一种SDN网络中面向业务流的威胁等级划分方法和系统

一种sdn网络中面向业务流的威胁等级划分方法和系统
技术领域
1.本发明属于sdn网络控制领域，更具体地，涉及一种sdn网络中面向业务流的威胁等级划分方法和系统。


背景技术：

2.随着互联网技术的飞速发展，网络规模不断扩大，网络承载的服务类型也越来越多样化。由于其自身架构的局限性，传统网络使其难以实施一些良好的路由策略，从而难以提高网络性能。软件定义网络(sdn，software defined network)是一种新的网络体系结构。其主要思想是将网络中的控制级别和转发级别分开，以便可以更有效，更灵活地控制和管理网络资源。虽然sdn网络分离了控制层面和数据层面、简化了底层硬件的实现、简化了网络配置过程、向上层应用提供了网络的全局视图等。但是sdn是一把双刃剑，在简化网络管理、缩短创新周期的同时，也引入了不可低估的安全威胁问题。例如，sdn依然面临着很多传统网络所面临的安全问题，如ddos攻击、tcp洪泛攻击、端口扫描攻击等。同时，由于sdn本身的特性，还面临着南北向的协议攻击。
3.针对sdn网络面临的安全问题，有效地针对sdn网络当前的威胁等级进行衡量与划分，可以减轻管理员繁重的报警数据分析任务,能够提供网络业务流层次的直观安全威胁态势,使其对系统的安全威胁状况有宏观的了解。而且,可以从安全态势曲线中发现安全规律,以便调整系统安全策略,更好地提高系统安全性能。
4.但是，传统的网络威胁等级划分方法都是针对全局的，无法观察到sdn网络中不同业务流的安全态势，这将为发生网络攻击后的故障排除、攻击抵御和策略制定等带来极大地困难与挑战。但是作为一个尚在起步阶段的网络架构技术，现有openflow协议仅支持基于四层网络以下的策略制定，无法对更高层次的业务流类型实现划分。控制器端区分业务优先级模型的建立和相关容量的评估问题，没有考虑到业务流类型的区分，仅仅假设所有业务流都统一遵循先到先服务原则，具有一定的局限性。由此可以看出，传统的业务流划分方法已经不再适用。另一方面，传统的网络威胁等级划分方法是直接根据网络攻击的等级来直接评定整个网络的威胁等级的，主观性太强，无法综合考量各种混合攻击叠加在一起时的网络威胁等级。


技术实现要素：

5.针对现有技术的缺陷和改进需求，本发明提供了一种sdn网络中面向业务流的威胁等级划分方法和系统，其目的在于有效地针对sdn网络当前的威
6.胁等级进行衡量与划分，可以减轻管理员繁重的报警数据分析任务,使其对系统的安全威胁状况有宏观的了解。而且,可以从安全态势曲线中发现安全规律,以便调整系统安全策略,更好地提高系统安全性能,为指导安全工程实践、设计相应安全风险评估和管理工具提供了有价值的模型和算法。
7.为实现上述目的，按照本发明的第一方面，提供了一种sdn网络中面向业务流的威
胁等级划分方法，该方法包括以下步骤：
8.s1.获取当前sdn网络中的所有攻击事件，以及攻击的网络设备和端口号，获取当前sdn网络中每个业务流流经的网络设备和端口号；
9.s2.根据网络设备和端口号的比对，将攻击事件和业务流关联起来，获得不同业务流所遭受的攻击事件；
10.s3.对于sdn网络中每种类型业务流，以部署了该类型业务流的网络设备占sdn网络总设备比重为权重，加权计算该类型业务流遭受不同攻击强度，得到该类型业务流的威胁指数；
11.s4.以每种类型业务流在sdn网络服务中的重要性为权重，加权计算sdn网络中不同类型业务流的威胁指数，得到sdn网络威胁指数；
12.s5.采用模糊综合评价法对sdn网络威胁指数等级进行划分。
13.优选地，业务流的类型通过bp神经网络识别，具体如下：
14.(a1)对sdn网络业务流进行数据清洗以及特征选择，将sdn网络业务流划分到不同业务流类型中，其中，视频通话、非p2p多媒体播放、p2p多媒体播放划分到流氏流，http文件下载、p2p文件下载划分到弹性流，微信/qq即时消息、客户端网络游戏、网页浏览、短语音划分到udp业务流，将剩余的划分到其它业务流；
15.(a2)对bp神经网络进行训练，学习业务流特征和类型之间的关系，得到预训练好的bp神经网络；
16.(a3)将从sdn网络中采集到的实时网络元数据进行同样的数据清洗以及特征选择，用预训练好的bp神经网络对该业务流进行识别。
