不可替代的作用。网络扫描是通过向选定范围内的节点发送探测报文以获取目标网络中节点信息的侦测手段。扫描的内容包括网际协议(ip)地址扫描和端口扫描两种。1)ip地址扫描：攻击者通过发送icmp回应请求报文在未知网络探测端节点的可达性和ip地址。2)port扫描：当攻击者锁定了活跃端节点的ip地址，将会通过tcp扫描和udp扫描探测目标节点的开放端口。其中，针对tcp的扫描主要利用全tcp扫描，即通过tcp三次握手与目标节点建立完整tcp连接以确定端口是否开放；或者伪造tcp报文片段，如伪造的syn、fin、xmas、和null位等报文探测目标端口是否开放。对udp的扫描则主要利用icmp报文实施。
3.网络扫描可用扫描宽度和扫描频度两个属性描述，依据网络的结构特点和获得的知识信息，网络扫描采用不同的扫描策略，以提高扫描的有效性。依据扫描宽度和频度可分为盲扫描、非盲扫描两种策略。(1)盲扫描策略：盲扫描是攻击者对全部节点空间内的端信息进行均匀扫描以侦测活跃端节点所采用的策略。由于现有网络架构具有确定、静态的特性，因此，攻击者通过采用盲扫描策略实现无重复的均匀扫描以提高侦测速率。(2)非盲扫描策略：非盲扫描时攻击者对选定范围的节点空间进行重复性非均匀扫描以侦测活跃端节点所采用的策略。由于攻击者已知端节点的分布状况，因此通过非盲扫描进行重复性的非均匀扫描以提高扫描的成功率。
4.sdna通过在每个子网内部署一个超级管理节点将实际ip地址转换为虚拟ip地址，实现对端节点的虚拟跳变，以防止外部攻击者对内部网络节点的扫描。of-rhm是一种基于openflow的ip转换机制，通过每次会话时将实际ip转换虚拟ip实现端地址跳变。该方法通过形式化描述选取ip所需满足的约束，在此基础上利用平均概率或者权值的方法选取跳变的ip地址实施跳变。macfarland等人提出了基于sdn的端信息混淆机制，sdn控制器在每个连接建立时利用端节点的真实ip和mac地址获得合成ip(synthesis ip sip)，从而防止端节点真实地址泄露。qiang等人提出了基于openflow的重定向跳变方法，通过增加额外的交换代理将可信的正常用户和可疑用户进行区分，并在此基础上通过交换代理动态迁移抵御ddos攻击。debroy等人提出了一种基于sdn的低频跳变方法。它利用虚拟机作为隐蔽交换代理实施动态迁移，并通过分析目标网络的安全态势确定跳变的周期，从而降低跳变的成本。wang等人则提出了一种基于嗅探反射器的恶意侦测防御方法。它基于sdn构造影子网络，通过反馈随机生成的目标网络信息迷惑攻击者，从而抵御恶意扫描攻击。jafarian等人提出了一种时空混合随机跳变(spatial and temporal-random host mutation,st-rhm)机制，它基于sdn架构在地址空间跳变的基础上加入时域随机跳变，从而通过时间-空间二维混合跳变以抵御协同扫描。
5.上述现有技术存在下列问题：
6.1)针对不同的扫描和嗅探方法，单一的变换方式难以保证防御的有效性：由于网络扫描可以分为盲扫描、非盲扫描两大类型，单一的变换方式难以同时满足防御的有效性和经济性。特别地，对于非盲扫描攻击，随着网络扫描策略愈加多变且具有针对性，“盲目随机”的跳变策略将极大降低防御的效能。因此，如何面向不同扫描策略有针对地选取跳变策略成为了保证跳变有效的前提。
7.2)由于有限跳变空间和固定的跳变周期，导致跳变防御有效性差：网络跳变中可选攻击面维度和取值范围的有限性，导致跳变不可预测性降低；与此同时，跟随扫描策略可通过变换扫描频率实现端信息跟踪，导致跳变时效性差。


技术实现要素：

8.有鉴于此，本发明提供一种基于sdn的多属性自调节网络变换系统及方法，旨在提高网络跳变的不可预测性和时效性。
