SDN中基于ET-EDR的LDoS攻击检测与缓解方法技术

本发明专利技术公开了SDN中基于ET‑EDR的LDoS攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：以固定的采样间隔实时获取关键交换机中的聚合流量报文，按照固定的时间长度和步长划分为时间窗口后，计算时间窗口内流量数据的六维特征值；根据时间窗口内流量数据的特征值，基于事先训练得到的ET模型对该时间窗口进行分类，得到分类结果；若分类为发生了LDoS攻击的实时窗口数量，大于预先设定的阈值，则认为当前网络受到了LDoS攻击；使用EDR算法定位受攻击的交换机端口，利用控制器下发流规则来完成LDoS攻击的缓解。本发明专利技术提出的SDN中基于ET‑EDR的LDoS攻击检测和缓解方法能准确、实时地检测并缓解SDN中的LDoS攻击。

【技术实现步骤摘要】
SDN中基于ET-EDR的LDoS攻击检测与缓解方法
本专利技术属于计算机网络安全领域，具体涉及SDN中基于ET-EDR的LDoS攻击检测与缓解方法。
技术介绍
SDN(SoftwareDefinedNetworking，软件定义网络)是一种新型的网络架构，它简化了数据平面的功能，将控制功能分离出来，使得数据平面只提供基本的数据包转发。SDN的基本架构主要分为三个平面：应用平面、控制平面和数据平面。应用平面包含各种应用和服务。控制平面管理SDN应用，同时也管理交换机中流的转发。数据平面由不同种类的转发设备组成。应用平面和控制平面之间的北向接口为开发者提供API(ApplicationProgrammingInterface，应用程序编程接口)。控制平面和数据平面之间的南向接口提供南向API，定义转发的命令和数据平面网络设备的功能，同时还定义了转发设备与控制平面之间的通信协议(如OpenFlow协议)。DoS(DenialofService，拒绝服务)攻击是指恶意用户发送大量数据包，占用被攻击对象的资源，使得被攻击对象无法提供正常服务甚至崩溃的一种网络攻击方式。LDoS(Low-rateDoS，慢速拒绝服务)攻击，是DoS攻击的一种类型，其主要是利用网络服务或协议中自适应机制的缺陷，使用周期性的高速脉冲数据流攻击受害者端，降低受害者端的服务质量。SDN中的LDoS攻击主要有基于流表的攻击和基于拥塞控制的攻击。SDN的架构特点为检测LDoS攻击提供了极大的便利，统一控制和网络可编程性使得在线检测和防御策略的部署成为可能，而基于流量的转发策略则为定位和过滤攻击数据创造了条件。而目前SDN中缺少针对拥塞控制机制的LDoS攻击的相关工作，因此，有必要针对SDN中基于拥塞控制的LDoS攻击检测与缓解进行研究。本专利技术针对SDN中的基于拥塞控制机制的LDoS攻击，提出了一种在线检测与缓解方法。该方法将网络流量特征和ET(ExtremelyRandomizedTrees，极端随机树)模型相结合，在线检测LDoS攻击。一旦有LDoS攻击发生，就利用EDR(EditDistanceonRealSequence，真实序列编辑距离)算法来定位受害端口，随后通过安装流规则来缓解LDoS攻击。
技术实现思路
本专利技术针对SDN中的基于拥塞控制机制的LDoS攻击，提出了一种SDN中基于ET-EDR的LDoS攻击检测与缓解方法。该LDoS攻击检测与缓解方法，能够有效且快速地检测SDN中基于拥塞控制的LDoS攻击，检测的准确率较高，误报率和漏报率较低，并且能在检测到LDoS攻击后快速缓解攻击，检测和缓解的实时性较好。因此该检测方法可普适于在线检测和缓解SDN中的LDoS攻击。本专利技术为实现上述目标所采用的技术方案为：该LDoS攻击检测与缓解方法主要包括四个步骤：信息收集、特征计算、攻击检测以及攻击缓解。步骤1、信息收集。使用SDN控制器的API，每隔0.5秒的采样时间向交换机发起获取流量的请求，获取该采样时间内流经此交换机的流量总和，包括TCP聚合流量及UDP聚合流量，形成训练样本原始值，再以固定步长、固定窗口长度将训练样本原始值划分为多个时间窗口，为每个时间窗口打上标签0或标签1，其中标签0表示该时间窗口内没有发生LDoS攻击，标签1表示该时间窗口内发生了LDoS攻击。步骤2、特征计算。以步骤1中获得的时间窗口为单位，计算特征值，本专利技术根据LDoS攻击产生的效果选取了六维特征，包括计算TCP流量的均值、占比、变异系数，UDP流量的均值、变异系数，以及TCP流量与聚合流量之间的斯皮尔曼等级相关系数，作为该时间窗口的六维特征值。在受到LDoS攻击后，TCP流量会立即出现明显的下降。令n为一个时间窗口内聚合流量样本数，ST为一个时间窗口内的TCP流量样本，SU为一个时间窗口内的UDP流量样本，S为一个时间窗口内的聚合流量样本，单位均为字节。本专利技术使用TCP流量均值Tmean、UDP流量均值Umean和TCP流量占比Tratio来反映LDoS攻击对流量大小的影响，这三种特征的计算方法如下：LDoS攻击会导致网络流量的离散程度急剧增加，本专利技术使用TCP的变异系数和UDP的变异系数来衡量离散程度的变化。TCP流量变异系数Tcv、UDP流量变异系数Ucv的计算方法如下：当网络处于LDoS攻击下时，聚合流量与UDP流量的形态相似度较高，相反，当未受到LDoS攻击时，聚合流量与TCP流量的相似度较高。因此，本专利技术使用斯皮尔曼等级相关系数来反映TCP流量和聚合流量的相似度，将其作为最后一维特征。斯皮尔曼等级相关系数rS,ST的计算方法如下，其中ρrs,rst为皮尔逊相关系数，rS,ST被定义为等级变量之间的皮尔逊相关系数，rst和rs为样本ST和S转换后的等级数据：步骤3、攻击检测。根据时间窗口的特征，对ET模型进行训练，得到训练完成的ET模型，使用训练完成的ET模型对控制器实时获取的聚合流量报文进行分类，得到分类结果，根据分类结果判定是否发生LDoS攻击。具体步骤如下：(1)根据步骤2得到的时间窗口的特征值和步骤1中的时间窗口标签，对ET模型进行训练，得到训练完成的ET模型；(2)每隔固定步长实时获取交换机的固定窗口长度内的聚合流量，作为一个实时窗口的样本原始值，基于步骤2的计算方法计算得到该实时窗口的六维特征值；(3)针对每个实时窗口，基于(2)中得到的六维特征值，使用训练完成的ET模型对该实时窗口进行分类，得到分类结果；(4)根据分类结果来判定是否发生LDoS攻击，若分类为标签1的实时窗口数量大于预先设定的阈值，则认为当前网络受到了LDoS攻击，反之则认为当前网络没有受到LDoS攻击。步骤4、攻击缓解。若发生LDoS攻击，则定位受攻击的交换机端口，下发流规则丢弃来自该端口的数据包，完成攻击缓解。具体步骤如下：(1)若攻击检测的判定结果为当前网络受到了LDoS攻击，则使用EDR算法比较聚合流量和各个交换机端口流量之间的相似度，相似度最高的对应端口被判定为受攻击的端口，其中EDR算法的公式如下：假设两条序列R和S，ri和sj是两条序列中的元素，只有满足|ri-sj|≤ε时，有match(ri,sj)＝true成立，其中ε是匹配阈值，设置为0.18，match＝true表示两个元素之间相似。R和S之间的EDR值是指：R中的元素使用插入、删除或者替代这三种操作来将R改变成S的步骤数量。n和m是两个序列R和S的序列长度，Rest(S)代表序列S去掉第一个元素的子序列，则EDR(R,S)的定义描述为：(2)利用SDN控制器在交换机上安装流规则，丢弃来自该受攻击端口的流量数据，完成攻击缓解，其中流规则设置如下：字段match：子字段in_port代表输入交换机的端口，将其设置为(1)中定位的受攻击的交换机端口号；子字段nw_proto代表网络层协议类型，将其设置为UDP本文档来自技高网...

