一種sdn網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)一種SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng),包括:所述事件生成模塊�����,用于將網(wǎng)絡(luò)中與安全有關(guān)狀態(tài)信息轉(zhuǎn)換為預(yù)設(shè)格式的安全審計(jì)事件����,事件存儲(chǔ)模塊,用于安全審計(jì)事件存儲(chǔ)到數(shù)據(jù)庫(kù)中�����;事件分析模塊��,用于從數(shù)據(jù)庫(kù)中對(duì)安全審計(jì)事件進(jìn)行DDoS攻擊回溯分析���,能夠分析出DDoS攻擊中的攻擊者和僵尸主機(jī)集合�����,同時(shí)提取出用戶的網(wǎng)絡(luò)訪問(wèn)行為模式以供后續(xù)的進(jìn)行判斷用戶的行為是否屬于異常行為�。采用本發(fā)明的技術(shù)方案����,可對(duì)SDN網(wǎng)絡(luò)中與安全有關(guān)的活動(dòng)進(jìn)行記錄����,建立網(wǎng)絡(luò)中的安全審計(jì)事件數(shù)據(jù)庫(kù)�����,根據(jù)安全審計(jì)數(shù)據(jù)能分析出網(wǎng)絡(luò)中的安全事件過(guò)程���,為網(wǎng)絡(luò)管理員分析和識(shí)別攻擊行為提供有力的證據(jù)。
【專(zhuān)利說(shuō)明】
-種SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)
技術(shù)領(lǐng)域
[0001] 本發(fā)明屬于信息安全技術(shù)領(lǐng)域����,尤其設(shè)及一種SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)。
【背景技術(shù)】
[0002] SDN的安全問(wèn)題根據(jù)其網(wǎng)絡(luò)架構(gòu)特征����,主要集中在控制平面,數(shù)據(jù)平面W及控制平 面和數(shù)據(jù)平面之間的通信���??刂破矫嬷饕芯縎DN控制器的安全性��,控制器集中管控的特性 提高網(wǎng)絡(luò)部署與管理的效率,也引出一些安全隱患���,如目前收到研究者關(guān)注的控制器可靠 性和健壯性的問(wèn)題目���,控制器成為網(wǎng)絡(luò)的核屯、后��,更要考慮控制器故障造成的損失及安全 事故��。數(shù)據(jù)平面的安全問(wèn)題如惡意流量的注入造成未知流量引發(fā)大量PACKET_IN消息發(fā)往 控制器會(huì)造成控制器資源耗盡出現(xiàn)DoS攻擊���,此外數(shù)據(jù)平面的流表規(guī)則一致性問(wèn)題�����、防篡改 問(wèn)題也備受研究者關(guān)注����??刂破矫婧蛿?shù)據(jù)平面的通信安全方面目前很多控制器都提供TSL 協(xié)議來(lái)保證通信的安全,同時(shí)也有較多研究者關(guān)注控制器和交換機(jī)之間的可信認(rèn)證��。
[0003] 目前SDN網(wǎng)絡(luò)中的安全審計(jì)方面的研究尚屬少數(shù)���,基本思路多圍繞控制器自身安 全性進(jìn)行探討�。還沒(méi)有一個(gè)完整的對(duì)SDN網(wǎng)絡(luò)狀態(tài)進(jìn)行監(jiān)控采集和分析的系統(tǒng),運(yùn)是目前 SDN網(wǎng)絡(luò)安全研究方面的一個(gè)空缺��,而少數(shù)研究者提到的SDN網(wǎng)絡(luò)的安全審計(jì)也僅僅設(shè)及了 事件的采集并沒(méi)有對(duì)事件的分析�����。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明要解決的技術(shù)問(wèn)題是�,提供一種SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)���,W解決SDN網(wǎng)絡(luò) 中狀態(tài)采集�����、事件生成�、事件分析的問(wèn)題��。
