[发明专利]一种基于挖掘的持续攻击检测方法及系统

说明书

本发明提供一种基于挖掘的持续攻击检测方法及系统，在控制器与交换机之间建立安全加密通道，增加可信任机构CA对控制器和交换机进行认证签名，实现控制器和交换机之间的双向认证，以及在控制器与交换机之间进行密钥协商，实现针对性地改进SDN网络漏洞；基于流行度和连接方向的流量日志进行缩减，并提供对时间窗口的灵活配置。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种基于挖掘的持续攻击检测方法及系统。

背景技术

现有的SDN网络中控制器与交换机之间不强制建立TLS安全通道，并且默认状态为非开启状态，使得网络变得脆弱，控制器与交换机之间可能出现明文通信，任何第三方都可以截获或者修改双方的通信内容，容易受到中间人的攻击。控制器与交换机之间缺乏对证书的验证，攻击者容易截取控制器发送给交换机的请求，伪装成控制器与交换机进行通信，从而获得交换机与控制器之间通信的所有内容。

同时，针对持续性的网络攻击，单一的检测手段难以将持续性网络攻击从网络活动中分离出来。

所以急需一种针对性改进基于挖掘的持续攻击检测方法和系统。

发明内容

本发明的目的在于提供一种基于挖掘的持续攻击检测方法及系统，在控制器与交换机之间建立安全加密通道，增加可信任机构CA对控制器和交换机进行认证签名，实现控制器和交换机之间的双向认证，以及在控制器与交换机之间进行密钥协商，实现针对性地改进SDN网络漏洞；基于流行度和连接方向的流量日志进行缩减，并提供对时间窗口的灵活配置。

第一方面，本申请提供一种基于挖掘的持续攻击检测方法，所述方法包括：

获取网络流量数据，根据网络特征，识别网络的类型；

当识别网络为SDN网络时，下发控制指令给控制器和交换机，所述控制指令携带有网络中间可信任机构CA的标识和地址；

所述控制器和交换机接收所述控制指令，分别向网络中间可信任机构CA发送身份认证请求，所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识；

所述可信任机构CA接收到所述身份认证请求，根据设备标识查询数据库，判断所述控制器和交换机是否合法，如果判断结果为合法，则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机；如果判断结果为不合法，则所述可信任机构CA返回认证失败的通知；

所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书，使用所述可信任机构CA的公钥对所述数字签名证书进行验证，若验证成功，则所述控制器和交换机将所述数字签名证书替换为各自的身份信息；若验证不成功，则所述控制器和交换机向所述可信任机构CA发送认证错误的通知；

所述控制器和交换机在验证成功后，交换机向控制器发送加密安全连接请求，所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数；

所述控制器接收到所述加密安全连接请求后，向所述交换机返回响应消息，所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书；

所述交换机接收到所述响应消息后，使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证，如果验证成功，则生成第三随机数，并使用控制器的公钥对所述第三随机数进行加密，与交换机的数字签名证书一起发送给所述控制器；

所述控制器接收到所述交换机发送的消息后，使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证，如果验证成功，则使用控制器的私钥解密消息中的所述第三随机数密文，完成控制器和交换机的密钥协商；

所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信；