一种基于SDN数据平面的DDoS混合攻击缓解方法技术

本发明专利技术公开了一种基于SDN数据平面的DDoS混合攻击缓解方法，通过搭建可编程数据平面，在数据层实时收集流量数据并分析流量特征，对比在数据平面所设置的特征阈值和变化阈值，实现DDoS常速和慢速攻击的早期识别和过滤。同时根据实时流量特征和过滤结果，应用分类算法和统计学方法动态更新过滤阈值，确保阈值识别的准确性。本发明专利技术可极大减少数据平面与控制平面的通信开销，并提高DDoS混合攻击检测的实时性和准确性，从而提高SDN网络架构的安全防御能力。力。力。

【技术实现步骤摘要】
一种基于SDN数据平面的DDoS混合攻击缓解方法


[0001]本专利技术属于网络安全
，涉及SDN网络安全防御
，具体地涉及一种基于SDN数据平面的DDoS混合攻击缓解方法。

技术介绍

[0002]SDN通过拆解传统网络紧密相连的数据层和控制层，极大地增强了网络的扩展性、易用性，从根本上推动了网络的创新性发展，但这种架构也面临着更多更复杂的安全问题。SDN的架构核心在于SDN控制器，一旦核心被攻陷，将直接导致数据层无法转发数据，网络陷入瘫痪。SDN最易受到的一种攻击是分布式拒绝服务攻击(DDoS)，这种攻击通过发送大量流量，抢占网络资源，使得处理能力有限的交换机无法应对正常流量的转发需求，从而无法提供服务。常速DDoS攻击流量由于特征明显、技术成熟，较易采用各种方法进行识别过滤，但低速率DDoS攻击流量由于流量速率低，特征不明显，很容易被识别为正常流量放入系统。现有防御框架一般仅能防御常速DDoS攻击，对于低速率DDoS攻击或两者兼有的混合攻击却无能为力。因此，研究SDN中DDoS混合攻击识别与防御对于推动SDN网络技术的进一步发展十分有益。