17.有益效果：本发明通过bp神经网络识别业务流类型，将采集到的sdn网络元数据，进行数据预处理和特征筛选，并将每条业务流的数据特征输入到已经预训练好的bp神经网络中，实现对业务流类型的识别，由于bp神经网络可以有效地学习不同sdn网络业务流与其对应类型之间潜在的关联关系，从而实现面向sdn网络的业务流精准识别。
18.优选地，特征选择处理之后，输入到bp神经网络之前，采用张量自编码器进行去噪，具体如下：
19.(b1)对张量自编码器进行训练，学习业务流特征之间的潜在空间表征，得到预训练好的张量自编码器；
20.(b2)对采集到的业务流数据，利用张量自编码器进行去噪处理。
21.有益效果：本发明通过张量自编码器对业务流提纯，由于张量自编码器可以有效地维持业务流数据之间的潜在关联关系并学习业务流特征的空间表征，可帮助bp网络提高业务流识别精度，从而实现了业务流数据有效地去噪。
22.优选地，步骤s3中，第i种类型业务流si的威胁指数的计算公式如下：
[0023][0024]
其中，表示部署了第i种类型业务流si的网络设备占总设备的百分比，fj(t)表示第i种类型业务流si是否遭受到第j种网络攻击，是为1，否为0，lj表示第j种网络攻击的攻
击强度，n表示网络攻击的类型数。
[0025]
有益效果：本发明提出的业务流威胁指数计算公式，由于在国家互联网应急响应中心标准的基础上，充分考虑了每种业务所部署的比例以及每种业务流所遭受到的不同攻击强度，这是传统威胁等级划分功能所不具备的，从而观察到sdn网络中不同业务流的安全态势。
[0026]
优选地，步骤s4中，sdn网络威胁指数计算公式如下：
[0027][0028]
其中，表示第i种类型业务流si在整个网络服务中的重要性，m表示业务流类型数。
[0029]
有益效果：本发明提出的网络威胁指数计算公式，由于充分考虑了sdn网络中每一种业务流所遭受的攻击程度，以及每种业务在整个网络服务中的重要程度，相较于传统方法更能有效地衡量整个sdn网络所遭受的攻击强度，从而具有较强的理论依据，而不再像传统方法那样具有较强的主观性。
[0030]
优选地，步骤s5具体如下：
[0031]
s51.计算sdn网络威胁指数关于不同威胁等级的隶属度；
[0032]
s52.根据sdn网络威胁指数关于不同威胁等级的隶属度，确定威胁指数rs所对应的威胁等级l，l满足下式
[0033]fl
(rs)＝max{fk(rs)},k∈[1,k]
[0034]
其中，k为威胁等级数。
[0035]
有益效果：本发明提出的威胁等级判定公式，由于充分考虑了每一个威胁等级所对应的隶属度，并从中选取最大的隶属度所对应的等级来作为最终的威胁等级划分结果，其结果相较于传统方法更具有可信性。
[0036]
优选地，隶属函数定义如下：
[0037][0038]
其中，k＝1,2,3,4,5分别对应威胁等级低、较低、中、较高和高，[x1,x2],[x2,x3],[x3,x4],[x4,x5],[x5,x6]分别表示5个模糊集合，中间参数λk＝(xk x
k 1
)/2。
[0039]
有益效果：本发明通过对sdn网络威胁指数构造隶属度函数，由于该函数可以对sdn网络威胁指数进行量化分析，比传统的直接区间划分更具有数学理论依据和客观性，从而实现了sdn网络威胁指数的量化评价。
[0040]
为实现上述目的，按照本发明的第二方面，提供了一种sdn网络中面向业务流的威胁等级划分系统，包括：计算机可读存储介质和处理器；
[0041]
所述计算机可读存储介质用于存储可执行指令；
[0042]
所述处理器用于读取所述计算机可读存储介质中存储的可执行指令，执行第一方面所述的sdn网络中面向业务流的威胁等级划分方法。
[0043]
总体而言，通过本发明所构思的以上技术方案，能够取得以下有益效果：
[0044]
