本發(fā)明涉及網(wǎng)絡(luò)
技術(shù)領(lǐng)域:
:,更具體地�,涉及一種基于軟件定義網(wǎng)絡(luò)(SoftwareDefinedNetwork,簡(jiǎn)稱SDN)的網(wǎng)絡(luò)協(xié)同異常檢測(cè)方法���。
背景技術(shù):
::隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展��,網(wǎng)絡(luò)已經(jīng)深深地融入政治����、經(jīng)濟(jì)���、文化等領(lǐng)域�����,給人們的工作生活帶來了極大的便利��。然而���,層出不窮的網(wǎng)絡(luò)安全問題不僅影響互聯(lián)網(wǎng)的正常運(yùn)行�����,還嚴(yán)重威脅國家的安全��,從而引起了全球的關(guān)注�����。根據(jù)資料報(bào)道���,全球的網(wǎng)絡(luò)每天都在遭受不同程度的威脅,包括:針對(duì)個(gè)人用戶的木馬攻擊�、面向政府與企業(yè)的以政治、經(jīng)濟(jì)為目的的攻擊行為����。這些攻擊往往造成大面積的網(wǎng)絡(luò)癱瘓,并導(dǎo)致巨大的經(jīng)濟(jì)損失�����,例如:大規(guī)模分布式拒絕服務(wù)(DistributedDenialofService,簡(jiǎn)稱DDoS)攻擊�����、蠕蟲傳播等�����。中國國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT監(jiān)測(cè)發(fā)現(xiàn)���,2015年針對(duì)我國域名系統(tǒng)的DDoS攻擊流量進(jìn)一步增大�����,2015年8月��,我國頂級(jí)域名系統(tǒng)先后遭受2次大流量DDoS攻擊�,峰值流量超過10Gbit/s����。2016年10月,美國網(wǎng)絡(luò)服務(wù)供應(yīng)商迪恩公司的服務(wù)器遭到DDoS攻擊��,造成美國大規(guī)模的互聯(lián)網(wǎng)癱瘓���。為了應(yīng)對(duì)各種紛繁復(fù)雜的網(wǎng)絡(luò)威脅���,提高網(wǎng)絡(luò)應(yīng)對(duì)分布式攻擊的能力��,學(xué)術(shù)界與工業(yè)界提出了許多用于異常檢測(cè)的方案�,包括:在骨干網(wǎng)上部署異常檢測(cè)策略和相應(yīng)的殺毒工具��、在重要的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)置防火墻等防御加固措施����。這些措施在一定程度上減緩網(wǎng)絡(luò)所受到的攻擊與威脅、提高網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性與可靠性��。但是�,這些方案也存在不足:傳統(tǒng)的單點(diǎn)異常檢測(cè)方法僅通過對(duì)網(wǎng)絡(luò)邊界或受保護(hù)對(duì)象的監(jiān)控實(shí)現(xiàn)防御,沒有充分利用網(wǎng)絡(luò)的互連性以及網(wǎng)絡(luò)側(cè)分布式節(jié)點(diǎn)與鏈路的信息�,從而限制了檢測(cè)系統(tǒng)的性能。另外�,在這種方案中,當(dāng)網(wǎng)絡(luò)威脅到達(dá)受攻擊節(jié)點(diǎn)時(shí)��,檢測(cè)系統(tǒng)才能檢測(cè)到異常信號(hào)��,從而使應(yīng)急響應(yīng)的實(shí)施非常困難���。為了應(yīng)對(duì)單點(diǎn)異常檢測(cè)方法的不足�,需要利用全局網(wǎng)絡(luò)的信息���,采集分布式節(jié)點(diǎn)數(shù)據(jù)����,實(shí)現(xiàn)網(wǎng)絡(luò)側(cè)異常檢測(cè)�,提高檢測(cè)系統(tǒng)的性能。研究人員提出協(xié)同異常檢測(cè)的方案�����,該方案利用分布式節(jié)點(diǎn)的數(shù)據(jù)�,從全局上檢測(cè)異常行為,但是在實(shí)現(xiàn)上受限于傳統(tǒng)的TCP/IP網(wǎng)絡(luò)架構(gòu)缺乏節(jié)點(diǎn)之間的協(xié)同機(jī)制��。