一种基于SDN控制器的LDoS攻击检测与缓解方案制造技术

本发明专利技术公开了一种基于SDN控制器的LDoS攻击检测与缓解方案，属于计算机网络安全领域。该方案实现步骤为：固定采样时间和采样间隔，在采样时间内基于采样间隔周期性地调用SDN控制平面的API，获取交换机的端口流量和流表流量，并结合轻量级端口异常检测方法和LightGBM分类模型，根据获取的流量信息判断网络在采样时间内是否存在LDoS攻击。若攻击存在，该方案通过Smith‑Waterman算法定位受攻击端口，并下发流表规则丢弃攻击流量。本发明专利技术公开的方案可以实现高速率、低消耗、高精准度的LDoS攻击检测，并能够有效地过滤掉攻击流量，达到缓解攻击的目的。

【技术实现步骤摘要】
一种基于SDN控制器的LDoS攻击检测与缓解方案
本专利技术属于计算机网络安全领域，具体涉及一种基于SDN控制器的LDoS攻击检测与缓解方案。
技术介绍
随着云计算技术的出现和发展，计算机网络的动态性、实时性和并发性的特点日益凸显，而传统网络结构因其将逻辑控制功能和数据转发功能在网络设备上紧耦合，降低了网络设备的灵活性和可扩展性，难以满足网络的发展需求。为了解决传统网络架构存在的这一弊端，SDN(SoftwareDefinedNetwork，软件定义网络)架构应运而生。与传统网络架构不同，SDN使用OpenFlow协议将网络设备上的逻辑控制功能分离出来，增加了网络的开放性和可编程性，实现了网络功能的可扩展性。SDN面临着各种攻击的威胁。在传统网络中出现频率较高的DoS(DenialofService，拒绝服务)攻击，在SDN中仍然可以达到良好的攻击效果。DoS攻击有很多变种形式，其中一种是LDoS(Low-rateDenialofService，低速率拒绝服务)攻击。LDoS攻击者利用TCP/IP协议自适应机制的漏洞，发起周期性的持续时间短、攻击速率高的攻击数据包，导致正常源端主动降低TCP数据包的发送速率，对网络性能造成严重的损害。与DoS攻击相比，LDoS攻击能够利用更少的资源消耗，达到与DoS攻击相似的攻击效果，具有更强的隐蔽性和更高的检测难度。针对SDN中LDoS攻击的检测与缓解研究主要存在以下问题：其一是针对DoS攻击的检测与缓解方法无法有效地对LDoS攻击进行检测及缓解；其二是现有的针对LDoS攻击的检测与缓解方法普遍存在着算法资源消耗大、自适应性较差和检测准确率不高的缺陷。本专利技术根据SDN中LDoS攻击的检测与缓解研究中主要存在的问题，提出了一种基于SDN控制器的LDoS攻击检测与缓解方案。该方案在交换机上采集端口流量和流表流量，基于采集到的流量信息，结合轻量级端口异常检测方法和LightGBM(LightGradientBoostingMachine，轻量梯度提升机)分类模型对LDoS攻击进行检测，首先基于阈值判断端口流量是否异常，若不存在异常，则检测结果为不存在LDoS攻击，若存在异常，则根据LDoS攻击在通信、效果方面的特性，提取流表流量的四维特征输入到训练好的LightGBM分类模型中进行分类。若分类结果值更靠近无攻击时的标签值0，即分类结果值小于或等于0.5，则LDoS攻击不存在，若更靠近有攻击时的标签值1，即分类结果值大于0.5，则网络中存在LDoS攻击。当检测到LDoS攻击后，防御方法通过Smith-Waterman算法将采集到的各端口流入流量序列与攻击流量序列进行局部比对来定位受攻击端口，之后利用SDN集中控制和OpenFlow协议的特性，下发相关策略阻断输入该端口的攻击流，达到缓解LDoS攻击的目标。
技术实现思路
根据SDN中LDoS攻击的检测与缓解研究中主要存在的问题，提出了一种基于SDN控制器的LDoS攻击检测与缓解方案。该方案能够实现高精准度的LDoS攻击检测，有着较低的误报率和漏报率、较低的复杂度和较强的自适应性。同时，该方案还可以准确定位受攻击端口，并有效地过滤掉攻击流量，保证正常流量的吞吐量。因此，该方案可以有效实现对SDN中的LDoS攻击的检测与缓解。本专利技术为实现上述目标所采用的技术方案为：一种基于SDN控制器的LDoS攻击检测与缓解方案主要分为以下步骤：流量信息采集、攻击检测和攻击缓解。1.流量信息采集。固定采样时间TimeCW和采样间隔Δt，在采样时间内基于采样间隔周期性地调用SDN控制平面的API(ApplicationProgrammingInterface，应用程序接口)，获取交换机的端口流量和流表流量，将采集到的流量序列记为CW(CollectionWindow，采集窗口)。2.攻击检测。结合轻量级端口异常检测方法和LightGBM分类模型检测LDoS攻击，步骤如下：步骤2.1：分析CW内获取到的交换机的端口流入流量和流出流量是否平衡。定义ΔPacks＝|Packsin-Packsout|，其中Packsin表示CW内流入交换机所有端口的总数据包个数，Packsout表示流出交换机所有端口的总数据包个数。若ΔPacks的值小于阈值4500时，表示交换机的流入流量和流出流量处在一个相对较为平衡的状态，此时网络中无LDoS攻击。当网络中存在LDoS攻击时，短时间内会有大量数据包流入交换机，由于交换机的出口连接着瓶颈链路，受到瓶颈链路带宽的约束，交换机不能将短时间内涌入的大量数据包及时转发出去，而只可将其暂时存在缓存内，一旦缓存被占满，数据包就会被丢掉，导致交换机的端口流入流量和流出流量不平衡，引起ΔPacks的值大于或等于阈值4500。因此，若ΔPacks的值小于阈值4500，端口流量正常，网络中不存在LDoS攻击；若ΔPacks的值大于或等于阈值4500，端口流量异常，网络中可能存在LDoS攻击，并通过步骤2.2和步骤2.3进行进一步判断。步骤2.2：针对LDoS攻击在通信和效果两个方面的特点，提取流表流量的四维特征。(1)通信特征。LDoS攻击在攻击持续时间内连续发送大量UDP数据包，导致正常TCP流量的传输速率下降到一个较低的水平，然而由于UDP数据包数量庞大，总流量的传输速率几乎与正常网络中相同。但是，当攻击静默时，正常TCP流量的传输速率缓慢恢复，但与网络未受攻击时相差甚远，总流量的传输速率远低于正常网络。因此，本专利技术提出了总流量传输速率的平均值Tr_avg和总流量传输速率的MAD(MeanAbsoluteDeviation,平均绝对离差)Tr_MAD作为特征值，如下式所示：其中，Tri表示在第i个Δt中收集到的总流量的传输速率，n表示在CW中采集样本的数量(n＝TimeCW/Δt)。(2)效果特征。LDoS攻击导致正常源端主动降低TCP数据包的发送速率。因此，与正常网络相比，LDoS攻击网络中正常TCP流量的传输速率更低。当LDoS攻击持续发送攻击数据包时，由于大量UDP包的存在，总流量的传输速率没有显著变化，而正常TCP流量传输速率很低，在总流量中所占的比例很小。当攻击处于静默状态时，只有正常TCP流量和少量的背景流量，此时正常TCP流量占比很高。因此，本专利技术提出了正常TCP流量传输速率的平均值Norm_Tr_avg和正常TCP流量占比的MADNorm_TrRto_MAD作为特征值，如下式所示：其中，Norm_Tri和Norm_TrRtoi分别表示在第i个Δt中收集到的正常TCP流量的传输速率和占比，Norm_TrRto_avg表示正常TCP流量占比的平均值。步骤2.3：将流表流量的四维特征输入训练好的LightGBM分类模型中进行分类。若分类结果值更靠近无攻击时的标签值0，即分类结果值小于或等于0.5，则LDoS攻击不存在，若更靠近有攻击时的标签值1，即分类结果值大于0.5，则网络中存在LDoS攻击。3.本文档来自技高网...

