CN105956473B - 基于sdn网络的恶意代码检测方法 - Google Patents

基于sdn网络的恶意代码检测方法 Download PDF

Info

Publication number
CN105956473B
CN105956473B CN201610315348.9A CN201610315348A CN105956473B CN 105956473 B CN105956473 B CN 105956473B CN 201610315348 A CN201610315348 A CN 201610315348A CN 105956473 B CN105956473 B CN 105956473B
Authority
CN
China
Prior art keywords
malicious code
sdn
network
different
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201610315348.9A
Other languages
English (en)
Other versions
CN105956473A (zh
Inventor
刘兰
仇云利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Polytechnic Normal University
Original Assignee
Guangdong Polytechnic Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Polytechnic Normal University filed Critical Guangdong Polytechnic Normal University
Priority to CN201610315348.9A priority Critical patent/CN105956473B/zh
Publication of CN105956473A publication Critical patent/CN105956473A/zh
Application granted granted Critical
Publication of CN105956473B publication Critical patent/CN105956473B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

基于SDN网络的恶意代码检测方法,属于计算机网络安全技术领域。SDN控制与转发分离的全新设计理念给网络信息安全领域带来了新的机遇和挑战,为了解决新架构下恶意代码检测和防范的问题。本发明分析对SDN交换机流表特征的选取方法,提出基于OpenFlow流量特征选取的安全数据排序及降维方法;在此基础上比较特征选取后对不同的分类算法运行时间的影响,分析降维维度m选择问题,找出不同类型的恶意代码对应的最优特征子集和匹配分类方法;分析恶意代码在SDN移动环境下的传播特性和演化模型,得出移动网络中节点迁移率对恶意代码在源子网和目标子网的感染情况和爆发时间的影响,对SDN控制器对交换机节点或主机节点路由控制具有参考价值。

