[发明专利]一种改进的SDN网络攻击检测方法及系统

说明书

本发明提供一种改进的SDN网络攻击检测方法及系统，在控制器与交换机之间建立安全加密通道，增加可信任机构CA对控制器和交换机进行认证签名，实现控制器和交换机之间的双向认证，以及在控制器与交换机之间进行密钥协商，实现针对性地改进SDN网络漏洞；同时，为不同分类构建不同的噪声模拟网络攻击模型，再使用真实网络攻击流量训练所述噪声模拟网络攻击模型，当不同分类的网络攻击模型训练完毕后，再交替接入机器学习模块，作为机器学习模块的模拟攻击源，帮助提升机器学习模块检测的能力。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种改进的SDN网络攻击检测方法及系统。

背景技术

现有的SDN网络中控制器与交换机之间不强制建立TLS安全通道，并且默认状态为非开启状态，使得网络变得脆弱，控制器与交换机之间可能出现明文通信，任何第三方都可以截获或者修改双方的通信内容，容易受到中间人的攻击。控制器与交换机之间缺乏对证书的验证，攻击者容易截取控制器发送给交换机的请求，伪装成控制器与交换机进行通信，从而获得交换机与控制器之间通信的所有内容。

同时，在SDN网络系统中还需要引入新的网络攻击检测理念。

所以急需一种针对性改进SDN网络漏洞的安全认证检测方法和系统。

发明内容

本发明的目的在于提供一种改进的SDN网络攻击检测方法及系统，在控制器与交换机之间建立安全加密通道，增加可信任机构CA对控制器和交换机进行认证签名，实现控制器和交换机之间的双向认证，以及在控制器与交换机之间进行密钥协商，实现针对性地改进SDN网络漏洞；同时，为不同分类构建不同的噪声模拟网络攻击模型，再使用真实网络攻击流量训练所述噪声模拟网络攻击模型，当不同分类的网络攻击模型训练完毕后，再交替接入机器学习模块，作为机器学习模块的模拟攻击源，帮助提升机器学习模块检测的能力。

第一方面，本申请提供一种改进的SDN网络攻击检测方法，所述方法包括：

获取网络流量数据，根据网络特征，识别网络的类型；

根据已知的网络攻击类型的特征，分析提取网络流量数据中攻击数据的特征向量；将所述历史访问数据中攻击数据的特征向量输入分类器，由所述分类器为其中频率高于第一阈值的、或者频率低于第二阈值的攻击数据打标；基于打标的攻击数据、未打标的攻击数据的特征向量，分别构建第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型，应用两个模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；

所述第一噪声模拟网络攻击模型、第二噪声模拟网络攻击模型，按照一定策略交替作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；

当识别网络为SDN网络时，下发控制指令给控制器和交换机，所述控制指令携带有网络中间可信任机构CA的标识和地址；

所述控制器和交换机接收所述控制指令，分别向网络中间可信任机构CA发送身份认证请求，所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识；

所述可信任机构CA接收到所述身份认证请求，根据设备标识查询数据库，判断所述控制器和交换机是否合法，如果判断结果为合法，则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机；如果判断结果为不合法，则所述可信任机构CA返回认证失败的通知；

所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书，使用所述可信任机构CA的公钥对所述数字签名证书进行验证，若验证成功，则所述控制器和交换机将所述数字签名证书替换为各自的身份信息；若验证不成功，则所述控制器和交换机向所述可信任机构CA发送认证错误的通知；

所述控制器和交换机在验证成功后，交换机向控制器发送加密安全连接请求，所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数；