一种基于无序程度的慢速流表溢出攻击检测与缓解方法技术

本发明专利技术公开了一种基于无序程度的慢速流表溢出攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：该方法通过轮询交换机中的流表，收集流表信息，提取流表的shapelets特征、统计特征和无序程度特征，构建攻击检测模型，从而判断是否发生慢速流表溢出攻击；若发生了攻击，则提取流规则的六个特征，对正常和恶意流规则分类，并将恶意流规则加入待驱逐流规则列表，并保护数量少但传输数据量大的大流。最后，SDN交换机会删除所有恶意流规则，从而缓解慢速流表溢出攻击。该方法能够实际部署在SDN交换机中，实现对慢速流表溢出攻击的实时检测与缓解，检测准确率较高，且误报率和漏报率低，因此该方法可普适于检测与缓解SDN中的慢速流表溢出攻击。的慢速流表溢出攻击。的慢速流表溢出攻击。

【技术实现步骤摘要】
一种基于无序程度的慢速流表溢出攻击检测与缓解方法


[0001]本专利技术属于计算机网络安全领域，具体涉及一种基于无序程度的慢速流表溢出攻击检测与缓解方法。

技术介绍

[0002]SDN是对传统网络架构的一次重构，由原来分布式控制的网络架构重构为集中控制的网络架构，是网络虚拟化的一种实现方式，可通过软件编程的形式定义和控制网络，具有数据平面和控制平面分离及开放性可编程的特点。OpenFlow协议通过将网络设备的控制平面与数据平面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能，为核心网络及应用的创新提供了良好的平台。
[0003]SDN的创新架构也存在着一些针对性的威胁。其中，流表就是一个严重的安全威胁。流表是针对特定流的策略表项的集合，负责数据包的查找和转发。SDN交换机中的大多数流表依赖于三元内容寻址存储器(TCAM)。由于TCAM制造成本高、功耗高，其内存大小十分有限。目前主流SDN交换机仅可支持数千条规则，而数据中心的通信速率可以达到每秒数万流量。因此，流表溢出的风险很大。一旦流表溢出，就会导致流表无法安装合法规则或删除已安装的合法流规则，从而导致转发性能下降。此外，数据平面上的流表无法处理的数据包将被发送到控制器，这大大增加了控制信道的负载，及数据控制饱和攻击的风险。因此，管理流表中的流规则，有效利用有限的流表空间，对于维护网络性能具有重要意义。
[0004]本专利技术针对SDN数据平面中所面临的交换机流表溢出攻击安全隐患，提出了一种基于无序程度的慢速流表溢出攻击检测与缓解方法。该方法通过轮询交换机中的流表，监控流表中流规则数目的变化，提取shapelets特征，并收集流表信息，提取流表的统计特征和无序程度特征，根据相关特征和分类标签，采用LearningShapelets和NGBoost算法，构建攻击检测模型，从而对流表中是否发生慢速流表溢出攻击进行判断；若发生了溢出攻击，则提取每条流规则的六个特征，采用NGBoost对正常流规则和恶意流规则进行分类，并将恶意流规则加入待驱逐流规则列表，并保护数量少但传输数据量大的大流。最后，SDN交换机会删除所有恶意流规则，从而缓解慢速流表溢出攻击。该方法能够实际部署在SDN交换机中，实现对慢速流表溢出攻击的实时检测与缓解，检测准确率较高，且误报率和漏报率低，因此该方法可普适于检测与缓解SDN中的慢速流表溢出攻击。

