本发明专利技术公开了一种基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法,属于计算机网络安全领域。其中所述的方法包括:基于滑动窗口对OpenVSwitch软件交换机采集,获取交换机流表项数,并使用卡尔曼滤波预测下一时刻的流表项数,根据阈值判定是否进行攻击检测;提取交换机流表整体特征,输入攻击检测模型进行攻击检测判定;提取交换机单条流表项特征,输入攻击缓解模型进行判定,若判定为攻击流表项则加入驱逐列表进行删除;若流表项数仍超过设定的正常值,计算每条流表项的重要性得分,基于阈值驱逐重要性得分低的流表项。本发明专利技术提出的FTO攻击检测缓解方法具有较高的准确率和较低的误报、漏报率,能够实际部署在SDN交换机上,是一种有效的FTO攻击检测缓解方法。是一种有效的FTO攻击检测缓解方法。是一种有效的FTO攻击检测缓解方法。
【技术实现步骤摘要】
基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法
[0001]本专利技术属于计算机网络安全领域,具体涉及一种基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法。
技术介绍
[0002]软件定义网络(SDN)是一种新型网络架构,不同于传统网络架构,SDN分离了网络设备中的控制平面与数据平面,使其仅支持数据转发,极大程度简化了网络协议和功能的部署与更新,控制平面协议和功能被整合为软件应用程序部署在SDN控制器上。控制平面与数据平面的分离实现了网络功能与服务的灵活管理。
[0003]开放网络基金(ONF)将SDN自顶向下分为应用平面、控制平面和数据平面。控制层提供北向接口,如REST API等,便于开发者开发网络应用程序;利用南向接口,如OpenFlow协议,与数据平面进行通信。在OpenFlow协议中,控制器与OpenFlow交换机建立连接,通过连接下发流表项来动态配置交换机的转发行为。流表项包含用于识别数据包的匹配字段,用于描述数据包处理动作的动作域字段等。当交换机收到数据包时,首先检索流表中是否存储与之匹配的流表项,若存在,则按照流表项的动作域对数据包进行处理;若不存在,交换机会生成Packet
‑
In消息将数据包转发至控制器,控制器使用Flow
‑
Mod消息向交换机下发转发决策。
[0004]随着SDN不断发展,其安全问题逐渐成为研究热点。由于成本原因,当前商用SDN硬件交换机消息解析和处理能力有限,并且大多数交换机使用三态内容寻址存储器(TCAM)存储流表项,但由于高成本和高功耗,TCAM仅允许较低的流表更新率和较小的流表空间,攻击者能够利用流表空间有限的脆弱性,恶意消耗SDN交换机中有限的流表资源,使得合法流表项无法安装在流表空间中,最终导致流表空间被恶意流表项占满至溢出,无法提供正常服务。
[0005]卡尔曼滤波是一种高效的递归滤波器,能够从一系列不完全及包含噪声的测量中,估计动态系统的状态,占用内存小,并且处理速度快,适用于实施问题,在
有很多应用。随机森林是一个包含多个决策树的集成分类器,在分类问题上有良好表现,且拥有较好的抗过拟合能力。本专利技术利用卡尔曼滤波预测交换机下一时刻的流表项数目,从而判断流表是否有溢出的风险,并结合随机森林分类器判定流表是否受到流表溢出(FTO)攻击以及确定恶意流表项。
[0006]本专利技术提出了一种基于卡尔曼滤波和随机森林的FTO攻击检测防御方法,能够在SDN中实时检测并防御FTO攻击。该方法基于滑动窗口,以固定时间间隔轮询交换机,获取流表项数目,将其输入卡尔曼滤波获取下一时刻流表项数目预测值,结合阈值判定流表是否有溢出风险。若存在溢出风险,计算流表整体特征并输入由随机森林构建的攻击检测模型,结合判定准则以判定交换机是否受到FTO攻击。若检测到FTO攻击,则计算流表中单条流表项特征并输入由随机森林构建的攻击缓解模型,结合判定准则以确定攻击流表项,并将其加入驱逐列表进行删除。若流表项数仍超过正常值,计算单条流表项的重要性得分,结合阈
值删除得分较低的流表项,实现对流表溢出的缓解。该方法能够实际部署在交换机上,实现对SDN交换机流表的实时保护,能够有效检测并防御FTO攻击,具有较高的检测率,较低的误报、漏报率,且不需额外部署硬件设备,因此该方法可用于在SDN中检测与缓解FTO攻击。
技术实现思路
[0007]本专利技术针对当前SDN交换机存在的安全问题,考虑到针对流表溢出的解决方案不能很好在攻击场景下保护交换机流表的现状,提出了一种基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法。该攻击检测缓解方法能够实现对SDN交换机流表的实时保护,有效检测并缓解FTO攻击,具有较高的检测率,较低的误报、漏报率,且不需额外部署硬件设备,因此该方法适用于SDN中FTO攻击的实时检测防御,以维护交换机流表的可用性。
