本發明公開了一種軟件定義網絡下僵尸網絡檢測系統及方法，系統包括數據預熱模塊、拓撲收集模塊、流圖提取模塊、檢測引擎模塊；數據預處理模塊從數據層獲取數據傳遞到上層進行分析，形成一個過渡層對數據進行第一次收集處理；拓撲收集模塊通過SDN控制器收集通過流表信息從而構建得到網絡拓撲結構圖；流量圖抽取模塊實現對網絡拓撲結構圖作流量圖抽取工作，從而得到某個時間段內實時通信的一個流量圖；檢測引擎模塊對比實時流量圖和CLI?graph模型，從匹配的結果中判斷是否存在僵尸網絡，如若存在僵尸網絡，則通過SDN控制器下發阻止流表，采取相應的限制措施。本發明使得SDN控制器可以單獨的定位攻擊，減小了僵尸網絡檢測的延遲，減輕網絡設備的負擔。

技術領域

本發明屬于網絡信息安全技術領域，具體涉及一種軟件定義網絡下輕量級并且具有實時性的僵尸網絡檢測系統及方法。

背景技術

網絡通信技術的迅猛發展導致網絡中出現了一系列風險和危險。在過去的幾十年間，僵尸網絡已經成為最有威脅性的網絡安全問題之一。許多知名的惡意軟件，例如Stuxnet和Zeus都是利用了僵尸網絡無限的攻擊能力來獲取在經濟、軍事、政治等方面的利益。

大部分現有的關于僵尸網絡攻擊檢測和防御的研究大都是聚焦在基于主機的抗威脅方案。這些方案完全依賴分布式的工作模式。盡管這些分布式的檢測和防御方案很容易部署，但是他們只能檢測到網絡中的一些受妥協的節點，由于缺乏全局視野，所以這些方案對于全局化的攻擊并不敏感。

軟件定義網絡允許網絡管理者通過分離數據層和控制層，從而抽象出高層功能，進而便于網絡管理。它為網絡安全問題提供了一個新的思路，可以快速的獲取基本數據源。到目前為止，在SDN架構下解決網絡安全問題的研究工作并不多。Haq提出了名為NetworkRadar的方案。這個方案是為網絡服務提供商以及企業網絡提供一種檢測僵尸網絡的集中化原型。在該方案中，檢測任務最終是由數據層設備以及控制器合作完成的。此外，該方案仍舊是在傳統網絡架構下的一種實現，在每個分布式設備上實現深度包分析和配置會產生大量的負載。Wijesinghe提出一種通過分析SDN中的流量信息并結合機器學習的技術來實現的僵尸網絡檢測的方案。眾所周知，機器學習算法在傳統僵尸網絡檢測方案中是一種耗時且較為低效的技術。前面提到的這些技術都只能在一個僵尸網絡攻擊完成后才能檢測到這種攻擊的存在。

基于上述的分析，想要在SDN網絡中實現僵尸網絡的檢測，仍舊面臨兩大挑戰。

①SDN架構下沒有輕量級的僵尸網絡檢測的方法。機器學習的算法給網絡設備帶來了很大的負載。為了給僵尸網絡檢測方案提高整個網絡的性能，目前迫切需要一種輕量級的，僅僅給網絡設備產生較低計算和通信開銷的僵尸網絡檢測方案。

②一個實時的僵尸網絡檢測方案有助于及時采取有效的應對措施，防止攻擊影響的擴大。然而，目前SDN架構下的僵尸網絡檢測的解決方案中并不能在僵尸網絡生命周期的早些時候發現僵尸機的存在，那些方案只能給出一些緩解攻擊的措施，對僵尸網絡的攻擊并不敏感。因此，迫切需要一個可實現實時檢測的方案來解決這個時效性問題。及時的檢測結果可以在大規模攻擊爆發前阻止僵尸機的行為，從而有效控制僵尸網絡的攻擊。

發明內容

為了解決上述技術問題，本發明提出了一種軟件定義網絡下輕量級并且具有實時性的僵尸網絡檢測系統及方法。

本發明的系統所采用的技術方案是：一種軟件定義網絡下僵尸網絡檢測系統，其特征在于：包括數據預熱模塊、拓撲收集模塊、流圖提取模塊、檢測引擎模塊；

所述數據預處理模塊，從數據層獲取數據傳遞到上層進行分析，形成一個過渡層對數據進行第一次收集處理；

所述拓撲收集模塊，通過SDN控制器收集通過流表信息從而構建得到網絡拓撲結構圖；

所述流量圖抽取模塊，通過進一步解析Openflow消息實現對網絡拓撲結構圖作流量圖抽取工作，從而得到某個時間段內實時通信的一個流量圖；