The invention belongs to the technical field of SDN network security, and specifically relates to a detection method for mixed DDoS attacks against software defined networks. Combining ELM's classification and judgment results for hybrid DDoS, historical trust value between switches and related monitoring parameters (bandwidth, delay, packet loss rate), the invention designs a trust formula to be added to the controller; at the same time, ELM algorithm is used to judge the flow table information and calculate the trust value of the controller; finally, a more effective and finer-grained solution is proposed. It is used to monitor the security status of SDN network system in real time. Administrators can adjust the priority of forwarding tasks for different transponders according to the trust value. The trust framework proposed by the invention can not only solve the trust problem between devices, but also effectively detect DDoS attacks in mixed environments. It is suitable for SDN networks with relatively complex environments, as well as security areas with high requirements for recognition granularity and real-time detection of mixed DDoS attacks.
【技术实现步骤摘要】
一种针对软件定义网络的混合型DDoS攻击检测的方法
本专利技术属于SDN网络安全
,具体涉及一种针对软件定义网络的混合型DDoS攻击的检测方法,涉及利用极限学习机(ELM)快速分类的方法和基于信任公式判断SDN网络中转发器的可信状态。
技术介绍
SDN是当前最热门的网络技术之一,它解放了手工操作,减少了配置错误,易于统一快速部署。利用分层的思想,SDN将数据与控制相分离。在控制层,包括具有逻辑中心化和可编程的控制器,可掌握全局网络信息,方便运营商和科研人员管理配置网络和部署新协议等。然而开放式接口的引入会产生新一轮的网络攻击形式,造成SDN的脆弱性。由非法用户通过恶意应用通过控制器发送蠕虫病毒、通过底层转发器向控制器进行DDoS攻击、非法用户恶意占用整个SDN网络带宽等,都会导致SDN全方位瘫痪。分布式拒绝服务(distributeddenial-of-serviceattack简称DDoS)攻击从传统网络到SDN网络一直都是互联网的重要威胁之一,攻击者利用傀儡机,通过互联网向目标发起攻击,消耗其计算资源(CPU,内存,带宽等),阻止其为用户提供相应的服务。通过一些维度对分布式拒绝服务攻击进行分类:如果从数据包锁定在的网络层次划分,可以分为网络层攻击、传输层攻击、应用层攻击。如果通过数据包发送的频率和速度来划分,又可以将其分为洪水攻击和慢速攻击。然而攻击者从来不会考虑具体使用哪种攻击方式,其目的是使得目标服务不可达,因此攻击者会发动任何攻击手段进行攻击,这种方式称为混合攻击。简单来说,混合攻击就是针对被攻击目标使用多种形式的分布式拒绝攻击,针对不同资 ...
【技术保护点】
1.一种针对软件定义网络的混合型DDoS攻击检测的方法,其特征在于,包括如下步骤:步骤1:当转发器收到一个数据包时先做判断是否在转发流表信息中,如果是,则按照转发要求进行处理,如果不是,则返回给控制器做判断;步骤2:对于控制器下发packet‑out数据包做转发处理的同时,利用监控探头实时监控转发器/源设备和可信转发器设备之间的带宽、时延、丢包率,将目标转发器设置在离受保护主机上一层设备上,同时认为其对于主机和控制器为绝对可信,通过人为设定主观阈值的方式,对带宽、时延、丢包率等参数做出处理,判断转发器之间的直接信任值Tp,C;步骤3:依据极限学习机对流表信息进行二次加工和处理,得到间接信任值,用以判断是否为恶意DDoS数据流,并根据攻击进行多分类;步骤4:通过结合监控探头得到的实时直接信任值和通过ELM对判断数据流得到的间接信任值及上一个时刻的信任值,算出当前两个转发器之间信任值,依据信任的传递性,快速判断源转发器对于目标主机和控制器的可信状态,如果在相对安全的信任区间,针对该源转发器发出的数据流做转发处理,如果在相对危险的信任区间,管理员可根据极限学习机判断攻击类型进行相应的响应处理 ...
【技术特征摘要】
1.一种针对软件定义网络的混合型DDoS攻击检测的方法,其特征在于,包括如下步骤:步骤1:当转发器收到一个数据包时先做判断是否在转发流表信息中,如果是,则按照转发要求进行处理,如果不是,则返回给控制器做判断;步骤2:对于控制器下发packet-out数据包做转发处理的同时,利用监控探头实时监控转发器/源设备和可信转发器设备之间的带宽、时延、丢包率,将目标转发器设置在离受保护主机上一层设备上,同时认为其对于主机和控制器为绝对可信,通过人为设定主观阈值的方式,对带宽、时延、丢包率等参数做出处理,判断转发器之间的直接信任值Tp,C;步骤3:依据极限学习机对流表信息进行二次加工和处理,得到间接信任值,用以判断是否为恶意DDoS数据流,并根据攻击进行多分类;步骤4:通过结合监控探头得到的实时直接信任值和通过ELM对判断数据流得到的间接信任值及上一个时刻的信任值,算出当前两个转发器之间信任值,依据信任的传递性,快速判断源转发器对于目标主机和控制器的可信状态,如果在相对安全的信任区间,针对该源转发器发出的数据流做转发处理,如果在相对危险的信任区间,管理员可根据极限学习机判断攻击类型进行相应的响应处理,如屏蔽该源转发器、丢弃自源转发器发出的数据包,进一步达到保护目标主机、控制器乃至整个网络的目的。2.如权利要求1所述的针对软件定义网络的混合型DDoS攻击检测的方法,其特征在于,步骤2中,Tp,C的计算公式如下:其中,TH_bw为带宽阈值,TH_td为时延阈值,TH_lp为丢包率阈值,Po为当前监控参数的对比结果,Ne为阈值的对比结果;设定带宽阈值TH_bw为当前两台转发器之间最大带宽的70%,一旦实时带宽超过这个阈值,则认定目标主机有遭受到DDoS攻击的潜在可能性;将丢包率阈值TH_lp设置为20%,在一个稳定的SDN网络中,不会出现长时间的丢包现象,如果连续2个周期丢包率为100%,则认定目标主机遭受到严重攻击,信任值为0;根据对网络质量的要求程度人为调整时延阈值TH_td,一旦时延超过一定值,则认定...
【专利技术属性】
技术研发人员:拱长青,俞德龙,李席广,赵亮,林娜,郭振洲,戚晗,孟庆杰,
申请(专利权)人:沈阳航空航天大学,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。