Description

基于SDN网络的恶意代码检测方法
技术领域
本发明属于计算机网络安全技术领域。
背景技术
作为一种新型的基于软件技术的网络体系架构,SDN(Software DefinedNetworking, 软件定义网络)全新的设计理念和创新式的应用给网络信息安全领域带来了新的机遇和挑战。由于SDN 采用集中式控制的方式,直观上,意味着更大的安全风险。另一方面,SDN 也冲击着传统安全防护技术,由于SDN网络控制与转发分离,其开放的各类应用程序的带来的漏洞不可避免,恶意代码包括计算机病毒、网络蠕虫、木马、逻辑炸弹及DDOS攻击等,对于SDN网络,恶意代码的分析和检测也是需要解决的重要问题。
为此,发明基于SDN思想,建立SDN架构下恶意代码流量特征分析模型。通过对SDN网络流表数据的流量采集和特征分析,找出匹配的分类算法更加准确的发现各类恶意攻击,核心是数据收集、流表特征的产生、特征选取及分类算法的研究。
SDN的集中架构可以对网络进行灵活的逻辑管控,根据逻辑子网的信息反馈,实现对各个节点以及网络全局的汇总分析,从而选择最优的应对方案。当一些恶意代码被检测发现时,可以通过当前的网络状态推断出安全事件发生的位置,SDN控制器通过修改交换机流表的流表项来实现网络节点(包括移动设备、各类网络设备和主机)的逻辑网络的重定向,动态的调整周边的交换路由,避免拥塞的发生,但这也给网络恶意代码在网络间的传播带来了机会。当网络受到大规模入侵攻击时,可以通过改变网络拓扑、协同检测等方式将损失降到最低。本发明专利研究SDN移动环境下恶意代码传播和演化模型,为SDN控制器管理策略的制定提供基础。也能够为网络安全领域中的复杂行为检测方法提供理论和技术上的依据,帮助下一代网络安全工具的开发。
发明内容
本发明的目的是,解决针对在SDN网络大规模、高维度的网络安全数据中发现恶意代码计算消耗巨大的问题。
本发明的技术方案是,基于SDN网络的恶意代码检测方法,基于OpenFlow的流量特征选取方法,采用多种特征选取方法对不同的流量特性进行排序,找出能反映恶意代码的关键特征子集,实现数据降维;针对不同种类的恶意代码,采用不同的分类算法和特征子集进行匹配分析,找出不同种类的恶意代码检测分析的匹配特征子集和分类方法;在此基础上实现SDN网络流量重定向模型和移动网络演化分析。
(1)提出一种基于OpenFlow的流量特征选取的安全数据降维方法。选取合适的流量特性,进行细粒度的数据分析,将高维(n维)特征数据降维,得到各类恶意代码的最优低维度(m维)特征子集;
(2)根据降维后的关键特征子集,分析比较不同分类方法与特征子集对不同类恶意代码的分类性能,得到某类恶意代码的最佳特征子集及分类匹配算法;
(3)分析不同的网络模型中,感染恶意代码的节点迁移率对其在源子网和目标子网的感染情况和爆发时间的影响,提出一种恶意代码在SDN移动网络中的传播模型。通过理论分析和数值模拟,找出恶意代码从源子网传播到目标子网的传播特性与子网间节点的迁移率的关系。分析恶意代码在社团子网间扩散和传播的迁移阈值qc,使其能够合理地反映出SDN新架构带来的网络动力学新特点。
具体内容包括:
(1)基于OpenFlow的流量特征选取的安全数据降维方法。
SDN网络是基于流表的,流表就可以作为数据包的匹配规则,SDN流表的结构包含三个部分:包头匹配域、计数器和动作。随着流表设计对各种协议的支持,匹配更加细粒度化,其具有的特征值也在增加。 OpenFlow流表的特征选择是SDN网络中安全数据预处理的有效方法,通过降低流量特征的维度,可以减小安全关联分析的复杂度。本发明专利关注特征选择方法在SDN的交换机流表数据中的应用。分别采用Fisher、ReliefF、mRMR、InfoGain、CFS、LVF 等特征选择方法对OpenFlow流表的流量特征进行排序,并根据不同的特征选择算法进行综合分析,选择有效的流量特征数据来进行下一步模型的建立。
(2)不同类恶意代码的最优特征子集及最优分类算法选择。
