基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法技术

本发明专利技术针对SDN中数据层交换机所面临的慢速流表溢出攻击安全隐患，公开了一种基于ARIMAGini

【技术实现步骤摘要】
基于ARIMAGini
‑
DT的慢速流表溢出攻击检测与缓解方法


[0001]本专利技术属于计算机网络安全领域，具体涉及一种基于ARIMAGini
‑
DT的慢速流表溢出攻击检测与缓解方法。

技术介绍

[0002]软件定义网络(SDN)，其优势例如控制层与数据层的分离、集中控制、可编程性、良好的易管理性为其赢得了广大运营商和服务商的关注，被认为是传统网络局限性的解决思路之一。由于其本身的强架构性，这种网络已经被广泛应用在云环境和物联网中。但是一方面，在SDN独特的优势为互联网的管理带来了新思路的同时，它由于本身的特点也成为更多攻击的潜在目标。其中，对于数据层而言，由于仍具有传统网络的一些特征，它就不仅可能遭到例如针对传统网络的拒绝服务攻击，还可能被一些新型攻击作为目标例如流表溢出攻击。
[0003]SDN中的交换机为了更好的实现对数据流的管理，采用了支持OpenFlow协议的Ternary Content Addressable Memory(TCAM)来对流表项进行储存。TCAM会储存为每一条流生成的对应的流表项，也被称为流规则，当有流流入时，会先在TCAM中搜索是否有与其匹配的规则，若有则进行相应的操作例如转发、丢弃等。如果没有匹配的规则，就会与控制器沟通并生成一条新规则进行安装处理。为了保证网络的正常通信，伴随着不断有新流进入网络，大量的数据流在交换机之间被转发，同时，交换机的TCAM中的流规则也不断被更新安装。但是由于TCAM是一种价格昂贵且消耗高的部件，交换机中的TCAM通常容量有限。一旦流表饱和，大量的消息将会被转发到控制器，加重控制层与数据层的负载，甚至导致控制器过载瘫痪，网络性能降低。因此，SDN中流表溢出的问题以及如何应对是被关注的一个关键问题。
[0004]其中，相较于泛洪式的攻击，慢速流表溢出攻击通常能够以更低的平均攻击速率缓慢达到目的，在同样造成伤害的同时其隐蔽性更高更不易被察觉，在早期更难以及时检测。现有的研究已经表明，攻击者可以提前探测到流表参数例如容量、敏感头部、超时等信息，从而轻易的发起精准的慢速流表溢出攻击来影响网络的性能。而大部分的现有工作都只是在检测到流表溢出后才采取策略进行缓解，但此时流表已经饱和造成了损失。