SDN是一種新型的網(wǎng)絡(luò)管理模式�,分離了控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面,集中化的控制方式可以實(shí)現(xiàn)在數(shù)據(jù)平面設(shè)備上采集流量數(shù)據(jù)�����,經(jīng)過分析計(jì)算能夠應(yīng)用于網(wǎng)絡(luò)協(xié)同異常檢測(cè)��。從收集到的資料看���,目前基于SDN的異常檢測(cè)方案有以下幾種:Braga提出一種輕量級(jí)的方法�����,通過使用NOX控制器實(shí)現(xiàn)對(duì)DDoS洪水攻擊的檢測(cè)��。在這個(gè)方案中���,利用NOX控制器的可編程接口收集交換機(jī)的統(tǒng)計(jì)信息�,包括:流表的數(shù)據(jù)包數(shù)��、字節(jié)數(shù)�����、時(shí)間間隔等��,采用自組織映射(Self-OrganizingMaps��,簡(jiǎn)稱SOM)人工神經(jīng)網(wǎng)絡(luò)的方法進(jìn)行分析�,進(jìn)而檢測(cè)DDoS洪水攻擊的特征信號(hào)。陳曉帆提出另一種SDN異常檢測(cè)與攔截方法與系統(tǒng)����,該方法在交換機(jī)端口對(duì)數(shù)據(jù)流進(jìn)行隨機(jī)采樣,得到采樣數(shù)據(jù),提取采樣數(shù)據(jù)的多個(gè)特征字段��,構(gòu)造各個(gè)特征字段對(duì)應(yīng)的哈希表值��,在預(yù)設(shè)的時(shí)間窗口間隔處���,計(jì)算各個(gè)特征字段對(duì)應(yīng)的哈希表的熵值��,依據(jù)設(shè)定的異常判定閾值����,檢測(cè)出異常網(wǎng)絡(luò)行為��。左青云設(shè)計(jì)了一種基于SDN的輕量級(jí)在線流量異常檢測(cè)方法�����,該方法中控制器實(shí)時(shí)獲取交換機(jī)的流量統(tǒng)計(jì)信息���,構(gòu)建基于OpenFlow網(wǎng)絡(luò)的源、目的結(jié)點(diǎn)對(duì)(OriginandDestinationPairs����,簡(jiǎn)稱OD對(duì))流量矩陣,對(duì)常見異常流量特征����,構(gòu)建OD對(duì)樣本熵矩陣���,對(duì)不同特征,合并成流量組合熵矩陣�����,利用主成分分析方法構(gòu)建異常子空間����,實(shí)現(xiàn)在線的異常流量檢測(cè)。上述異常檢測(cè)方法的優(yōu)點(diǎn)是利用分布式方法采集網(wǎng)絡(luò)流量信息進(jìn)行異常檢測(cè)����。但是在實(shí)現(xiàn)協(xié)同異常檢測(cè)中仍然存在局限:它們沒有考慮相鄰網(wǎng)絡(luò)節(jié)點(diǎn)之間的關(guān)聯(lián)性,這種關(guān)聯(lián)性源自網(wǎng)絡(luò)自身的互連�����,即相鄰網(wǎng)絡(luò)節(jié)點(diǎn)存在相互作用��、相鄰節(jié)點(diǎn)的異常流量特征存在相似性��。由于節(jié)點(diǎn)間的這種關(guān)聯(lián)性被忽略,網(wǎng)絡(luò)節(jié)點(diǎn)的上下文信息沒有被充分用于異常檢測(cè)����,導(dǎo)致傳統(tǒng)的技術(shù)難以實(shí)現(xiàn)有效的早期檢測(cè)與早期響應(yīng)。為此��,提出一種新的基于SDN的網(wǎng)絡(luò)協(xié)同異常檢測(cè)方法是非常有必要的�����。技術(shù)實(shí)現(xiàn)要素:本發(fā)明為克服上述現(xiàn)有技術(shù)所述的至少一種缺陷(不足)�,提供一種基于SDN的網(wǎng)絡(luò)協(xié)同異常檢測(cè)方法。該方法通過網(wǎng)絡(luò)互連節(jié)點(diǎn)之間的上下文信息��,實(shí)時(shí)估計(jì)局部網(wǎng)絡(luò)節(jié)點(diǎn)及全局網(wǎng)絡(luò)的行為狀態(tài)��,由此實(shí)現(xiàn)分布式網(wǎng)絡(luò)的協(xié)同異常檢測(cè)�����。