本发明专利技术适用网络安全技术领域,提供了一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置,所述方法包括:通过线性递增和增量模式的方式增加僵尸主机,通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击,根据软件定义网络中所有交换机上流表的更新,对软件定义网络的控制器上预先构建的攻击流监控表进行同步更新,对攻击流监控表进行周期性检测,以确定攻击流监控表中是否有存在时长超过预设时长的监控表项,当存在时,确定该监控表项对应网络流为针对软件定义网络数据平面的隐蔽攻击流,从而有效地提高了模拟软件定义网络数据平面隐蔽性DDoS攻击的效率,有效地提高了软件定义网络数据平面隐蔽性DDoS攻击的检测效率。
【技术实现步骤摘要】
一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置
本专利技术属于网络安全
,尤其涉及一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置。
技术介绍
近年来以软件定义网络(SDN)为基础架构的网络蓬勃发展,软件定义网络将传统IP网络的路由控制和数据转发进行分离,实现集中控制和分布转发,并通过提供软件可编程的方式简化了网络的管理和配置,然而这也扩大了网络分布式拒绝服务攻击(DDoS)的攻击面。目前,软件定义网络对DDoS的抑制绝大多数只考虑到控制平面的DDoS攻击的问题。已有研究表明,软件定义网络数据平面的DDoS攻击更容易对软件定义网络造成威胁,并且数据平面DDoS攻击的隐蔽性会刻意地回避多数软件定义网络上的DDoS检测。在模拟软件定义网络数据平面的DDoS攻击时,相关算法提出的基于流表项超时的隐蔽性DDoS攻击,该算法使用增量模式(Incrementalmode)周期性地增加僵尸主机的个数直到目标交换机流表趋近饱和状态,僵尸主机以小于流表项超时的攻击间隔周期性地发送攻击包,从而保持攻击包的流表项常在目标交换机的流表内,使得合法流表项无法安装处理。然而,增量模式无法使得僵尸主机的攻击速率快速地达到“最小攻击速率”(以最小化的攻击速度使目标交换机的流表项保持趋近于流表总大小的饱和状态)。现有软件定义网络数据平面DDoS攻击的检测算法提出周期性地从目标交换机中获取流表项并检查获取的流表项,通过检查结果判断是否存在隐蔽攻击流当该算法布置在控制器上时,会为软件定义网络的控制平面和数据平面之间的安全通道增加大量的流量负载,当该算法部署在每个目标交换机上时,不符合软件定义网络逻辑集中控制的思想,类似检测算法的升级、网络需要根据检测结果采取缓解措施(如黑名单等的实现)都是复杂的。
技术实现思路
本专利技术的目的在于提供一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置,旨在解决由于现有技术中软件定义网络的数据平面隐蔽性DDoS攻击模拟、以及软件定义网络的数据平面DDoS攻击检测的效率较低,软件定义网络的数据平面DDoS攻击检测的实现较为复杂的问题。一方面,本专利技术提供了一种软件定义网络的DDoS攻击模拟和攻击检测方法,所述方法包括下述步骤:通过预设线性递增和增量模式的方式增加僵尸主机,通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击;根据所述软件定义网络中所有交换机上流表的更新,对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新;对所述攻击流监控表进行周期性检测,以确定所述攻击流监控表中是否有存在时长超过预设时长阈值的监控表项;当所述攻击流监控表中有存在时长超过所述时长阈值的监控表项时,确定所述存在时长超过所述预设时长阈值的监控表项所对应的网络流为针对所述软件定义网络数据平面的隐蔽攻击流。另一方面,本专利技术提供了一种软件定义网络的DDoS攻击模拟和攻击检测装置,所述装置包括:攻击模拟模块,用于通过预设线性递增和增量模式的方式增加僵尸主机,通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击;表更新模块,用于根据所述软件定义网络中所有交换机上流表的更新,对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新;超时检测模块,用于对所述攻击流监控表进行周期性检测,以确定所述攻击流监控表中是否有存在时长超过预设时长阈值的监控表项;以及攻击流确定模块,用于当确定所述攻击流监控表中有存在时长超过所述时长阈值的监控表项时,确定所述存在时长超过所述预设时长阈值的监控表项所对应的网络流为针对所述软件定义网络数据平面的隐蔽攻击流。本专利技术通过预设的线性递增和增量模式的方式增加僵尸主机,通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击,根据软件定义网络中所有交换机上流表的更新,对软件定义网络的控制器上预先构建的攻击流监控表进行同步更新,对攻击流监控表进行周期性检测,以确定攻击流监控表中是否有存在时长超过预设时长阈值的监控表项,当确定攻击流监控表中有该监控表项时,确定该监控表项对应的网络流为针对软件定义网络数据平面的隐蔽攻击流,从而通过线性递增与增量模式结合有效地提高了软件定义网络中数据平面隐蔽性DDoS攻击模拟的效率,通过控制器上攻击流监控表的构建、更新和检测实现数据平面隐蔽性DDoS攻击的检测,有效地避免了软件定义网络安全通道额外的通信开销,提高了数据平面隐蔽性DDoS攻击的检测效率。附图说明图1是本专利技术实施例一提供的软件定义网络的DDoS攻击模拟和攻击检测方法的实现流程图;图2是本专利技术实施例二提供的软件定义网络的DDoS攻击模拟和攻击检测装置的结构示意图。以及图3是本专利技术实施例二提供的软件定义网络的DDoS攻击模拟和攻击检测装置的优选结构示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。