不同的网络异常场景在流量特性上表现不同,而不同的数据挖掘算法对于流量特性的匹配程度也不一样,本发明着重研究SDN环境下不同的特征选择方法与数据挖掘算法的结合处理,分析不同的特征选择后对算法运行时间及不同的特征选取方法与分类算法性能的匹配程度。分析得出对于SDN 流量的异常流量分析在不同的场景下应采用哪些关键特征以判别流量异常。导致异常流量的原因有很多,比如DDOS攻击、witty蠕虫,慢扫描等,其在流量特征中表现不尽相同,将 Fisher、ReliefF以及 InfoGain 等算法得到的前8-12维特征序列分别与 DT、SVM 和KNN等分类方法结合,计算其分类结果的准确率,找出不同种类的恶意代码检测分析的匹配特征值和分类方法。
(3)恶意代码在SDN移动环境下的传播特性分析
建立SDN环境下的网络模型;将网络子网作为社团考虑,子网内部为静态社团,而子网之间为动态社团。通过分析不同的网络模型中,社团间的节点迁移率对恶意代码在源子网和目标子网的感染情况和爆发时间的影响,发现移动环境下,恶意代码如蠕虫的传播对网络演化的影响,对SDN控制器对交换机节点或主机节点路由控制提供理论依据。
附图说明
图1 基于SDN网络的恶意代码检测路线图;
图2 恶意代码的特征子集及分类算法选择流程图。
具体实施方式
本发明的路线图如图1所示。
在实际检测中,流表数据收集模块定期向OpenFlow交换机发送流表请求,交换机回复的流表信息通过加密通道传送给流表收集节点。流特征提取模块根据特征分析的结果,接收流表收集模块采集的流表数据,提取出相关的m个流特征组成m元组,每个m元组都以收集到此数据的交换机ID 来作为标识,从而可以监测哪个SDN交换机发现了某类恶意事件。分类器模块负责将收集到的m元组进行分类,以区分该段时间内流量是哪类异常流量还是正常流量。
(1)OpenFlow流表特征选取与重要程度排序
OpenFlow流表采用流转发来取代传统的包转发,流量在进入SDN交换机时首先查看交换机上的流表,有匹配则执行相应动作,如果没有匹配,就将报文发送控制器,由控制器决定如何生成流表发送交换机。因此特征数据选取可以直接从流表中选择。
第一步:构建不同维度的特征数据;
在训练样本生成阶段,我们可以在实验环境中产生正常流量和各类恶意流量比如DDOS,蠕虫,扫描等,各类异常流量的产生可以借助相应的攻击工具产生,比如DDOS攻击可以发起TCP SYN flood, UDP flood等流量攻击。各类异常和正常的训练子集尽量均衡。
对流表中的40个包头匹配域,构建不同维度的特征数据,这些特征选取可以包括:IP包率、ICMP包率、TCP包率、长包率、短包率、IP对流比、端口增速、包间隔时间、流包数、流字节数等。
第二步:研究不同的特征选择算法对相应数据集的排序结果;
采用Fisher、ReliefF、mRMR、InfoGain、CFS、LVF 等不同的特征选择算法对相应的数据集进行特征排序,其排序的标准是根据各种算法计算出的特征重要性。
通过不同的特征选取算法,可以通过检验数据找到不同类别异常事件的特征排序,这一步当中,因为还没有分类器的参与,无法直接选出相应的特征子集,但可以找到一定的规律,通过选择在不同算法中排序比较靠前的8-12个特征集分析其相关性和相似性。可以根据不同的特征选择算法进行综合分析,选择有效的流量特征数据来进行下一步模型的建立。
(2)研究不同的数据挖掘分类方法与特征选择算法结合,对不同的恶意代码选择相应算法。
SDN网络恶意代码特征选择算法的关键在于将特征子集的选择与分类器相结合,通过分类器的性能来判定哪组特征或者哪些特征能够达到较高的检测率。可以考虑选择典型的分类器算法,比如决策树(DT)、支持向量机(SVM)和K邻近分类法(KNN),与前面提到的的特征选择算法结合,找出最匹配的特征选择分类算法,其流程如图2 所示。
将 Fisher、ReliefF以及 InfoGain 等算法的得到的前8-12维特征序列分别与DT、SVM 和KNN结合,计算其分类结果的准确率,最终选出适合不同分类算法的特征子集和最匹配的特征选择算法。
(3)分析SDN网络下恶意代码传播模型及SDN移动性网络中病毒传染的免疫策略。
SDN的集中控制使得其更容易发现恶意代码和异常行为,并能迅速的对这些异常和攻击行为做出响应。本发明专利通过建立相应的网络模型,引入迁移率阈值qc ,分析SDN架构下节点的逻辑移动给恶意代码传播带来的趋势影响。当某类恶意代码在某社团子网中爆发时,SDN的控制器可以进行应用隔离和权限管理,当网络中恶意代码爆发时,可以采取动态隔离疑似感染节点和修改网络路由及权限策略的方式来降低和避免恶意代码的传播。