為了實(shí)現(xiàn)發(fā)明目的����,采用的技術(shù)方案如下:一種基于SDN的網(wǎng)絡(luò)協(xié)同異常檢測(cè)方法�����,本方法屬于SDN的上層網(wǎng)絡(luò)應(yīng)用,通過控制器編程實(shí)現(xiàn)����,該方法步驟如下:1)利用分布式網(wǎng)絡(luò)的流量數(shù)據(jù)構(gòu)建網(wǎng)絡(luò)行為模型;2)基于已有的網(wǎng)絡(luò)行為模型以及實(shí)時(shí)流量數(shù)據(jù)�,實(shí)現(xiàn)局部及全局狀態(tài)的估計(jì);3)通過實(shí)時(shí)測(cè)量數(shù)據(jù)與給定模型的擬合度����,實(shí)現(xiàn)分布式網(wǎng)絡(luò)的異常行為檢測(cè);4)利用通過異常檢測(cè)的測(cè)量數(shù)據(jù)實(shí)現(xiàn)模型的自動(dòng)更新����。所述步驟1)的實(shí)現(xiàn)方式:10)采用隱馬爾科夫隨機(jī)場(chǎng)(HiddenMarkovRandomField,簡(jiǎn)稱HMRF)模型對(duì)分布式網(wǎng)絡(luò)的動(dòng)態(tài)變化過程建模����;11)采集歷史流量數(shù)據(jù),包括在SDN中對(duì)網(wǎng)絡(luò)拓?fù)湫畔⒌墨@取以及對(duì)網(wǎng)絡(luò)流量信息的采集�;12)利用采集的歷史流量數(shù)據(jù)訓(xùn)練HMRF模型,得到模型參數(shù)�。所述步驟2)的實(shí)現(xiàn)方式:20)采集實(shí)時(shí)流量數(shù)據(jù);21)基于給定的HMRF模型����,利用最大后驗(yàn)(MaximumAPosteriori�����,簡(jiǎn)稱MAP)估計(jì)算法實(shí)現(xiàn)局部及全局狀態(tài)的估計(jì)�。所述步驟3)的實(shí)現(xiàn)方式:利用似然函數(shù)��,依據(jù)實(shí)時(shí)測(cè)量數(shù)據(jù)與給定的HMRF模型的偏離程度實(shí)現(xiàn)異常網(wǎng)絡(luò)行為檢測(cè)�����。所述步驟4)的實(shí)現(xiàn)方式:利用通過給定的HMRF模型檢測(cè)的實(shí)時(shí)流量數(shù)據(jù)�����,實(shí)現(xiàn)模型的在線更新�。與現(xiàn)有技術(shù)相比,本發(fā)明技術(shù)方案的有益效果是:一種基于SDN的網(wǎng)絡(luò)協(xié)同異常檢測(cè)方法���,在新型的網(wǎng)絡(luò)架構(gòu)中,不局限于各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)獨(dú)立測(cè)量得到的數(shù)據(jù)����,還充分利用網(wǎng)絡(luò)節(jié)點(diǎn)間的相互作用�����,實(shí)現(xiàn)分布式網(wǎng)絡(luò)行為及檢測(cè)異常的早期感知���。附圖說明圖1為本方法的總體框架示意圖;圖2為本方法SDN中網(wǎng)絡(luò)協(xié)同異常檢測(cè)網(wǎng)絡(luò)框架���;圖3為SDN中的控制器應(yīng)用開發(fā)示意圖����;圖4為SDN控制器鏈路發(fā)現(xiàn)過程�����;圖5為控制器獲取交換機(jī)端口信息消息交互過程���;圖6為控制器請(qǐng)求交換機(jī)端口信息報(bào)文格式��;圖7為交換機(jī)響應(yīng)控制器請(qǐng)求端口信息報(bào)文格式�;圖8為模型訓(xùn)練過程流程圖���。具體實(shí)施方式附圖僅用于示例性說明�����,不能理解為對(duì)本專利的限制��;為了更好說明本實(shí)施例���,附圖某些部件會(huì)有省略�、放大或縮小�,并不代表實(shí)際產(chǎn)品的尺寸;對(duì)于本領(lǐng)域技術(shù)人員來說�,附圖中某些公知結(jié)構(gòu)及其說明可能省略是可以理解的。下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的說明�。總體框架一種基于SDN的網(wǎng)絡(luò)協(xié)同異常檢測(cè)方法�,本方法是屬于上層網(wǎng)絡(luò)應(yīng)用,本方法的總體框架如圖1所示���,包括七個(gè)部分:HMRF模型�、歷史流量數(shù)據(jù)���、模型訓(xùn)練、實(shí)時(shí)流量數(shù)據(jù)���、局部及全局狀態(tài)估計(jì)�、異常網(wǎng)絡(luò)行為檢測(cè)、模型更新�����。