FIN的LDoS攻击实时检测与缓解方法技术

本发明专利技术公开了FIN的LDoS攻击实时检测与缓解方法，属于网络安全领域。其中所述的方法为：收集可编程交换机中采集的流量特征数据，特征包括TCP流量分布熵与TCP数据包数；基于定长前缀匹配实现近似对数运算中结果的小数部分估计、基于广义二项式展开实现近似指数运算，并基于前二者实现除法运算，克服可编程交换机指令缺陷；将收集的特征数据训练LDoS攻击检测模型，基于最长前缀匹配的离差标准化、激活函数与VLIW架构的并行化向量内积操作实现可编程交换机中LDoS攻击检测模型部署；基于有限状态机定义部署于数据平面的LDoS攻击缓解程序，使用基于草图存储的周期性每流字节统计定位攻击流。本发明专利技术所述方法能完全部署于数据平面，对LDoS攻击的检测与缓解更加及时。对LDoS攻击的检测与缓解更加及时。对LDoS攻击的检测与缓解更加及时。

【技术实现步骤摘要】
FIN的LDoS攻击实时检测与缓解方法


[0001]本专利技术属于计算机网络安全领域，具体涉及FIN的LDoS攻击实时检测与缓解方法，其中，FIN全称为Fully In
‑
Network，译为完全位于网络内部，表示该实时检测与缓解方法完全部署于网络内部的一系列转发设备中，即该实时检测与缓解方法完全部署于数据平面。

技术介绍

[0002]拒绝服务(DoS)攻击包括了任何通过合法的方式使服务器不能向合法的用户提供服务的手段，DoS攻击至今一直严重危害着网络的安全。如今出现了一种DoS攻击的变种，慢速拒绝服务(LDoS)攻击，它周期性地发送时间短、强度大的脉冲，对网络协议下的一些机制进行破坏，具有不亚于DoS攻击的破坏性，同时具有强隐蔽性和低能耗性，常发生于瓶颈链路中。
[0003]传统的软件定义网络(SDN)将网络中的控制逻辑与数据转发逻辑进行解耦，其整体的架构包含控制平面与数据平面，其允许管理员在控制平面进行编程，而数据平面只作出简单的转发动作。控制平面通过定期采样数据平面中的网络流量，处理与分析网络流量数据，发掘其内在的形态与分布特征。因此，传统的SDN中能够有效地检测与缓解具有强隐蔽性LDoS攻击，但现有的一些基于传统SDN的LDoS攻击检测与缓解方法均存在由于控制平面与数据平面通信时延而导致的响应不及时的问题。
[0004]可编程数据平面的出现，使数据平面与控制平面一样，具有可编程能力。Programming Protocol
‑
Independent Packet Processors作为主流的数据平面编程语言，简称P4数据平面编程语言，其通过模块化编程来描述数据平面中可编程交换机的处理逻辑，可编程交换机包括Intel旗下的搭载Tofino系列芯片的可编程以太网交换机ASIC与用于软件仿真的Behavioral Model Version 2软件可编程交换机。
[0005]可编程交换机的处理逻辑包括6个模块，分别是：解析器、校验和验证、入口流水线、出口流水线、计算校验和、逆解析器。对于每一个进入可编程交换机的数据包，解析器模块通过有限状态转换的形式，自底向上地层次解析数据包中具有的协议首部，比如初始状态下是对数据链路层的以太网协议进行解析，其上层协议可以是网络层中的ipv4协议抑或是ipv6协议，则其拥有两种可能的下一状态，每一种可能的上层协议被解析，都对应一次状态转移。解析结束后，数据包具有的所有协议首部以向量形式的数据结构进行存储，该数据结构实例称为Packet Headers Vector，简称PHV，作为可编程交换机内部处理的直接对象。在对数据包进行校验和验证之后，PHV进入入口流水线模块中处理，紧接着进入出口流水线模块中处理，在入口流水线模块与出口流水线模块中包含一系列Match
‑
Action Table，用于条件匹配并执行匹配到的动作。PHV处理结束之后重新计算校验和，进入逆解析器模块，将处理后的PHV与数据包负载合并后进入可编程交换机队列等待被发出，通过P4数据平面编程语言可对以上6个模块进行编程。

