[发明专利]基于SDN的工业互联网安全态势感知系统

权利要求书

1.基于SDN的工业互联网安全态势感知系统，其特征在于：包括流数据提取模块、流数据异常检测模块、态势要素提取模块、态势评估模块、态势评估要素库、网络安全数据采集模块、安全感知处理模块、安全预警模块、第一信息处理模块、第二信息处理模块和安全防护模块；

所述流数据提取模块用来针对主干网和各网络域分别提取其网络流信息，完成数据采集和特征提取工作；

所述流数据异常检测模块用于根据流数据提取模块所得到的数据特征，对主干网和各网络域的流数据分别使用不同粒度的检测模型进行检测，检测有无网络安全事件发生并判断其类别和具体安全事件；

所述态势要素提取模块用于收集全网各安全数据源产生的各类安全数据，包括SDN交换机和控制器的状态信息，并存入态势评估要素库中；

所述态势评估模块用于针对一特定的网络视图，根据其拥有的网络资源和资源间关系构建态查找条件，构建评估模型，，通过确定的评估模型对网络态势进行评估并输出；

所述网络安全态势评估要素库，用于实时地存储由流数据异常检测模块得到的检测结果并为各安全态势要素和安全态势指标的计算提供数据，还用于整个系统的历史知识的积累；

所述网络安全数据采集模块用于对网络安全数据进行广泛的采集；

所述安全感知处理模块用于获取所述网络安全数据采集单元采集的网络安全数据，并将所网络安全数据输入至预先构建的安全感知模型，获取所述安全感知模型根据网络安全数据输出的工业互联网安全识别结果；

所述安全预警模块用于获取所述安全感知处理模块得到的所述工业互联网安全识别结果，并确定所述工业互联网安全识别结果对应的目标工业互联网安全识别结果区间，根据预设的工业互联网安全识别结果区间与预警等级之间的对应关系，获取与所述目标工业互联网安全识别结果区间相对应的目标预警等级，并将所述目标预警等级设为工业互联网的目标网络安全预警等级，根据所述目标网络安全预警等级进行网络安全预警；

所述第一信息处理模块用于对采集的安全信息进行过滤和精简；

所述第二信息处理模块用于对经过过滤和精简的多源安全信息进行融合；

所述安全防护模块根据当前的安全状况进行安全防护。

2.根据权利要求1所述的基于SDN的工业互联网安全态势感知系统，其特征在于：所述态势要素提取模块还用于日志信息提取，SDN控制器负载计算，SDN交换机流表信息获取，SDN交换机端口统计计算。

3.根据权利要求2所述的基于SDN的工业互联网安全态势感知系统，其特征在于：

所述日志信息提取是针对整个工业互联网内所有安全数据源产生的各类安全日志分别进行捕获，预处理，提取出特征向量，并作为一类安全态势要素进行存储；

所述SDN控制器负载计算是针对采用Openflow协议的SDN控制器；SDN控制器通过分析Packet_In报文为SDN交换机无法处理的数据包制定处理规则，并以PACKET_OUT报文的方式下发规则；通过FLOW_MOD报文与FLOW_REMOVED报文对SDN交换机内部的流表项进行调整；通过计算上述四类报文在所有交换机控制器报文中的占比，得出SDN控制器的负载；将上述的报文统计信息作为一类安全态势要素进行存储；

所述SDN交换机流表信息获取用于分析网络内部所有SDN交换机，对所有SDN交换机内部的流表状态及流表项进行读取，并计算出流表的状态信息；

所述SDN交换机端口统计计算用于通过监控SDN交换机各个端口运行状态；对于每个端口对经过其的流量进行分类、计数并计算各类流量的速率。

4.根据权利要求1所述的基于SDN的工业互联网安全态势感知系统，其特征在于：所述态势评估模块还用于视图信息获取，态势要素选取，评估模型生成和态势要素融合。