[发明专利]一种软件定义网络下僵尸网络检测系统及方法

说明书

本发明公开了一种软件定义网络下僵尸网络检测系统及方法，系统包括数据预热模块、拓扑收集模块、流图提取模块、检测引擎模块；数据预处理模块从数据层获取数据传递到上层进行分析，形成一个过渡层对数据进行第一次收集处理；拓扑收集模块通过SDN控制器收集通过流表信息从而构建得到网络拓扑结构图；流量图抽取模块实现对网络拓扑结构图作流量图抽取工作，从而得到某个时间段内实时通信的一个流量图；检测引擎模块对比实时流量图和CLI‑graph模型，从匹配的结果中判断是否存在僵尸网络，如若存在僵尸网络，则通过SDN控制器下发阻止流表，采取相应的限制措施。本发明使得SDN控制器可以单独的定位攻击，减小了僵尸网络检测的延迟，减轻网络设备的负担。

技术领域

本发明属于网络信息安全技术领域，具体涉及一种软件定义网络下轻量级并且具有实时性的僵尸网络检测系统及方法。

背景技术

网络通信技术的迅猛发展导致网络中出现了一系列风险和危险。在过去的几十年间，僵尸网络已经成为最有威胁性的网络安全问题之一。许多知名的恶意软件，例如Stuxnet和Zeus都是利用了僵尸网络无限的攻击能力来获取在经济、军事、政治等方面的利益。

大部分现有的关于僵尸网络攻击检测和防御的研究大都是聚焦在基于主机的抗威胁方案。这些方案完全依赖分布式的工作模式。尽管这些分布式的检测和防御方案很容易部署，但是他们只能检测到网络中的一些受妥协的节点，由于缺乏全局视野，所以这些方案对于全局化的攻击并不敏感。

软件定义网络允许网络管理者通过分离数据层和控制层，从而抽象出高层功能，进而便于网络管理。它为网络安全问题提供了一个新的思路，可以快速的获取基本数据源。到目前为止，在SDN架构下解决网络安全问题的研究工作并不多。Haq提出了名为NetworkRadar的方案。这个方案是为网络服务提供商以及企业网络提供一种检测僵尸网络的集中化原型。在该方案中，检测任务最终是由数据层设备以及控制器合作完成的。此外，该方案仍旧是在传统网络架构下的一种实现，在每个分布式设备上实现深度包分析和配置会产生大量的负载。Wijesinghe提出一种通过分析SDN中的流量信息并结合机器学习的技术来实现的僵尸网络检测的方案。众所周知，机器学习算法在传统僵尸网络检测方案中是一种耗时且较为低效的技术。前面提到的这些技术都只能在一个僵尸网络攻击完成后才能检测到这种攻击的存在。

基于上述的分析，想要在SDN网络中实现僵尸网络的检测，仍旧面临两大挑战。

①SDN架构下没有轻量级的僵尸网络检测的方法。机器学习的算法给网络设备带来了很大的负载。为了给僵尸网络检测方案提高整个网络的性能，目前迫切需要一种轻量级的，仅仅给网络设备产生较低计算和通信开销的僵尸网络检测方案。

②一个实时的僵尸网络检测方案有助于及时采取有效的应对措施，防止攻击影响的扩大。然而，目前SDN架构下的僵尸网络检测的解决方案中并不能在僵尸网络生命周期的早些时候发现僵尸机的存在，那些方案只能给出一些缓解攻击的措施，对僵尸网络的攻击并不敏感。因此，迫切需要一个可实现实时检测的方案来解决这个时效性问题。及时的检测结果可以在大规模攻击爆发前阻止僵尸机的行为，从而有效控制僵尸网络的攻击。

发明内容

为了解决上述技术问题，本发明提出了一种软件定义网络下轻量级并且具有实时性的僵尸网络检测系统及方法。

本发明的系统所采用的技术方案是：一种软件定义网络下僵尸网络检测系统，其特征在于：包括数据预热模块、拓扑收集模块、流图提取模块、检测引擎模块；

所述数据预处理模块，从数据层获取数据传递到上层进行分析，形成一个过渡层对数据进行第一次收集处理；

所述拓扑收集模块，通过SDN控制器收集通过流表信息从而构建得到网络拓扑结构图；

所述流量图抽取模块，通过进一步解析Openflow消息实现对网络拓扑结构图作流量图抽取工作，从而得到某个时间段内实时通信的一个流量图；