其中�����,HMRF用于對(duì)分布式網(wǎng)絡(luò)的動(dòng)態(tài)變化過程進(jìn)行建模��;歷史流量數(shù)據(jù)包括網(wǎng)絡(luò)拓?fù)湫畔⒁约熬W(wǎng)絡(luò)流量信息���,用于HMRF模型的訓(xùn)練�;模型訓(xùn)練利用歷史流量數(shù)據(jù)訓(xùn)練HMRF模型�����,得到模型參數(shù)���;實(shí)時(shí)流量數(shù)據(jù)是指在實(shí)際應(yīng)用中采集到的待檢測(cè)的網(wǎng)絡(luò)流量信息��。局部及全局狀態(tài)估計(jì)是指基于給定的HMRF模型�����,利用MAP估計(jì)算法實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)的估計(jì)��;異常網(wǎng)絡(luò)行為檢測(cè)是利用似然函數(shù)����,依據(jù)實(shí)時(shí)測(cè)量得到的網(wǎng)絡(luò)流量相對(duì)于給定的HMRF行為模型的偏離程度評(píng)估是否存在異常網(wǎng)絡(luò)行為;模型更新是利用通過檢測(cè)的實(shí)時(shí)流量數(shù)據(jù)更新已有模型的參數(shù)��,有利于增加模型的魯棒性�����,使其能夠適應(yīng)網(wǎng)絡(luò)行為的遷移與演變�。本發(fā)明的執(zhí)行方法如下:在SDN中采集歷史流量數(shù)據(jù),將其作為模型訓(xùn)練數(shù)據(jù)集輸入模型訓(xùn)練過程��,經(jīng)過訓(xùn)練得到相應(yīng)的HMRF模型��。在實(shí)際應(yīng)用中�����,將采集到的待檢測(cè)的實(shí)時(shí)流量數(shù)據(jù)輸入已有的HMRF模型,利用MAP算法估計(jì)出局部及全局網(wǎng)絡(luò)狀態(tài)�,由此進(jìn)一步實(shí)現(xiàn)異常網(wǎng)絡(luò)行為的檢測(cè)。最后�,把通過模型檢測(cè)的實(shí)時(shí)流量反饋回模型�,利用高效的算法實(shí)現(xiàn)模型的在線更新。下面結(jié)合圖1對(duì)本方法各個(gè)部分內(nèi)容進(jìn)行詳細(xì)說明����。一、HMRF模型采用HMRF模型對(duì)分布式網(wǎng)絡(luò)的動(dòng)態(tài)變化過程進(jìn)行建模�����。如圖2所示�,本發(fā)明把網(wǎng)絡(luò)節(jié)點(diǎn)的行為檢測(cè)信息分為兩部分:可觀測(cè)部分與不可觀測(cè)部分。其中����,可觀測(cè)部分指那些通過測(cè)量工具可以直接獲取的物理量,包括:數(shù)據(jù)包到達(dá)率�����、數(shù)據(jù)包排隊(duì)時(shí)延����、數(shù)據(jù)包丟包率等�。在本實(shí)施例中��,用隨機(jī)變量On,t表示節(jié)點(diǎn)n在時(shí)間t的觀測(cè)值�,用O表示從時(shí)間1到t網(wǎng)絡(luò)中所有節(jié)點(diǎn)的觀測(cè)值集合,記為測(cè)量場(chǎng)(MeasuringField�,簡(jiǎn)稱MF)。不可觀測(cè)部分指驅(qū)動(dòng)節(jié)點(diǎn)行為的內(nèi)部機(jī)制��、原因或狀態(tài)��。這類變量無法通過測(cè)量工具直接獲得��,只能根據(jù)節(jié)點(diǎn)的可觀測(cè)物理量進(jìn)行估計(jì)�。下文中用隨機(jī)變量Xn,t表示節(jié)點(diǎn)n在時(shí)間t的內(nèi)部狀態(tài),用X表示從時(shí)間1到t網(wǎng)絡(luò)中所有節(jié)點(diǎn)的狀態(tài)集合���,記為隱狀態(tài)場(chǎng)(StateField���,簡(jiǎn)稱SF)。本發(fā)明假設(shè)節(jié)點(diǎn)的觀測(cè)值On,t由其隱狀態(tài)Xn,t所控制����,不同節(jié)點(diǎn)之間的隱狀態(tài)相互影響。因此,由{O�,X}構(gòu)成的雙層隨機(jī)場(chǎng)構(gòu)成了一個(gè)給定網(wǎng)絡(luò)在特定時(shí)間內(nèi)的完整檢測(cè)信息。