(1)相对于传统的网络威胁等级划分方法都是针对全局的，无法观察到sdn网络中不同业务流的安全态势，这将为发生网络攻击后的故障排除、攻击抵御和策略制定等带来极大地困难与挑战，本发明面向sdn网络中的不同业务流，按照业务的特征将sdn中业务流进行分类，以部署该类型业务流的网络设备占sdn网络总设备比重加权计算该类型业务流遭受不同攻击强度方式，分别计算每种类型业务流的威胁指数后，再使用以每种类型业务流在sdn网络服务中的重要性加权计算得到整个sdn网络的威胁指数，可以观察到sdn网络中不同业务流的安全态势，这将为发生网络攻击后的故障排除、攻击抵御和策略制定等提供指导，为sdn网络的威胁预警与精准防御奠定基础。
[0045]
(2)相对于传统的网络威胁等级划分方法是直接根据网络攻击的等级来直接评定整个网络的威胁等级的主观性太强，无法综合考量各种混合攻击叠加在一起时的网络威胁等级，本发明通过模糊综合评价法，由于模糊综合评价法可以根据模糊数学的隶属度理论把难以量化的sdn网络威胁等级转化为定量评价，从而实现了sdn网络的威胁等级划分，具有更强的理论指导性，使得最终划分结果更具有可信性。
附图说明
[0046]
图1为本发明提供的一种sdn网络中面向业务流的威胁等级划分方法流程图；
[0047]
图2为本发明提供的用于业务流的类型识别的bp神经网络示意图。
具体实施方式
[0048]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0049]
如图1所示，本发明提出了一种sdn网络中面向业务流的威胁等级划分方法，该方法包括以下步骤：
[0050]
步骤s1.获取当前sdn网络中的所有攻击事件，以及攻击的网络设备和端口号，获取当前sdn网络中每个业务流流经的网络设备和端口号。
[0051]
sdn网络流量的格式和字段与通用网络中的流量不同。
[0052]
步骤s2.根据网络设备和端口号的比对，将攻击事件和业务流关联起来，获得不同业务流所遭受的攻击事件。
[0053]
由于业务是部署在不同的网络设备上，所以对网络设备的攻击可以看作是对该网络设备上部署的业务的攻击。业务的威胁指数与该业务的重要性、攻击时间、攻击严重程度和攻击时长有关。根据攻击设备和端口号，将攻击事件和业务流关联起来，获得不同业务流量所遭受的网络攻击事件。
[0054]
步骤s3.对于sdn网络中每种类型业务流，以部署了该类型业务流的网络设备占
sdn网络总设备比重为权重，加权计算该类型业务流遭受不同攻击强度，得到该类型业务流的威胁指数。
[0055]
本发明采用bp神经网络实现sdn网络中的业务流类型的精准识别，从而为后续的网络威胁等级划分提供数据支持。优选地，如图2所示，业务流的类型通过bp神经网络识别，具体如下：
[0056]
(a1)对sdn网络业务流进行数据清洗以及特征选择，将sdn网络业务流划分到不同业务流类型中，其中，视频通话、非p2p多媒体播放、p2p多媒体播放划分到流氏流(第一种类型业务流)，http文件下载、p2p文件下载划分到弹性流(第二种类型业务流)，微信/qq即时消息、客户端网络游戏、网页浏览、短语音划分到udp业务流(第三种类型业务流)，将剩余的划分到其它业务流(第四种类型业务流)。
[0057]
划分到流氏流的数据流具备数据传输量大、文件传输时间长的特点。
[0058]
特征选择是指从业务流中选出对不同业务流具有较大区分度的字段，从而减少业务流的特征维度，使tae模型对业务流编码的泛化能力更强。本实施例中，选取字段包括：上行平均数据包大小、下行平均数据包大小、上行流速、下行流速、上下行数据包总大小比值、上行数据包数目、流表项数、流表项平均持续时长。
[0059]
(a2)对bp神经网络进行训练，学习业务流特征和类型之间的关系，得到预训练好的bp神经网络。
[0060]
(a3)将从sdn网络中采集到的实时网络元数据进行同样的数据清洗以及特征选择，用预训练好的bp神经网络对该业务流进行识别。
[0061]
优选地，特征选择处理之后，输入到bp神经网络之前，采用张量自编码器(tensor auto-encoder，tae)进行去噪，具体如下：
[0062]
(b1)对张量自编码器进行训练，学习业务流特征之间的潜在空间表征，得到预训练好的张量自编码器。
[0063]
训练集为moore数据集(https://www.cl.cam.ac.uk/research/srg/netos/projects/archive/nprobe/data/papers/sigmetrics/index.html)。