技术实现思路

[0005]针对SDN数据平面中所面临的交换机流表溢出攻击安全隐患，本专利技术提出了一种基于无序程度的慢速流表溢出攻击检测与缓解方法。该慢速流表攻击检测与缓解方法能够实际部署在控制器上，检测准确率高，且误报率和漏报率低，并能有效缓解流表溢出攻击。因此该检测方法可普适于检测与缓解SDN中的慢速流表溢出攻击。
[0006]本专利技术为实现上述目标所采用的技术方案为：一种基于无序程度的慢速流表溢出攻击检测与缓解方法主要包括五个步骤：采集流表数据、采集流表特征、攻击检测判定、流
规则分类、流表溢出缓解。
[0007]1.采集流表数据。基于软件定义网络所采用的OpenFlow协议，以SDN流表超时机制中的软超时为采样周期，实时采集SDN交换机中的流表，并记录流表中存储的每条流规则，形成流表溢出攻击检测与缓解的原始数据。
[0008]2.采集流表特征。实时统计每个流表中流规则的总条数，采用滑动窗口构建检测窗口，计算每个窗口内流规则数目变化的shapelets特征；实时统计每个流表的六个统计特征，包括：匹配字节数、匹配包数和流持续时间分别对应的均值和变异系数，并实时统计每个流表的无序程度特征，包括：源IP地址的无序程度DDoIP、源
‑
目的端口的无序程度DDoP和无序系数CCD，其计算方式如下：DDoIP＝H(ip
src
)DDoP＝a
×
H(port
src
，port
dst
)+(1
‑
a)
×
H(port
dst
|port
src
)CDD＝a
×
H(iP
src
)+(1
‑
a)
×
H(port
dst
|port
src
)其中，ip
src
为源IP地址，port
src
为源端口地址，port
dst
为目的端口地址，H(ip
src
)为源IP地址的香农熵，H(port
src
，port
dst
)为源
‑
目的端口的联合熵，H(port
dst
|port
src
)为H(port
dst
|port
src
)的条件熵，a为平衡系数，默认为0.5。
[0009]3.攻击检测判定。基于步骤2中的shapelets特征，训练shapelets特征检测模型；基于步骤2中的统计特征和无序程度特征，训练分类器；控制器实时获取SDN交换机中的流表信息，若某一时刻shapelets特征、统计特征和无序程度特征都被判定为攻击特征，则判定发生了慢速流表溢出攻击。
[0010]4.流规则分类。当检测到慢速流表溢出攻击时，实时统计流表中每条流规则的六个特征，包括：流持续时间、累积匹配字节数、累积匹配数据包数、平均数据包大小、平均包到达间隔和数据包传输速度，并将其输入训练好的分类器，对正常流规则和恶意流规则进行区分，并将恶意流规则加入待驱逐流规则列表。
[0011]5.流表溢出缓解。将所有流规则分别按累积字节数和平均数据包大小从大到小排序，若排名前10％的流规则存在于待驱逐流规则列表，则将其从列表中移除，最终删除待驱逐流规则列表中的所有恶意流规则，以缓解流表溢出攻击。有益效果
[0012]该SDN流表溢出攻击检测与缓解方法能够充分兼容SDN环境、OpenFlow协议和OpenvSwitch软件交换机，并能够实际部署在SDN交换机上，且检测准确率高，误报率和漏报率低，并能有效缓解流表溢出攻击。因此该方法可普适于检测与缓解SDN中的慢速流表溢出攻击。
附图说明
[0013]图1为SDN环境下的流表溢出攻击模型。该攻击模型包含三个参数：攻击周期(AC)、攻击步长(AS)和最大攻击强度(MAI)。为确保交换机不会因超时而删除攻击规则，攻击者需要以一定AC重复攻击数据包以保证攻击规则处于活动状态，同时，为保持以前在流表中建立的攻击规则，同时逐渐增加流表中新的攻击规则的数量，攻击者每次发送的数据包都比上一个AC多，相邻AC之间的攻击规则增长数被称为AS。AS越低，攻击溢出所需要的时间越长，但攻击越隐蔽。MAI是攻击者可以发送的最大规则数。其设置需要参考SDN交换机的流表
大小，以确保攻击可以导致溢出。
[0014]图2为正常流表与受到慢速流表溢出攻击本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于无序程度的慢速流表溢出攻击检测与缓解方法，所述方法包括以下几个步骤：步骤1、采集流表数据：以SDN流表超时机制中的软超时为采样周期，实时采集SDN交换机中的流表，并记录流表中存储的每条流规则，形成流表溢出攻击检测与缓解的原始数据；步骤2、采集流表特征：流表特征的采集包括以下两个步骤：步骤2.1、实时统计每个流表中流规则的总条数，采用滑动窗口构建检测窗口，计算每个窗口内流规则数目变化的shapelets特征；步骤2.2、实时统计每个流表的六个统计特征，包括：匹配字节数、匹配包数和流持续时间分别对应的均值和变异系数，并实时统计每个流表的无序程度特征，包括：源IP地址的无序程度DDoIP、源
‑
目的端口的无序程度DDoP和无序系数CCD，其计算方式如下：DDoIP＝H(ip
src
)DDoP＝a
×
H(port
src
，port
ast
)+(1
‑
a)
×
H(port
dst
|port
src
)CDD＝a
×
H(ip
src
)+(1
‑
a)
×
H(port
dst
|port
src
)其中，ip
src
为源IP地址，port
src
为源端口地址，port
dst
为目的端口地址，H(ip
src
)为源IP地址的香农熵，H(port
src
，port
dst
)为源
‑
目的端口的联合熵，H(port
dst
|port
src
)为H(port
dst
|port
src
)的条件熵...

【专利技术属性】
技术研发人员：汤澹，高辰郡，
申请(专利权)人：湖南大学，
类型：发明
国别省市：