技术实现思路

[0005]本专利技术针对SDN中交换机所面临的慢速流表溢出攻击安全隐患，提出了一种基于ARIMAGini
‑
DT的慢速流表溢出攻击检测与缓解方法。
[0006]本专利技术旨在慢速流表溢出攻击还在发起阶段，交换机流表还未饱和时就能将其检测，同时采取缓解策略，持续性地对流表进行保护。
[0007]本专利技术所提供的这种基于ARIMAGini
‑
DT的慢速流表溢出攻击检测与缓解方法，基于OpenFlow协议和OVS命令语句获取OpenvSwitch类型的SDN交换机信息，并对流规则进行移除，其检测对象为SDN中的慢速流表溢出攻击，其中的ARIMA是指差分整合移动平均自回
归模型，Gini是指基尼系数，DT是指决策树分类。
[0008]这种基于ARIMAGini
‑
DT的慢速流表溢出攻击检测与缓解方法，包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程，具体包括如下步骤：
[0009]交换机流表空间监控过程：
[0010]S1.监控模块按照设置的时间间隔周期性地读取SDN交换机当前流表空间的占用率，如果占用率超过了设置的占用率阈值，则发送正信号到检测模块进行慢速流表溢出攻击检测，否则发送负信号并持续轮询监控；
[0011]慢速流表溢出攻击检测过程：
[0012]S2.接收到步骤S1发送的正信号后，检测模块通过使用SDN交换机的读取命令获得其流表，将流表划分为多个检测片并对每一个检测片进行检测，提取每一条流规则的持续时间、包数目、包字节数，并计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征：持续时间，包数目，包字节数，平均包字节数，平均包间隔时间；
[0013]S3.基于由步骤S2得到的五元原始特征，对检测片内的所有流规则计算包字节数的平均值、平均包字节的标准差值和平均包间隔时间的变异系数值，得到一个三元特征；
[0014]S4.基于由步骤S2得到的五元原始特征，提取检测片内的每一条流规则的平均包字节数和平均包间隔时间，得到两个一元特征组；
[0015]S5.使用ARIMA对由步骤S3得到的一个三元特征进行计算得到一个预测值；
[0016]S6.使用Gini对由步骤S4得到的两个一元特征组进行计算得到一个基尼系数值；
[0017]S7.把预测值和基尼系数值与设置的对应阈值进行比较，判断是否发生攻击，具体为：如果预测值小于设置的预测值阈值，并且基尼系数值大于设置的基尼系数值阈值，则认为当前检测片内已经含有了慢速流表溢出攻击类型的流规则，此时SDN交换机内已经发生了慢速流表溢出攻击；
[0018]S8.如果步骤S7检测到交换机内慢速流表溢出攻击已经发生，则发送正信号到缓解模块，缓解模块开始工作，否则发送负信号到缓解模块，缓解模块保持静默；
[0019]慢速流表溢出攻击缓解过程：
[0020]S9.接收到步骤S8发送的正信号后，缓解模块开始对当前检测片内的每一条流规则进行识别，调取由步骤S2得到的当前检测片内的每一条流规则对应的五元原始特征，选择其中的包数目、包字节数和平均包字节数，作为缓解模块采用的对每一条流规则进行识别的一个三元特征；
[0021]S10.根据每一条流规则的持续时间，使用对应的训练好的DT对其三元特征进行分类识别，输出识别结果；
[0022]S11.如果步骤S10中输出的识别结果为正，即认为此条流规则为慢速流表溢出攻击类型的流规则，则缓解模块通过SDN交换机的删除命令将此条流规则移除，识别完当前检测片内的所有流规则并进行移除慢速流表溢出攻击类型的流规则后，缓解模块进入静默，并监听检测模块下一次发送的信号；
[0023]检测模块在接收到一次步骤S1发送的正信号后，检测模块将重复步骤S3～S8直到确保所有的检测片都完成检测；
[0024]步骤S10所述的本专利技术采用的DT是指基于分类回归树(CART)算法的决策树分类；
[0025]步骤S10所述的DT具体为，不同持续时间的流规则对应不同级的DT，对持续时间长的流规则进行分类识别的DT预先由大量同级持续时间长的流规则进行训练，对持续时间短的流规则进行分类识别的DT预先由大量同级持续时间短的流规则进行训练。有益效果
[0026]本专利技术提供的这种基于ARIMAGini
‑
DT的慢速流表溢出攻击检测与缓解方法，通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中，并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量，再利用DT对流表中的流规则进行识别分类并移除属于慢本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于ARIMAGini
‑
DT的慢速流表溢出攻击检测与缓解方法，该方法基于OpenFlow协议和OVS命令语句获取OpenvSwitch类型的SDN交换机信息并对流规则进行移除，其检测对象为SDN中的慢速流表溢出攻击，其中ARIMA是指差分整合移动平均自回归模型，Gini是指基尼系数，DT是指决策树分类，方法包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程，具体包括如下步骤：交换机流表空间监控过程：S1.监控模块按照设置的时间间隔周期性地读取SDN交换机当前流表空间的占用率，如果占用率超过了设置的占用率阈值，则发送正信号到检测模块进行慢速流表溢出攻击检测，否则发送负信号并持续轮询监控；慢速流表溢出攻击检测过程：S2.接收到步骤S1发送的正信号后，检测模块通过使用SDN交换机的读取命令获得其流表，将流表划分为多个检测片并对每一个检测片进行检测，提取每一条流规则的持续时间、包数目、包字节数，并计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征：持续时间，包数目，包字节数，平均包字节数，平均包间隔时间；S3.基于由步骤S2得到的五元原始特征，对检测片内的所有流规则计算包字节数的平均值、平均包字节的标准差值和平均包间隔时间的变异系数值，得到一个三元特征；S4.基于由步骤S2得到的五元原始特征，提取检测片内的每一条流规则的平均包字节数和平均包间隔时间，得到两个一元特征组；S5.使用ARIMA对由步骤S3得到的一个三元特征进行计算得到一个预测值；S6.使用Gini对由步骤S4得到的两个一元特征组进行计算得到一个基尼系数值；S7.把预测值和基尼系数值与设置的对应阈值进行比较，判断是否发生攻击，具体为：如果预测值小于设置的预测值阈值，并且基尼系数值大于设置的基尼系数值阈值，则认为当前检测片内已经含有了慢速流表溢出攻击类型的流规则，此时SDN交换机内已经发生了慢速流表溢出攻击；S8.如果步骤S7检测到SDN交换机内慢速流表溢出攻击已经发生，则发送正信号到缓解模块，缓解模块开始工作，否则发送负信号到缓解模块，缓解模块保持静默；慢速流表溢出攻击缓解过程：S9.接收到步骤S8发送的正信号后，缓解模块开始对当前检测片...

【专利技术属性】
技术研发人员：汤澹，王思苑，
申请(专利权)人：湖南大学，
类型：发明
国别省市：