一种针对软件定义网络的混合型DDoS攻击检测的方法技术

本发明专利技术属于SDN网络安全技术领域，具体涉及一种针对软件定义网络的混合型DDoS攻击的检测方法。结合ELM对混合型DDoS的分类判定结果、交换机之间的历史信任值以及相关监控参数(带宽、时延、丢包率)，本发明专利技术设计了一个信任公式加入到控制器中；同时利用ELM算法对流表信息进行判断，并计算出控制器的信任值；最终提出一种更加有效、更具细粒度的解决方案，用于实时监控SDN网络系统的安全状态。管理员可以结合信任值的高低，调整不同转发器执行转发任务的优先级。本发明专利技术提出的信任框架，即能够解决设备之间的信任问题，又可以有效的检测出混合环境下的DDoS攻击；适用于环境相对复杂的SDN网络，以及对混合型DDoS攻击的识别粒度和检测实时性有较高要求的安全领域。

A Hybrid DDoS Attack Detection Method for Software Defined Networks

The invention belongs to the technical field of SDN network security, and specifically relates to a detection method for mixed DDoS attacks against software defined networks. Combining ELM's classification and judgment results for hybrid DDoS, historical trust value between switches and related monitoring parameters (bandwidth, delay, packet loss rate), the invention designs a trust formula to be added to the controller; at the same time, ELM algorithm is used to judge the flow table information and calculate the trust value of the controller; finally, a more effective and finer-grained solution is proposed. It is used to monitor the security status of SDN network system in real time. Administrators can adjust the priority of forwarding tasks for different transponders according to the trust value. The trust framework proposed by the invention can not only solve the trust problem between devices, but also effectively detect DDoS attacks in mixed environments. It is suitable for SDN networks with relatively complex environments, as well as security areas with high requirements for recognition granularity and real-time detection of mixed DDoS attacks.

