面向软件定义网络的APT攻击检测技术研究

发布时间：2020-03-27 14:30

【摘要】：随着云计算及网络技术的快速发展,计算机网络中由用户产生的请求及数据量呈爆炸性增长趋势,传统网络越发不能满足人们的需求,软件定义网络(Software Defined Network,SDN)应运而生。软件定义网络具有软件可编程、全局网络可见性、支持网络虚拟化等特点,其已被广泛应用于数据中心、广域网、局域网、无线通信等领域,目前学术界及工业界已将SDN视为下一代网络架构。软件定义网络架构推动了计算机网络的快速发展,但随着网络攻防技术的快速发展,计算机网络面临的网络安全状况日趋严峻,非法入侵、恶意攻击等情况日益严重,尤其是近几年爆发的高级持续性威胁(Advanced Persistent Threat,APT)因具有高强度的破坏性受到工业界和学术界的广泛关注。APT以窃取机密资料为目的,具有高隐蔽性及高威胁性。其一旦成功实施将导致国家、企业、组织及个人的重大损失,具备极强的危害性。因此本文对软件定义网络中的APT进行了研究,针对APT中必需的扫描及隐蔽通信过程,结合软件定义网络的特点及数据挖掘技术设计了面向软件定义网络的APT检测方案。论文的主要工作如下:研究了APT的特点,设计了APT检测方案。该方案由扫描检测机制与隐蔽通信检测机制组成。扫描检测机制首先利用sFlow抓取网络流量并发送至SDN控制器;随后从上述网络流量中提取相应特征值;最后采用贝叶斯分类算法对流量的特征值进行分类以判断此网络特征值是否属于扫描行为,基于此分类结果判断网络中是否存在扫描。隐蔽通信检测机制首先利用软件定义网络的特点抓取网络流量并从中获取可能包含隐蔽通信的报文;随后从上述报文中提取SSL证书,并计算用于表征该证书的特征值矩阵;最后调用孤立森林算法对证书的特征值进行检测以判断证书是否为非法证书,基于此检测结果判断网络中是否存在隐蔽通信。编程实现了APT检测方案,其主要包括基于sFlow的流量采集模块、扫描检测算法模块、基于Open Flow的流量采集模块、基于孤立森林算法的隐蔽通信检测算法模块、扫描溯源抑制模块与隐蔽通信溯源抑制模块。使用Mininet搭建了仿真环境,在仿真环境中对APT检测方案进行了仿真实验。实验结果表明,本文所设计实现的APT检测方案能够及时准确地发现软件定义网络中的扫描和隐蔽通信行为。
【图文】：

西南交通大学硕士研究生学位论文 测服务器。然后隐蔽通信检测服务器对导入的 SSL 数据进行处理，书。之后，隐蔽通信检测服务器对提取的 SSL 证书进行计算，提取构建特征值矩阵。随后，，将证书特征值矩阵送入孤立森林检测模块法对特征值矩阵进行计算，判断其是否异常。若证书为异常，则表隐蔽通信，需要及时抑制，因此将警报事件发送至控制器的溯源抑制模块对该 SSL 连接进行抑制。定流量采集模块通信检测机制的特定流量采集模块利用软件定义网络的特性进行流器根据其中的恶意软件发起与 C&C 服务器的通信，双方先建立正后双方进行 SSL 通信。

定流量采集模块通信检测机制的特定流量采集模块利用软件定义网络的特性进行流器根据其中的恶意软件发起与 C&C 服务器的通信，双方先建立正后双方进行 SSL 通信。图 3-6 接入层交换机上报报文
【学位授予单位】：西南交通大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【参考文献】

相关期刊论文 前6条

1 程三军;王宇;;APT攻击原理及防护技术分析[J];信息网络安全;2016年09期

2 孔鸿滨;梅芳;薛岗;;检测分析隐蔽HTTP/HTTPS通信流量的方法及实现[J];云南大学学报(自然科学版);2016年S1期

3 周益周;王斌;谢小权;;云环境下软件定义入侵检测系统设计[J];信息网络安全;2015年09期

4 曹自刚;熊刚;赵咏;郭莉;方滨兴;;隐蔽式网络攻击通道的两步检测方法(英文)[J];中国通信;2014年08期

5 王淑玲;李济汉;张云勇;房秉毅;;SDN架构及安全性研究[J];电信科学;2013年03期

6 石利平;;基于TCP协议的端口扫描技术[J];电脑开发与应用;2011年01期

相关博士学位论文 前1条

1 曹自刚;隐蔽式网络攻击检测关键问题研究[D];北京邮电大学;2015年

相关硕士学位论文 前3条

1 张楠;数据挖掘在入侵检测中的应用研究[D];电子科技大学;2015年

2 齐开诚;IPv4/IPv6网络攻击溯源系统的研究与实现[D];北京邮电大学;2014年

3 靳娜;DDoS攻击下的数据包标记优化方案的研究[D];电子科技大学;2013年

本文编号：2603092