本发明专利技术涉及一种SDN网络拒绝服务攻击的集中式检测系统,包括设置在各个交换机内部的数据采集模块、设置在SDN控制器内部的集中式的检测模块和输入输出模块;其中数据采集模块用于采集经过SDN交换机的网络流量;集中式的检测模块用于对数据采集模块采集的网络流量在空间域上进行检测,确定是否存在可疑流量,并基于空间域的检测结果,再从时间域上对网络流量进行检测,辨别攻击是否存在以及攻击类型;输入输出模块用于根据用户的输入对数据采集模块和集中式的检测模块的参数进行调整,或将集中式的检测模块的检测结果存储并按照既定格式进行输出。本发明专利技术提供的集中式检测系统可以应用于中小型SDN网络,如园区网、校园网的安全检测。
【技术实现步骤摘要】
本专利技术涉及网络入侵检测领域,更具体地,涉及一种SDN网络拒绝服务攻击的集 中式检测系统。
技术介绍
传统的拒绝服务攻击在新兴的SDN网络下,也出现了新的攻击方式: (1)针对SDN控制器的DDoS。SDN交换机对于无法在流表中找到匹配项的数据包, 会形成包含这些数据包的packet-in信息到SDN控制器。攻击者通过对多个交换机持续不 断地发送精心设计的数据包,如数据包的源IP地址、目的IP地址、源端口、目的端口随机 生成,造成交换机收到大量无法在流表匹配的数据包。多个交换机同时向单个控制器发送 packet-in信息,容易导致控制器或控制器的对外链路过载,导致控制器无法响应正常数据 包的packet-in消息。 (2)针对SDN交换机的DLDoS。SDN里,每个数据包都属于一个流(flow),每个流 的组成/粒度可粗可细,如IPA到IPB可以使一个流,IPA的TCP到IPB的TCP可以是 一个流。对于某个流,SDN交换机在流表里有一个流表项与之对应,用于告诉交换机对这个 流的数据包如何转发/处理。SDN交换机对于无法在流表中找到匹配项的数据包,会形成包 含这些数据包的packet-in信息到SDN控制器,依据返回的流信息,在流表中插入新的流表 项,用以转发这个数据包及这个流的后续数据包。当多个攻击者对一台SDN交换机发送精 心设计的数据包,如数据包的源IP地址、目的IP地址、源端口、目的端口随机生成,造成交 换机收到大量无法在流表匹配的数据包,之后交换机会依据返回的信息建立大量的新流表 项。流表项需要在一定时间之后才会过期,而交换机的流表大小有限,在这段时间内,交换 机的流表被大量无用的项占据,正常网络流无法建立或只有部分能新流表项,从而流经交 换机的网络通信被阻塞。DDoS中的攻击针对的是SDN控制器,控制器一般是性能较好的服务器,攻击需要 持续不断的进行,达到的效果是控制器无法响应正常的packet-in消息,类似DDoS攻倒服 务器的效果。DLDoS中的攻击针对的是SDN交换机,达到的效果是交换机无法为正常流建立 新流表项。由于流表项有过期时间,攻击只需周期性进行,相较于DDoS,DLDoS在时间平均 数是低速率的,这类似于DLDoS攻倒使用TCP的服务器的效果。 针对DDoS、DLDoS,传统的检测方法效果不佳。DDoS和DLDoS在传统网络中为多个 攻击源针对单个受害端的协同攻击,网络中出现大量目的IP相同、端口相同或协议相同的 数据包,传统的检测方法大多利用这些特征进行检测。但DD〇S、DLD〇S随机伪造数据包字段 的数值,不会出现上述特征,在传统检测方法看来,DD〇S、DLD〇S更类似于突发的正常的大流 量。针对SDN下的新型DDoS和DLDoS,需要采用新的检测指标和检测方法,才能更有效发现 攻击。
技术实现思路
本专利技术为解决以上现有技术的缺陷,提供了一种SDN网络拒绝服务攻击的集中式 检测系统,该系统针对拒绝服务攻击的特征,从网络流量空间域和时间域上来检测、辨别拒 绝服务攻击。 为实现以上专利技术目的,采用的技术方案是: 一种SDN网络拒绝服务攻击的集中式检测系统,适用于对中小型的SDN网络进行 检测,包括设置在各个交换机内部的数据采集模块、设置在SDN控制器内部的集中式的检 测模块和输入输出模块; 其中数据采集模块用于采集经过SDN交换机的网络流量; 集中式的检测模块用于对数据采集模块采集的网络流量在空间域上进行检测,确 定是否存在可疑流量,并基于空间域的检测结果,再从时间域上对网络流量进行检测,辨别 攻击是否存在以及攻击类型;; 输入输出模块用于根据用户的输入对数据采集模块和集中式的检测模块的参数 进行调整,或将集中式的检测模块的检测结果存储并按照既定格式进行输出。 