9.为解决以上技术问题，本发明提供一种基于sdn的多属性自调节网络变换系统,包括：检测代理，用于采集请求数据报文、计算并统计请求报文源ip地址和目的ip地址的分布概率；控制器，包括检测分析模块、转换策略生成模块；所述检测分析模块用于比较相邻时间间隔内源ip地址和目的ip地址分布的相似性，确定扫描攻击目标和扫描策略；所述转换策略生成模块用于根据不同的扫描策略生成不同的ip地址转换策略；跳变代理，执行ip地址转换策略完成ip地址和端口号的主动迁移。
10.作为一种改进，所述检测代理包括采集和数据统计模块、缓存队列和时间窗维护模块、扫描分布计算模块和可疑数据上报模块；所述采集和数据统计模块用于采集请求报文，并生成时间间隔t内的流统计数据；所述缓存队列和时间窗维护模块用于维护本地缓存队列，存储统计数据，实现时间滑窗机制；所述扫描分布计算模块用于计算请求数据包中源ip地址、目的ip地址的概率分布；所述可疑数据上报模块用于将计算的地址概率统计数据发送给控制器检测分析模块；
11.所述跳变代理包括ip地址映射模块、数据包修改模块；所述ip地址映射模块用于接受控制器转换策略生成模块生成的转换策略，计算转换的虚拟ip地址，并构建虚拟ip地址和实际ip地址映射列表；所述数据包修改模块用于拦截子网内发送的数据报文，修改数据报文的报头信息。
12.本发明还提供一种基于sdn的多属性自调节网络变换方法，其特征在于包括：采集请求数据报文、计算并统计请求报文源ip地址和目的ip地址的分布概率；比较相邻时间间隔内源ip地址和目的ip地址分布的相似性，确定扫描攻击目标和扫描策略；根据不同的扫描策略生成不同的ip地址转换策略；执行ip地址转换策略完成ip地址和端口号的主动迁移。
13.作为一种进一步的改进，所述采集请求数据报文、计算并统计请求报文源ip地址和目的ip地址的分布概率包括：检测代理完成本地缓存队列初始化，设置滑动窗口，并向控制器检测分析模块上报确认信息；控制器检测分析模块接收确认信息后进入监听阶段，并向检测代理下发时间消息和采样配制参数；检测代理接收到时间消息和采样配制参数后完成时间同步启动定时机制，并根据配制参数收集子网内的请求数据包；检测代理分析处理
采集的请求数据包，根据滑动窗口内的统计数据计算每个时间间隔内源ip地址、目的ip地址和端口号的分布，并将采样分布上报给控制器检测分析模块。
14.作为另一种更进一步的改进，所述检测代理分析处理采集的请求数据包为分不同时间段统计每个子网内在连续时间间隔内收到的请求数据包中源ip地址、目的ip地址、目的端口号，分配新的队列空间存储统计数据，追加在本地缓存队列队尾；其中，不同子网在同一时间段的统计数据放在一个队列节点上。
15.作为一种改进，所述比较相邻时间间隔内源ip地址和目的ip地址分布的相似性，确定扫描攻击目标和扫描策略，并根据扫描策略生成ip地址转换策略包括：控制器检测分析模块接收到采样分布统计数据，存储到本地数据缓存空间中；控制器检测分析模块计算采样数据中相同ip地址、端口号相邻时间间隔的sibson熵判断恶意扫描攻击策略；控制器检测分析模块删除数据缓存中的上报信息，并产生扫描攻击警告生成包括攻击目标和攻击策略的攻击信息；控制器检测分析模块将攻击信息发送给控制器转换策略生成模块。
16.作为一种改进，所述控制器检测分析模块计算采样数据中相同ip地址、端口号相邻时间间隔的sibson熵判断恶意扫描攻击策略包括：如果两个相邻时间间隔内，每个子网内源ip地址的sibson熵小于阈值，则攻击者采用盲扫描策略，将扫描攻击策略的相关信息存储到攻击信息缓存空间；如果两个相邻时间间隔内，每个子网内目的ip地址的sibson熵小于阈值，则攻击者采用非盲扫描策略，将扫描攻击策略的相关信息存储到攻击信息缓存空间。
