[发明专利]一种面向电力云数据中心网络入侵检测的网络遥测报文结构

说明书

本发明是一种面向电力云数据中心网络入侵检测的网络遥测报文结构。本发明涉及网络通信技术领域。本发明的网络遥测报文结构由以太网头部、IP头部、网络遥测头部、网络遥测数据部组成。其中以太网头部包括网络遥测报文目的MAC地址、源MAC地址字段。IP头部包括网络遥测目的IP地址、源IP地址以及遥测协议类型字段。网络遥测头部包括会话ID、多消息ID、元数据位图以及元数据个数字段，网络遥测数据部由多个独立的元数据位图组成，每个元数据位图包括设备ID、设备状态信息以及流量信息。本发明旨在设计能够收集多粒度网络状态数据的网络遥测信息，提高网络遥测精细程度。

技术领域

本发明涉及网络通信技术领域，是一种面向电力云数据中心网络入侵检测的网络遥测报文结构。

背景技术

物联网、移动计算、5G通信、高速以太网等技术的出现使得互联网中的用户数、应用数以及服务器数据量急剧上升，带来了大量的数据传输要求以及灵活的网络编程需求。传统计算机网络架构难以适应上述需求，在这种情况下，软件定义网络(Software-DefinedNetworking，SDN)应运而生。SDN的网络可编程性使其天然地适用数据中心等场景。目前SDN已应用于电力数据中心内。然而，与传统网络架构不同，SDN将传统网络的控制功能逻辑性地集中在统一的控制平面上。虽然这种转发、控制分离的架构为SDN带来了网络可编程的优势，但也使SDN本身成为网络攻击的目标。例如，攻击者可以针对SDN发起DDoS攻击，当SDN交换机收到不能处理的报文时，向控制器发送packet-in消息，由控制器决定如何处理报文。攻击者可以利用这种特性，向多个交换机发送不能处理的报文，诱导交换机向控制器发送大量packet-in消息，导致控制器不可用，造成SDN网络崩溃。

作为一种新型网络入侵手段，攻击SDN的网络入侵在攻击目标、攻击方式、攻击效果上与传统网络入侵明显不同。传统网络入侵检测技术没有充分考虑攻击SDN的网络入侵特性，难以有效检测攻击SDN的网络入侵。因此，研究SDN中的网络入侵检测技术对于提高电力云数据中心安全性意义重大。

电力云数据中心中网络入侵检测技术大致包含三步：用于检测的数据采集、特征处理以及在线检测。其中，网络入侵检测需要在可能出现攻击时，及时获取有价值的检测数据。现有的检测数据采集通常使用报文采样、流表项抓取、SNMP协议等方式实现。然而，一方面，这些方法采集的网络流量数据是网络报文或流表项，存在与网络入侵检测无关的数据，使网络负载上升；另一方面，上述方法多采用周期方式获取数据，难以在出现攻击时及时获取用于检测的数据。

因此，能否及时获取有价值的、用于网络入侵检测的数据，是影响网络入侵检测性能的关键因素。现有的网络入侵检测数据采集方式难以按需获取有价值的检测数据。网络遥测是一种新型数据采集技术，能够利用网络设备可编程性，灵活、细粒度地采集网络状态数据。使用网络遥测能够按照网络入侵检测需要提供有价值的数据，因此，本发明设计了一种面向电力云数据中心网络入侵检测的网络遥测报文结构。该结构能够以多粒度的方式收集每个网络设备的状态信息及流量信息，提高网络入侵检测数据的全面性和实时性，进而提升网络入侵检测的精度。

发明内容

本发明为克服现有技术的不足，通过设计网络遥测报文结构，收集用于电力云数据中心网络入侵检测的网络遥测数据。以避免由于网络遥测数据收集不全面、不及时、高负载造成的网络入侵检测算法精度低、速度慢、效率低和消耗大量计算资源等问题，同时减少网络负载，提高数据中心的SDN网络对网络入侵的抵抗能力，本发明提供了一种面向电力云数据中心网络入侵检测的网络遥测报文结构。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。