通過比較HMRF的模型結(jié)構(gòu)與由{O�,X}構(gòu)成的雙層隨機(jī)場(chǎng),可見HMRF非常適合描述分布式網(wǎng)絡(luò)的行為檢測(cè)信息及其上下文隨時(shí)間的演變關(guān)系��。在SF中利用一階空間馬爾科夫性表示網(wǎng)絡(luò)節(jié)點(diǎn)的相互作用��,即當(dāng)前節(jié)點(diǎn)的狀態(tài)直接受其相鄰一跳節(jié)點(diǎn)狀態(tài)的影響�,與一跳之外的節(jié)點(diǎn)狀態(tài)無關(guān)��。因此SF的聯(lián)合概率可以通過Hammersley-Clifford定理計(jì)算得出�,特別地,假設(shè)每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)僅存在兩種狀態(tài)�����,可以使用Ising模型來描述網(wǎng)絡(luò)的狀態(tài)場(chǎng)模型�。在鄰居節(jié)點(diǎn)狀態(tài)已知的條件下,節(jié)點(diǎn)n可以通過下面的公式計(jì)算它在t時(shí)刻處于狀態(tài)x的條件概率:其中����,表示t時(shí)刻鄰居節(jié)點(diǎn)狀態(tài),Nn表示節(jié)點(diǎn)n的鄰居節(jié)點(diǎn)�����,表示能量函數(shù),參數(shù)α��,β分別表示單點(diǎn)基團(tuán)和雙點(diǎn)基團(tuán)的勢(shì)參數(shù)�����,這里的物理意義分別表示整個(gè)網(wǎng)絡(luò)環(huán)境對(duì)當(dāng)前節(jié)點(diǎn)狀態(tài)的影響程度以及當(dāng)前節(jié)點(diǎn)與周圍節(jié)點(diǎn)的相互作用程度���。當(dāng)前節(jié)點(diǎn)的狀態(tài)以及鄰居節(jié)點(diǎn)的狀態(tài)�,均影響能量函數(shù)����,進(jìn)而影響節(jié)點(diǎn)選擇狀態(tài)x的概率。關(guān)于參數(shù)α��,β的確定����,采用以下兩種方式來確定1、根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境以及網(wǎng)絡(luò)管理員的需求���,直接確定參數(shù)����。2、基于非監(jiān)督方法��,利用觀測(cè)值��,通過EM算法估計(jì)參數(shù)�。當(dāng)前節(jié)點(diǎn)與鄰居節(jié)點(diǎn)的狀態(tài)相同時(shí),能量減β����,狀態(tài)不同時(shí)��,則能量加β�,α反應(yīng)整個(gè)網(wǎng)絡(luò)環(huán)境對(duì)當(dāng)前節(jié)點(diǎn)的影響。通過比較當(dāng)前節(jié)點(diǎn)與鄰居節(jié)點(diǎn)的狀態(tài)�,計(jì)算出能量函數(shù),得到節(jié)點(diǎn)選擇狀態(tài)x的概率����。在t時(shí)刻,節(jié)點(diǎn)n在狀態(tài)為x的條件下輸出為觀測(cè)值概率表示為:為了方便計(jì)算�,將觀測(cè)值On,t進(jìn)行離散化,使用頻率來近似代替概率��,即使用觀測(cè)值在狀態(tài)x下的頻率來近似條件概率。采用最大后驗(yàn)概率MAP估計(jì)節(jié)點(diǎn)狀態(tài)���,即:節(jié)點(diǎn)狀態(tài)由兩部分模型乘積的最大值確定:一部分為狀態(tài)模型ξn,t(x)���,即在已知鄰居節(jié)點(diǎn)狀態(tài)下節(jié)點(diǎn)選擇狀態(tài)x的概率;一部分為輸出模型φn,t(x)�,即在狀態(tài)x下輸出為觀測(cè)值的概率。二����、歷史流量數(shù)據(jù)本內(nèi)容包括三個(gè)部分,首先介紹SDN控制器網(wǎng)絡(luò)應(yīng)用的開發(fā)����,其次介紹網(wǎng)絡(luò)應(yīng)用對(duì)網(wǎng)絡(luò)拓?fù)湫畔⒌墨@取以及對(duì)網(wǎng)絡(luò)流量信息的采集。如圖3所示是SDN控制器網(wǎng)絡(luò)應(yīng)用開發(fā)示意圖����。