基于sdn網(wǎng)絡的惡意代碼檢測方法
【專利摘要】基于SDN網(wǎng)絡的惡意代碼檢測方法,屬于計算機網(wǎng)絡安全技術(shù)領(lǐng)域�����。SDN控制與轉(zhuǎn)發(fā)分離的全新設(shè)計理念給網(wǎng)絡信息安全領(lǐng)域帶來了新的機遇和挑戰(zhàn)��,為了解決新架構(gòu)下惡意代碼檢測和防范的問題�。本發(fā)明分析對SDN交換機流表特征的選取方法,提出基于OpenFlow流量特征選取的安全數(shù)據(jù)排序及降維方法���;在此基礎(chǔ)上比較特征選取后對不同的分類算法運行時間的影響����,分析降維維度m選擇問題,找出不同類型的惡意代碼對應的最優(yōu)特征子集和匹配分類方法���;分析惡意代碼在SDN移動環(huán)境下的傳播特性和演化模型����,得出移動網(wǎng)絡中節(jié)點遷移率對惡意代碼在源子網(wǎng)和目標子網(wǎng)的感染情況和爆發(fā)時間的影響���,對SDN控制器對交換機節(jié)點或主機節(jié)點路由控制具有參考價值���。
【專利說明】
基于SDN網(wǎng)絡的惡意代碼檢測方法
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于計算機網(wǎng)絡安全技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002]作為一種新型的基于軟件技術(shù)的網(wǎng)絡體系架構(gòu)�����,SDN( Sof tware DefinedNetworking,軟件定義網(wǎng)絡)全新的設(shè)計理念和創(chuàng)新式的應用給網(wǎng)絡信息安全領(lǐng)域帶來了新的機遇和挑戰(zhàn)�����。由于SDN采用集中式控制的方式�,直觀上,意味著更大的安全風險��。另一方面�,SDN也沖擊著傳統(tǒng)安全防護技術(shù),由于SDN網(wǎng)絡控制與轉(zhuǎn)發(fā)分離����,其開放的各類應用程序的帶來的漏洞不可避免,惡意代碼包括計算機病毒��、網(wǎng)絡蠕蟲���、木馬����、邏輯炸彈及DDOS攻擊等��,對于SDN網(wǎng)絡���,惡意代碼的分析和檢測也是需要解決的重要問題���。
[0003]為此,發(fā)明基于SDN思想�,建立SDN架構(gòu)下惡意代碼流量特征分析模型。通過對SDN網(wǎng)絡流表數(shù)據(jù)的流量采集和特征分析,找出匹配的分類算法更加準確的發(fā)現(xiàn)各類惡意攻擊���,核心是數(shù)據(jù)收集���、流表特征的產(chǎn)生、特征選取及分類算法的研究�。
[0004]SDN的集中架構(gòu)可以對網(wǎng)絡進行靈活的邏輯管控,根據(jù)邏輯子網(wǎng)的信息反饋�����,實現(xiàn)對各個節(jié)點以及網(wǎng)絡全局的匯總分析�,從而選擇最優(yōu)的應對方案。當一些惡意代碼被檢測發(fā)現(xiàn)時�����,可以通過當前的網(wǎng)絡狀態(tài)推斷出安全事件發(fā)生的位置�,SDN控制器通過修改交換機流表的流表項來實現(xiàn)網(wǎng)絡節(jié)點(包括移動設(shè)備、各類網(wǎng)絡設(shè)備和主機)的邏輯網(wǎng)絡的重定向�,動態(tài)的調(diào)整周邊的交換路由,避免擁塞的發(fā)生����,但這也給網(wǎng)絡惡意代碼在網(wǎng)絡間的傳播帶來了機會。當網(wǎng)絡受到大規(guī)模入侵攻擊時����,可以通過改變網(wǎng)絡拓撲、協(xié)同檢測等方式將損失降到最低���。本發(fā)明專利研究SDN移動環(huán)境下惡意代碼傳播和演化模型�,為SDN控制器管理策略的制定提供基礎(chǔ)�����。也能夠為網(wǎng)絡安全領(lǐng)域中的復雜行為檢測方法提供理論和技術(shù)上的依據(jù)���,幫助下一代網(wǎng)絡安全工具的開發(fā)�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是���,解決針對在SDN網(wǎng)絡大規(guī)模�����、高維度的網(wǎng)絡安全數(shù)據(jù)中發(fā)現(xiàn)惡意代碼計算消耗巨大的問題��。