[0005] 為解決上述問(wèn)題�����,本發(fā)明采用如下的技術(shù)方案:
[0006] 一種SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)包括:
[0007] 事件生成模塊�����,用于將網(wǎng)絡(luò)中與安全有關(guān)狀態(tài)信息轉(zhuǎn)換為預(yù)設(shè)格式的安全審計(jì)事 件;
[000引事件存儲(chǔ)模塊�,用于所述安全審計(jì)事件存儲(chǔ)到數(shù)據(jù)庫(kù)中;
[0009] 事件分析模塊�����,用于調(diào)用數(shù)據(jù)庫(kù)中對(duì)安全審計(jì)事件進(jìn)行DDoS攻擊回溯分析����,分析 出DDoS攻擊中的攻擊者,同時(shí)提取出用戶的網(wǎng)絡(luò)訪問(wèn)行為模式W供后續(xù)的進(jìn)行判斷用戶的 行為是否屬于異常行為����。
[0010] 作為優(yōu)選,還包括:自動(dòng)響應(yīng)模塊�����,用于根據(jù)事件分析模塊發(fā)送的備份指令����,將可 疑流量重定向到指定的存儲(chǔ)中屯、進(jìn)行存儲(chǔ)W備后續(xù)的流量分析。
[0011] 作為優(yōu)選����,還包括:事件瀏覽模塊,用于呈現(xiàn)數(shù)據(jù)庫(kù)中所述安全審計(jì)事件W及事件 分析模塊的分析結(jié)果�。
[0012] 作為優(yōu)選,所述事件分析模塊采用滑動(dòng)分割算法對(duì)安全審計(jì)事件進(jìn)行分析提取用 戶網(wǎng)絡(luò)訪問(wèn)記錄中體現(xiàn)出的網(wǎng)絡(luò)訪問(wèn)行為模式���,
[0013] 作為優(yōu)選�����,所述事件分析模塊采用基于Levenshtein算法的模式相似度計(jì)算方法����, 通過(guò)模式之間的相似度來(lái)衡量行為模式是否為異?��;蛘!?br>[0014] 作為優(yōu)選���,所述安全審計(jì)事件的預(yù)設(shè)格式包含:源IP地址��、目的IP地址��、源端口����、目 的端口、所屬協(xié)議�����、數(shù)據(jù)包數(shù)目��、字節(jié)數(shù)目���。
[0015] 作為優(yōu)選���,所述事件存儲(chǔ)模塊采用MySQL數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ)。
[0016] 本發(fā)明的SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)包括:事件生成模塊���,用于將網(wǎng)絡(luò)中與安全有關(guān) 狀態(tài)信息轉(zhuǎn)換為預(yù)設(shè)格式的安全審計(jì)事件���,事件存儲(chǔ)模塊,用于安全審計(jì)事件存儲(chǔ)到數(shù)據(jù) 庫(kù)中�;事件分析模塊,用于調(diào)用數(shù)據(jù)庫(kù)對(duì)安全審計(jì)事件進(jìn)行DDoS攻擊回溯分析����,能夠分析出 DDoS攻擊中的攻擊者����,同時(shí)提取出用戶的網(wǎng)絡(luò)訪問(wèn)行為模式W供后續(xù)的進(jìn)行判斷用戶的行 為是否屬于異常行為�;自動(dòng)響應(yīng)模式,用于將可疑流量重定向到指定的存儲(chǔ)中屯��、進(jìn)行存儲(chǔ) W備后續(xù)的流量分析�����。采用本發(fā)明的技術(shù)方案����,可對(duì)SDN網(wǎng)絡(luò)中與安全有關(guān)的活動(dòng)進(jìn)行記 錄,建立網(wǎng)絡(luò)中的安全審計(jì)事件數(shù)據(jù)庫(kù)���,根據(jù)安全審計(jì)數(shù)據(jù)能分析出網(wǎng)絡(luò)中的安全事件過(guò) 程,為網(wǎng)絡(luò)管理員分析和識(shí)別攻擊行為提供有力的證據(jù)��。
【附圖說(shuō)明】
[0017] 圖1為本發(fā)明SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)的結(jié)構(gòu)示意圖�����。
[001引圖2為孤OS攻擊時(shí)序圖;