以Floodlight開源控制器為例,利用控制器的可編程北向接口����,調(diào)用網(wǎng)絡(luò)資源,開發(fā)網(wǎng)絡(luò)應(yīng)用���。RESTAPI是控制器對(duì)外提供的北向接口之一���,用戶可以使用任意的編程語言基于REST接口開發(fā)應(yīng)用�����,首先確定應(yīng)用所需的網(wǎng)絡(luò)服務(wù)信息��,其次從RESTAPI列表中選擇能夠滿足服務(wù)需求的RESTAPI��,最后利用可用的RESTAPI調(diào)用��,設(shè)計(jì)����、實(shí)現(xiàn)�、測(cè)試應(yīng)用�����。本方法利用RESTAPI獲取網(wǎng)絡(luò)拓?fù)湫畔⒁约安杉W(wǎng)絡(luò)流量信息�����。網(wǎng)絡(luò)應(yīng)用利用可編程北向接口RESTAPI獲取網(wǎng)絡(luò)拓?fù)湫畔ⅰK褂玫腞ESTAPI接口信息如下:/wm/topology/links/json調(diào)用示例如下:http://<controller-ip>:port/wm/topology/links/json<controller-ip>為遠(yuǎn)程控制器的ip地址�����,port為控制器端口�,調(diào)用返回json格式的數(shù)據(jù),編程語言解析得到調(diào)用后數(shù)據(jù)����。控制器利用南向接口的上行通道對(duì)底層交換設(shè)備上報(bào)的信息進(jìn)行統(tǒng)計(jì)處理��。使用鏈路層發(fā)現(xiàn)協(xié)議(LinkLayerDiscoveryProtocol�,簡(jiǎn)稱LLDP)實(shí)現(xiàn)鏈路發(fā)現(xiàn),鏈路發(fā)現(xiàn)過程如圖4所示����。控制器通過Packet_out消息向所有與之相連的交換機(jī)發(fā)送LLDP數(shù)據(jù)包�,交換機(jī)接收到消息后將LLDP數(shù)據(jù)包從其他端口轉(zhuǎn)發(fā)出去,相鄰交換機(jī)接收到LLDP數(shù)據(jù)包�����,通過Packet_in消息將數(shù)據(jù)包發(fā)送至控制器�����,控制器分析并保存兩臺(tái)交換機(jī)之間的連接記錄。網(wǎng)絡(luò)應(yīng)用通過上述API獲取SDN中交換機(jī)之間的連接列表���,得到網(wǎng)絡(luò)節(jié)點(diǎn)相互連接關(guān)系����,由此獲取網(wǎng)絡(luò)拓?fù)湫畔?����。網(wǎng)絡(luò)應(yīng)用利用網(wǎng)絡(luò)拓?fù)錁?gòu)建網(wǎng)絡(luò)節(jié)點(diǎn)連接關(guān)系矩陣:矩陣中橫軸與縱軸均表示交換機(jī)(S1,S2,S3,S4…Sn)���,連接關(guān)系矩陣中1表示有連接����,0表示無連接����,此矩陣是一個(gè)對(duì)稱陣����。上述矩陣表示的是S1—S2����,S1—S3�,S2—S4,S3—S4……這些節(jié)點(diǎn)對(duì)具有連接關(guān)系�,由此得到節(jié)點(diǎn)的相鄰關(guān)系。網(wǎng)絡(luò)應(yīng)用利用可編程北向接口RESTAPI采集網(wǎng)絡(luò)流量信息�。以采集交換機(jī)端口統(tǒng)計(jì)信息為例,所使用RESTAPI接口信息如下:/wm/core/switch/all/port/json調(diào)用方法同上述����。控制器與交換機(jī)之間消息交互過程如圖5所示�。網(wǎng)絡(luò)應(yīng)用調(diào)用RESTAPI,控制器下發(fā)OFPT_MULTIPART_REQUEST消息至交換機(jī)(對(duì)應(yīng)子消息為OFPMP_PORT_STATS)��,交換機(jī)解析該消息�,將端口統(tǒng)計(jì)信息封裝到OFPT_MULTIPART_REPLY消息報(bào)文尾部(對(duì)應(yīng)子消息為OFPMP_PORT_STATS),將其返回至控制器���。由此網(wǎng)絡(luò)應(yīng)用采集到交換機(jī)端口統(tǒng)計(jì)信息����。控制器請(qǐng)求交換機(jī)端口信息報(bào)文格式如圖6所示���,報(bào)文格式定義了請(qǐng)求的消息類型以及端口��。