【技术实现步骤摘要】
针对SDN控制平面的DDoS攻击检测方法
本专利技术涉及网络中攻击对象的检测方法,具体涉及针对SDN控制平面的DDoS攻击检测方法。
技术介绍
DDoS(DistributedDenialofService)攻击作为网络中最具有威胁的攻击之一,会严重影响网络性能,增加网络时延,造成合法报文的丢包。在传统网络中,攻击者通过发送大量的报文用于耗尽目标主机或者服务器资源,从而导致目标服务器负载过高不能为合法用户提供相应的服务甚至瘫痪。相较于传统网络,软件定义网络SDN(SoftwareDefinedNetworking,SDN)由于其集中控制特性,产生了针对控制平面的新型DDoS攻击。研究人员提出一种新型的针对SDN控制平面的DDoS攻击,该攻击方式为资源耗尽型攻击,通过攻击网络中的主机节点之后伪造大量攻击流注入网络,由于伪造的攻击流无法在交换机上匹配到流表项用于数据报文的转发,短时间内向控制平面发送大量Packet-in消息,从而耗尽控制平面与交换机之间的带宽、控制器处理能力或交换机存储空间资源,使得整个SDN网络不能正常工作。针对控制平面的DDoS攻击最明显的特征就是短时间内有大量的流量进入控制平面。对于DDoS攻击,最简单的检测机制就是在控制器端检测Packet-in消息速率,若Packet-in速率超过一定的阈值则认为存在攻击。但是只基于Packet-in消息速率由于检测指标单一、粗略,会导致较高的检测误差。为了提高检测精度,现有的检测机制主要利用统计方法或机器学习算法进行攻击检测。其中,基于机器学习的检测算法,譬如基于SOM(Self-Organizi ...
【技术保护点】
1.针对SDN控制平面的DDoS攻击检测方法,其特征在于,包括:接收来自于交换机的OpenFlow报文;当OpenFlow报文为Packet‑in报文时,采用窗口计数器累计Packet‑in报文数量;当窗口计数器累计的Packet‑in报文数量达到预设数量时,计算预设数量Packet‑in报文的Packet‑in速率:Ratepacket_in=N/(Tend‑Tbegin)其中,Ratepacket_in为Packet‑in速率;N为预设数量;Tbegin为窗口计数器记录第一个Packet‑in报文的时间;Tend为窗口计数器记录第N个Packet‑in报文的时间;当Packet‑in速率小于设定阈值时,则Packet‑in报文对应的主机不存在攻击,并将窗口计数器更新为零;当Packet‑in速率超过设定阈值时,基于Packet‑in报文的熵值提取Packet‑in报文中的可疑攻击源;获取可疑攻击源的流表统计数据,并将流表项匹配报文数小于报文阈值的流标记为可疑流,之后计算可疑攻击源的可疑程度:Rattack=Nsuspect/N其中,Rattack为可疑程度;N为从可疑攻击源进入交换 ...
【技术特征摘要】
1.针对SDN控制平面的DDoS攻击检测方法,其特征在于,包括:接收来自于交换机的OpenFlow报文;当OpenFlow报文为Packet-in报文时,采用窗口计数器累计Packet-in报文数量;当窗口计数器累计的Packet-in报文数量达到预设数量时,计算预设数量Packet-in报文的Packet-in速率:Ratepacket_in=N/(Tend-Tbegin)其中,Ratepacket_in为Packet-in速率;N为预设数量;Tbegin为窗口计数器记录第一个Packet-in报文的时间;Tend为窗口计数器记录第N个Packet-in报文的时间;当Packet-in速率小于设定阈值时,则Packet-in报文对应的主机不存在攻击,并将窗口计数器更新为零;当Packet-in速率超过设定阈值时,基于Packet-in报文的熵值提取Packet-in报文中的可疑攻击源;获取可疑攻击源的流表统计数据,并将流表项匹配报文数小于报文阈值的流标记为可疑流,之后计算可疑攻击源的可疑程度:Rattack=Nsuspect/N其中,Rattack为可疑程度;N为从可疑攻击源进入交换机的总流数目;Nsuspect为可疑流的数目;当可疑程度小于可疑阈值时,则可疑攻击源对应的主机出现突发流,将窗口计数器更新为零;当可疑程度大于等于可疑阈值时,则可疑攻击源对应的主机为被攻击对象,同时将窗口计数器更新为零。2.根据权利要求1所述的针对SDN控制平面的DDoS攻击检测方法,其特征在于,采用窗口计数器累计Packet-in报文数量之前还包括对进入控制器的Packet-in报文进行冗余Packet-in报文过滤和/或对进入控制器的Packet-in报文进行伪造源IP/MAC的攻击报文过滤。3.根据权利要求1所述的针对SDN控制平面的DDoS攻击检测方法,其特征在于,所述对进入控制器的Packet-in报文进行冗余Packet-in报文过滤的方法进一步包括:提取Packet-in报文的流五元组信息用于表示一条流;当控制器中未记录Packet-in报文的流五元组信息时,则控制器记录Packet-in报文的流五元组信息,并设置流五元组信息的过期时间;当控制器中已记录Packet-in报文的五元组信息,且Packet-in报文的上报时间大于等于流五元组信息中设置的过期时间时,则控制器重新记录Packet-in报文的流五元组信息,并设置流五元组信息的过期时间;当控制器中已记录Packet-in报文的五元组信息,且Packet...
【专利技术属性】
技术研发人员:虞红芳,赵汉佳,孙罡,许都,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。