17.作为一种改进，所述采样数据中相同ip地址、端口号相邻时间间隔的sibson熵的计算方法包括：设置滑动窗口,所述滑动窗口的周期大于端节点信息跳变周期小于低频时域跳变周期；计算滑动窗口内只有正常用户扫描行为条件下，探测的平均扫描频率和扫描频率最大值和最小值的平均标准偏差，分析子网内的扫描频率是否超过正常阈值，如果超过阈值则存在异常扫描行为；判断被恶意扫描的目标节点；利用sibson熵统计请求失败报文的概率分布以判断扫描策略。
18.作为一种改进，当攻击者采用盲扫描策略实施攻击，生成基于权值的ip地址转换策略；当攻击者采用非盲扫描策略实施攻击，生成基于权值的反向ip地址转换策略。
19.作为一种改进，所述执行ip地址转换策略完成ip地址和端口号的主动迁移包括：跳变代理接收到地址转换策略，计算每个子网内的转换ip地址，并建立虚拟ip地址和真实ip地址的映射列表；跳变代理收到子网内的真实ip地址发送的数据包，将数据报文进行拦截；跳变代理依据映射列表替换被拦截数据报文中源ip地址，并进行转发。
20.本发明的有益之处在于：
21.(1)基于威胁感知触发跳变策略，提高网络跳变策略选取的针对性。
22.针对网络跳变策略选择存在盲目性的问题，在构建安全威胁模型的基础上，设计基于sibson熵的威胁感知机制。针对盲扫描、半盲扫描和跟随扫描策略的特点，利用假设检验分析并判断，从而指导下一步跳变策略的选择。
23.(2)通过自适应调整跳变端信息与跳变周期，实现对端节点适度保护。
24.针对网络跳变空间有限的问题，通过改变变换频率这一变量，从时间和空间两个维度增加变换的不可预测性。与此同时，通过sibson熵的结果，对保证跳变周期拉伸的时效性和针对性，从而最大化防御收益。
附图说明
25.图1为本发明的拓扑结构示意图。
26.图2为本发明的原理图。
27.图3为本发明的流程图。
具体实施方式
28.为了使本领域的技术人员更好地理解本发明的技术方案，下面结合具体实施方式对本发明作进一步的详细说明。
29.如图1、图2所示，本发明提供一种基于sdn的多属性自调节网络变换系统,具体包括部署在sdn(软件定义网络)中的：
30.检测代理，用于采集请求数据报文、计算并统计请求报文源ip地址和目的ip地址的分布概率。
31.控制器，包括检测分析模块、转换策略生成模块以及缓存空间维护模块；所述检测分析模块用于比较相邻时间间隔内源ip地址和目的ip地址分布的相似性，确定扫描攻击目标和扫描策略；所述转换策略生成模块用于根据不同的扫描策略生成不同的ip地址转换策略；所述缓存空间维护模块用于存储上报的采集数据和攻击流信息。
32.跳变代理，执行ip地址转换策略完成ip地址和端口号的主动迁移。
33.具体地，检测代理又包括采集和数据统计模块、缓存队列和时间窗维护模块、扫描分布计算模块和可疑数据上报模块；所述采集和数据统计模块用于采集请求报文，并生成时间间隔t内的流统计数据；所述缓存队列和时间窗维护模块用于维护本地缓存队列，存储统计数据，实现时间滑窗机制；所述扫描分布计算模块用于计算请求数据包中源ip地址、目的ip地址的概率分布；所述可疑数据上报模块用于将计算的地址概率统计数据发送给控制器检测分析模块。
34.而跳变代理又包括ip地址映射模块、数据包修改模块；所述ip地址映射模块用于接受控制器转换策略生成模块生成的转换策略，计算转换的虚拟ip地址，并构建虚拟ip地址和实际ip地址映射列表；所述数据包修改模块用于拦截子网内发送的数据报文，修改数据报文的报头信息。
35.如图3所示，本发明还提供本发明还提供一种基于sdn的多属性自调节网络变换方法，具体包括以下步骤：
36.s1采集请求数据报文、计算并统计请求报文源ip地址和目的ip地址的分布概率；