[0008]本专利技术为实现上述目标所采用的技术方案为:该FTO攻击检测缓解方法主要包括九个步骤:交换机流表项数获取、流表项数预测、检测特征提取、检测模型构建、攻击判定检测、缓解特征提取、缓解模型构建、攻击缓解、流表空间管理。
[0009]1.交换机流表项数获取。使用滑动窗口以相同的采样间隔对SDN交换机进行采集,实时获取交换机流表项数,形成流表项数序列。
[0010]2.流表项数预测。将实时采集的流表项数序列输入卡尔曼滤波器,获取下一时刻流表项数预测值,结合阈值判定交换机流表是否有溢出的可能,若预测值超过阈值,判定流表可能有溢出风险,需要进一步检测是否受到FTO攻击,否则判定流表负荷正常,没有溢出风险。
[0011]3.检测特征提取。若流表项数预测值超过阈值,则获取交换机流表的整体特征,包括流表匹配的总包数、总字节数、总规则数,并根据这三个特征计算平均包大小和平均包数,构成攻击检测的五元特征组。
[0012]4.检测模型构建。获取一定时间间隔内的交换机流表项数序列,计算每个采样点的检测特征,并打上标签作为训练数据来训练随机森林分类器作为检测模型,其中标签“0”表示该采样点没有受到FTO攻击,标签“1”表示该采样点受到FTO攻击。
[0013]5.攻击判定检测。将当前流表的检测特征输入构建好的FTO攻击检测模型,获取判定值,根据判定准则判断流表是否受到FTO攻击。
[0014]6.缓解特征提取。当攻击检测模型判定流表受到FTO攻击,提取流表中的每条流表项,计算器缓解特征,包括其持续时长、匹配的包数、字节数、源端口号、目的端口号、源IP,以及目的IP,并基于持续时长、包数,和字节数计算平均包到达间隔和平均包大小,构成攻击缓解的九元特征组。
[0015]7.缓解模型构建。获取一定时间间隔内的交换机流表项序列,计算每条流表项的缓解特征,并打上标签作为训练数据来训练随机森林分类器作为缓解模型,其中标签“0”表示该流表项是合法流表项,标签“1”表示该流表项是FTO攻击流表项。
[0016]8.攻击缓解。遍历流表的流表项,计算当前流表项的缓解特征并输入构建好的FTO攻击缓解模型,获取判定值,利用判定准则判断当前流表项是否为FTO攻击流表项,若是,则将其加入驱逐列表进行驱逐。
[0017]9.流表空间管理。若流表项数目超过设定的阈值,遍历流表项,计算每条流表项的重要性得分,结合设定的得分阈值,为低于阈值的流表项设定较短的硬超时,驱逐超过硬超
时仍无数据包匹配的流表项。有益效果
[0018]该FTO攻击检测缓解方法能够部署在SDN交换机上,实现FTO攻击的实时检测和缓解。该方法采用卡尔曼滤波预测下一时刻交换机流表项数,提前预知流表是否有溢出的风险,结合随机森林分类器实现了攻击的精准检测和快速防御,并定义了重要性得分实现不重要流表项的智能驱逐。在Mininet和Ryu控制器搭建的SDN网络中进行了相关实验,该方法检测率高达98.66%,误报率低至1.18%,漏报率低至2.35%,流表溢出次数降低80%以上。因此,该FTO攻击检测缓解方法适用于SDN中FTO攻击的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法,其特征在于,FTO攻击即流表溢出攻击,是一种针对SDN交换机流表空间的拒绝服务攻击,所述攻击检测缓解方法包括以下几个步骤:步骤1、交换机流表项数获取:使用滑动窗口以相同的采样间隔对SDN交换机进行采集,实时获取其流表中流表项数目,交换机为软件交换机OpenVSwitch,采样间隔为预先设定的流表项软超时,滑动窗口长度为4,步长为1;步骤2、流表项数预测:将步骤1中得到的窗口序列输入卡尔曼滤波器,获取下一时刻流表项数目的预测值,若预测值大于预先设定的阈值,则判定需要检测该交换机是否受到流表溢出攻击,否则判定交换机流表负荷正常;步骤3、检测特征提取:若步骤2判定需要进行攻击检测,则获取交换机流表的整体特征,包括交换机匹配的总包数、总字节数、总规则数,并计算平均包大小和平均包数,构成攻击检测的五元特征组;步骤4、检测模型构建:利用随机森林算法构建流表溢出攻击检测模型,以步骤3中提取的攻击检测五元特征组作为训练数据进行构建,实现基于卡尔曼滤波和随机森林的FTO攻击检测;步骤5、攻击判定检测:根据建立的FTO攻击检测模型,对交换机流表进行判定检测,输入交换机流表的攻击检测五元特征组获得判定值,使用判定准则判断是否受到FTO攻击;步骤6、缓解特征提取:当步骤5判定交换机受到FTO攻击时,提取交换机流表的每条流表项特征,包括每条流表项的持续时长、匹配的包数、字节数、源/目的端口号、源/目的IP,并计算平均包到达间隔和平均...
【专利技术属性】
技术研发人员:汤澹,郑芷青,
申请(专利权)人:湖南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。