交換機(jī)響應(yīng)控制器請(qǐng)求端口信息報(bào)文格式如圖7所示���,報(bào)文格式定義了交換機(jī)端口發(fā)送、接收到的數(shù)據(jù)包數(shù)量以及字節(jié)數(shù)等內(nèi)容�����,交換機(jī)將端口統(tǒng)計(jì)信息封裝在OFPT_MULTIPART_REPLY消息報(bào)文尾部��,將該消息返回至控制器��。采集其他網(wǎng)絡(luò)流量信息使用到的RESTAPI接口信息如下:/wm/core/switch/all/<statType>/json/wm/core/switch/<switchId>/<statType>/json/wm/core/counter/<counterTitle>/json/wm/core/counter/<switchId>/<counterName>/jsonstatType可選port��,queue�,flow,aggregate�,desc,table���,festures。switchId為合法的交換機(jī)DPID。counterTitle可選all或<DPID>_<COUNTER_NAME>_<SUB_CATEGORY>形式����,如00:00:00:00:00:00:00:01_OFPacketIn_L3_ARP。counterName可選OFPacketIn���,OFPacketOut等����。網(wǎng)絡(luò)應(yīng)用通過上述API采集網(wǎng)絡(luò)流量信息��,包括交換流表中的計(jì)數(shù)信息��、流中的數(shù)據(jù)包數(shù)以及流中的字節(jié)數(shù)信息�����、端口發(fā)送接收到的數(shù)據(jù)包數(shù)量以及字節(jié)數(shù)等信息����。本方法取節(jié)點(diǎn)數(shù)據(jù)包到達(dá)率作為觀測(cè)值On,t。三��、模型訓(xùn)練在SDN中采集歷史流量數(shù)據(jù)����,將其作為訓(xùn)練數(shù)據(jù)集輸入模型訓(xùn)練過程�����,經(jīng)過訓(xùn)練得到相應(yīng)的HMRF模型����。本方法取節(jié)點(diǎn)數(shù)據(jù)包到達(dá)率作為觀測(cè)值����。實(shí)際中可以根據(jù)網(wǎng)絡(luò)環(huán)境以及網(wǎng)絡(luò)管理員的目的選擇其他觀測(cè)值,也可以選擇多個(gè)測(cè)量指標(biāo)���,利用多屬性分析方法得到觀測(cè)值�����。網(wǎng)絡(luò)節(jié)點(diǎn)的度對(duì)觀測(cè)值有影響�,需要依據(jù)節(jié)點(diǎn)的度對(duì)節(jié)點(diǎn)流量數(shù)據(jù)進(jìn)行平均����,本方法依據(jù)節(jié)點(diǎn)的鏈路數(shù)進(jìn)行平均。實(shí)際中可按照目的做出相應(yīng)處理�。為方便計(jì)算�,將觀測(cè)值On,t進(jìn)行離散化��。模型的訓(xùn)練算法流程圖如圖8所示����。訓(xùn)練的算法步驟如下:1�、采集所有節(jié)點(diǎn)的歷史流量數(shù)據(jù)O作為觀測(cè)值;2�、使用K-means聚類算法初始化,將觀測(cè)數(shù)據(jù)分為兩種狀態(tài)�����,得到初始狀態(tài)場(chǎng)�;3、計(jì)算每一種狀態(tài)下觀測(cè)值的頻數(shù)分布��;4���、基于MAP算法���,重新估計(jì)每一個(gè)節(jié)點(diǎn)狀態(tài);5��、判斷是否滿足收斂條件,如果滿足則訓(xùn)練結(jié)束�����;否則����,轉(zhuǎn)步驟3。訓(xùn)練的收斂條件可以設(shè)置為迭代次數(shù)����,也可以設(shè)置為兩次迭代的差值。當(dāng)?shù)螖?shù)滿���,或者迭代差值小于某預(yù)先設(shè)定數(shù)值�,即可停止迭代��。訓(xùn)練得到模型參數(shù)�����,這里是不同狀態(tài)下輸出觀測(cè)值的頻數(shù)分布�����,即φn,t(x)。四����、實(shí)時(shí)流量數(shù)據(jù)實(shí)時(shí)流量數(shù)據(jù)是指在實(shí)際應(yīng)用中采集到的待檢測(cè)的網(wǎng)絡(luò)流量信息。