[0006]本發(fā)明的技術(shù)方案是���,基于SDN網(wǎng)絡的惡意代碼檢測方法�����,基于OpenFlow的流量特征選取方法��,采用多種特征選取方法對不同的流量特性進行排序���,找出能反映惡意代碼的關(guān)鍵特征子集,實現(xiàn)數(shù)據(jù)降維;針對不同種類的惡意代碼�,采用不同的分類算法和特征子集進行匹配分析,找出不同種類的惡意代碼檢測分析的匹配特征子集和分類方法;在此基礎(chǔ)上實現(xiàn)SDN網(wǎng)絡流量重定向模型和移動網(wǎng)絡演化分析��。
[0007](I)提出一種基于OpenFlow的流量特征選取的安全數(shù)據(jù)降維方法��。選取合適的流量特性����,進行細粒度的數(shù)據(jù)分析,將高維(η維)特征數(shù)據(jù)降維����,得到各類惡意代碼的最優(yōu)低維度(m維)特征子集;
(2)根據(jù)降維后的關(guān)鍵特征子集�����,分析比較不同分類方法與特征子集對不同類惡意代碼的分類性能����,得到某類惡意代碼的最佳特征子集及分類匹配算法; (3)分析不同的網(wǎng)絡模型中�,感染惡意代碼的節(jié)點迀移率對其在源子網(wǎng)和目標子網(wǎng)的感染情況和爆發(fā)時間的影響,提出一種惡意代碼在SDN移動網(wǎng)絡中的傳播模型��。通過理論分析和數(shù)值模擬�,找出惡意代碼從源子網(wǎng)傳播到目標子網(wǎng)的傳播特性與子網(wǎng)間節(jié)點的迀移率的關(guān)系。分析惡意代碼在社團子網(wǎng)間擴散和傳播的迀移閾值qc���,使其能夠合理地反映出SDN新架構(gòu)帶來的網(wǎng)絡動力學新特點��。
[0008]具體內(nèi)容包括:
(I)基于OpenF I ow的流量特征選取的安全數(shù)據(jù)降維方法�。
[0009]SDN網(wǎng)絡是基于流表的���,流表就可以作為數(shù)據(jù)包的匹配規(guī)則���,SDN流表的結(jié)構(gòu)包含三個部分:包頭匹配域、計數(shù)器和動作�。隨著流表設(shè)計對各種協(xié)議的支持�����,匹配更加細粒度化����,其具有的特征值也在增加���。OpenFlow流表的特征選擇是SDN網(wǎng)絡中安全數(shù)據(jù)預處理的有效方法�,通過降低流量特征的維度����,可以減小安全關(guān)聯(lián)分析的復雜度。本發(fā)明專利關(guān)注特征選擇方法在SDN的交換機流表數(shù)據(jù)中的應用����。分別采用Fisher、Rel ief F����、mRMR、InfoGain�、CFS、LVF等特征選擇方法對OpenFlow流表的流量特征進行排序���,并根據(jù)不同的特征選擇算法進行綜合分析��,選擇有效的流量特征數(shù)據(jù)來進行下一步模型的建立�����。
[0010](2)不同類惡意代碼的最優(yōu)特征子集及最優(yōu)分類算法選擇����。
