本发明涉及软件定义网络安全状态评估技术领域,尤其涉及基于突变理论的软件定义网络安全状态评估方法及装置。
背景技术:
软件定义网络(softwaredefinednetwork,sdn)是一种新型的网络体系结构。它具有松耦合的控制平面和数据平面,支持集中化的网络状态控制,能够实现底层网络设施对上层应用透明化。利用sdn灵活的软件编程能力,能够大幅提升对网络的自动化管理和控制能力,解决当前网络系统所面临的资源规模扩展受限、组网灵活性差等问题。近年来,受到云计算、大数据等新兴业务的推动,与sdn相关的技术开发、业务创新得到迅猛发展,在骨干网、数据中心、企业网以及移动网络等场景已有大规模应用。
sdn的集中管控机制和开放的编程接口虽然提高了网络管理和运营的灵活性,但同时也给网络攻击提供了全新机遇。尤其是其集中式的管控架构使得网络所有“智慧”都集中在控制器上,一旦控制器失效或服务能力降低,将极大影响全局网络的性能。sdn安全监测技术通过增量式部署的监测节点,被动采集流量信息,然后对采集到的流量信息进行集中分析或通过监测节点之间的协同验证,发现进而应对sdn安全事件,达到提高sdn网络安全性的目的。
然而,当前的sdn安全监测技术主要用于检测特征明显的异常网络流量,之后将监测结果直接呈现给网络管理员。这就可能让管理员陷于大量的细节信息,而忽略监测结果所体现或内含的一些重要情况。实际上,对于各网络管理员,他们更倾向于安全监测系统能够直观呈现本网络所处安全状态的定量或定性描述,只在发现了重大异常后才去进一步关注细节信息。
技术实现要素:
针对上述问题,本发明提出了基于突变理论的软件定义网络安全状态评估方法及装置,实现对sdn网络安全状态的实时有效评估。
为了实现上述目的,本发明采用以下技术方案:
基于突变理论的软件定义网络安全状态评估方法,包括以下步骤:
步骤1:针对软件定义网络的历史攻击流量,提取关联流占比γ、流到达时间平均间隔ρ和单向流生成速率λ作为sdn网络安全状态特征;
步骤2:基于sdn网络安全状态特征,构建突变模型及进行突变模型的参数估计;
步骤3:利用突变模型进行sdn网络安全状态评估。
进一步地,在所述步骤1之后还包括:
采用线性函数标准化方法对sdn网络安全状态特征进行标准化处理,将特征取值标准化到[0,1]区间。
进一步地,所述步骤2包括:
步骤2.1:基于标准化后的sdn网络安全状态特征,构建尖点突变模型:
尖点突变模型的势函数f(x)=x4+aux2+bvx,其中x表示状态变量,u、v为控制变量,选取λ作为状态变量x,γ作为控制变量u,ρ作为控制变量v;a,b是系数;
由尖点突变模型的势函数得出尖点突变模型的平衡曲面m为:
f′(x)=4x3+2aux+bv=0
通过平衡曲面m公式得出平衡曲面的临界点,由平衡曲面的临界点得出分歧集函数为:
bs:8a3u3+27b2v2=0;
步骤2.2:对尖点突变模型进行参数估计:
采用最小平方拟合方法估计a和b的最优值:
定义
对于标准化处理后的训练样本集
进一步地,所述步骤3包括:
步骤3.1:按照时间顺序对待测数据进行标准化处理,标准化处理后的测试样本集为
步骤3.2:根据得到的a和b的最优值,判断
步骤3.3:若步骤3.2中条件均不满足,则结合前一时段的数据
进一步地,在所述步骤3之后还包括:
将网络的状态按照时间顺序存入网络状态库,便于后续检测判断。
基于突变理论的软件定义网络安全状态评估装置,包括:
特征提取模块,用于针对软件定义网络的历史攻击流量,提取关联流占比γ、流到达时间平均间隔ρ和单向流生成速率λ作为sdn网络安全状态特征;
模型构建模块,用于基于sdn网络安全状态特征,构建突变模型及进行突变模型的参数估计;
网络安全状态评估模块,用于利用突变模型进行sdn网络安全状态评估。
进一步地,还包括:
标准化处理模块,用于采用线性函数标准化方法对sdn网络安全状态特征进行标准化处理,将特征取值标准化到[0,1]区间。
进一步地,还包括:
存储模块,用于将网络的状态按照时间顺序存入网络状态库,便于后续检测判断。
进一步地,所述模型构建模块包括:
