[发明专利]一种改进的SDN网络攻击检测方法及系统

权利要求书

1.一种改进的SDN网络攻击检测方法，其特征在于，所述方法包括：

获取网络流量数据，根据网络特征，识别网络的类型；

根据已知的网络攻击类型的特征，分析提取网络流量数据中攻击数据的特征向量；将所述历史访问数据中攻击数据的特征向量输入分类器，由所述分类器为其中频率高于第一阈值的、或者频率低于第二阈值的攻击数据打标；基于打标的攻击数据、未打标的攻击数据的特征向量，分别构建第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型，应用两个模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；

所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型，按照一定策略交替作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；

当识别网络为SDN网络时，下发控制指令给控制器和交换机，所述控制指令携带有网络中间可信任机构CA的标识和地址；

所述控制器和交换机接收所述控制指令，分别向网络中间可信任机构CA发送身份认证请求，所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识；

所述可信任机构CA接收到所述身份认证请求，根据设备标识查询数据库，判断所述控制器和交换机是否合法，如果判断结果为合法，则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机；如果判断结果为不合法，则所述可信任机构CA返回认证失败的通知；

所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书，使用所述可信任机构CA的公钥对所述数字签名证书进行验证，若验证成功，则所述控制器和交换机将所述数字签名证书替换为各自的身份信息；若验证不成功，则所述控制器和交换机向所述可信任机构CA发送认证错误的通知；

所述控制器和交换机在验证成功后，交换机向控制器发送加密安全连接请求，所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数；

所述控制器接收到所述加密安全连接请求后，向所述交换机返回响应消息，所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书；

所述交换机接收到所述响应消息后，使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证，如果验证成功，则生成第三随机数，并使用控制器的公钥对所述第三随机数进行加密，与交换机的数字签名证书一起发送给所述控制器；

所述控制器接收到所述交换机发送的消息后，使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证，如果验证成功，则使用控制器的私钥解密消息中的所述第三随机数密文，完成控制器和交换机的密钥协商；

所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信；

所述判别器根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；

所述生成器根据判别器的反馈结果调整第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型的参数，再次生成新的输出流量；

当判别器得到的判别结果为真的比率在预先设置的阈值范围内时，表明第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型训练完毕；

将所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型，按照一定策略交替接入机器学习模块，所述机器学习模块借助所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型，不间断丰富各种网络攻击特征向量样本，对真实网络流量进行网络攻击检测。

2.根据权利要求1所述的方法，其特征在于，所述数字签名证书采用了哈希运算。

3.根据权利要求1-2任一项所述的方法，其特征在于，所述加密算法包括DES、MD5、AES中任意一种。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。