【技术实现步骤摘要】
一种针对软件定义网络的混合型DDoS攻击检测的方法
本专利技术属于SDN网络安全
，具体涉及一种针对软件定义网络的混合型DDoS攻击的检测方法，涉及利用极限学习机(ELM)快速分类的方法和基于信任公式判断SDN网络中转发器的可信状态。
技术介绍
SDN是当前最热门的网络技术之一，它解放了手工操作，减少了配置错误，易于统一快速部署。利用分层的思想，SDN将数据与控制相分离。在控制层，包括具有逻辑中心化和可编程的控制器，可掌握全局网络信息，方便运营商和科研人员管理配置网络和部署新协议等。然而开放式接口的引入会产生新一轮的网络攻击形式，造成SDN的脆弱性。由非法用户通过恶意应用通过控制器发送蠕虫病毒、通过底层转发器向控制器进行DDoS攻击、非法用户恶意占用整个SDN网络带宽等，都会导致SDN全方位瘫痪。分布式拒绝服务(distributeddenial-of-serviceattack简称DDoS)攻击从传统网络到SDN网络一直都是互联网的重要威胁之一，攻击者利用傀儡机，通过互联网向目标发起攻击，消耗其计算资源(CPU，内存，带宽等)，阻止其为用户提供相应的服务。通过一些维度对分布式拒绝服务攻击进行分类：如果从数据包锁定在的网络层次划分，可以分为网络层攻击、传输层攻击、应用层攻击。如果通过数据包发送的频率和速度来划分，又可以将其分为洪水攻击和慢速攻击。然而攻击者从来不会考虑具体使用哪种攻击方式，其目的是使得目标服务不可达，因此攻击者会发动任何攻击手段进行攻击，这种方式称为混合攻击。简单来说，混合攻击就是针对被攻击目标使用多种形式的分布式拒绝攻击，针对不同资源进行攻击。对于攻击者来说使用多种攻击形式和单一攻击成本没有太大区别，而针对被攻击目标来说，同时相应不同协议，不同资源的分布式拒绝攻击，分析、响应、处理时间都会大大增加。
技术实现思路
为了弥补针对混合型DDoS检验的空缺，本专利技术提供了一种针对软件定义网络的混合型DDoS攻击检测的方法，基于信任公式用以判断两台转发器的可信状态，它包括了使用监控探头，实时监控两台转发器之间的带宽、时延、丢包率。通过设置阈值的方式，计算出设备的直接信任值Tp，c。又使用极限学习机(ELM)作为分类器，对转发器中流(flow)的进行多分类的判断，并计算出相应的间接信任值Tj，c。在不影响控制器和转发器之间带宽的情况下，快速有效实时的对其他转发器的可信状态进行识别，辨别混合型DDoS攻击并进行分类。本专利技术是这样实现的，一种针对软件定义网络的混合型DDoS攻击检测的方法，包括如下步骤：步骤1：当转发器收到一个数据包时先做判断是否在转发流表信息中，如果是，则按照转发要求进行处理，如果不是，则返回给控制器做判断；步骤2：对于控制器下发packet-out数据包做转发处理的同时，利用监控探头实时监控转发器/源设备和可信转发器设备之间的带宽、时延、丢包率，将目标转发器设置在离受保护主机上一层设备上，同时认为其对于主机和控制器为绝对可信，通过人为设定主观阈值的方式，对带宽、时延、丢包率等参数做出处理，判断转发器之间的直接信任值Tp，c；步骤3：依据极限学习机对流表信息进行二次加工和处理，得到间接信任值，用以判断是否为恶意DDoS数据流，并根据攻击进行多分类；步骤4：通过结合监控探头得到的实时直接信任值和通过ELM对判断数据流得到的间接信任值及上一个时刻的信任值，算出当前两个转发器之间信任值，依据信任的传递性，快速判断源转发器对于目标主机和控制器的可信状态，如果在相对安全的信任区间，针对该源转发器发出的数据流做转发处理，如果在相对危险的信任区间，管理员可根据极限学习机判断攻击类型进行相应的响应处理，如屏蔽该源转发器、丢弃自源转发器发出的数据包，进一步达到保护目标主机、控制器乃至整个网络的目的。进一步地，步骤2中，Tp，C的计算公式如下：其中，TH_bw为带宽阈值，TH_td为时延阈值，TH_lp为丢包率阈值，Po为当前监控参数的对比结果，Ne为阈值的对比结果；设定带宽阈值TH_bw为当前两台转发器之间最大带宽的70％，一旦实时带宽超过这个阈值，则认定目标主机有遭受到DDoS攻击的潜在可能性；将丢包率阈值TH_lp设置为20％，在一个稳定的SDN网络中，不会出现长时间的丢包现象，如果连续2个周期丢包率为100％，则认定目标主机遭受到严重攻击，信任值为0；根据对网络质量的要求程度人为调整时延阈值TH_td，一旦时延超过一定值，则认定网络不佳，需要调整。进一步地，，利用极限学习机得到间接信任值的方法如下：步骤3-1：首先确定网络的输入和输出，依据SDN流表中的信息流特征进行提取并且降维的特征向量作为网络的输入样本，选定正常流量ICMP-flood、UDP-flood、Ping-flood、SYN-flood、HTTPattack和slowattack分别输出标签(000,001，010，011，100，101，110)；步骤3-2：随机设定输入层和隐含层的连接权值W和隐含层神经玩的阈值b，确定隐含层神经元的个数，选择一个ELM默认的无限可微函数sigmoid作为激活函数，进而计算出隐含层输出矩阵H，可得输出层权值β；步骤3-3：对一个复杂网络进行正常流量和混合DDoS攻击，然后将相关流表和攻击结果提取，按照三七分设为训练集和测试集，用训练集得到ELM训练模型，最后可以根据流表特征值对当前状态进行判断，再用ELM分类器对测试集进行测试，以评估ELM多分类器的性能；步骤3-4：当ELM的多分类结果为非000时，我们认定目前遭受到攻击，用Tj，c来表示当前间接信任值，当攻击时，Tj，c值为-1，代表信任值持续下降，正常流量时Tj，c值为1，信任值持续上升，如果管理员或控制器针对攻击做出响应，Tj，c置为0：进一步地，设TS，C为信任值，为了保证动态连贯性，认定信任值TS，C不仅仅依赖直接信任值Tp，C和间接信任值Tj，c的总和，还包括上个时刻的信任值，因此TS，C用公式(4)计算：TS，C＝g(αTS，C-1+βTj，c-1+γTp，c)(4)其中α，β，γ是各个信任值的系数权重，α+β+γ＝1，TS，C-1为TS，C上一个时刻的信任值；为了保证TS，C始终在[0，1]范围之内，设计激活函数g(x)，当TS，C为负值时，TS，C值为0，又因为α+β+γ＝1，保证了TS，C不会大于1。与现有技术相比，本专利技术的优点在于：结合了ELM针对混合型DDoS分类判定结果、交换机之间历史信任值及通过脚本监控的硬件参数(带宽、时延、丢包率)拟作一个信任公式加入到控制器中。为更好的解决SDN环境中针对DDoS攻击而引发转发器与转发器，转发器与控制器不信任的问题，本文提出一种更有效更具有细粒度的解决方案，及时监控硬件时时状态，同时结合ELM算法对流表信息进行判断来计算出的控制器信任值。管理者可以结合信任值越高，调整其转发其数据包的优先级。本文提出完整的信任框架，即解决设备之间的信任问题，又可以有效的判定出混合环境下的DDoS攻击，即具有如下特点：1、有效性：有效地解决了转发器与控制器之间缺乏信任机制的问题。我们解决了帮助控制器决定和选择转发器的优先级规则的问题。2、实时性：在我们的方案中，转发器具有相应的信任值，本文档来自技高网...