模型构建子模块,用于基于标准化后的sdn网络安全状态特征,构建尖点突变模型:
尖点突变模型的势函数f(x)=x4+aux2+bvx,其中x表示状态变量,u、v为控制变量,选取λ作为状态变量x,γ作为控制变量u,ρ作为控制变量v;a,b是系数;
由尖点突变模型的势函数得出尖点突变模型的平衡曲面m为:
f′(x)=4x3+2aux+bv=0
通过平衡曲面m公式得出平衡曲面的临界点,由平衡曲面的临界点得出分歧集函数为:
bs:8a3u3+27b2v2=0;
参数估计模块,用于对尖点突变模型进行参数估计:
采用最小平方拟合方法估计a和b的最优值:
定义
对于标准化处理后的训练样本集
进一步地,所述网络安全状态评估模块包括:
标准化处理子模块,用于按照时间顺序对待测数据进行标准化处理,标准化处理后的测试样本集为
第一判断模块,用于根据得到的a和b的最优值,判断
第二判断模块,用于若步骤3.2中条件均不满足,则结合前一时段的数据
与现有技术相比,本发明具有的有益效果:
1、本发明以关联流占比、流到达时间平均间隔和单向流生成速率3个统计属性为安全特征,融合描述sdn网络的安全状态,能够准确刻画sdn网络运行时的安全态势,且兼顾sdn网络安全状态评估的性能和效率;
2、本发明选择尖点模型为突变模型,能够准确描述sdn网络在正常状态和异常状态之间的突变过程;
3、本发明通过计算sdn网络安全状态特征在各个时段与sdn网络平衡曲面的关系,推断网络是否运行异常,能够实现对sdn网络安全状态的实时有效评估。
附图说明
图1为本发明实施例的基于突变理论的软件定义网络安全状态评估方法的基本流程图。
图2为本发明另一实施例的基于突变理论的软件定义网络安全状态评估方法的基本流程图。
图3为本发明实施例的基于突变理论的软件定义网络安全状态评估方装置的结构示意图。
图4为本发明另一实施例的基于突变理论的软件定义网络安全状态评估装置的结构示意图。
具体实施方式
下面结合附图和具体的实施例对本发明做进一步的解释说明:
实施例一:
如图1所示,本发明的一种基于突变理论的软件定义网络安全状态评估方法,包括以下步骤:
步骤s101:针对软件定义网络的历史攻击流量,提取关联流占比γ、流到达时间平均间隔ρ和单向流生成速率λ作为sdn网络安全状态特征。
步骤s102:基于sdn网络安全状态特征,构建突变模型及进行突变模型的参数估计。
步骤s103:利用突变模型进行sdn网络安全状态评估。
实施例二:
如图2所示,本发明的另一种基于突变理论的软件定义网络安全状态评估方法,包括以下步骤:
步骤s201:分析针对软件定义网络的历史攻击流量,提取并计算具有强表征性的统计属性作为sdn网络安全状态特征。
安全特征的选取直接决定了评估方法的有效性和准确性。从目标网络的角度来看,当运行异常时,其网络流量的很多统计属性的值必然与正常状态时存在很大差异。这些能够反映sdn从正常状态到异常状态突变过程的统计属性即可以作为sdn安全特征,融合描述sdn的运行状态。
sdn网络安全状态特征集至少包括三个重要特征,关联流占比γ、流到达时间平均间隔ρ和单向流生成速率λ。当然,除了这三个特征之外,能够反映sdn安全状态的特征还有很多,且选择的特征越多,构成的突变模型越能精确反映网络状态的突变过程。但是,特征越多,突变模型的构造也会随之变得更加复杂,sdn安全状态推断过程的计算复杂度也就越高,评估效率将相应降低。所以,综合考虑评估的准确率和效率,仅选择关联流占比(percentageofcorrelativeflow,pcf)、流到达时间平均间隔(meantimeintervalofflowsarrival)、单向流生成速率(onedirectiongeneratingspeed,odgs)这三种表征性较强的特征作为sdn安全特征。
步骤s202:为了平衡取值范围不一致的特征,需要对各个特征进行标准化处理,将特征取值标准化到[0,1]区间。由于三个特征的量化值分布都不具有明显的概率分布特性,为此采用线性函数标准化方法,将安全特征的原始数据线性化地转换到区间[0,1]。
步骤s203:基于sdn网络安全状态特征,构建突变模型及进行突变模型的参数估计。所述步骤s203包括:
步骤s2031:基于标准化后的sdn网络安全状态特征,构建尖点突变模型。
在sdn网络安全状态评估中,sdn的状态有正常和异常两种稳定状态。网络流量特征为引起sdn状态突变的外在因素,流表匹配率则为sdn可能出现突变的因素,所以将反映网络流量特征的关联流占比、流到达时间平均间隔确定为控制变量,将单向流生成速率确定为状态变量。相应的,选择尖点突变模型对sdn进行安全状态评估。即:选取λ作为状态变量x,γ作为控制变量u,ρ作为控制变量v。
尖点突变模型的势函数f(x)=x4+aux2+bvx,其中x表示状态变量,u,v为控制变量,a,b是系数。由此,尖点突变模型的平衡曲面m为:f′(x)=4x3+2aux+bv=0。分歧集由平衡曲面临界点组成并且属于控制空间,网络状态的突变都是发生在这个空间范围,表示为bs:8a3u3+27b2v2=0。
步骤s2032:对尖点突变模型进行参数估计。
a和b是尖点模型的两个参数,可以通过确定多个函数的极值,得到它们的最优值。具体地,采用最小平方拟合方法:
定义
对于标准化处理后的训练样本集
步骤s204:sdn网络安全状态评估:
通过对训练样本集的学习,确定模型中的参数,形成sdn网络正常状态和异常状态的平衡曲面后,即可利用生成的尖点突变模型对待测数据进行检测,推断其对应的网络状态。具体推断过程如下:
步骤s2041:按照时间顺序对待测数据进行标准化处理,标准化处理后的测试样本集为
步骤s2042:根据得到的a和b的最优值,判断
步骤s2043:若步骤s2042中条件均不满足,则结合前一时段的数据
步骤s205:将网络的状态按照时间序列存入网络状态库,便于后续检测判断。
实施例三:
如图3所示,本发明的一种基于突变理论的软件定义网络安全状态评估装置,包括:
特征提取模块301,用于针对软件定义网络的历史攻击流量,提取关联流占比γ、流到达时间平均间隔ρ和单向流生成速率λ作为sdn网络安全状态特征。
模型构建模块302,用于基于sdn网络安全状态特征,构建突变模型及进行突变模型的参数估计。
网络安全状态评估模块303,用于利用突变模型进行sdn网络安全状态评估。
实施例四:
如图4所示,本发明的另一种基于突变理论的软件定义网络安全状态评估装置,包括:
特征提取模块401,用于针对软件定义网络的历史攻击流量,提取关联流占比γ、流到达时间平均间隔ρ和单向流生成速率λ作为sdn网络安全状态特征。
标准化处理模块402,用于采用线性函数标准化方法对sdn网络安全状态特征进行标准化处理,将特征取值标准化到[0,1]区间。
模型构建模块403,用于基于sdn网络安全状态特征,构建突变模型及进行突变模型的参数估计。
网络安全状态评估模块404,用于利用突变模型进行sdn网络安全状态评估。
存储模块405,用于将网络的状态按照时间顺序存入网络状态库,便于后续检测判断。
所述模型构建模块403包括:
模型构建子模块4031,用于基于标准化后的sdn网络安全状态特征,构建尖点突变模型:
尖点突变模型的势函数f(x)=x4+aux2+bvx,其中x表示状态变量,u、v为控制变量,选取λ作为状态变量x,γ作为控制变量u,ρ作为控制变量v;a,b是系数;
由尖点突变模型的势函数得出尖点突变模型的平衡曲面m为:
f′(x)=4x3+2aux+bv=0
通过平衡曲面m公式得出平衡曲面的临界点,由平衡曲面的临界点得出分歧集函数为:
bs:8a3u3+27b2v2=0;
参数估计模块4032,用于对尖点突变模型进行参数估计:
采用最小平方拟合方法估计a和b的最优值:
定义
对于标准化处理后的训练样本集
所述网络安全状态评估模块404包括:
标准化处理子模块4041,用于按照时间顺序对待测数据进行标准化处理,标准化处理后的测试样本集为
第一判断模块4042,用于根据得到的a和b的最优值,判断
第二判断模块4043,用于若第一判断模块4042中条件均不满足,则结合前一时段的数据
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。