[0019] 圖3為自動(dòng)響應(yīng)模塊工作原理圖�;
[0020] 圖4為自動(dòng)響應(yīng)模塊引流功能示意圖。
【具體實(shí)施方式】
[0021] W下結(jié)合具體實(shí)施例�,并參照附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明����。
[0022] 如圖1所示,本發(fā)明提供一種SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)包括:事件生成模塊��、事件存 儲(chǔ)模塊���、事件分析模塊���、事件瀏覽模塊W及自動(dòng)響應(yīng)模塊。
[0023] 事件生成模塊����,位于Floodlight控制器中,用于將網(wǎng)絡(luò)中與安全有關(guān)狀態(tài)信息轉(zhuǎn) 換為預(yù)設(shè)格式的安全審計(jì)事件�����,所述安全審計(jì)事件預(yù)設(shè)格式為:
[0024] flow(src_ip,dst_ip,src_port,dst_port,protocol,packet_count,byte_ count)����,其中�,s;rc_ip為源IP地址��,dst_ip為目的IP地址���,s;rc_po;rt為源端口�,dst_po;rt為目 的端口�,protocol為所屬協(xié)議,packet_count為數(shù)據(jù)包數(shù)目����,b}fte_count為字節(jié)數(shù)目。
[0025] 事件存儲(chǔ)模塊����,位于Floodlight控制器中,用于所述安全審計(jì)事件存儲(chǔ)到數(shù)據(jù)庫(kù) 中�����,作為優(yōu)選��,所述事件存儲(chǔ)模塊采用MyS化數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ)���;
[00%]事件分析模塊�,獨(dú)立于Floodlight控制器�����,用于調(diào)用數(shù)據(jù)庫(kù)中對(duì)安全審計(jì)事件進(jìn) 行DDoS攻擊回溯分析��,分析出DDoS攻擊中的攻擊者�����,同時(shí)提取出用戶的網(wǎng)絡(luò)訪問(wèn)行為模式 W供后續(xù)的進(jìn)行判斷用戶的行為是否屬于異常行為;優(yōu)先地�����,采用滑動(dòng)分割算法對(duì)安全審 計(jì)事件進(jìn)行分析提取用戶網(wǎng)絡(luò)訪問(wèn)記錄中體現(xiàn)出的網(wǎng)絡(luò)訪問(wèn)行為模式��,采用基于 Levenshtein算法的模式相似度計(jì)算方法�,通過(guò)模式之間的相似度來(lái)衡量行為模式是否為 異常或正常����。
[0027]自動(dòng)響應(yīng)模塊,位于Floodlight控制器中�,具有引流備份功能��,用于根據(jù)事件分析 模塊發(fā)送的備份指令���,將可疑流量重定向到指定的存儲(chǔ)中屯、進(jìn)行存儲(chǔ)W備后續(xù)的流量分 析��。
[00%]事件瀏覽模塊�,獨(dú)立于Floodlight控制器,用于呈現(xiàn)數(shù)據(jù)庫(kù)中所述安全審計(jì)事件 W及事件分析模塊的分析結(jié)果��,提供事件的查詢和檢索服務(wù)�,可根據(jù)時(shí)間和事件屬性字段 進(jìn)行查詢和檢索事件記錄。
[0029] 所述事件分析模塊對(duì)安全審計(jì)事件進(jìn)行DDoS攻擊回溯分析���,具體過(guò)程如下:
[0030] Floodlight控制器通過(guò)事件生成模塊對(duì)流建立請(qǐng)求PACKET_IN報(bào)文進(jìn)行解析��,獲 取相關(guān)流記錄信息���,控制器實(shí)時(shí)不間斷地解析PACKET_IN報(bào)文記錄流信息:控制器實(shí)時(shí)不間 斷地把網(wǎng)絡(luò)的中所有網(wǎng)絡(luò)訪問(wèn)記錄(流記錄)均存儲(chǔ)到審計(jì)數(shù)據(jù)存儲(chǔ)中屯、的數(shù)據(jù)庫(kù)中���,當(dāng)檢 測(cè)到DDoS攻擊時(shí)立即調(diào)用攻擊回溯算法進(jìn)行回溯追蹤確定僵尸主機(jī)集合ZH和攻擊者 Attacker�����。