[0064]
(b2)对采集到的业务流数据，利用张量自编码器进行去噪处理。
[0065]
优选地，步骤s3中，第i种类型业务流si的威胁指数的计算公式如下：
[0066][0067]
其中，表示部署了第i种类型业务流si的网络设备占总设备的百分比，fj(t)表示第i种类型业务流si是否遭受到第j种网络攻击，是为1，否为0，lj表示第j种网络攻击的攻击强度，n表示网络攻击的类型数。
[0068]
不同类型的网络攻击的攻击强度如表1所示。
[0069]
[0070][0071]
表1
[0072]
步骤s4.以每种类型业务流在sdn网络服务中的重要性为权重，加权计算sdn网络中不同类型业务流的威胁指数，得到sdn网络威胁指数。
[0073]
优选地，步骤s4中，sdn网络威胁指数计算公式如下：
[0074][0075]
其中，表示第i种类型业务流si在整个网络服务中的重要性，m表示业务流类型数。网络系统威胁指数rs越大，表示网络受威胁程度越高，其含义也在于计算出一段连续时期内的威胁指数值，并进行比较，进而判断这段时期网络系统的安全威胁趋势。
[0076][0077]
业务重要性定义是指系统中某种业务在整个系统中的重要程度，是一个常数，数值越大，表示该业务越重要。
[0078]
步骤s5.采用模糊综合评价法对sdn网络威胁指数等级进行划分。
[0079]
优选地，步骤s5具体如下：
[0080]
s51.计算sdn网络威胁指数关于不同威胁等级的隶属度；
[0081]
s52.根据sdn网络威胁指数关于不同威胁等级的隶属度，确定威胁指数rs所对应的威胁等级l，l满足下式
[0082]fl
(rs)＝max{fk(rs)},k∈[1,k]
[0083]
其中，k为威胁等级数。一般来说，为了方便评估，可以根据需要将网络安全威胁大小划分为几个等级。本实施例将威胁等级分为“低”、“较低”、“中”、“较高”和“高”五个等级。
[0084]
定义如下：给定一个非空分明集x，a是x上的一个模糊集，则存在一个从x到闭单位区间[0,1]的函数μa：x
→
[0,1]，对每个x∈x,μa(x)是[0,1]中的某个数，称为x对a的隶属度，即x属于a的程度。称μa为a的隶属函数，称x为a的论域。用[x1,x2],[x2,x3],[x3,x4],[x4,x5],[x5,x6]分别表示5个模糊集合，并分别对应着五个威胁等级，x0＝-0.2,x7＝1.2为数域延拓值。令λk＝(xk x
k 1
)/2对第k个模糊集合的隶属度为1。
[0085]
优选地，隶属函数定义如下：
[0086][0087]
其中，k＝1,2,3,4,5分别对应威胁等级低、较低、中、较高和高。
[0088]
本发明提出的一种sdn网络中面向业务流的网络威胁等级划分方法，采用了bp神经网络对sdn网络中的业务流进行精准识别，弥补了传统方法无法对基于openflow协议的业务流类型实现划分的不足。sdn网络中的业务流精准识别可以为控制器端区分业务优先级模型的建立和相关容量进行策略制定和调整，即不在假设所有业务流都统一遵循先到先服务的原则。另一方面，还采用了模糊评价法对系统威胁指数构造隶属函数，从而实现威胁等级的划分。相比于传统的威胁等级划分方法，提出的方法具有较强的理论依据，而不再像传统方法那样具有较强的主观性。本发明提出的方法可以有效地针对sdn网络当前的威胁等级进行衡量与划分，以减轻管理员繁重的报警数据分析任务,能够观察到sdn网络中不同业务流的直观安全威胁态势,使其对系统的安全威胁状况有细致的了解。而且,可以从安全态势曲线中发现安全规律,以便调整系统安全策略,更好地提高系统安全性能,为指导安全工程实践、设计相应安全风险评估和管理工具提供了有价值的模型和算法。
[0089]
对应地，本发明提出了一种sdn网络中面向业务流的威胁等级划分系统，包括：计算机可读存储介质和处理器；所述计算机可读存储介质用于存储可执行指令；所述处理器用于读取所述计算机可读存储介质中存储的可执行指令，执行上述sdn网络中面向业务流的威胁等级划分方法。
[0090]
本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。