技术实现思路

[0003]本专利技术的目的在于针对现有技术的不足，提供了一种基于SDN数据平面的DDoS混合攻击缓解方法。
[0004]本专利技术的目的是通过如下技术方案实现的：一种基于SDN数据平面的DDoS混合攻击缓解方法，该方法包括以下步骤：
[0005](1)通过P4语言自定义数据平面，启动P4交换机，具体步骤为：
[0006](1.1)编译并运行数据平面，生成数据平面描述文件；
[0007](1.2)启动P4交换机导入该描述文件，载入数据包处理方式、需要收集的流量特征、特征阈值、变化阈值、流表匹配动作的设置；
[0008](2)在数据平面收集流量信息，计算数据包各特征值，并处理为综合特征值et和变化特征值ec；
[0009](3)基于收集的流量特征数据，对比在数据平面上所设置的特征阈值和变化阈值，进行流量过滤，具体步骤为：
[0010](3.1)对比et和特征阈值μ1，对流量进行常速DDoS攻击识别；
[0011](3.2)对比ec和变化阈值μ2，对流量进行低速率DDoS攻击识别；
[0012](3.3)判断步骤(3.1)或步骤(3.2)中对应特征值是否高于μ1或μ2；若是，则对应特征值的流量被标记为攻击流量，并在数据平面上直接执行丢弃操作，不进行流表查找和转发操作；否则，正常流量则基于匹配的流表项进行转发；
[0013](4)更新数据平面特征阈值和变化阈值，具体步骤为：
[0014](4.1)在控制平面上，基于实时流量的过滤结果，再训练分类器，并更新μ1；
[0015](4.2)在控制平面上，基于实时流量的熵值变化和过滤结果，更新μ2。
[0016]进一步地，所述步骤(1.2)中，收集的特征信息包括源IP增速、平均流包数、源端口增速、流表项增速、对流比、流表匹配的成功率和目的端口增速。
[0017]进一步地，所述步骤(2)中，利用数据包各特征值，根据公式(1)计算特征值et或ec：
[0018][0019]其中E表示需计算的特征值et或ec，e
i
表示该数据包的第i个特征值，η
i
则表示该特征值所对应的计算权重。
[0020]进一步地，所述步骤(3)中，特征阈值μ1和变化阈值μ2均使用数据平面上的布隆过滤器进行存储。
[0021]进一步地，所述步骤(4.1)中，分类器所使用的分类算法包括决策树、神经网络、随机森林、Boosting及其变种算法。
[0022]与现有技术相比，本专利技术的有益效果是基于可编程数据平面的自定义数据包能力，在数据平面上实时收集流量数据并分析，并基于分类算法和统计学方法动态计算特征阈值，通过对比实时流量特征值和特征阈值，实现DDoS常速和慢速攻击的快速识别和早期过滤，可极大减少数据平面与控制平面的通信开销，并提高DDoS混合攻击检测的实时性和准确性，从而提高SDN网络架构的安全防御能力。
附图说明
[0023]图1是本专利技术的方法示意图。
具体实施方式
[0024]下面结合附图，对本专利技术进行详细说明。在不冲突的情况下，下述的实施例及实施方式中的特征可以相互组合。
[0025]本专利技术提供一种基于SDN可编程数据平面的DDoS混合攻击缓解方法，通过搭建可编程数据平面，在数据层实时获取流量特征，并对比在数据平面所设置的特征阈值和变化阈值，实现DDoS常速和慢速攻击的早期识别和过滤。同时根据实时流量特征和过滤结果，应用分类算法和统计学方法动态更新过滤阈值，确保阈值识别的准确性。
[0026]如图1所示，为本专利技术一种基于SDN数据平面的DDoS混合攻击缓解方法，具体包括以下步骤：
[0027](1)通过P4语言自定义数据平面，启动P4交换机，具体步骤为：
[0028](1.1)编译并运行数据平面，生成数据平面描述文件；
[0029](1.2)启动P4交换机导入该描述文件，载入数据包处理方式、需要收集的流量特征、特征阈值、变化阈值、流表匹配动作等设置；
[0030](2)在数据平面收集流量信息，计算数据包各特征值，并处理为综合特征值et和变化特征值ec；
[0031](3)基于收集的流量特征数据，对比在数据平面上所设置的特征阈值和变化阈值，
进行流量过滤，具体步骤为：
[0032](3.1)对比et和特征阈值μ1，对流量进行常速DDoS攻击识别；
[0033](3.2)对比ec和变化阈值μ2，对流量进行低速率DDoS攻击识别；
[0034](3.3)判断步骤(3.1)或步骤(3.2)中对应特征值是否高于μ1或μ2；若是，则对应特征值的流量被标记为攻击流量，并在数据平面上直接执行丢弃操作，不进行流表查找和转发操作；否则，正常流量则基于匹配的流表项进行转发。
[0035](4)更新数据平面特征阈值和变化阈值，具体步骤为：
[0036](4.1)在控制平面上，基于实时流量的过滤结果，再训练分类器，并更新μ1；
[0037](4.2)在控制平面上，基于实时流量的熵值变化和过滤结果，更新μ2；
[0038]进一步地，所述步骤(1.2)中，收集的特征信息包括源IP增速、平均流包数、源端口增速、流表项增速、对流比、流表匹配的成功率、目的端口增速；
[0039]进一步地，所述步骤(2)中，利用数据包各特征值，根据公式(1)计算特征值et或ec：
[0040][0041]其中E表示需计算的特征值et或ec，e
i
表示该数据包的第i个特征值，η
i
则表示该特征值所对应的计算权重，根据特征选择算法确定各权重最佳数值，且满足
[0042]参与计算综合特征值的特征为源IP增速、平均流包数、源端口增速、流表项增速、对流本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于SDN数据平面的DDoS混合攻击缓解方法，其特征在于，包括如下步骤：(1)通过P4语言自定义数据平面，启动P4交换机，具体步骤为：(1.1)编译并运行数据平面，生成数据平面描述文件；(1.2)启动P4交换机导入该描述文件，载入数据包处理方式、需要收集的流量特征、特征阈值、变化阈值、流表匹配动作的设置；(2)在数据平面收集流量信息，计算数据包各特征值，并处理为综合特征值et和变化特征值ec；(3)基于收集的流量特征数据，对比在数据平面上所设置的特征阈值和变化阈值，进行流量过滤，具体步骤为：(3.1)对比et和特征阈值μ1，对流量进行常速DDoS攻击识别；(3.2)对比ec和变化阈值μ2，对流量进行低速率DDoS攻击识别；(3.3)判断步骤(3.1)或步骤(3.2)中对应特征值是否高于μ1或μ2；若是，则对应特征值的流量被标记为攻击流量，并在数据平面上直接执行丢弃操作，不进行流表查找和转发操作；否则，正常流量则基于匹配的流表项进行转发；(4)更新数据平面特征阈值和变化阈值，具体步骤为：(4.1)在控制平面上，基于实时流量的过滤结果，再训练分类器...

【专利技术属性】
技术研发人员：吴春明，唐馨，黄泸明，吴至禹，陈双喜，
申请(专利权)人：浙江大学，
类型：发明
国别省市：