【技术实现步骤摘要】
SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统
本专利技术涉及SDN以及计算机网络
,尤其涉及一种SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统。
技术介绍
软件定义网络SDN(Software-DefinedNetworking)是一种新型的网络架构,该架构通过OpenFlow技术将数据平面与控制平面分离开来,其中控制平面能够对传统分布式的网络状态进行集中管理,为网络管理、QoS、核心网络及应用的创新提供了良好的平台。然而其自身的安全问题也日益显露,如数据层面临的DDoS攻击、南向接口SSL协议的不安全性、控制器的单点故障、应用层的恶意应用程序攻击等等。其中控制器的单点故障将导致控制器、交换机、被攻击主机及整个网络不同程度的瘫痪。由于控制器的集中特性,每当网络出现新流时控制器便需要处理交换机发来的Packet-In消息,此时若攻击者大量注入伪造数据包,便会触发Packet-In注入攻击,导致DDoS攻击、泛洪攻击、拓扑欺骗等,使控制器无法处理正常消息,造成单点故障,甚至上层应用的瘫痪。在针对控制器的安全防御研...
【技术保护点】
1.一种SDN环境下针对Packet‑In注入攻击的轻量级自适应检测方法,其特征在于,包括以下步骤:S1.建立概率检测模型:控制器中的模型建立模块根据该网络中Packet‑In消息的历史正常流量样本,通过矩估计法计算样本均值;再根据泊松分布的性质和正态分布的公式,建立正常情况下的对照检测模型并设置阈值α;S2.设置白名单并过滤伪IP/MAC消息:控制器中的消息过滤模块根据收到的Packet‑In消息和Port‑Status消息记录当前网络时段的过滤白名单,其处理步骤包括:步骤S201控制器监听并接收到Packet‑In消息或Port‑Status消息;步骤S202消息过滤模...
【技术特征摘要】
1.一种SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法,其特征在于,包括以下步骤:S1.建立概率检测模型:控制器中的模型建立模块根据该网络中Packet-In消息的历史正常流量样本,通过矩估计法计算样本均值;再根据泊松分布的性质和正态分布的公式,建立正常情况下的对照检测模型并设置阈值α;S2.设置白名单并过滤伪IP/MAC消息:控制器中的消息过滤模块根据收到的Packet-In消息和Port-Status消息记录当前网络时段的过滤白名单,其处理步骤包括:步骤S201控制器监听并接收到Packet-In消息或Port-Status消息;步骤S202消息过滤模块判断收到的消息是否为Packet-In消息;步骤S203若收到Port-Status消息,检验该消息中的PORT-DOWN字段是否置位;若PORT-DOWN字段已置位,记录该消息的端口信息,转步骤S204;否则,转步骤S201,继续监听OpenFlow消息;步骤S204若收到攻击源的端口信息,则从白名单中删除相关条目;步骤S205若收到Packet-In消息,检验该消息的合法性,构造并更新白名单:若该消息合法,则转步骤S301;若不合法,则该消息的源主机为被攻击主机,将该源主机的端口信息发送到防御模块,转步骤S402;S3.基于检测模型进行自适应攻击检测:其处理步骤如下:步骤S301控制器中的检测模块获取待检测窗口内的Packet-In消息数目,计算其概率密度,并与阈值α比较;步骤S302与检测模型中的概率密度进行对比,若连续两个窗口比值均小于阈值α,则判定为发生攻击,启动防御模块,转步骤S401;若否,则运行正常,转步骤S303;步骤S303通知模型建立模块使用指数加权移动平均法,利用最新的正常窗口内的消息数来更新当前参数;S4.根据检测结果进行防御并自适应调整参数:其处理步骤如下:步骤S401控制器中的防御模块通过找出消息数目最大的端口来找出攻击源,记录其端口信息;步骤S402防御模块构造并下发Flow_Mod消息到交换机,丢弃与攻击源端口信息相匹配的数据包,并发送端...
【专利技术属性】
技术研发人员:詹心语,章玥,蒲戈光,
申请(专利权)人:华东师范大学,上海工业控制安全创新科技有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。