【技术保护点】
1.一种针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，包括如下步骤：步骤1：当转发器收到一个数据包时先做判断是否在转发流表信息中，如果是，则按照转发要求进行处理，如果不是，则返回给控制器做判断；步骤2：对于控制器下发packet‑out数据包做转发处理的同时，利用监控探头实时监控转发器/源设备和可信转发器设备之间的带宽、时延、丢包率，将目标转发器设置在离受保护主机上一层设备上，同时认为其对于主机和控制器为绝对可信，通过人为设定主观阈值的方式，对带宽、时延、丢包率等参数做出处理，判断转发器之间的直接信任值Tp，C；步骤3：依据极限学习机对流表信息进行二次加工和处理，得到间接信任值，用以判断是否为恶意DDoS数据流，并根据攻击进行多分类；步骤4：通过结合监控探头得到的实时直接信任值和通过ELM对判断数据流得到的间接信任值及上一个时刻的信任值，算出当前两个转发器之间信任值，依据信任的传递性，快速判断源转发器对于目标主机和控制器的可信状态，如果在相对安全的信任区间，针对该源转发器发出的数据流做转发处理，如果在相对危险的信任区间，管理员可根据极限学习机判断攻击类型进行相应的响应处理，如屏蔽该源转发器、丢弃自源转发器发出的数据包，进一步达到保护目标主机、控制器乃至整个网络的目的。...

【技术特征摘要】
1.一种针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，包括如下步骤：步骤1：当转发器收到一个数据包时先做判断是否在转发流表信息中，如果是，则按照转发要求进行处理，如果不是，则返回给控制器做判断；步骤2：对于控制器下发packet-out数据包做转发处理的同时，利用监控探头实时监控转发器/源设备和可信转发器设备之间的带宽、时延、丢包率，将目标转发器设置在离受保护主机上一层设备上，同时认为其对于主机和控制器为绝对可信，通过人为设定主观阈值的方式，对带宽、时延、丢包率等参数做出处理，判断转发器之间的直接信任值Tp，C；步骤3：依据极限学习机对流表信息进行二次加工和处理，得到间接信任值，用以判断是否为恶意DDoS数据流，并根据攻击进行多分类；步骤4：通过结合监控探头得到的实时直接信任值和通过ELM对判断数据流得到的间接信任值及上一个时刻的信任值，算出当前两个转发器之间信任值，依据信任的传递性，快速判断源转发器对于目标主机和控制器的可信状态，如果在相对安全的信任区间，针对该源转发器发出的数据流做转发处理，如果在相对危险的信任区间，管理员可根据极限学习机判断攻击类型进行相应的响应处理，如屏蔽该源转发器、丢弃自源转发器发出的数据包，进一步达到保护目标主机、控制器乃至整个网络的目的。2.如权利要求1所述的针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，步骤2中，Tp，C的计算公式如下：其中，TH_bw为带宽阈值，TH_td为时延阈值，TH_lp为丢包率阈值，Po为当前监控参数的对比结果，Ne为阈值的对比结果；设定带宽阈值TH_bw为当前两台转发器之间最大带宽的70％，一旦实时带宽超过这个阈值，则认定目标主机有遭受到DDoS攻击的潜在可能性；将丢包率阈值TH_lp设置为20％，在一个稳定的SDN网络中，不会出现长时间的丢包现象，如果连续2个周期丢包率为100％，则认定目标主机遭受到严重攻击，信任值为0；根据对网络质量的要求程度人为调整时延阈值TH_td，一旦时延超过一定值，则认定...

【专利技术属性】
技术研发人员：拱长青，俞德龙，李席广，赵亮，林娜，郭振洲，戚晗，孟庆杰，
申请(专利权)人：沈阳航空航天大学，
类型：发明
国别省市：辽宁,21