Claims (4)

1.一种基于SDN网络的恶意代码检测方法,提出基于OpenFlow的流量特征选取方法,采用多种特征选取方法对不同的流量特性进行排序,找出能反映恶意代码的关键特征子集,实现数据降维;针对不同种类的恶意代码,采用不同的分类算法和特征子集进行匹配分析,找出不同种类的恶意代码检测分析的匹配特征子集和分类方法;在此基础上实现SDN网络流量重定向模型和移动网络演化分析,其特征是:
(1)提出一种基于OpenFlow的流量特征选取的安全数据降维方法,选取OpenFlow流表的包头域所定义的流量特征,进行细粒度的数据分析,将高维特征数据降维,得到各类恶意代码的最优低维度特征子集;
(2)根据降维后的关键特征子集,分析比较不同分类方法与特征子集对不同类恶意代码的分类性能,得到某类恶意代码的最佳特征子集及分类算法;
(3)分析不同的网络模型中,感染恶意代码的节点迁移率对其在源子网和目标子网的感染情况和爆发时间的影响,提出一种恶意代码在SDN移动网络中的传播模型,通过理论分析和数值模拟,找出恶意代码从源子网传播到目标子网的传播特性与子网间节点的迁移率的关系,分析恶意代码在社团子网间扩散和传播的迁移阈值qc。
2.根据权利要求1所述的基于SDN网络的恶意代码检测方法,其特征是,基于OpenFlow的流量特征选取的安全数据降维方法,SDN网络是基于流表的,流表就可以作为数据包的匹配规则,SDN流表的结构包含三个部分:包头匹配域、计数器和动作,随着流表设计对各种协议的支持,匹配更加细粒度化,其具有的特征值也在增加, OpenFlow流表的特征选择是SDN网络中安全数据预处理的有效方法,通过降低流量特征的维度,可以减小安全关联分析的复杂度,关注特征选择方法在SDN的交换机流表数据中的应用,分别采用Fisher、ReliefF、mRMR、InfoGain、CFS、LVF 特征选择方法对OpenFlow流表的流量特征进行排序,并根据不同的特征选择算法进行综合分析,选择有效的流量特征数据来进行下一步模型的建立。
3.根据权利要求1所述的基于SDN网络的恶意代码检测方法,其特征是,不同类恶意代码的最优特征子集及最优分类算法选择,不同的网络异常场景在流量特性上表现不同,而不同的数据挖掘算法对于流量特性的匹配程度也不一样,研究SDN环境下不同的特征选择方法与数据挖掘算法的结合处理,分析不同的特征选择后对算法运行时间及不同的特征选取方法与分类算法性能的匹配程度,分析得出对于SDN 流量的异常流量分析在不同的场景下应采用哪些关键特征以判别流量异常,将 Fisher、ReliefF以及 InfoGain算法得到的前8-12维特征序列分别与 DT、SVM 和KNN分类方法结合,计算其分类结果的准确率,找出不同种类的恶意代码检测分析的匹配特征值和分类方法。
4.根据权利要求1所述的基于SDN网络的恶意代码检测方法,其特征是,恶意代码在SDN移动环境下的传播特性分析,建立SDN环境下的网络模型;将网络子网作为社团考虑,子网内部为静态社团,而子网之间为动态社团,通过分析不同的网络模型中,社团间的节点迁移率对恶意代码在源子网和目标子网的感染情况和爆发时间的影响,发现移动环境下恶意代码的传播对网络演化的影响。
CN201610315348.9A 2016-05-15 2016-05-15 基于sdn网络的恶意代码检测方法 Expired - Fee Related CN105956473B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610315348.9A CN105956473B (zh) 2016-05-15 2016-05-15 基于sdn网络的恶意代码检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610315348.9A CN105956473B (zh) 2016-05-15 2016-05-15 基于sdn网络的恶意代码检测方法

Publications (2)

Publication Number Publication Date
CN105956473A CN105956473A (zh) 2016-09-21
CN105956473B true CN105956473B (zh) 2018-11-13

Family

ID=56912536

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610315348.9A Expired - Fee Related CN105956473B (zh) 2016-05-15 2016-05-15 基于sdn网络的恶意代码检测方法

Country Status (1)

Country Link
CN (1) CN105956473B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220239671A1 (en) * 2019-06-30 2022-07-28 British Telecommunications Public Limited Company Impeding forecast threat propagation in computer networks

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108632279B (zh) * 2018-05-08 2020-07-10 北京理工大学 一种基于网络流量的多层异常检测方法
CN110555305A (zh) * 2018-05-31 2019-12-10 武汉安天信息技术有限责任公司 基于深度学习的恶意应用溯源方法及相关装置
CN109194612B (zh) * 2018-07-26 2021-05-18 北京计算机技术及应用研究所 一种基于深度置信网络和svm的网络攻击检测方法
CN110598128B (zh) * 2019-09-11 2022-08-09 西安电子科技大学 一种对抗女巫攻击的用于大规模网络的社团检测方法
CN111064706B (zh) * 2019-11-25 2021-10-22 大连大学 一种mRMR-SVM的空间网络数据流检测方法
CN111556054B (zh) * 2020-04-28 2021-04-06 南京大学 针对sdn的虫洞攻击的检测方法
US11611588B2 (en) * 2020-07-10 2023-03-21 Kyndryl, Inc. Deep learning network intrusion detection