[0011]不同的網(wǎng)絡異常場景在流量特性上表現(xiàn)不同�,而不同的數(shù)據(jù)挖掘算法對于流量特性的匹配程度也不一樣,本發(fā)明著重研究SDN環(huán)境下不同的特征選擇方法與數(shù)據(jù)挖掘算法的結(jié)合處理�,分析不同的特征選擇后對算法運行時間及不同的特征選取方法與分類算法性能的匹配程度。分析得出對于SDN流量的異常流量分析在不同的場景下應采用哪些關(guān)鍵特征以判別流量異常�。導致異常流量的原因有很多,比如DDOS攻擊����、witty蠕蟲,慢掃描等���,其在流量特征中表現(xiàn)不盡相同����,將Fisher、ReliefF以及InfoGain等算法得到的前8_12維特征序列分別與DT��、SVM和KNN等分類方法結(jié)合����,計算其分類結(jié)果的準確率,找出不同種類的惡意代碼檢測分析的匹配特征值和分類方法�����。
[0012](3 )惡意代碼在SDN移動環(huán)境下的傳播特性分析
建立SDN環(huán)境下的網(wǎng)絡模型�;將網(wǎng)絡子網(wǎng)作為社團考慮,子網(wǎng)內(nèi)部為靜態(tài)社團�,而子網(wǎng)之間為動態(tài)社團。通過分析不同的網(wǎng)絡模型中�,社團間的節(jié)點迀移率對惡意代碼在源子網(wǎng)和目標子網(wǎng)的感染情況和爆發(fā)時間的影響,發(fā)現(xiàn)移動環(huán)境下���,惡意代碼如蠕蟲的傳播對網(wǎng)絡演化的影響�����,對SDN控制器對交換機節(jié)點或主機節(jié)點路由控制提供理論依據(jù)����。
【附圖說明】
[0013]圖1基于SDN網(wǎng)絡的惡意代碼檢測路線圖;
圖2惡意代碼的特征子集及分類算法選擇流程圖��。
【具體實施方式】
[0014]本發(fā)明的路線圖如圖1所示�。
[0015]在實際檢測中,流表數(shù)據(jù)收集模塊定期向OpenFlow交換機發(fā)送流表請求��,交換機回復的流表信息通過加密通道傳送給流表收集節(jié)點�。流特征提取模塊根據(jù)特征分析的結(jié)果,接收流表收集模塊采集的流表數(shù)據(jù)����,提取出相關(guān)的m個流特征組成m元組��,每個m元組都以收集到此數(shù)據(jù)的交換機ID來作為標識���,從而可以監(jiān)測哪個SDN交換機發(fā)現(xiàn)了某類惡意事件���。分類器模塊負責將收集到的m元組進行分類,以區(qū)分該段時間內(nèi)流量是哪類異常流量還是正常流量�����。
[00? 6] (I )OpenFlow流表特征選取與重要程度排序
OpenFlow流表采用流轉(zhuǎn)發(fā)來取代傳統(tǒng)的包轉(zhuǎn)發(fā),流量在進入SDN交換機時首先查看交換機上的流表�����,有匹配則執(zhí)行相應動作���,如果沒有匹配��,就將報文發(fā)送控制器��,由控制器決定如何生成流表發(fā)送交換機����。因此特征數(shù)據(jù)選取可以直接從流表中選擇��。
[0017]第一步:構(gòu)建不同維度的特征數(shù)據(jù)��;
在訓練樣本生成階段�,我們可以在實驗環(huán)境中產(chǎn)生正常流量和各類惡意流量比如DD0S,蠕蟲�,掃描等,各類異常流量的產(chǎn)生可以借助相應的攻擊工具產(chǎn)生����,比如DDOS攻擊可以發(fā)起TCP SYN flood, UDP flood等流量攻擊�。各類異常和正常的訓練子集盡量均衡�����。
[0018]對流表中的40個包頭匹配域���,構(gòu)建不同維度的特征數(shù)據(jù)���,這些特征選取可以包括:IP包率、ICMP包率����、TCP包率、長包率��、短包率��、IP對流比��、端口增速�����、包間隔時間�、流包數(shù)、流字節(jié)數(shù)等�。
[0019]第二步:研究不同的特征選擇算法對相應數(shù)據(jù)集的排序結(jié)果;
