本发明涉及网络安全技术领域,尤其涉及一种基于自演进配置的sdn动目标防御实现方法。
背景技术:
信息系统软硬件设计中存在的脆弱性或未知漏洞是网络安全面临的最大挑战之一。移动目标防御(movingtargetdefense),是美国国家科学技术委员会提出的基于动态化、随机化、多样化思想改造现有信息系统防御缺陷的理论和方法,其核心思想致力于构建一种动态、异构、不确定的网络空间目标环境来增加攻击者的攻击难度,以系统的随机性和不可预测性来对抗网络攻击。网络交换机,是一个扩大网络的器材,能为子网络中提供更多的连接端口,以便连接更多的计算机。随着通信业的发展以及国民经济信息化的推进,网络交换机市场呈稳步上升态势,交换机在进行网络数据传输时会受到网络攻击,进而严重威胁整个连接主机的信息安全,严重时会给国民经济带来巨大的损失。
技术实现要素:
(一)发明目的
为解决背景技术中存在的技术问题,本发明提出一种基于自演进配置的sdn动目标防御实现方法,本发明能有效的对异常数据进行监测并能通过动态更改交换机的配置信息以及安全策略,提高交换机的安全性能。
(二)技术方案
本发明提供了一种基于自演进配置的sdn动目标防御实现方法,包括以下步骤:
s1、根据网络攻防动态对抗特性,构建sdn动目标防御系统,并将sdn动目标防御系统与交换机通信连接;
s2、实时采集交换机接收到的数据包;
s3、判断交换机中是否存在数据包的过往接收记录;
若存在,则继续执行s5;
若不存在,则继续执行s4;
s4、安全信息监测模块对数据包进行检测,并识别该数据流量是否具有攻击;
若该数据包不具有攻击,则该数据包为安全数据;
若该数据包具有攻击,则继续继续执行s6;
s5、判断该数据包是否为以往异常数据包;
若是,则执行s6;
若不是,则该数据包为安全数据;
s6、安全策略模块更改交换机的安全策略,同时配置生成模块更改交换机的配置信息,将该数据包记为异常数据包并将其删除。
优选的,s4中安全信息监测模块对数据包进行检测的步骤为:
s21、提取数据包中的源ip、源端口、目的ip、目的端口和协议类型,并计算其熵值;
s22、判断源ip的p熵值是否超过阈值;
若断源ip的p熵值没有超过超过阈值,则说明该数据包为安全数据;
若断源ip的p熵值超过超过阈值,则继续执行s23;
s23、采用算法识别该数据包是否具有可疑;
若是,则说明该数据包具有攻击;
若不是,则说明该数据包为安全数据。
优选的,s23中的算法采用机器学习算法;机器学习算法为核函数为rbf的svm。
优选的,阈值为数据包中最大的源ip熵值。
优选的,s23中具有攻击的数据包中源ip熵值最大的交换机端口判定为攻击端口。
优选的,sdn动目标防御系统具有自循环避免模块,防止数据包在交换机与判断模块以及安全策略模块之间循环。
优选的,s6中安全策略模块更改交换机的安全策略的方法为,安全策略模块随机从安全策略库中调取安全策略并将获得的安全策略应用与交换机。
优选的,sdn动目标防御系统包括sdn控制器、数据采集模块、判断模块、安全信息监测模块、安全策略模块、配置生成模块和清除模块;
数据采集模块通信连接sdn控制器,数据采集模块用于实时采集交换机接收到的数据包;
判断模块通信连接sdn控制器,判断模块用于对数据包进行判断;
安全信息监测模块通信连接sdn控制器,安全信息监测模块用于检测数据包是否具有攻击;
安全策略模块通信连接sdn控制器,安全策略模块用于更改交换机的安全策略;
配置生成模块通信连接sdn控制器,配置生成模块用于更改交换机的配置信息;
清除模块通信连接sdn控制器,清除模块用于将该数据包记为异常数据包并将其删除。
优选的,还包括自循环避免模块;自循环避免模块通信连接sdn控制器,自循环避免模块防止数据包在交换机与判断模块以及安全策略模块之间循环。
优选的,还包括安全策略库,安全策略库通信连接sdn控制器,安全策略库用于存储安全策略。
与现有技术相比,本发明的上述技术方案具有如下有益的技术效果:
本发明中,通过设有的sdn动目标防御系统与交换机通信连接以实时采集交换机接收到的外部数据包,并对数据包进行分析判断以判断该数据包是否为异常数据包;当该数据包为异常数据包时,安全策略模块和配置生成模块对分别对交换机的安全策略以及配置信息高频的进行更改,进而比较网络攻击窃取交换机中的数据,进而维护交换机的安全;sdn动目标防御系统具有开放标准的灵活架构,具备集中控制、灵活定制的独特优势,进而能在交换机受到攻击时,在安全策略模块和配置生成模块的共同控制下,实时改变交换机的配置信息以及安全策略,进而大大提高交换机的安全防御性能。
附图说明
图1为本发明提出的一种基于自演进配置的sdn动目标防御实现方法的流程图。
图2为本发明提出的一种基于自演进配置的sdn动目标防御实现方法中sdn动目标防御系统的原理框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
如图1-2所示,本发明提出的一种基于自演进配置的sdn动目标防御实现方法,包括以下步骤:
s1、根据网络攻防动态对抗特性,构建sdn动目标防御系统,并将sdn动目标防御系统与交换机通信连接;
s2、实时采集交换机接收到的数据包;
进一步的,对采集后的数据包进行处理,以过滤不合法的数据包、过滤大量连续相同的数据包以及填补缺失信息;
s3、判断交换机中是否存在数据包的过往接收记录;
若存在,则继续执行s5;
若不存在,则继续执行s4;
s4、安全信息监测模块对数据包进行检测,并识别该数据流量是否具有攻击;
若该数据包不具有攻击,则该数据包为安全数据;
若该数据包具有攻击,则继续继续执行s6;
s5、判断该数据包是否为以往异常数据包;
若是,则执行s6;
若不是,则该数据包为安全数据;
s6、安全策略模块更改交换机的安全策略,同时配置生成模块更改交换机的配置信息,将该数据包记为异常数据包并将其删除;
进一步的,安全策略模块和配置生成模块在运行时,每隔一段时间就运行一次,以进行动态演变,当判断数据包为异常数据时,安全策略模块和配置生成模块的运行时间缩短,以提高交换机数据的安全性。
在一个可选的实施例中,s4中安全信息监测模块对数据包进行检测的步骤为:
s21、提取数据包中的源ip、源端口、目的ip、目的端口和协议类型,并计算其熵值;
s22、判断源ip的p熵值是否超过阈值;
若断源ip的p熵值没有超过超过阈值,则说明该数据包为安全数据;
若断源ip的p熵值超过超过阈值,则继续执行s23;
正常情况下,网络包中的流量具有稳定性和对称性,当数据包中具有攻击时,源ip被大量伪造,源ip熵值检测作为一级检测,用于过滤大量正常数据包,阈值采用网络中最大的源ip熵值作为阈值;
s23、采用算法识别该数据包是否具有可疑;
若是,则说明该数据包具有攻击;
若不是,则说明该数据包为安全数据;
算法识别作为二级检测,以提高对数据包识别判断的准确性。
在一个可选的实施例中,s23中的算法采用机器学习算法;机器学习算法为核函数为rbf的svm,该算法作为一种经典的模式识别算法,泛化能力强,无论对大样本还是小样本都有较好的分类效果。
在一个可选的实施例中,阈值为数据包中最大的源ip熵值。
在一个可选的实施例中,s23中具有攻击的数据包中源ip熵值最大的交换机端口判定为攻击端口。
在一个可选的实施例中,sdn动目标防御系统具有自循环避免模块,防止数据包在交换机与判断模块以及安全策略模块之间循环。
在一个可选的实施例中,s6中安全策略模块更改交换机的安全策略的方法为,安全策略模块随机从安全策略库中调取安全策略并将获得的安全策略应用与交换机。
在一个可选的实施例中,sdn动目标防御系统包括sdn控制器、数据采集模块、判断模块、安全信息监测模块、安全策略模块、配置生成模块和清除模块;
数据采集模块通信连接sdn控制器,数据采集模块用于实时采集交换机接收到的数据包;
判断模块通信连接sdn控制器,判断模块用于对数据包进行判断;
安全信息监测模块通信连接sdn控制器,安全信息监测模块用于检测数据包是否具有攻击;
安全策略模块通信连接sdn控制器,安全策略模块用于更改交换机的安全策略;
配置生成模块通信连接sdn控制器,配置生成模块用于更改交换机的配置信息;
清除模块通信连接sdn控制器,清除模块用于将该数据包记为异常数据包并将其删除;