[0031 ] 如圖2所示��,攻擊從t日時(shí)刻開(kāi)始��,在[t日,ts ]時(shí)間段��,攻擊者Attacker主動(dòng)向ZH發(fā)起 通信目的在于向ZH下達(dá)攻擊命令��,在[ts�����,tdetect ]時(shí)間段接收到At化Cker下達(dá)的攻擊命令后 ZH中的主機(jī)成員開(kāi)始向目標(biāo)主機(jī)th發(fā)送大量的報(bào)文(如����,UDP報(bào)文)���。在tdetect時(shí)刻系統(tǒng)中檢 測(cè)到DDoS攻擊出現(xiàn)被立即調(diào)用攻擊回溯算法���。
[0032] 攻擊回溯過(guò)程描述:
[0033] 第一步、確定僵尸主機(jī)集合ZHset,通過(guò)W下公式確定可能的僵尸主機(jī)集合�,即
[0034] ZHset= (src_ip I f IowLo邑i[dst_ip] = = th_ip&&flow_volumei>MaxVolume,
[0035] f IowLo邑i G f IowLo邑Setattack, src-ip G f IowLo邑i, i = 1,2, . . . I f IowLo邑Setattack I }
[0036] 其中,f IowLogSetattack為[tdetect- A tattack���,tdetect ]時(shí)間段內(nèi)的所有網(wǎng)絡(luò)流記錄����, f 10wLogi [ dSt_iP ]即為該條流記錄中的目的地址,th_iP表示目標(biāo)主機(jī)的IP地址�����,f 10w_ volumei表示從 f lowLogik��;rc_ip]到f lowLogi[dst_ip]單向流量�,可 W用packet_count或 byte_count作為計(jì)量單位來(lái)計(jì)算。若單向流量f low_volumei超過(guò)預(yù)設(shè)的闊值MaxVolume并 且該條流記錄的目的IP地址為目標(biāo)主機(jī)的IP地址則該條流記錄中的源IP地址將被加入到 Z化et中�,目標(biāo)主機(jī)的IP地址由孤OS攻擊檢測(cè)模塊提供或者直接有被攻擊主機(jī)提供。
[0037] 第二步����、確定攻擊者,當(dāng)發(fā)生DDoS攻擊時(shí)攻擊者至少和僵尸主機(jī)集合中的每臺(tái)主 機(jī)通f曰次�,因此,在[tdetect- A tattack- A tsetup_attack , ts ]時(shí)間段內(nèi)的流記錄中和ZHset通f曰 次數(shù)巧頻繁的王機(jī)巧有可能是攻擊者�。通過(guò)ZHset和[tdetect- A tattack- A tsetup_attack , ts ]時(shí) 間段內(nèi)的流記錄f l〇wL〇gSetsetw_attack通過(guò)W下公式可W確定出幕后的DDoS攻擊者集合 attackHostSet,即
[00����;3 引
[0039] 攻擊回溯算法偽代碼如表1:
[0040] 表1攻擊回溯算法
[0041]
[0042]
[00 創(chuàng)如表1 中描述 A tsetw_attack=(2i-1-l)X A tattack(i=0�,l�,...),根據(jù) i 的取值發(fā)生 擴(kuò)展直到攻擊者的集合不為空�,即確定了可能的攻擊者集合算法則終止,該回溯算法的時(shí) 間復(fù)雜度主要決定于審計(jì)數(shù)據(jù)庫(kù)中流記錄的條目數(shù)量���,時(shí)間復(fù)雜度為O (n)。
[0044] 事件分析模塊采用基于Levenshtein算法的模式相似度計(jì)算方法�����,通過(guò)模式之間 的相似度來(lái)衡量行為模式是否為異?;蛘#唧w過(guò)程如下:
[0045] 兩個(gè)字符串之間的相似度通過(guò)編輯距離化evenshtein distance)來(lái)度量��。 Levenshtein距離由俄國(guó)科學(xué)家Levenshtein最先提出�����,指兩個(gè)字符串之間���,由一個(gè)字符串 轉(zhuǎn)換成另一個(gè)字符串所需的最少編輯操作次數(shù)�����,編輯操作包括替換����、插入、刪除����,而每種不 同的操作具有不同的權(quán)值,根據(jù)權(quán)值來(lái)計(jì)算相似度����,權(quán)值是可W自定義的,一般情況(默認(rèn) 情況下)=種操作的權(quán)值均為1���。