37.s2比较相邻时间间隔内源ip地址和目的ip地址分布的相似性，确定扫描攻击目标和扫描策略；
38.s3根据不同的扫描策略生成不同的ip地址转换策略；当攻击者采用盲扫描策略实施攻击，生成基于权值的ip地址转换策略，将地址转换策略发送给跳变代理；当攻击者采用非盲扫描策略实施攻击，生成基于权值的反向ip地址转换策略，将地址转换策略发送给跳变代理。
39.s4执行ip地址转换策略完成ip地址和端口号的主动迁移。
40.其中，步骤s1又包括以下步骤：
41.s11在sdn网络的每个子网建立一个检测代理，检测代理完成本地缓存队列初始
化，设置滑动窗口，并向控制器检测分析模块上报确认信息；
42.s12控制器检测分析模块接收确认信息后进入监听阶段，并向检测代理下发时间消息和采样配制参数；
43.s13检测代理接收到时间消息和采样配制参数后完成时间同步启动定时机制，并根据配制参数收集子网内的请求数据包；
44.s14检测代理分析处理采集的请求数据包，分不同时间段统计每个子网内在连续时间间隔内收到的请求数据包中源ip地址、目的ip地址、目的端口号，分配新的队列空间存储统计数据，追加在本地缓存队列队尾；其中，不同子网在同一时间段的统计数据放在一个队列节点上。
45.s15检测代理根据滑动窗口内的统计数据计算每个时间间隔内源ip地址、目的ip地址和端口号的分布，并将采样分布上报给控制器检测分析模块。
46.在执行步骤s11之前，需要为控制器检测模块分配一个数据缓存空间和一个扫描攻击信息缓存空间，启动定时机制，进入等待阶段。
47.步骤s2又包括以下步骤：
48.s21控制器检测分析模块接收到采样分布统计数据，存储到本地数据缓存空间中；
49.s22控制器检测分析模块计算采样数据中相同ip地址、端口号相邻时间间隔的sibson熵判断恶意扫描攻击策略；如果两个相邻时间间隔内，每个子网内源ip地址的sibson熵小于阈值，则攻击者采用盲扫描策略，将扫描攻击策略的相关信息存储到攻击信息缓存空间；如果两个相邻时间间隔内，每个子网内目的ip地址的sibson熵小于阈值，则攻击者采用非盲扫描策略，将扫描攻击策略的相关信息存储到攻击信息缓存空间。
50.s23控制器检测分析模块删除数据缓存中的上报信息，并产生扫描攻击警告生成包括攻击目标和攻击策略的攻击信息；
51.s24控制器检测分析模块将攻击信息发送给控制器转换策略生成模块。
52.为了提高跳变防御的针对性，通过统计探测报文确定恶意扫描的目标，并利用基于sibson熵的假设检验通过分析不同扫描策略的行为特点感知不同扫描策略，以指导下一步的跳变策略生成。
53.步骤s22中采样数据中相同ip地址、端口号相邻时间间隔的sibson熵的计算方法包括：
54.s221设置滑动窗口,所述滑动窗口的周期大于端节点信息跳变周期小于低频时域跳变周期；
55.s222计算滑动窗口内只有正常用户扫描行为条件下，探测的平均扫描频率和扫描频率最大值和最小值的平均标准偏差，分析子网内的扫描频率是否超过正常阈值，如果超过阈值则存在异常扫描行为；
56.通过分析探测时间窗口内的扫描频率判断是否存在恶意扫描行为。因为总存在探测时间窗口内只有正常用户的探测行为，可以由此获取正常用户的扫描频率区间，具体如公式(1)和公式(2)所示：
[0057][0058]
如公式(1)所示，通过计算只有正常用户扫描行为条件下，探测的平均扫描频率
和扫描频率最大值和最小值的平均标准偏差分析k个子网内的扫描频率是否超过正常阈值。若超过阈值，则说明存在异常扫描行为。
[0059]
s223判断被恶意扫描的目标节点；利用公式(2)判断被恶意扫描的目标节点。它通过计算只有正常用户扫描行为条件下，目的节点的平均扫描频率判断被保护的l端节点中潜在的目标节点。