上述方案中,数据流被SDN交换机的数据采集模块抽样收集、预处理并发送到SDN 控制器,经过集中式的检测模块,以判定是否存在拒绝服务攻击的数据流,并通过输入输出 模块与网络安全管理员进行交互及存储检测结果。 优选地,所述集中式的检测模块由两个级联的ANN构成,其中第一级ANN负责从空 间域对网络流量进行检测,发现网络中是否存在可疑攻击,第二级ANN基于第一级ANN的检 测结果,从时间域上对网络流量进行检测,辨别攻击是否存在以及攻击类型。 优选地,第一级ANN从空间域对网络流量进行检测后,将得到的检测结果发送至 第二级ANN,第二级ANN接收检测结果并采用自相关函数对检测结果进行预处理,然后基于 预处理后的检测结果从时间域上对网络流量进行检测。 优选地,所述采用自相关函数对检测结果进行预处理的具体过程表示如下: 其中Rxx (m)为预处理后的检测结果,XX为进行相关运算的两序列的标号,N为检测 时时间序列的长度,m为运算的两列序列错开的时间间隔,x(n)表示某个时间段内第一级 ANN的输出,x(n+m)表示与x(n)时间间隔为m的某个时间段内第一级ANN的输出,x(n+m)、 x(n)的取值为0~1。x(n)数值越大,表示对应时段越可能存在攻击流量。对于不同的流 量和攻击,自相关函数值有不同的特性: (1)正常平缓的网络流量,x(n)为0,对于所有m值,自相关函数值为0。 ⑵正常的突发流量具有随机性,多余多个m值,其自相关函数值较小。 (3)DDoS攻击具有持续性,对于多个m值,其自相关函数值较大。 (4)DLDoS攻击具有周期性,对于某些特定m值,其自相关函数较大。 每个ANN输入层的神经元采用一个不同的m值,从而,这一级ANN能从时间域对网 络流量进行检测,以更好地辨别攻击是否为存在及攻击类型。优选地,所述数据采集模块采集经过SDN交换机的网络流量,并根据网络流量的 特征更新网络特性指标,然后将更新的网络特性指标发送至集中式的检测模块,集中式的 检测模块根据网络特性指标对拒绝服务攻击进行空间域、时间域上的检测。 优选地,所述网络特性指标包括: (l)SDN交换机流表中流表项平均利用率: y表示流表项平均利用率,Pl表示第i条流表项的利用率,爲表示 第i条流表项的权重 其中At表示采样间隔,Ati表示第i条流表项在采样间隔内存在的时间长度, 叫表示第i条流表项在采样间隔内的数据包数,L表示流表项总数。Ati越大,即第i条 流表项存在的时间越长,pjty的影响越大。 (2)SDN交换机的Packet-In速率v表示Packet-In速率,mpa(:ketIn表示采样间隔内交换机上报的packetIn数据包 (fl 总数,一^表示每个采样间隔At内packet-in的数目; L (3)流表的饱和度:P=Lmax表示switch允许的最大流表项数目,L表示实时的流表项数目。 优选地,数据采集模块更新网络特性指标后,对网络特性指标进行归一化处理,再 将归一化处理后的网络特性指标发送至集中式的检测模块;其中进行归一化处理的具体过 程如下:x是归一化后的数值结果,X。是归一化前的数值结果,x_是对应指标历史上的最 大值,1_是对应指标历史上的最大值。 与现有技术相比,本专利技术的有益效果是: 本专利技术提供的集中式检测系统针对拒绝服务攻击的特征,采用适合于SDN网络的 新监测指标,从网络流量空间域和时间域来检测本文档来自技高网...
【技术保护点】
一种SDN网络拒绝服务攻击的集中式检测系统,适用于对中小型的SDN网络进行检测,其特征在于:包括设置在各个交换机内部的数据采集模块、设置在SDN控制器内部的集中式的检测模块和输入输出模块;其中数据采集模块用于采集经过SDN交换机的网络流量;集中式的检测模块用于对数据采集模块采集的网络流量在空间域上进行检测,确定是否存在可疑流量,并基于空间域的检测结果,再从时间域上对网络流量进行检测,辨别攻击是否存在以及攻击类型;输入输出模块用于根据用户的输入对数据采集模块和集中式的检测模块的参数进行调整,或将集中式的检测模块的检测结果存储并按照既定格式进行输出。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈晓帆,余顺争,
申请(专利权)人:广东顺德中山大学卡内基梅隆大学国际联合研究院,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。