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003089923A2 (en) * 2002-04-17 2003-10-30 The Trustees Of Columbia University In The City Of New York A computational method for detecting remote sequence homology
CN101604322B (zh) * 2009-06-24 2011-09-07 北京理工大学 一种决策级文本自动分类融合方法
CN103023725A (zh) * 2012-12-20 2013-04-03 北京工业大学 一种基于网络流量分析的异常检测方法
CN104243317A (zh) * 2014-09-26 2014-12-24 杭州华三通信技术有限公司 一种实现ip路由转发的方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8108324B2 (en) * 2008-05-15 2012-01-31 Intel Corporation Forward feature selection for support vector machines
WO2010030794A1 (en) * 2008-09-10 2010-03-18 Digital Infuzion, Inc. Machine learning methods and systems for identifying patterns in data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003089923A2 (en) * 2002-04-17 2003-10-30 The Trustees Of Columbia University In The City Of New York A computational method for detecting remote sequence homology
CN101604322B (zh) * 2009-06-24 2011-09-07 北京理工大学 一种决策级文本自动分类融合方法
CN103023725A (zh) * 2012-12-20 2013-04-03 北京工业大学 一种基于网络流量分析的异常检测方法
CN104243317A (zh) * 2014-09-26 2014-12-24 杭州华三通信技术有限公司 一种实现ip路由转发的方法和装置

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
SDN环境下基于KNN的DDoS攻击检测方法;肖甫;《南京邮电大学学报(自然科学版)》;20150304;第35卷(第1期);全文 *
SDN网络技术及其安全性研究;郭春梅;《信息网络安全》;20120810(第8期);全文 *
基于OpenFlow的SDN网络安全分析与研究;左青云;《信息网络安全》;20150210(第2期);全文 *
机器学习方法在入侵检测中的应用研究;解男男;《中国博士学位论文全文数据库信息科技辑(月刊)》;20150815(第8期);全文 *
考虑个体行为的复杂网络病毒传播研究;巩永旺;《中国博士学位论文全文数据库信息科技辑(月刊)》;20150515(第5期);全文 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220239671A1 (en) * 2019-06-30 2022-07-28 British Telecommunications Public Limited Company Impeding forecast threat propagation in computer networks

Also Published As

Publication number Publication date
CN105956473A (zh) 2016-09-21

Similar Documents

Publication Publication Date Title
CN105956473B (zh) 基于sdn网络的恶意代码检测方法
Singh et al. Detection and mitigation of DDoS attacks in SDN: A comprehensive review, research challenges and future directions
Chen et al. XGBoost classifier for DDoS attack detection and analysis in SDN-based cloud
Deepa et al. Detection of DDoS attack on SDN control plane using hybrid machine learning techniques
Cui et al. Towards DDoS detection mechanisms in software-defined networking
Paliwal et al. Denial-of-service, probing & remote to user (R2L) attack detection using genetic algorithm
Chen et al. A survey on the application of FPGAs for network infrastructure security
Nguyen et al. Proactive detection of DDoS attacks utilizing k-NN classifier in an anti-DDoS framework
Khashab et al. DDoS attack detection and mitigation in SDN using machine learning
Aleroud et al. Identifying DoS attacks on software defined networks: A relation context approach
Gadallah et al. Machine Learning-based Distributed Denial of Service Attacks Detection Technique using New Features in Software-defined Networks.
CN110213280A (zh) 一种SDN环境下基于LDMDBF的DDoS攻击检测方法
Ma et al. DDoS detection for 6G Internet of Things: Spatial-temporal trust model and new architecture
Hussain et al. Deep learning based intrusion detection system: Software defined network
Xu et al. [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN
Celesova et al. Enhancing security of SDN focusing on control plane and data plane
Van et al. An anomaly-based intrusion detection architecture integrated on openflow switch
Sundararajan et al. Biologically inspired artificial intrusion detection system for detecting wormhole attack in MANET
Nadeem et al. Detecting and mitigating botnet attacks in software-defined networks using deep learning techniques
Ding et al. Active link obfuscation to thwart link-flooding attacks for internet of things
Shao et al. Cluster-based cooperative back propagation network approach for intrusion detection in MANET
Tan et al. DDoS detection method based on Gini impurity and random forest in SDN environment
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
Sharma et al. Analysis of ddos attacks in software defined networking using machine learning
Patil et al. Software Defined Network: DDoS Attack Detection

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 510665 Zhongshan Avenue, Guangdong, Tianhe District, No. 293, No.

Patentee after: GUANGDONG POLYTECHNIC NORMAL University

Address before: 510665 Zhongshan Avenue, Guangdong, Tianhe District, No. 293, No.

Patentee before: GUANGDONG POLYTECHNIC NORMAL University

CP01 Change in the name or title of a patent holder
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20181113

CF01 Termination of patent right due to non-payment of annual fee