[0046] 設(shè)有兩個(gè)字符串S和T:S = siS2. . .Sm���,T = tit2. . .tm。首先建立一個(gè)(m+l)X(n+l)階 矩陣LD來(lái)表示S和T的匹配關(guān)系�,LD也稱(chēng)匹配關(guān)系矩陣,一般情況下�,第1列表示S,第1行表示 T���,LD(m+i)x(n+i)= {dij} j《n)���。
[0047] 由式(I)進(jìn)行初始化填充矩陣LD:
[004引
[0049] 其中
[(K)加]矩陣LD最右下角的元素cUn即是字符串S和T之間的Levenshtein距離�����,記作IcLld直 觀的代表了字符串S轉(zhuǎn)換到字符串T所需要最少編輯操作次數(shù)���。算法時(shí)間復(fù)雜度O (m*n),m 和n分別為字符串S和T的長(zhǎng)度�。
[0化1 ] 兩個(gè)字符串之間的編輯距離(LD距離)可看作兩個(gè)字符串相似度的一種底畳丄D陽(yáng)離 越小則相似度越大�����,基于編輯距離計(jì)算兩個(gè)字符串相似度的公式如下
其中�����,Id用來(lái)表示兩個(gè)字符串之間的Levenshtein距離��,m和n分別是兩個(gè)字符串的長(zhǎng)度�����, similarity的值越大表示兩個(gè)字符串之間的相似度越高。如兩個(gè)字符串Sl= 'CD'���,S2= ' CE'�����,則similarity(Sl�����,S2)=0.5����。字符串可看作元素為字符的數(shù)組��,而相應(yīng)的用戶行為模 式(序列模式)可W看作元素是字符串的數(shù)組���,運(yùn)個(gè)數(shù)組中的一個(gè)元素代表了一個(gè)基本操作 (用戶行為)��。由此可W將Levenshtein算法擴(kuò)展應(yīng)用到序列模式相似度的計(jì)算上來(lái)����,其中的 區(qū)別僅僅是原Levenshtein算法針對(duì)的是比較字符串中單個(gè)字符是否相同�,而擴(kuò)展到序列 模式相似度計(jì)算時(shí)變成了比較序列模式中單個(gè)序列元素(一個(gè)用戶行為)是否相同�,而單個(gè) 序列模式自身是一個(gè)字符串的形式存在����,運(yùn)樣本質(zhì)上就是由比較單個(gè)字符是否相同擴(kuò)展成 了比較單個(gè)字符串是否相同。如果兩個(gè)序列模式seqi=['mail'��,'cd'����,'Vi .C','gcc']�,se化 =['mail','cd'��,'Is'�,'vi.c'�,'gcc']計(jì)算它們之間的相似度simila;rity(seqi,seq2) = 0.8。
[0化2]綜上所述�,基于Levenshtein算法計(jì)算兩個(gè)序列模式的相似度是可行的,一個(gè)序列 中由于序列元素之間存在一定的相關(guān)性�,運(yùn)種相關(guān)性直觀體現(xiàn)在它們的排列順序上,只要 序列中元素排列順序發(fā)生改變則計(jì)算出來(lái)相似度很接近零�����,運(yùn)是符合序列模式自身特性 的,因此公式
對(duì)于計(jì)算序列模式相似度是具備普遍適用性 的�。本發(fā)明采用此方法計(jì)算出兩個(gè)序列模式的相似度,并用相似度來(lái)完成序列模式之間的 比較���。
[0053] 所述自動(dòng)響應(yīng)模塊的引流備份具體過(guò)程如下:
[0054] 如圖3所示��,自動(dòng)響應(yīng)模塊接收安全審計(jì)分析模塊發(fā)出的命令及參數(shù)并執(zhí)行響應(yīng) 操作�,自動(dòng)響應(yīng)模塊將自身具備的功能WREST API的形式作為服務(wù)(Service)接口向外部 開(kāi)放�,運(yùn)樣安全審計(jì)分析模塊調(diào)用其REST API觸發(fā)自動(dòng)響應(yīng)模塊執(zhí)行相應(yīng)的操作。此外��,其 他網(wǎng)絡(luò)安全設(shè)備也能利用該模塊提供的REST API接口調(diào)用該模塊提供的功能服務(wù)��。