以下结合具体实施例对本专利技术的具体实现进行详细描述:实施例一:图1示出了本专利技术实施例一提供的软件定义网络的DDoS攻击模拟和攻击检测方法的实现流程,为了便于说明,仅示出了与本专利技术实施例相关的部分,详述如下:在步骤S101中,通过预设线性递增和增量模式的方式增加僵尸主机,通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击。本专利技术实施例适用于软件定义网络数据平面的隐蔽性DDoS攻击的攻击模拟和攻击检测平台或系统,DDoS攻击即分布式拒绝服务攻击。在攻击模拟者向软件定义网络中的目标交换机发起数据平面的隐蔽性DDoS攻击时,先通过预设的线性递增方式多批次地增加僵尸主机的数量。在通过线性递增方式多批次增加僵尸主机的过程中,通过当前已有的僵尸主机按照软件定义网络的正常流速率向目标交换机发起攻击,在预设的攻击时间间隔后,再增加下一批次的僵尸主机。在本专利技术实施例中,在线性递增的同时检测目标交换机的流安装成功率,当流成功率低于预设的第一成功率阈值时,可认为目标交换机的流表即将达到饱和状态,此时停止僵尸主机的线性递增。接着,通过预设的增量模式方式增加僵尸主机数量(即一个一个地增加僵尸主机数量),同时通过这些僵尸主机按照正常流速率向目标交换机发起攻击,当检测到目标交换机的流安装成功率低于预设的第二成功率阈值时,可以认为目标交换机的流表已经达到饱和状态,即僵尸主机发送的网络流产出的流表项填满了流表,导致目标交换机无法为正常的网络流保存流表项进而无法响应正常的流请求,此时所有僵尸主机向目标交换机发起攻击的速率达到了最小攻击速率。具体地,流安装成功率为目标交换机的流表中成功安装的流表项占所有需要安装流表项的比例。第一成功率为目标交换机的流表中流安装成功率的一个较低阈值,第二成功率为目标交换机流表中流安装成功率的一个最低阈值,第一成功率和第二成功率可根据攻击模拟中对目标交换机流表饱和度的需要进行调整。最小攻击速率为僵尸主机以最小化的攻击速度使目标交换机的流表中的流表项趋近于流表总大小的饱和状态。作为示例地,在采用线性递增方式时,第一次增加一个僵尸主机,总共1·(1+1)/2个僵尸主机,每个僵本文档来自技高网...
【技术保护点】
一种软件定义网络的DDoS攻击模拟和攻击检测方法,其特征在于,所述方法包括下述步骤:通过预设线性递增和增量模式的方式增加僵尸主机,通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击;根据所述软件定义网络中所有交换机上流表的更新,对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新;对所述攻击流监控表进行周期性检测,以确定所述攻击流监控表中是否有存在时长超过预设时长阈值的监控表项;当所述攻击流监控表中有存在时长超过所述时长阈值的监控表项时,确定所述存在时长超过所述预设时长阈值的监控表项所对应的网络流为针对所述软件定义网络数据平面的隐蔽攻击流。
【技术特征摘要】
1.一种软件定义网络的DDoS攻击模拟和攻击检测方法,其特征在于,所述方法包括下述步骤:通过预设线性递增和增量模式的方式增加僵尸主机,通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击;根据所述软件定义网络中所有交换机上流表的更新,对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新;对所述攻击流监控表进行周期性检测,以确定所述攻击流监控表中是否有存在时长超过预设时长阈值的监控表项;当所述攻击流监控表中有存在时长超过所述时长阈值的监控表项时,确定所述存在时长超过所述预设时长阈值的监控表项所对应的网络流为针对所述软件定义网络数据平面的隐蔽攻击流。2.如权利要求1所述的方法,其特征在于,通过预设线性递增和增量模式的方式增加僵尸主机,通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击的步骤,包括:对所述僵尸主机的数目进行线性递增,当检测到所述目标交换机的流安装成功率低于预设第一成功率阈值时,停止对所述僵尸主机进行线性递增;对所述僵尸主机的数目进行增量递增,当检测到所述目标交换机的流安装成功率低于预设第二成功率阈值时,停止对所述僵尸主机进行增量递增;根据所有的僵尸主机和所述软件定义网络的正常流速率,以最小攻击速率向所述目标交换机发送网络流。3.如权利要求2所述的方法,其特征在于,对所述僵尸主机的数目进行线性递增,当检测到所述目标交换机的流安装成功率低于预设第一成功率阈值时,停止对所述僵尸主机进行线性递增的步骤,包括:根据所述线性递增的方式和预设攻击时间间隔多批次地增加所述僵尸主机的数目,每批僵尸主机在出现后以所述正常流速率向所述目标交换机发起攻击;通过所述控制器获取所述目标交换机的流安装成功率,当检测到所述流安装成功率低于所述第一成功率阈值时,确定所述流表趋于饱和,停止所述线性递增。4.如权利要求1所述的方法,其特征在于,根据所述软件定义网络中所有交换机上流表的更新,对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新的步骤,包括:预先在所述控制器上构建所述攻击流监控表,所述攻击流监控表的监控表项包括交换机标识、流表项序列、流表项匹配域、流表项添加时刻和流表项存在时长。根据所述所有交换机触发的Packet-in事件和Flow-removed事件,分别确定所述所有交换机的流表中添加的流表项和删除的流表项;在所述攻击流检测表中添加所述添加的流表项对应的监控表项和删除所述删除的流表项对应的监控表项。5.如权利要求1所述的方法,其特征在于,对所述攻击流监控表进行周期性检测,以确定所述攻击流监控表中是否有存在时长超过预设时长阈值的监控表项的步骤,包括:对所述攻击流监控表进行周期性检测,以检测所述攻击流监控表中是否存在所述流表项存在时长超过所述时长阈值的监控表项;当存在所述流表项存在时长超过所述时长...
【专利技术属性】
技术研发人员:闫巧,龚庆祥,
申请(专利权)人:深圳大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。