[发明专利]一种SDN网络中面向业务流的威胁等级划分方法和系统

说明书

本发明公开了一种SDN网络中面向业务流的威胁等级划分方法和系统，属于SDN网络控制领域。本发明按照业务的特征将业务流进行分类，以部署该类型业务流的网络设备占总设备比重加权计算该类型业务流遭受不同攻击强度方式，分别计算每种类型业务流的威胁指数后，再以每种类型业务流在SDN网络服务中的重要性加权计算得到整个SDN网络的威胁指数，可以观察到SDN网络中不同业务流的安全态势，为发生网络攻击后的故障排除、攻击抵御和策略制定等提供指导，为SDN网络的威胁预警与精准防御奠定基础。本发明通过模糊综合评价法，根据模糊数学的隶属度理论把难以量化的SDN网络威胁等级转化为定量评价，实现SDN网络的威胁等级划分，使得最终划分结果更具有可信性。

技术领域

本发明属于SDN网络控制领域，更具体地，涉及一种SDN网络中面向业务流的威胁等级划分方法和系统。

背景技术

随着互联网技术的飞速发展，网络规模不断扩大，网络承载的服务类型也越来越多样化。由于其自身架构的局限性，传统网络使其难以实施一些良好的路由策略，从而难以提高网络性能。软件定义网络(SDN，Software Defined Network)是一种新的网络体系结构。其主要思想是将网络中的控制级别和转发级别分开，以便可以更有效，更灵活地控制和管理网络资源。虽然SDN网络分离了控制层面和数据层面、简化了底层硬件的实现、简化了网络配置过程、向上层应用提供了网络的全局视图等。但是SDN是一把双刃剑，在简化网络管理、缩短创新周期的同时，也引入了不可低估的安全威胁问题。例如，SDN依然面临着很多传统网络所面临的安全问题，如DDoS攻击、TCP洪泛攻击、端口扫描攻击等。同时，由于SDN本身的特性，还面临着南北向的协议攻击。

针对SDN网络面临的安全问题，有效地针对SDN网络当前的威胁等级进行衡量与划分，可以减轻管理员繁重的报警数据分析任务,能够提供网络业务流层次的直观安全威胁态势,使其对系统的安全威胁状况有宏观的了解。而且,可以从安全态势曲线中发现安全规律,以便调整系统安全策略,更好地提高系统安全性能。

但是，传统的网络威胁等级划分方法都是针对全局的，无法观察到SDN网络中不同业务流的安全态势，这将为发生网络攻击后的故障排除、攻击抵御和策略制定等带来极大地困难与挑战。但是作为一个尚在起步阶段的网络架构技术，现有OpenFlow协议仅支持基于四层网络以下的策略制定，无法对更高层次的业务流类型实现划分。控制器端区分业务优先级模型的建立和相关容量的评估问题，没有考虑到业务流类型的区分，仅仅假设所有业务流都统一遵循先到先服务原则，具有一定的局限性。由此可以看出，传统的业务流划分方法已经不再适用。另一方面，传统的网络威胁等级划分方法是直接根据网络攻击的等级来直接评定整个网络的威胁等级的，主观性太强，无法综合考量各种混合攻击叠加在一起时的网络威胁等级。

发明内容

针对现有技术的缺陷和改进需求，本发明提供了一种SDN网络中面向业务流的威胁等级划分方法和系统，其目的在于有效地针对SDN网络当前的威

胁等级进行衡量与划分，可以减轻管理员繁重的报警数据分析任务,使其对系统的安全威胁状况有宏观的了解。而且,可以从安全态势曲线中发现安全规律,以便调整系统安全策略,更好地提高系统安全性能,为指导安全工程实践、设计相应安全风险评估和管理工具提供了有价值的模型和算法。

为实现上述目的，按照本发明的第一方面，提供了一种SDN网络中面向业务流的威胁等级划分方法，该方法包括以下步骤：

S1.获取当前SDN网络中的所有攻击事件，以及攻击的网络设备和端口号，获取当前SDN网络中每个业务流流经的网络设备和端口号；

S2.根据网络设备和端口号的比对，将攻击事件和业务流关联起来，获得不同业务流所遭受的攻击事件；

S3.对于SDN网络中每种类型业务流，以部署了该类型业务流的网络设备占SDN网络总设备比重为权重，加权计算该类型业务流遭受不同攻击强度，得到该类型业务流的威胁指数；