[0055] 如圖4所示��,假設(shè)在某時(shí)刻檢測(cè)到交換機(jī)SWl的端口 1流量異常�����,此時(shí)要求對(duì)SWl的 端口 1的流量進(jìn)行鏡像處理��,將流量引到和SW5相連的化taBase���,運(yùn)里的化taBase是廣義上 的化化Base可用來(lái)存儲(chǔ)流量數(shù)據(jù)�����。此刻����,交換機(jī)SWl端口 1所連接的PCl正在和SW3端口 3相連 的PC3進(jìn)行通信(可能為異常通信行為),PC1和PC3進(jìn)行通信時(shí)控制器計(jì)算兩者之間的通信 路徑為化thl (PC1����,PC3) = [PC1,SWl-I���,SW1-2��,SW3-1���,SW3-3,PC3]��,并按照該路徑化thl 向 SWl和SW3下發(fā)流表項(xiàng)(Normal Flow Entiy)���。
[0056] 考慮到需要將SWl端口 1的流量引到化taBase進(jìn)行備份處理,首先控制器需要計(jì)算 PCl到化化Base的通信路徑�����,通信路徑為:
[0057] Path2(PCI,DataBase) = [PCI��,SWl-I�,SWl-2,SW3-1���,SW3-2�,SW4-1��,SW4-2��,SW5-1���, SW5-2,化化Base],計(jì)算出該路徑之后需要對(duì)比化thl和化th2發(fā)現(xiàn)兩條路徑有重合點(diǎn)SW3���, 因此在SW3上安裝特殊流表項(xiàng)(Special Flow Ent巧),該流表項(xiàng)能將數(shù)據(jù)正常轉(zhuǎn)發(fā)給PC3的 同時(shí)拷貝一份轉(zhuǎn)發(fā)給化taBase����,實(shí)現(xiàn)該項(xiàng)功能只要將流表項(xiàng)中的OU化Ut操作指令指向多個(gè) 端口即可,如本例中output = SW3-3���,SW3-2�,將數(shù)據(jù)分別訪問(wèn)SW3的端口 3(給PC3)和端口 2 (給SW4);下發(fā)特殊流表項(xiàng)之后需要按照化th2中重合點(diǎn)之后的路徑安裝正常的流表項(xiàng)保證 在SW3(重合點(diǎn))上拷貝的數(shù)據(jù)包能順利轉(zhuǎn)發(fā)到DataBase, Path2中重合點(diǎn)之后的路徑為 化th2 ' =[SW4-1,SW4-2��,SW5-1��,SW5-2����,Da化Base]。
[0058] 采用本發(fā)明的技術(shù)方案��,事件分析模塊從數(shù)據(jù)庫(kù)中查詢事件記錄數(shù)據(jù)并按照分析 算法進(jìn)行事件分析�,如分析用戶行為模式等,同時(shí)根據(jù)分析的結(jié)果向自動(dòng)響應(yīng)模塊發(fā)送備 份指令����,自動(dòng)響應(yīng)模塊接收到事件分析模塊的指令后執(zhí)行響應(yīng)操作。事件分析模塊將分析 的結(jié)果發(fā)送該事件瀏覽模塊���,事件瀏覽模塊除了給用戶呈現(xiàn)數(shù)據(jù)庫(kù)中的安全審計(jì)事還呈現(xiàn) 事件分析模塊提交的分析結(jié)果��。應(yīng)用層中的第=方應(yīng)用��,如第=方入侵檢測(cè)系統(tǒng)等能調(diào)用 控制器中的自動(dòng)響應(yīng)模塊提供的服務(wù)��,當(dāng)?shù)?方應(yīng)用檢測(cè)出系統(tǒng)中存在安全攻擊行為時(shí)能 通過(guò)自動(dòng)響應(yīng)模塊提供的外部接口(REST API)讓自動(dòng)響應(yīng)模塊執(zhí)行響應(yīng)操作���。第S方應(yīng)用 也能和事件分析模塊進(jìn)行交互,如第=方應(yīng)檢測(cè)出系統(tǒng)中存在安全威脅時(shí)可W通知事件分 析模塊進(jìn)行對(duì)系統(tǒng)中的事件記錄數(shù)據(jù)進(jìn)行審計(jì)分析��,并將審計(jì)分析的結(jié)果反饋給第=方應(yīng) 用�,第=方應(yīng)用根據(jù)此結(jié)果執(zhí)行相應(yīng)的響應(yīng)操作。