[0060][0061]
s224利用sibson熵统计请求失败报文的概率分布以判断扫描策略。
[0062]
假设t次端节点信息跳变周期内请求失败的报文总数量为n
fail
，第i块划分的节点空间中请求失败的报文数量可表示为
[0063][0064][0065]
基于sibson熵的策略感知方法首先计算公式(3)计算每个端节点信息跳变周期内请求失败报文的源地址概率分布p
isrc
(π)和目的地址的概率分布p
idst
(π)，其中j∈{src,dst}，π∈{hei}。如公式(4)所示，通过计算第i个跳变端节点在两个相邻低频时域跳变周期中请求失败报文的源地址概率分布的sibson熵，分析相邻低频时域跳变周期中扫描各端节点的源地址分布以判断是否存在跟随扫描。之所以选取相邻的低频时域跳变周期是因为对于每个端节点，相邻低频时域跳变周期的p
isrc
(π)sibson熵相较于相邻t
ehp
的p
isrc
(π)sibson熵可有效避免由于网络干扰造成的误判，从而准确性更高。在此基础上，通过与设定的置信区间比较以判断是否为跟随扫描策略。其中
[0066][0067][0068]
若不存在跟随扫描，则通过分析端节点信息跳变周期内扫描的端节点目的地址分布以判断是否存在盲扫描。公式(5)利用肖维勒准则剔除异常的高频跳变地址块mh。因为攻击者如果采用盲扫描策略，那么理想状况下每个划分的节点空间在每个端节点信息跳变周期内平均被扫描的次数为n
fail
/mbm
l
。然而，由于一次端节点信息跳变周期内攻击者不一定能够完成对全网地址空间的随机扫描，直接计算请求失败报文中目的地址概率分布与n
fail
/mbm
l
的sibson熵将偏大。公式(6)则根据公式(5)的基础上通过计算第t个端节点信息跳变周期内请求失败报文中目的地址概率分布与修正后平均概率分布的sibson熵。从而判定攻击者是否采用盲扫描策略。其中相对熵为m
′bm
′
l
为剔除异常节点空间后剩余的节点空间划分个数。
[0069]
步骤s4具体又包括：
[0070]
s41跳变代理接收到地址转换策略，计算每个子网内的转换ip地址，并建立虚拟ip地址和真实ip地址的映射列表；
[0071]
s42跳变代理收到子网内的真实ip地址发送的数据包，将数据报文进行拦截；
[0072]
s43跳变代理依据映射列表替换被拦截数据报文中源ip地址，并进行转发。
[0073]
当攻击者对网络ip地址进行扫描时，每个子网内部署检测代理，检测代理用于采集请求数据报文、计算并统计请求报文源ip地址和目的ip地址的分布概率。控制器在接收到上报信息后，控制器检测分析模块通过利用sibson熵比较相邻时间间隔内源ip地址和目的ip地址分布的相似性，确定扫描攻击目标和扫描策略。控制器转换策略生成模块基于扫描策略生成ip地址转换策略并发送给跳变代理。每个子网内部署跳变代理，跳变代理用于接收ip地址转换策略，当跳变代理接收到子网内发送的数据包时，将数据包截获，并依据虚拟ip地址与真实ip地址映射列表修改数据报头中的源ip地址信息，并将数据包转发。sdn交换机依据流表信息进行转发。接收端的跳变代理收到流入的数据包时，将数据包截获，并依据虚拟ip地址与真实ip地址映射列表修改数据报头中的目的ip地址信息，并将数据包转发至子网内端节点。
[0074]
以上仅是本发明的优选实施方式，应当指出的是，上述优选实施方式不应视为对本发明的限制，本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说，在不脱离本发明的精神和范围内，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。