網(wǎng)絡(luò)應(yīng)用通過上述RESTAPI采集實(shí)時(shí)流量數(shù)據(jù)�����,將所有交換機(jī)的流量數(shù)據(jù)作為模型的輸入數(shù)據(jù)Ot�����,輸入已有的HMRF模型�����。應(yīng)用在預(yù)設(shè)的時(shí)間窗口t��,采集所有交換機(jī)流量信息���,得到數(shù)據(jù)包到達(dá)率,經(jīng)離散化之后得到觀測(cè)值Ot����,輸入HMRF模型����,用于進(jìn)一步估計(jì)網(wǎng)絡(luò)行為狀態(tài)以及檢測(cè)異常網(wǎng)絡(luò)行為�����。五��、局部及全局狀態(tài)估計(jì)在預(yù)設(shè)的時(shí)間窗口�����,對(duì)于每一個(gè)節(jié)點(diǎn)��,收集到當(dāng)前流量統(tǒng)計(jì)信息�����,將其進(jìn)行離散化���,得到觀測(cè)值On,t����,該節(jié)點(diǎn)的鄰居節(jié)點(diǎn)狀態(tài)使用上一個(gè)時(shí)刻的節(jié)點(diǎn)狀態(tài)表示�����,依據(jù)上述提到的MAP算法實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)的估計(jì)。全局狀態(tài)通過遍歷所有節(jié)點(diǎn)獲取����。通過此過程,得到實(shí)時(shí)更新的刻畫分布式網(wǎng)絡(luò)狀態(tài)的全局圖���。六�����、異常網(wǎng)絡(luò)行為檢測(cè)利用似然函數(shù),依據(jù)實(shí)時(shí)測(cè)量得到的網(wǎng)絡(luò)流量相對(duì)于給定的HMRF行為模型的偏離程度評(píng)估是否存在異常網(wǎng)絡(luò)行為���。節(jié)點(diǎn)n的似然函數(shù)計(jì)算如下:上述似然函數(shù)表征節(jié)點(diǎn)中觀測(cè)值出現(xiàn)的概率�����。全局網(wǎng)絡(luò)的似然函數(shù)計(jì)算如下:上述似然函數(shù)表征整個(gè)網(wǎng)絡(luò)中觀測(cè)值出現(xiàn)的概率����。使用對(duì)數(shù)似然函數(shù)來檢測(cè)異常網(wǎng)絡(luò)行為�,通過比較實(shí)時(shí)測(cè)量數(shù)據(jù)與給定模型的擬合度�,也即比較實(shí)時(shí)觀測(cè)數(shù)據(jù)與正常的網(wǎng)絡(luò)場(chǎng)景�,較大的偏離意味著出現(xiàn)異常可能性較大�。七、模型更新利用通過模型檢測(cè)的實(shí)時(shí)流量數(shù)據(jù)����,實(shí)現(xiàn)模型的在線更新。本方法中的狀態(tài)模型描述節(jié)點(diǎn)狀態(tài)的相互作用關(guān)系��,參數(shù)相對(duì)穩(wěn)定��。輸出模型表征節(jié)點(diǎn)在狀態(tài)x下輸出觀測(cè)值的概率�,參數(shù)隨著網(wǎng)絡(luò)行為的演變而改變,因此固定的模型參數(shù)會(huì)導(dǎo)致模型的誤差�����。模型更新是為了適應(yīng)網(wǎng)絡(luò)行為的遷移與演變��。在更新的周期中����,利用通過模型檢測(cè)的實(shí)時(shí)流量數(shù)據(jù)反饋回模型,依據(jù)上述的訓(xùn)練過程,更新模型參數(shù)����,避免了對(duì)舊流量數(shù)據(jù)的重新訓(xùn)練而引起計(jì)算復(fù)雜性的提高,同時(shí)也使模型能夠適應(yīng)網(wǎng)絡(luò)行為的演變�����,增加模型的魯棒性����。顯然,本發(fā)明的上述實(shí)施例僅僅是為清楚地說明本發(fā)明所作的舉例�����,而并非是對(duì)本發(fā)明的實(shí)施方式的限定�����。對(duì)于所屬領(lǐng)域的普通技術(shù)人員來說�����,在上述說明的基礎(chǔ)上還可以做出其它不同形式的變化或變動(dòng)�。這里無需也無法對(duì)所有的實(shí)施方式予以窮舉。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明權(quán)利要求的保護(hù)范圍之內(nèi)��。當(dāng)前第1頁1 2 3 當(dāng)前第1頁1 2 3