[0059] W上實(shí)施例僅為本發(fā)明的示例性實(shí)施例�,不用于限制本發(fā)明,本發(fā)明的保護(hù)范圍 由權(quán)利要求書(shū)限定�。本領(lǐng)域技術(shù)人員可W在本發(fā)明的實(shí)質(zhì)和保護(hù)范圍內(nèi),對(duì)本發(fā)明做出各 種修改或等同替換�,運(yùn)種修改或等同替換也應(yīng)視為落在本發(fā)明的保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1. 一種SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)��,其特征在于��,包括: 事件生成模塊����,用于將網(wǎng)絡(luò)中與安全有關(guān)狀態(tài)信息轉(zhuǎn)換為預(yù)設(shè)格式的安全審計(jì)事件; 事件存儲(chǔ)模塊�����,用于所述安全審計(jì)事件存儲(chǔ)到數(shù)據(jù)庫(kù)中; 事件分析模塊�����,用于調(diào)用數(shù)據(jù)庫(kù)中對(duì)安全審計(jì)事件進(jìn)行DDoS攻擊回溯分析����,分析出 DDoS攻擊中的攻擊者,同時(shí)提取出用戶的網(wǎng)絡(luò)訪問(wèn)行為模式以供后續(xù)的進(jìn)行判斷用戶的行 為是否屬于異常行為���。2. 如權(quán)利要求1所述的SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)�,其特征在于����,還包括:自動(dòng)響應(yīng)模塊, 用于根據(jù)事件分析模塊發(fā)送的備份指令���,將可疑流量重定向到指定的存儲(chǔ)中心進(jìn)行存儲(chǔ)以 備后續(xù)的流量分析����。3. 如權(quán)利要求2所述的SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)�����,其特征在于,還包括:事件瀏覽模塊�����, 用于呈現(xiàn)數(shù)據(jù)庫(kù)中所述安全審計(jì)事件以及事件分析模塊的分析結(jié)果��。4. 如權(quán)利要求1所述的SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)���,其特征在于,所述事件分析模塊采用 滑動(dòng)分割算法對(duì)安全審計(jì)事件進(jìn)行分析提取用戶網(wǎng)絡(luò)訪問(wèn)記錄中體現(xiàn)出的網(wǎng)絡(luò)訪問(wèn)行為 模式�。5. 如權(quán)利要求所述的SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng),其特征在于�,所述事件分析模塊采用基 于Levenshtein算法的模式相似度計(jì)算方法,通過(guò)模式之間的相似度來(lái)衡量行為模式是否 為異?��;蛘?。6. 如權(quán)利要求1所述的SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)��,其特征在于�����,所述安全審計(jì)事件的預(yù) 設(shè)格式包含:源IP地址、目的IP地址�、源端口、目的端口����、所屬協(xié)議、數(shù)據(jù)包數(shù)目�、字節(jié)數(shù)目。7. 如權(quán)利要求1所述的SDN網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)���,其特征在于��,所述事件存儲(chǔ)模塊采用 MySQL數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ)�����。
【文檔編號(hào)】H04L29/06GK105978916SQ201610567165
【公開(kāi)日】2016年9月28日
【申請(qǐng)日】2016年7月19日
【發(fā)明人】劉靜, 何運(yùn), 莊俊璽, 賴(lài)英旭
【申請(qǐng)人】北京工業(yè)大學(xué)