本发明专利技术公开一种SDN网络的DoS攻击分布式检测与防御方法,针对DoS对于控制器的资源消耗量大的问题,本发明专利技术通过在SDN网络中选取一些特殊的节点作为分布式辅助处理节点,然后通过交换机连接选出来的这些网络的剩余计算资源来处理异常的流量,最后将判定正常的报文交给控制器进行处理,达到为控制器减负的目的。
A Distributed Detection and Defense Method for DoS Attacks in SDN Networks
The invention discloses a distributed detection and defense method for DoS attacks in SDN networks. To solve the problem that DoS consumes a large amount of resources for controllers, the invention selects some special nodes in SDN networks as distributed auxiliary processing nodes, and then connects the remaining computing resources of these networks through switches. To deal with the abnormal flow, the final decision of the normal message to the controller for processing, to achieve the purpose of reducing the load of the controller.
【技术实现步骤摘要】
一种SDN网络的DoS攻击分布式检测与防御方法
本专利技术属于网络安全领域,特别涉及一种分布式的DoS攻击防御技术。
技术介绍
在软件定义网络(SoftwareDefinedNetwork,SDN)中,存在一种特有的拒绝服务攻击(DenialofService,DoS)形式,叫做数据层到控制层的饱和攻击,攻击者通过向交换机发送大量的无法匹配流表的报文,使得交换机发送大量packet_in信息给控制器,占用宽带资源,增加控制器的处理负担和交换机中无用的流表项,导致正常的服务请求无法及时被响应,达到消耗控制面资源与数据面资源的目的。考虑到在SDN网络中控制器的重要性,一旦控制器遭遇DoS攻击会影响整个SDN网络的正常运行,因此SDN网络需要具备对DoS针对控制器的攻击特别的关注与处理功能。目前针对DoS对控制面资源消耗问题主要的解决思路为三种。一是采取更好的算法和策略,提高控制器的处理效率;二是控制SDN交换机进行异常流量转移,在连接SDN控制器的多条链路之间进行负载均衡,避免数据面到控制面的流量拥塞;三是在数据平面和控制平面之间加入一个缓存区,收集异常流量,控制异常流量到达控制器的速率。这三种思路都有一个共同的特点,就是最终依然需要控制器来处理所有的异常流量,对于控制器来说,实质上并没有减少工作量,DoS对于控制器的资源消耗量依然很大。因此,针对SDN中的DoS攻击,提出既可以有效的进行异常检测并对异常报文进行处理、又可以更大程度的减轻控制器工作负担的防御机制有非常重要的意义。
技术实现思路
为解决上述技术问题,本专利技术提出一种SDN网络的DoS攻击分布式检测与防御方法,通过在SDN网络中选取一些特殊的节点作为分布式辅助处理节点,然后通过交换机连接选出来的这些网络的剩余计算资源来处理异常的流量,达到为控制器减负的目的。本专利技术采用的技术方案为:一种SDN网络的DoS攻击分布式检测与防御方法,包括:S1、通过异常流量检测,得到疑似被攻击节点;S2、在普通节点中选取分布式处理节点;S3、步骤S2选取的分布式处理节点对疑似被攻击节点的异常流量进行处理。进一步地,步骤S1具体包括以下分步骤:S11、控制器对与其直连的链路上的packet_in报文的速率进行监控;S12、当packet_in报文速率大于第一阈值时,控制器下发指令到相应的节点,节点进行异常流检测,得到疑似被攻击节点。更进一步地,节点进行异常流检测具体为:A1节点利用自身计数器收集每个流进入端口的n个时间间隔内的流特征;A2、收到异常检测的命令后,对目标IP地址的熵值进行计算;A3、若熵值小于第二阈值,则判定为异常流,继续执行下一跳;否则判定当前节点为疑似被攻击节点。更进一步地,第二阈值计算式为:其中,Hi(X)表示第i个时间间隔内的计算得到的目标IP地址的熵值,λi表示第i个时间间隔目标IP地址的熵值对应的权值,且进一步地,步骤S2具体为:首先对各普通节点代价进行计算;然后根据计算出的各普通节点代价以及各普通节点覆盖的节点集选取分布式处理节点。更进一步地,根据普通节点的计算时间代价、通信代价以及计算资源代价来计算该普通节点代价。更进一步地,计算时间代价的计算式为:其中,βi表示第i个普通节点的计算速率,degi表示第i个普通节点的度数。更进一步地,通信代价计算式为:其中,rij表示普通节点i与相邻的普通节点j之间链路的传输速率,rm表示普通节点i经过链路lm的传输速率,k表示普通节点i到控制器的最短路径长度。更进一步地,计算资源代价的计算式为:Li=Lave+αdegi其中,Lave表示普通节点i正常情况下的平均负载量,α为常数。