本发明中,通过设有的sdn动目标防御系统与交换机通信连接以实时采集交换机接收到的外部数据包,并对数据包进行分析判断以判断该数据包是否为异常数据包;当该数据包为异常数据包时,安全策略模块和配置生成模块对分别对交换机的安全策略以及配置信息高频的进行更改,进而比较网络攻击窃取交换机中的数据,进而维护交换机的安全。
在一个可选的实施例中,还包括自循环避免模块;自循环避免模块通信连接sdn控制器,自循环避免模块防止数据包在交换机与判断模块以及安全策略模块之间循环。
在一个可选的实施例中,还包括安全策略库,安全策略库通信连接sdn控制器,安全策略库用于存储安全策略。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
1.一种基于自演进配置的sdn动目标防御实现方法,其特征在于,包括以下步骤:
s1、根据网络攻防动态对抗特性,构建sdn动目标防御系统,并将sdn动目标防御系统与交换机通信连接;
s2、实时采集交换机接收到的数据包;
s3、判断交换机中是否存在数据包的过往接收记录;
若存在,则继续执行s5;
若不存在,则继续执行s4;
s4、安全信息监测模块对数据包进行检测,并识别该数据流量是否具有攻击;
若该数据包不具有攻击,则该数据包为安全数据;
若该数据包具有攻击,则继续继续执行s6;
s5、判断该数据包是否为以往异常数据包;
若是,则执行s6;
若不是,则该数据包为安全数据;
s6、安全策略模块更改交换机的安全策略,同时配置生成模块更改交换机的配置信息,将该数据包记为异常数据包并将其删除。
2.根据权利要求1所述的一种基于自演进配置的sdn动目标防御实现方法,其特征在于,s4中安全信息监测模块对数据包进行检测的步骤为:
s21、提取数据包中的源ip、源端口、目的ip、目的端口和协议类型,并计算其熵值;
s22、判断源ip的p熵值是否超过阈值;
若断源ip的p熵值没有超过超过阈值,则说明该数据包为安全数据;
若断源ip的p熵值超过超过阈值,则继续执行s23;
s23、采用算法识别该数据包是否具有可疑;
若是,则说明该数据包具有攻击;
若不是,则说明该数据包为安全数据。
3.根据权利要求2所述的一种基于自演进配置的sdn动目标防御实现方法,其特征在于,s23中的算法采用机器学习算法;机器学习算法为核函数为rbf的svm。
4.根据权利要求2所述的一种基于自演进配置的sdn动目标防御实现方法,其特征在于,阈值为数据包中最大的源ip熵值。
5.根据权利要求1所述的一种基于自演进配置的sdn动目标防御实现方法,其特征在于,s23中具有攻击的数据包中源ip熵值最大的交换机端口判定为攻击端口。
6.根据权利要求1所述的一种基于自演进配置的sdn动目标防御实现方法,其特征在于,sdn动目标防御系统具有自循环避免模块,防止数据包在交换机与判断模块以及安全策略模块之间循环。
7.根据权利要求1所述的一种基于自演进配置的sdn动目标防御实现方法,其特征在于,s6中安全策略模块更改交换机的安全策略的方法为,安全策略模块随机从安全策略库中调取安全策略并将获得的安全策略应用与交换机。
8.根据权利要求1所述的一种基于自演进配置的sdn动目标防御实现方法,其特征在于,sdn动目标防御系统包括sdn控制器、数据采集模块、判断模块、安全信息监测模块、安全策略模块、配置生成模块和清除模块;
数据采集模块通信连接sdn控制器,数据采集模块用于实时采集交换机接收到的数据包;
判断模块通信连接sdn控制器,判断模块用于对数据包进行判断;
安全信息监测模块通信连接sdn控制器,安全信息监测模块用于检测数据包是否具有攻击;
安全策略模块通信连接sdn控制器,安全策略模块用于更改交换机的安全策略;
配置生成模块通信连接sdn控制器,配置生成模块用于更改交换机的配置信息;
清除模块通信连接sdn控制器,清除模块用于将该数据包记为异常数据包并将其删除。
9.根据权利要求8所述的一种基于自演进配置的sdn动目标防御实现方法,其特征在于,还包括自循环避免模块;自循环避免模块通信连接sdn控制器,自循环避免模块防止数据包在交换机与判断模块以及安全策略模块之间循环。
10.根据权利要求8所述的一种基于自演进配置的sdn动目标防御实现方法,其特征在于,还包括安全策略库,安全策略库通信连接sdn控制器,安全策略库用于存储安全策略。
技术总结