【技术保护点】
1.SDN中基于ET-EDR的LDoS攻击检测与缓解方法，其特征在于，基于极端随机树联合Edit Distance on Real Sequence算法的英文全称是Extremely Randomized Trees andEdit Distance on Real Sequence，简称为ET-EDR，该方法具体包括以下四个步骤：/n步骤1、信息收集：使用SDN控制器实时获取交换机中的聚合流量报文，对聚合流量报文进行采样，形成训练样本原始值，将训练样本原始值划分为多个时间窗口，并为每个时间窗口打上标签；/n步骤2、特征计算：以每个时间窗口为单位，计算得到六维特征值；/n步骤3、攻击检测：根据时间窗口的特征，对ET模型进行训练，得到训练完成的ET模型，使用训练完成的ET模型对控制器实时获取的聚合流量报文进行分类，得到分类结果，根据分类结果判定是否发生LDoS攻击；/n步骤4、攻击缓解：若发生LDoS攻击，则使用EDR算法定位受到攻击的交换机端口，下发流规则丢弃来自该端口的数据包，完成攻击缓解。/n

【技术特征摘要】
1.SDN中基于ET-EDR的LDoS攻击检测与缓解方法，其特征在于，基于极端随机树联合EditDistanceonRealSequence算法的英文全称是ExtremelyRandomizedTreesandEditDistanceonRealSequence，简称为ET-EDR，该方法具体包括以下四个步骤：
步骤1、信息收集：使用SDN控制器实时获取交换机中的聚合流量报文，对聚合流量报文进行采样，形成训练样本原始值，将训练样本原始值划分为多个时间窗口，并为每个时间窗口打上标签；
步骤2、特征计算：以每个时间窗口为单位，计算得到六维特征值；
步骤3、攻击检测：根据时间窗口的特征，对ET模型进行训练，得到训练完成的ET模型，使用训练完成的ET模型对控制器实时获取的聚合流量报文进行分类，得到分类结果，根据分类结果判定是否发生LDoS攻击；
步骤4、攻击缓解：若发生LDoS攻击，则使用EDR算法定位受到攻击的交换机端口，下发流规则丢弃来自该端口的数据包，完成攻击缓解。


2.根据权利要求1中所述的LDoS攻击检测与缓解方法，其特征在于，步骤1中使用SDN控制器的API，每隔采样时间0.5秒向交换机发起获取流量的请求，获取该采样时间内流经此交换机的流量总和，包括TCP聚合流量及UDP聚合流量，形成训练样本原始值，再使用固定步长、固定窗口长度将训练样本原始值划分为多个时间窗口。


3.根据权利要求1中所述的LDoS攻击检测与缓解方法，其特征在于，步骤1中为每个时间窗口打上标签0或标签1，其中标签0表示该时间窗口内没有发生LDoS攻击，标签1表示该时间窗口内发生了LDoS攻击。


4.根据权利...

【专利技术属性】
技术研发人员：汤澹，陈静文，王曦茵，代锐，张斯琦，郑思桥，
申请(专利权)人：湖南大学，
类型：发明
国别省市：湖南;43