【技术保护点】
1.一种基于SDN控制器的LDoS攻击检测与缓解方案，其特征在于，所述的LDoS攻击检测与缓解方案包括以下三个步骤：/n步骤1、流量信息采集：固定采样时间和采样间隔，在采样时间内基于采样间隔周期性地调用SDN控制平面的API，获取交换机的端口流量和流表流量；/n步骤2、攻击检测：将轻量级端口异常检测方法和LightGBM分类模型有机结合，根据步骤1获取的流量判断网络在采样时间内是否存在LDoS攻击；/n步骤3、攻击缓解：通过Smith-Waterman算法定位受攻击的端口，并下发流表规则，丢弃攻击流量。/n

【技术特征摘要】
1.一种基于SDN控制器的LDoS攻击检测与缓解方案，其特征在于，所述的LDoS攻击检测与缓解方案包括以下三个步骤：
步骤1、流量信息采集：固定采样时间和采样间隔，在采样时间内基于采样间隔周期性地调用SDN控制平面的API，获取交换机的端口流量和流表流量；
步骤2、攻击检测：将轻量级端口异常检测方法和LightGBM分类模型有机结合，根据步骤1获取的流量判断网络在采样时间内是否存在LDoS攻击；
步骤3、攻击缓解：通过Smith-Waterman算法定位受攻击的端口，并下发流表规则，丢弃攻击流量。


2.根据权利要求1中所述的LDoS攻击检测与缓解方案，其特征在于，步骤2中结合轻量级端口异常检测方法和LightGBM分类模型检测LDoS攻击，包括以下三个步骤：
步骤2.1、分析采样时间内获取到的交换机的端口流入流量和流出流量是否平衡来判断端口流量是否异常；
步骤2.2、针对LDoS攻击在通信和效果两个方面的特点，提取流表流量的四维特征；
步骤2.3、将流表流量的四维特征输入到训练好的LightGBM分类模型中进行分类，根据分类结果判断攻击是否存在。


3.根据权利要求2中所述的LDoS攻击检测与缓解方案，其特征在于，步骤2.1中若端口流入流量和流出流量平衡，即端口流入流量和流出流量的包数差的绝对值小于4500时，则端口流量正常，网络中不存在LDoS攻击，否则，端口流量异常，网络中可能存在LDoS攻击，并需要通过步骤2.2和步骤2.3进行进一步判断。


4.根据权利要求2中所述的LDoS攻击检测...

【专利技术属性】
技术研发人员：汤澹，王曦茵，施玮，王思苑，郑芷青，刘泊儒，
申请(专利权)人：湖南大学，
类型：发明
国别省市：湖南;43