进一步地,步骤S3具体包括以下分步骤:S31、报文重定向,每个检测到的疑似被攻击节点将所有发送到自己的流量交给对应的S2步骤中选出的分布式处理节点;S32、流量清洗,在分布式处理节点进行攻击流量的识别和清洗,最终将判定正常的报文交给控制器进行处理。本专利技术的有益效果:本专利技术的一种SDN网络的DoS攻击分布式检测与防御方法,采用逐跳的异常流量追溯方法,得到异常流量;采用分布式处理节点选取算法从普通节点中选取分布式处理节点,每个检测到的疑似被攻击节点将所有发送到自己的所有流量交给自己所在处理范围的分布式处理节点;处理节点进行攻击流量的识别和清洗,最终将判定正常的报文交给的控制器进行处理,减轻控制器的工作量;本专利技术的方法既可以有效的进行异常检测并对异常报文进行处理、又可以更大程度的减轻控制器工作负担。附图说明图1为本专利技术实施例提供的SDN网络的DoS攻击分布式检测与防御机制示意图;图2为本专利技术实施例提供的异常流量检测流程图;图3为本专利技术实施例提供的节点代价计算流程图;图4为本专利技术实施例提供的负载和计算资源代价之间的关系曲线;图5为本专利技术实施例提供的分布式处理节点选取算法流程图;图6为本专利技术实施例提供的报文重定向示意图;图7为本专利技术实施例提供的逐跳异常检测示意图。具体实施方式为便于本领域技术人员理解本专利技术的
技术实现思路
,下面结合附图对本
技术实现思路
进一步阐释。由于SDN网络中的SDN交换机只关注流量转发功能,其转发策略由SDN控制器决策,故SDN交换机的处理能力往往是比较弱的。为了实现DoS攻击检测与防御机制的分布式、下沉处理,设定每个SDN交换机连接有一个具备异常流量处理能力的终端。本专利技术中所提到的“节点”,就代表SDN交换机及对应终端的组合。传统SDN网络的DoS攻击检测与防御机制都是由控制器进行异常流量的处理工作,这种方式会增加控制器的处理负担,导致控制器过载。本专利技术的方法可以通过交换机所连接网络的剩余计算资源来处理异常的流量,达到为控制器减负的目的。如图1所示为SDN网络的DoS攻击分布式检测与防御机制示意图,其中交换机B、D及其所连接的主机和网络为处理节点,交换机A、C为发出异常流量的交换机。本专利技术的技术方案为:一种SDN网络的DoS攻击分布式检测与防御方法,包括:S1、通过异常流量检测,得到异常流量;S2、在普通节点中选取分布式处理节点;S3、步骤S2选取的分布式处理节点对疑似攻击节点的报文进行处理。如图2所示,步骤S1的异常检测包括以下两部分:a、控制器对与它直连的链路上的packet_in报文的速率进行监控,当packet_in报文速率大于第一阈值时,控制器下发指令到相应的交换机,进行交换机的逐跳异常流追溯。第一阈值可以根据与控制器相连链路的带宽确定,为了防止带宽资源被异常流量耗尽,可以设定vth=αB,其中B为链路带宽,α为一个常数,由控制器根据网络状态确定,并且要保证0<α<1。b、异常流量的检测拟采取熵值检测的方法。熵值是在封闭体系中对无序和随机的计量单位。随机程度越高,熵值越高,随机程度越低,熵值越低。选择熵值检测的原因是在交换机进行异常检测无法使用太过复杂的算法,选定的检测方式一定要是既复杂度小,又可以有效检测出异常。而利用熵值的检测方法是一种轻量级的检测方法,同时也是DoS攻击比较常使用的检测方法,符合以上条件。在发生DoS攻击时,大量攻击报文攻击某几个主机,会导致目的IP地址的熵值骤减,我们利用这个特性来对异常流量进行检测。首先,交换机利用自身计数器收集每个流量进入端口的n个时间间隔内的流量特征,在收到异常检本文档来自技高网...
【技术保护点】
1.一种SDN网络的DoS攻击分布式检测与防御方法,其特征在于,包括:S1、通过异常流量检测,得到疑似被攻击节点;S2、在普通节点中选取分布式处理节点;S3、步骤S2选取的分布式处理节点对疑似被攻击节点的异常流量进行处理。
【技术特征摘要】
1.一种SDN网络的DoS攻击分布式检测与防御方法,其特征在于,包括:S1、通过异常流量检测,得到疑似被攻击节点;S2、在普通节点中选取分布式处理节点;S3、步骤S2选取的分布式处理节点对疑似被攻击节点的异常流量进行处理。2.根据权利要求1所述的一种SDN网络的DoS攻击分布式检测与防御方法,其特征在于,步骤S1具体包括以下分步骤:S11、控制器对与其直连的链路上的packet_in报文的速率进行监控;S12、当packet_in报文速率大于第一阈值时,控制器下发指令到相应的节点,节点进行异常流检测,得到疑似被攻击节点。3.根据权利要求2所述的一种SDN网络的DoS攻击分布式检测与防御方法,其特征在于,节点进行异常流检测具体为:A1、节点利用自身计数器收集每个流进入端口的n个时间间隔内的流特征;A2、收到异常检测的命令后,对目标IP地址的熵值进行计算;A3、若熵值小于第二阈值,则判定为异常流,继续执行下一跳;否则判定当前节点为疑似被攻击节点。4.根据权利要求3所述的一种SDN网络的DoS攻击分布式检测与防御方法,其特征在于,第二阈值计算式为:其中,Hi(X)表示第i个时间间隔内的计算得到的目标IP地址的熵值,λi表示第i个时间间隔目标IP地址的熵值对应的权值,且5.根据权利要求4所述的一种SDN网络的DoS攻击分布式检测与防御方法,其特征在于,步骤S2具体为:首先对各普通节点代...
【专利技术属性】
技术研发人员:韦云凯,杜群,毛玉明,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。