本發明公開了一種SDN網絡中面向業務流的威脅等級劃分方法和系統，屬于SDN網絡控制領域。本發明按照業務的特征將業務流進行分類，以部署該類型業務流的網絡設備占總設備比重加權計算該類型業務流遭受不同攻擊強度方式，分別計算每種類型業務流的威脅指數后，再以每種類型業務流在SDN網絡服務中的重要性加權計算得到整個SDN網絡的威脅指數，可以觀察到SDN網絡中不同業務流的安全態勢，為發生網絡攻擊后的故障排除、攻擊抵御和策略制定等提供指導，為SDN網絡的威脅預警與精準防御奠定基礎。本發明通過模糊綜合評價法，根據模糊數學的隸屬度理論把難以量化的SDN網絡威脅等級轉化為定量評價，實現SDN網絡的威脅等級劃分，使得最終劃分結果更具有可信性。

技術領域

本發明屬于SDN網絡控制領域，更具體地，涉及一種SDN網絡中面向業務流的威脅等級劃分方法和系統。

背景技術

隨著互聯網技術的飛速發展，網絡規模不斷擴大，網絡承載的服務類型也越來越多樣化。由于其自身架構的局限性，傳統網絡使其難以實施一些良好的路由策略，從而難以提高網絡性能。軟件定義網絡(SDN，Software?Defined?Network)是一種新的網絡體系結構。其主要思想是將網絡中的控制級別和轉發級別分開，以便可以更有效，更靈活地控制和管理網絡資源。雖然SDN網絡分離了控制層面和數據層面、簡化了底層硬件的實現、簡化了網絡配置過程、向上層應用提供了網絡的全局視圖等。但是SDN是一把雙刃劍，在簡化網絡管理、縮短創新周期的同時，也引入了不可低估的安全威脅問題。例如，SDN依然面臨著很多傳統網絡所面臨的安全問題，如DDoS攻擊、TCP洪泛攻擊、端口掃描攻擊等。同時，由于SDN本身的特性，還面臨著南北向的協議攻擊。

針對SDN網絡面臨的安全問題，有效地針對SDN網絡當前的威脅等級進行衡量與劃分，可以減輕管理員繁重的報警數據分析任務,能夠提供網絡業務流層次的直觀安全威脅態勢,使其對系統的安全威脅狀況有宏觀的了解。而且,可以從安全態勢曲線中發現安全規律,以便調整系統安全策略,更好地提高系統安全性能。

但是，傳統的網絡威脅等級劃分方法都是針對全局的，無法觀察到SDN網絡中不同業務流的安全態勢，這將為發生網絡攻擊后的故障排除、攻擊抵御和策略制定等帶來極大地困難與挑戰。但是作為一個尚在起步階段的網絡架構技術，現有OpenFlow協議僅支持基于四層網絡以下的策略制定，無法對更高層次的業務流類型實現劃分。控制器端區分業務優先級模型的建立和相關容量的評估問題，沒有考慮到業務流類型的區分，僅僅假設所有業務流都統一遵循先到先服務原則，具有一定的局限性。由此可以看出，傳統的業務流劃分方法已經不再適用。另一方面，傳統的網絡威脅等級劃分方法是直接根據網絡攻擊的等級來直接評定整個網絡的威脅等級的，主觀性太強，無法綜合考量各種混合攻擊疊加在一起時的網絡威脅等級。

發明內容

針對現有技術的缺陷和改進需求，本發明提供了一種SDN網絡中面向業務流的威脅等級劃分方法和系統，其目的在于有效地針對SDN網絡當前的威

脅等級進行衡量與劃分，可以減輕管理員繁重的報警數據分析任務,使其對系統的安全威脅狀況有宏觀的了解。而且,可以從安全態勢曲線中發現安全規律,以便調整系統安全策略,更好地提高系統安全性能,為指導安全工程實踐、設計相應安全風險評估和管理工具提供了有價值的模型和算法。

為實現上述目的，按照本發明的第一方面，提供了一種SDN網絡中面向業務流的威脅等級劃分方法，該方法包括以下步驟：

S1.獲取當前SDN網絡中的所有攻擊事件，以及攻擊的網絡設備和端口號，獲取當前SDN網絡中每個業務流流經的網絡設備和端口號；

S2.根據網絡設備和端口號的比對，將攻擊事件和業務流關聯起來，獲得不同業務流所遭受的攻擊事件；

S3.對于SDN網絡中每種類型業務流，以部署了該類型業務流的網絡設備占SDN網絡總設備比重為權重，加權計算該類型業務流遭受不同攻擊強度，得到該類型業務流的威脅指數；