论文部分内容阅读
恶意流量检测是一种常用的软件定义网络(Software Defined Network,SDN)攻击防御手段,不仅能够有效识别DDo S攻击、网络蠕虫等恶意攻击流,还能预测网络中的未知攻击行为,进而保障了预警响应机制的设计和实现。但近年来网络流量复杂度日趋增大,恶意流量攻击难度逐步降低,先后出现了多种新型攻击方法,由于该类攻击的频率持续增高、规模不断扩大,同时具有隐蔽性和多态性两种特征,为恶意流量检测带来了前所未有的挑战。当前在SDN网络中,恶意流量检测、分析方面的研究主要存在以下问题:(1)传统流量分析技术无法直接复用到SDN中,对SDN特有的攻击类型检测效率不高。(2)针对SDN的恶意流量攻击,在攻击形式和方法上更加多样化,隐蔽性和多态性的特征更加突出,现有流量分析方法难以准确检测。(3)现有SDN流量分析工作主要集中在检测方法方面,缺少应对恶意流量的响应和防御机制方面的研究。针对上述不足,本文对比分析当前各种流量检测技术,围绕链路监听和行为分析、威胁情报引导、Web Shell攻击,以及SDN流表溢出攻击展开研究,基于多种流表操纵方法,实现SDN恶意流量的检测和防御。主要工作总结如下:1.提出一种基于链路监控的恶意流量防御方法。针对当前SDN恶意流量检测技术中链路监听和安全分析性能开销大、恶意交换机检测难的问题,基于网络监控框架在SDN中添加链路监听、行为分析和事件处理功能。链路监听功能读取并统计网络流量数据特征,并通过综合考虑数据的持续时间和突发性设置数据发送频率和监听时间长度,降低了链路监听负载。行为分析功能根据流量数据特征统计结果,利用基于卷积神经网络的多路径协调恶意流量检测算法对恶意流量进行检测,同时通过分析交换机数据转发行为与控制器要求的一致性对恶意交换机进行检测。事件处理功能根据行为分析结果,利用威胁评估策略实现流量危害程度评估,并阻断恶意流量和隔离恶意交换机。测试结果表明,本文方法对恶意流量检测的平均准确率达到96.7%,且能够在发现恶意交换机后重新规划数据转发路径并隔离恶意交换机,性能开销在可接受范围内。2.提出一种基于网络威胁情报(Cyber Threat Intelligence,CTI)的恶意流量防御方法。针对SDN以漏洞为中心的恶意流量检测技术攻击检测能力受限和安全威胁情报利用率不高的问题,首先从互联网搜集关于SDN的威胁情报信息作为原始情报数据,对原始数据进行安全概念提取和数据过滤构建知识图谱,对比网络流量特征统计数据与安全威胁情报知识图谱,检测恶意流量;然后将对应的响应措施转化为流表规则对恶意流量进行针对性防御。为了提高搜索和相似性比对等操作的效率,将知识图谱中的实体映射到向量空间,利用向量便于计算的特点提升效率。测试表明,方法能够有效识别恶意流量攻击并进行阻断。3.提出了一种基于机器学习的Web Shell恶意流量防御方法。针对当前检测方法无法充分发挥SDN网络架构优势的问题,利用SDN集中管控和可对网络流量进行统一监测的特点,在架构中添加边缘链路安全判定、安全分析和安全控制协同策略。边缘链路安全判定策略匹配过滤HTTP协议流量,提取摘要信息作为恶意流量检测算法输入进行深度包检测,利用机器学习算法实现Web Shell恶意流量的判定并产生威胁报警,安全控制协同策略解析威胁报警转化为流表规则下发至数据平面,阻断Web Shell攻击流量。测试结果表明,本文方法的检测准确率为94.92%,各模块性能开销不影响SDN系统正常运行,能够对所有产生报警的攻击通信进行阻断,阻断平均时延为0.725s。4.提出了一种基于随机微分方程的流表溢出型DDo S攻击流量防御方法。针对SDN中存在的流表溢出型的DDo S攻击和当前攻击防御能力弱的问题,将流表溢出攻击近似为布朗运动,首先利用泰勒公式对随机微分方程的漂移系数和扩散系数进行扩展和调整,然后利用极限定理将SDN网络的溢出攻击弱收敛到近似二维马尔可夫扩散过程,得到改进的随机微分方程,最后根据SDN网络攻击的随机性,将随机微分方程转换为基于振幅的振幅方程,并建立攻击检测方案。方案具体实现时利用基于流表统计的方法计算网络状态特征值判定区分网络的正常状态和被攻击状态,并结合BP神经网络算法判定网络状态特征值的有效性,从而识别流表溢出型的DDo S攻击的恶意流量,同时利用流表空间共享策略缓解因为攻击造成的流表空间过载问题。对比测试的结果表明,本文方法对攻击的检测正确率为99.52%,多级流表防御耗时优化率最高可达99.7%,优于对比测试对象。5.设计并实现了一种SDN恶意流量防御原型系统。以主流控制器Floodlight为底层控制器,本文提出的恶意流量防御方法进行设计,实现了SDN恶意流量防御原型系统。该系统主要由监控中心和分析中心两个部分构成,监控中心部署在SDN架构数据平面,是对基于链路监控的恶意流量防御方法的实现,分析中心部署在SDN架构的控制平面,是对其它三种恶意流量防御方法的整合。验证测试的结果表明该系统能有效防御洪泛型DDo S攻击流量、Web Shell流量和流表溢出型DDo S攻击流量,能检测和隔离恶意交换机,且性能开销在合理范围内不影响系统使用。对比测试的结果表明,对于针对SDN网络的特定Web Shell和流表溢出型DDo S攻击流量,原型系统明显优于Snort。论文分析了SDN网络体系结构特点,归纳SDN下基于网络恶意流量的攻击威胁特征,通过对网络仿真、深度学习、数学建模、形式化分析等技术理论的研究,搭建网络攻防模型,提出各种优化策略和算法,并在模拟实验环境下验证了所提算法的可行性和有效性。为SDN恶意流量攻防提出了较为全面的解决方案。