CN110839037A - 一种sdn网络的攻击场景挖掘方法及*** - Google Patents
一种sdn网络的攻击场景挖掘方法及*** Download PDFInfo
- Publication number
- CN110839037A CN110839037A CN201911136058.8A CN201911136058A CN110839037A CN 110839037 A CN110839037 A CN 110839037A CN 201911136058 A CN201911136058 A CN 201911136058A CN 110839037 A CN110839037 A CN 110839037A
- Authority
- CN
- China
- Prior art keywords
- switch
- controller
- network
- trusted authority
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种SDN网络的攻击场景挖掘方法及***,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;可以在不需要先验模板的情况进行攻击场景的挖掘,通过将同种攻击模式的攻击图聚类,更方便地得到攻击场景。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种SDN网络的攻击场景挖掘方法及***。
背景技术
现有的SDN网络中控制器与交换机之间不强制建立TLS安全通道,并且默认状态为非开启状态,使得网络变得脆弱,控制器与交换机之间可能出现明文通信,任何第三方都可以截获或者修改双方的通信内容,容易受到中间人的攻击。控制器与交换机之间缺乏对证书的验证,攻击者容易截取控制器发送给交换机的请求,伪装成控制器与交换机进行通信,从而获得交换机与控制器之间通信的所有内容。
同时,现有的攻击场景挖掘,针对关联过程需要大量先验信息,然而获取大量先验信息是成本很高的。
所以急需一种针对性改进SDN网络的攻击场景挖掘方法和***。
发明内容
本发明的目的在于提供一种SDN网络的攻击场景挖掘方法及***,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;可以在不需要先验模板的情况进行攻击场景的挖掘,通过将同种攻击模式的攻击图聚类,更方便地得到攻击场景。
第一方面,本申请提供一种SDN网络的攻击场景挖掘方法,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
判断控制器与当前交换机之间是否发生DDos攻击,如果判断结果为真,则生成相应的报警日志;
获取所述当前交换机的至少一个邻居交换机上传Packet-in报文的数量,并计算上传Packet-in报文的速率;将所述至少一个邻居交换机的Packet-in报文速率进行排序,确定其中Packet-in报文速率最小的邻居交换机,获取该速率最小的邻居交换机的标识DPID;
根据目的IP地址获取网络流量数据包的content、输入端口和路径集合,再根据邻居交换机的标识DPID和输入端口从路径集合中选择满足预定条件的路径,按照该路径下发更新的流规则到被攻击的当前交换机;
等待预先设定的时间间隔,再次判断控制器与所述邻居交换机之间是否发生DDos攻击,如果判断结果为真,则生成新的报警日志;
将全部报警日志归一化处理,并去除冗余信息,得到合并后的报警日志,基于属性相似度将相似的报警关联起来,得到候选攻击图集合;
计算攻击图的内部特征,并基于特征聚类处理,得到相同攻击场景的攻击图集合,通过攻击场景挖掘处理,得到攻击场景。
结合第一方面,在第一方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第一方面,在第一方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第一方面,在第一方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
第二方面,本申请提供一种SDN网络的攻击场景挖掘***,所述***包括:网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述分析服务器判断控制器与当前交换机之间是否发生DDos攻击,如果判断结果为真,则生成相应的报警日志;
获取所述当前交换机的至少一个邻居交换机上传Packet-in报文的数量,并计算上传Packet-in报文的速率;将所述至少一个邻居交换机的Packet-in报文速率进行排序,确定其中Packet-in报文速率最小的邻居交换机,获取该速率最小的邻居交换机的标识DPID;
根据目的IP地址获取网络流量数据包的content、输入端口和路径集合,再根据邻居交换机的标识DPID和输入端口从路径集合中选择满足预定条件的路径,按照该路径下发更新的流规则到被攻击的当前交换机;
等待预先设定的时间间隔,再次判断控制器与所述邻居交换机之间是否发生DDos攻击,如果判断结果为真,则生成新的报警日志;
将全部报警日志归一化处理,并去除冗余信息,得到合并后的报警日志,基于属性相似度将相似的报警关联起来,得到候选攻击图集合;
计算攻击图的内部特征,并基于特征聚类处理,得到相同攻击场景的攻击图集合,通过攻击场景挖掘处理,得到攻击场景。
结合第二方面,在第二方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第二方面,在第二方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第二方面,在第二方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
本发明提供一种SDN网络的攻击场景挖掘方法及***,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;可以在不需要先验模板的情况进行攻击场景的挖掘,通过将同种攻击模式的攻击图聚类,更方便地得到攻击场景。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明SDN网络的攻击场景挖掘方法的流程图;
图2为本发明SDN网络的攻击场景挖掘***的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的SDN网络的攻击场景挖掘方法的流程图,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
判断控制器与当前交换机之间是否发生DDos攻击,如果判断结果为真,则生成相应的报警日志;
获取所述当前交换机的至少一个邻居交换机上传Packet-in报文的数量,并计算上传Packet-in报文的速率;将所述至少一个邻居交换机的Packet-in报文速率进行排序,确定其中Packet-in报文速率最小的邻居交换机,获取该速率最小的邻居交换机的标识DPID;
根据目的IP地址获取网络流量数据包的content、输入端口和路径集合,再根据邻居交换机的标识DPID和输入端口从路径集合中选择满足预定条件的路径,按照该路径下发更新的流规则到被攻击的当前交换机;
等待预先设定的时间间隔,再次判断控制器与所述邻居交换机之间是否发生DDos攻击,如果判断结果为真,则生成新的报警日志;
将全部报警日志归一化处理,并去除冗余信息,得到合并后的报警日志,基于属性相似度将相似的报警关联起来,得到候选攻击图集合;