采用�?丨81161'、1^1丨6€?�����、111履1?�����、111�����;1^063�����;[11��、0?3�、1^等不同的特征選擇算法對相應的數(shù)據(jù)集進行特征排序,其排序的標準是根據(jù)各種算法計算出的特征重要性�。
[0020]通過不同的特征選取算法�,可以通過檢驗數(shù)據(jù)找到不同類別異常事件的特征排序�,這一步當中,因為還沒有分類器的參與�,無法直接選出相應的特征子集,但可以找到一定的規(guī)律���,通過選擇在不同算法中排序比較靠前的8-12個特征集分析其相關(guān)性和相似性����??梢愿鶕?jù)不同的特征選擇算法進行綜合分析,選擇有效的流量特征數(shù)據(jù)來進行下一步模型的建立���。
[0021](2)研究不同的數(shù)據(jù)挖掘分類方法與特征選擇算法結(jié)合���,對不同的惡意代碼選擇相應算法。
[0022]SDN網(wǎng)絡惡意代碼特征選擇算法的關(guān)鍵在于將特征子集的選擇與分類器相結(jié)合����,通過分類器的性能來判定哪組特征或者哪些特征能夠達到較高的檢測率�����。可以考慮選擇典型的分類器算法����,比如決策樹(DT)、支持向量機(SVM)和K鄰近分類法(KNN)����,與前面提到的的特征選擇算法結(jié)合,找出最匹配的特征選擇分類算法���,其流程如圖2所示�����。
[0023]將Fisher��、ReliefF以及InfoGain等算法的得到的前8-12維特征序列分別與DT�����、SVM和KNN結(jié)合�,計算其分類結(jié)果的準確率�����,最終選出適合不同分類算法的特征子集和最匹配的特征選擇算法。
[0024](3)分析SDN網(wǎng)絡下惡意代碼傳播模型及SDN移動性網(wǎng)絡中病毒傳染的免疫策略�����。
[0025]SDN的集中控制使得其更容易發(fā)現(xiàn)惡意代碼和異常行為����,并能迅速的對這些異常和攻擊行為做出響應。本發(fā)明專利通過建立相應的網(wǎng)絡模型��,引入迀移率閾值qc�����,分析SDN架構(gòu)下節(jié)點的邏輯移動給惡意代碼傳播帶來的趨勢影響�����。當某類惡意代碼在某社團子網(wǎng)中爆發(fā)時��,SDN的控制器可以進行應用隔離和權(quán)限管理���,當網(wǎng)絡中惡意代碼爆發(fā)時�,可以采取動態(tài)隔離疑似感染節(jié)點和修改網(wǎng)絡路由及權(quán)限策略的方式來降低和避免惡意代碼的傳播�。
【主權(quán)項】
1.一種基于SDN網(wǎng)絡的惡意代碼檢測方法,提出基于OpenFlow的流量特征選取方法�,采用多種特征選取方法對不同的流量特性進行排序,找出能反映惡意代碼的關(guān)鍵特征子集��,實現(xiàn)數(shù)據(jù)降維;針對不同種類的惡意代碼�,采用不同的分類算法和特征子集進行匹配分析,找出不同種類的惡意代碼檢測分析的匹配特征子集和分類方法;在此基礎(chǔ)上實現(xiàn)SDN網(wǎng)絡流量重定向模型和移動網(wǎng)絡演化分析����,其特征是: (1)提出一種基于OpenFlow的流量特征選取的安全數(shù)據(jù)降維方法,選取合適的流量特性����,進行細粒度的數(shù)據(jù)分析,將高維(η維)特征數(shù)據(jù)降維����,得到各類惡意代碼的最優(yōu)低維度(m維)特征子集; (2)根據(jù)降維后的關(guān)鍵特征子集�����,分析比較不同分類方法與特征子集對不同類惡意代碼的分類性能�,得到某類惡意代碼的最佳特征子集及分類匹配算法; (3)分析不同的網(wǎng)絡模型中,感染惡意代碼的節(jié)點迀移率對其在源子網(wǎng)和目標子網(wǎng)的感染情況和爆發(fā)時間的影響�,提出一種惡意代碼在SDN移動網(wǎng)絡中的傳播模型,通過理論分析和數(shù)值模擬�,找出惡意代碼從源子網(wǎng)傳播到目標子網(wǎng)的傳播特性與子網(wǎng)間節(jié)點的迀移率的關(guān)系,分析惡意代碼在社團子網(wǎng)間擴散和傳播的迀移閾值qc�����,使其能夠合理地反映出SDN新架構(gòu)帶來的網(wǎng)絡動力學新特點�����。