技术实现思路

[0006]本专利技术针对现有的基于传统SDN的LDoS攻击检测与缓解方法响应不及时的缺点，提出了FIN的LDoS攻击实时检测与缓解方法，其中，FIN全称为Fully In
‑
Network，译为完全位于网络内部，表示该实时检测与缓解方法完全部署于网络内部的一系列转发设备中，即该实时检测与缓解方法完全部署于数据平面。该方法致力于降低数据平面与控制平面之间的通信时延，利用可编程数据平面的优势，提出将LDoS攻击检测模型与LDoS攻击缓解程序直接部署于数据平面中的可编程交换机，从根本上降低了数据平面与控制平面的通信时延。
[0007]本专利技术针对LDoS攻击具有强隐蔽性的特点，选取了合适的流量特征用于LDoS攻击检测模型的预训练。通过分析遭受LDoS攻击时与正常状态下瓶颈链路中的流量分布情况，发现当遭受LDoS攻击时，TCP流量分布情况体现出十分不均匀的特点，区别于正常状态下TCP流量的近似均匀分布。信息论指出，当一个随机事件中每一种情况发生的可能性趋于相同时，意味着此时难以评估出哪一种情况相比于其他情况更容易发生，即此时的不确定性越高，那么可以得出，正常状态下的TCP流量分布带有的不确定性比攻击发生时更高。因此，TCP流量分布的不确定性能够判定是否发生了LDoS攻击。为了度量TCP流量分布的不确定性，通过以下的信息熵公式对其进行数学量化。
[0008][0009]其中，InformationEntropy表示信息熵，p
i
代表一个具体随机变量取值为i时的概率。
[0010]由于信息熵度量的方式与数学形式上的随机事件发生的概率直接相关，因此为了将原先对TCP流量分布情况的定性分析转化为使用信息熵量化的定量分析，将对其进一步描述为具体的随机事件。考虑总体流量下的一段数据包序列，将其进行等长划分为n个子序列，其编号分别为0,1,...,n
‑
2,n
‑
1。定义离散随机变量为X，其可能的取值为子序列的编号，并且X满足以下公式所示的概率分布。
[0011][0012]其中CurTCP
num
(i)代表了第i个子序列含有的TCP数据包个数，而TCP
Tot
代表了整个数据包序列中TCP数据包的总数。
[0013]根据上述的数学形式表述，定义TCP流量分布熵，使用TCP流量分布熵作为LDoS攻击检测模型输入中的一项流量特征，将TCP流量分布熵记作TCPDEntropy，计算TCP流量分布熵的公式如下所示，其是信息熵公式对于特定的随机变量下的变式。
[0014][0015]另外，单位时间内TCP数据包数量降低是LDoS攻击的直接的效果，因此选择TCP数
据包数作为LDoS攻击检测模型输入的第二项流量特征。综上，针对LDoS攻击产生的效果，选取了两项流量特征用于LDoS攻击检测模型的训练，分别是TCP流量分布熵与TCP数据包数。
[0016]本专利技术针对可编程交换机中实时流量特征数据采集的问题，根据具体需要的两项流量特征，包括TCP流量分布熵与TCP数据包数，制定了每数据包操作的流量特征数据采集流程。首先，该两项特征均是聚合特征，需要通过一段数据包序列的全部信息进行计算，因此，对于进入可编程交换机的数据包总体序列，按照数据包数量进行划分检测窗口，每个检测窗口结束时将得到聚合的两项流量特征数据。其次，TCP流量分布熵的计算以离散随机变量的分布为前提，需将一整段数据包序列再次均等划分为若干离散的数据包子序列，因此，将检测窗口划分为若干采样窗口，则此时采样窗口即为一段自定义长度的数据包序列，而检测窗口即为一段自定义长度的采样窗口序列。最后，每数据包的流量特征数据采集采用可编程交换机中寄存器进行有状态存储。流量特征数据采集具体流程如下：
[0017]1)当前进入的数据包位于采样窗口中且非窗本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.FIN的LDoS攻击实时检测与缓解方法，其特征在于，FIN全称为Fully In
‑
Network，译为完全位于网络内部，表示该实时检测与缓解方法完全部署于网络内部的一系列转发设备中，即该实时检测与缓解方法完全部署于数据平面，该实时检测与缓解方法包括以下几个步骤：步骤1、收集可编程交换机中采集的流量特征数据：对瓶颈链路下游的可编程交换机初始载入基于P4数据平面编程语言编写的可执行程序，该程序包含每数据包操作的流量特征数据采集流程，在整个网络运行中，可编程交换机将实时地自动地进行数据采集与特征聚合，在每一个检测窗口结束时，将会通过克隆原语克隆当前检测窗口中最后一个数据包，将聚合好的流量特征数据，包括TCP流量分布熵与TCP数据包数，作为自定义协议首部的字段附加在克隆数据包后，从指定的可编程交换机端口发出，在该端口处使用网络封包分析软件捕获一系列的克隆数据包并导出，接着再对这些克隆数据包进行协议首部字段解析，每个克隆数据包被解析后，获得一条对应的流量特征数据记录，最终整合所有记录，得到用于训练LDoS攻击检测模型的流量特征数据集；步骤2、预训练LDoS攻击检测模型：将流量特征数据集进行离差标准化，通过k折交叉验证的方式，首先将标准化后的数据集均匀划分为k份，接着将其中某一份作为训练集输入到二分类神经网络中进行训练得到一个LDoS攻击检测模型，剩余k
‑
1份作为测试集对该LDoS攻击检测模型进行k
‑
1次测试，最终选择在k
‑
1次测试下平均正确率最高的LDoS攻击检测模型，记录本次模型参数，用于之后LDoS攻击检测模型在数据平面中的部署；步骤3、部署LDoS攻击检测模型于数据平面实现实时检测：该LDoS攻击检测模型部署于瓶颈链路下游的可编程交换机，对步骤1中载入的程序进行扩展；在包含每数据包操作的流量特征数据采集流程基础上，添加了匹配可编程交换机处理能力的二分类神经网络模型的运行流程，其中基于P4数据平面编程语言重新实现了二分类神经网络模型运行流程中的基本操作，使这些基本操作能够克服可编程交换机中指令缺陷与满足数据包线速转发，并设置其中参数为步骤2中得到的模型参数；重新编译程序并载入瓶颈链路下游的可编程交换机后，实现LDoS攻击检测模型于数据平面的部署；该运行流程中主要包括三个基本操作，均实现在可编程交换机...

【专利技术属性】
技术研发人员：汤澹，刘泊儒，
申请(专利权)人：湖南大学，
类型：发明
国别省市：