计算攻击图的内部特征,并基于特征聚类处理,得到相同攻击场景的攻击图集合,通过攻击场景挖掘处理,得到攻击场景。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
图2为本申请提供的SDN网络的攻击场景挖掘***的架构图,所述***包括:网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述分析服务器判断控制器与当前交换机之间是否发生DDos攻击,如果判断结果为真,则生成相应的报警日志;
获取所述当前交换机的至少一个邻居交换机上传Packet-in报文的数量,并计算上传Packet-in报文的速率;将所述至少一个邻居交换机的Packet-in报文速率进行排序,确定其中Packet-in报文速率最小的邻居交换机,获取该速率最小的邻居交换机的标识DPID;
根据目的IP地址获取网络流量数据包的content、输入端口和路径集合,再根据邻居交换机的标识DPID和输入端口从路径集合中选择满足预定条件的路径,按照该路径下发更新的流规则到被攻击的当前交换机;
等待预先设定的时间间隔,再次判断控制器与所述邻居交换机之间是否发生DDos攻击,如果判断结果为真,则生成新的报警日志;
将全部报警日志归一化处理,并去除冗余信息,得到合并后的报警日志,基于属性相似度将相似的报警关联起来,得到候选攻击图集合;
计算攻击图的内部特征,并基于特征聚类处理,得到相同攻击场景的攻击图集合,通过攻击场景挖掘处理,得到攻击场景。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (8)
1.一种SDN网络的攻击场景挖掘方法,其特征在于,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
判断控制器与当前交换机之间是否发生DDos攻击,如果判断结果为真,则生成相应的报警日志;
获取所述当前交换机的至少一个邻居交换机上传Packet-in报文的数量,并计算上传Packet-in报文的速率;将所述至少一个邻居交换机的Packet-in报文速率进行排序,确定其中Packet-in报文速率最小的邻居交换机,获取该速率最小的邻居交换机的标识DPID;
根据目的IP地址获取网络流量数据包的content、输入端口和路径集合,再根据邻居交换机的标识DPID和输入端口从路径集合中选择满足预定条件的路径,按照该路径下发更新的流规则到被攻击的当前交换机;
等待预先设定的时间间隔,再次判断控制器与所述邻居交换机之间是否发生DDos攻击,如果判断结果为真,则生成新的报警日志;
将全部报警日志归一化处理,并去除冗余信息,得到合并后的报警日志,基于属性相似度将相似的报警关联起来,得到候选攻击图集合;
计算攻击图的内部特征,并基于特征聚类处理,得到相同攻击场景的攻击图集合,通过攻击场景挖掘处理,得到攻击场景。
2.根据权利要求1所述的方法,其特征在于,所述数字签名证书采用了哈希运算。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
5.一种SDN网络的攻击场景挖掘***,其特征在于,所述***包括:网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
所述分析服务器判断控制器与当前交换机之间是否发生DDos攻击,如果判断结果为真,则生成相应的报警日志;
获取所述当前交换机的至少一个邻居交换机上传Packet-in报文的数量,并计算上传Packet-in报文的速率;将所述至少一个邻居交换机的Packet-in报文速率进行排序,确定其中Packet-in报文速率最小的邻居交换机,获取该速率最小的邻居交换机的标识DPID;
根据目的IP地址获取网络流量数据包的content、输入端口和路径集合,再根据邻居交换机的标识DPID和输入端口从路径集合中选择满足预定条件的路径,按照该路径下发更新的流规则到被攻击的当前交换机;
等待预先设定的时间间隔,再次判断控制器与所述邻居交换机之间是否发生DDos攻击,如果判断结果为真,则生成新的报警日志;
将全部报警日志归一化处理,并去除冗余信息,得到合并后的报警日志,基于属性相似度将相似的报警关联起来,得到候选攻击图集合;
计算攻击图的内部特征,并基于特征聚类处理,得到相同攻击场景的攻击图集合,通过攻击场景挖掘处理,得到攻击场景。
6.根据权利要求5所述的***,其特征在于,所述数字签名证书采用了哈希运算。
7.根据权利要求5-6任一项所述的***,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
8.根据权利要求5-7任一项所述的***,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911136058.8A CN110839037A (zh) | 2019-11-19 | 2019-11-19 | 一种sdn网络的攻击场景挖掘方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911136058.8A CN110839037A (zh) | 2019-11-19 | 2019-11-19 | 一种sdn网络的攻击场景挖掘方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110839037A true CN110839037A (zh) | 2020-02-25 |
Family
ID=69576775
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911136058.8A Pending CN110839037A (zh) | 2019-11-19 | 2019-11-19 | 一种sdn网络的攻击场景挖掘方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110839037A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112532573A (zh) * | 2020-09-02 | 2021-03-19 | ***股份有限公司 | 一种认证关联性的认证方法以及安全装置 |
CN114070636A (zh) * | 2021-11-22 | 2022-02-18 | 迈普通信技术股份有限公司 | 安全控制方法、装置,交换机,服务器及网络*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130283374A1 (en) * | 2012-04-18 | 2013-10-24 | Radware, Ltd. | Techniques for separating the processing of clients' traffic to different zones in software defined networks |
CN104780069A (zh) * | 2015-04-16 | 2015-07-15 | 中国科学院计算技术研究所 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其*** |
CN104883356A (zh) * | 2015-04-24 | 2015-09-02 | 北京邮电大学 | 一种基于目标模型的网络攻击检测方法 |
CN106209897A (zh) * | 2016-07-28 | 2016-12-07 | 重庆邮电大学 | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 |