2.根據(jù)權(quán)利要求1所述的基于SDN網(wǎng)絡的惡意代碼檢測方法�,其特征是,基于OpenFlow的流量特征選取的安全數(shù)據(jù)降維方法�����,SDN網(wǎng)絡是基于流表的����,流表就可以作為數(shù)據(jù)包的匹配規(guī)則,SDN流表的結(jié)構(gòu)包含三個部分:包頭匹配域���、計數(shù)器和動作��,隨著流表設(shè)計對各種協(xié)議的支持���,匹配更加細粒度化��,其具有的特征值也在增加,OpenFlow流表的特征選擇是SDN網(wǎng)絡中安全數(shù)據(jù)預處理的有效方法�����,通過降低流量特征的維度����,可以減小安全關(guān)聯(lián)分析的復雜度,關(guān)注特征選擇方法在SDN的交換機流表數(shù)據(jù)中的應用���,分別采用FiSher����、ReliefF���、mRMR��、InfoGain�、CFS、LVF等特征選擇方法對OpenFlow流表的流量特征進行排序���,并根據(jù)不同的特征選擇算法進行綜合分析����,選擇有效的流量特征數(shù)據(jù)來進行下一步模型的建立���。3.根據(jù)權(quán)利要求1所述的基于SDN網(wǎng)絡的惡意代碼檢測方法�����,其特征是�,不同類惡意代碼的最優(yōu)特征子集及最優(yōu)分類算法選擇�,不同的網(wǎng)絡異常場景在流量特性上表現(xiàn)不同,而不同的數(shù)據(jù)挖掘算法對于流量特性的匹配程度也不一樣��,本發(fā)明專利著重研究SDN環(huán)境下不同的特征選擇方法與數(shù)據(jù)挖掘算法的結(jié)合處理�,分析不同的特征選擇后對算法運行時間及不同的特征選取方法與分類算法性能的匹配程度,分析得出對于SDN流量的異常流量分析在不同的場景下應采用哪些關(guān)鍵特征以判別流量異常�����,導致異常流量的原因有很多����,比如DDOS攻擊��、witty婦蟲���,慢掃描等,其在流量特征中表現(xiàn)不盡相同���,將Fisher、ReIiefF以及InfoGain等算法得到的前8_12維特征序列分別與DT���、SVM和KNN等分類方法結(jié)合�,計算其分類結(jié)果的準確率���,找出不同種類的惡意代碼檢測分析的匹配特征值和分類方法����。4.根據(jù)權(quán)利要求1所述的基于SDN網(wǎng)絡的惡意代碼檢測方法����,其特征是,惡意代碼在SDN移動環(huán)境下的傳播特性分析�,建立SDN環(huán)境下的網(wǎng)絡模型;將網(wǎng)絡子網(wǎng)作為社團考慮����,子網(wǎng)內(nèi)部為靜態(tài)社團�����,而子網(wǎng)之間為動態(tài)社團����,通過分析不同的網(wǎng)絡模型中,社團間的節(jié)點迀移率對惡意代碼在源子網(wǎng)和目標子網(wǎng)的感染情況和爆發(fā)時間的影響����,發(fā)現(xiàn)移動環(huán)境下,惡意代碼如蠕蟲的傳播對網(wǎng)絡演化的影響���,對SDN控制器對交換機節(jié)點或主機節(jié)點路由控制提供理論依據(jù)��。
【文檔編號】G06F21/56GK105956473SQ201610315348
【公開日】2016年9月21日
【申請日】2016年5月15日
【發(fā)明人】劉蘭, 仇云利
【申請人】廣東技術(shù)師范學院