CN106341330A (zh) * | 2016-08-30 | 2017-01-18 | 广州西麦科技股份有限公司 | 一种sdn控制器的拓扑发现方法及*** |
US20180288126A1 (en) * | 2017-03-28 | 2018-10-04 | Indigovision Limited | Monitoring devices and methods for ip surveillance networks |
-
2019
- 2019-11-19 CN CN201911136058.8A patent/CN110839037A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130283374A1 (en) * | 2012-04-18 | 2013-10-24 | Radware, Ltd. | Techniques for separating the processing of clients' traffic to different zones in software defined networks |
CN104780069A (zh) * | 2015-04-16 | 2015-07-15 | 中国科学院计算技术研究所 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其*** |
CN104883356A (zh) * | 2015-04-24 | 2015-09-02 | 北京邮电大学 | 一种基于目标模型的网络攻击检测方法 |
CN106209897A (zh) * | 2016-07-28 | 2016-12-07 | 重庆邮电大学 | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 |
CN106341330A (zh) * | 2016-08-30 | 2017-01-18 | 广州西麦科技股份有限公司 | 一种sdn控制器的拓扑发现方法及*** |
US20180288126A1 (en) * | 2017-03-28 | 2018-10-04 | Indigovision Limited | Monitoring devices and methods for ip surveillance networks |
Non-Patent Citations (3)
Title |
---|
孟庆月: "SDN网络南向安全防护***研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
李可一: "基于报警关联的多步攻击场景挖掘方法的研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
陶蒙恩: "面向SDN的DDoS攻击防御技术研究与***实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112532573A (zh) * | 2020-09-02 | 2021-03-19 | ***股份有限公司 | 一种认证关联性的认证方法以及安全装置 |
CN112532573B (zh) * | 2020-09-02 | 2023-07-07 | ***股份有限公司 | 一种认证关联性的认证方法以及安全装置 |
CN114070636A (zh) * | 2021-11-22 | 2022-02-18 | 迈普通信技术股份有限公司 | 安全控制方法、装置,交换机,服务器及网络*** |
CN114070636B (zh) * | 2021-11-22 | 2023-08-11 | 迈普通信技术股份有限公司 | 安全控制方法、装置,交换机,服务器及网络*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11223480B2 (en) | Detecting compromised cloud-identity access information | |
CN109309565B (zh) | 一种安全认证的方法及装置 | |
US11336641B2 (en) | Security enhanced technique of authentication protocol based on trusted execution environment | |
US8307208B2 (en) | Confidential communication method | |
US6064736A (en) | Systems, methods and computer program products that use an encrypted session for additional password verification | |
CN110808836A (zh) | 一种网络认证攻击预测方法及*** | |
US9491174B2 (en) | System and method for authenticating a user | |
US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
CN110855695A (zh) | 一种改进的sdn网络安全认证方法及*** | |
CN110839036B (zh) | 一种sdn网络的攻击检测方法及*** | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
KR20080050040A (ko) | 사용자 인증 방법 | |
CN110839037A (zh) | 一种sdn网络的攻击场景挖掘方法及*** | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
CN110855693A (zh) | 一种基于cnn的网络认证方法及*** | |
KR102413497B1 (ko) | 보안 전자 데이터 전송을 위한 시스템 및 방법 | |
CN110650012A (zh) | 一种改进的sdn网络攻击检测方法及*** | |
CN110855694A (zh) | 一种改进的网络认证检测方法及*** | |
CN112995140B (zh) | 安全管理***及方法 | |
CN111865568B (zh) | 面向数据传输的存证方法、传输方法及*** | |
Aftab et al. | Towards a distributed ledger based verifiable trusted protocol for VANET | |
CN110719301A (zh) | 一种流量自适应调度的攻击防御方法及*** | |
CN110830498A (zh) | 一种基于挖掘的持续攻击检测方法及*** | |
CN112751858B (zh) | 数据加密通信终端方法、装置、终端、服务器及存储介质 | |
Bozkurt et al. | Exploring the Vulnerabilities and Countermeasures of SSL/TLS Protocols in Secure Data Transmission Over Computer Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200225 |