一种链路泛洪攻击下持久路由的识别方法与装置制造方法及图纸

本发明专利技术公开了一种链路泛洪攻击下持久路由的识别方法与装置，该方法首先从SDN数据平面采集流量数据，并通过SDN控制器提取每条链路的流特征，以构建流特征数据集及训练集；然后构建LSTM分类模型并进行离线训练；再在SDN控制器中将链路洪泛攻击下的每条链路的流特征输入到训练好的LSTM分类模型中，以获取每条链路的流特征的流量类别，以构建流特征类别数据集；最后对流特征类别数据集进行遍历，获取每条链路的洪水比例，进一步识别并定位到链路洪泛攻击下的持久路由。本发明专利技术在包括链路洪泛攻击攻击流量和良性流量的混合流量下，也能够精确地识别链路洪泛攻击下的持久路由，有利于增强持久路由识别的有效性和准确性。增强持久路由识别的有效性和准确性。增强持久路由识别的有效性和准确性。

【技术实现步骤摘要】
一种链路泛洪攻击下持久路由的识别方法与装置


[0001]本专利技术属于信息安全领域，尤其涉及一种链路泛洪攻击下持久路由的识别方法与装置。

技术介绍

[0002]链路洪泛攻击(Link Flooding Attack，LFA)是一种新型的分布式拒绝服务攻击(Distributed Denial
‑
of
‑
Service，DDoS)，可用来洪泛和堵塞网络中的关键链路，LFA控制每个僵尸节点将其中间持久路由(Persisitent Route，PR)洪泛到拥塞状态，破坏主机和目标之间的端到端服务连接。这种隐形洪水攻击流量具有连续性、合法性和低速率的特点。LFA的详细步骤为：(i)链接图的构建：首先攻击者控制僵尸节点运行traceroute程序来检索从僵尸节点到目标服务器的链路；然后从链路中选择一些对目标更具破坏性和稳定性的链路，并通过移除瞬时链路并保留具有稳定IP地址的目标可以到达的未交叉的目标链路来形成链路图；其中，稳定且通常高流量密度的链路是要被攻击的PR。(ii)攻击的设置：PR的流量密度被定义为服务器可以通过链接从其可用僵尸节点到目标区域使用的链路数量。攻击者更喜欢具有较高流量密度的链路，一旦PR受到攻击，到目标区域的端到端链路就可能被切断。(iii)僵尸节点的协调：攻击者命令每个僵尸节点向诱饵服务器涌入至目标PR，攻击者可以事先适当控制洪泛率，以确保在攻击过程中耗尽目标链路带宽造成PR拥塞，PR拥塞会导致合法流量的丢包率增加，从而阻止良性主机访问目标服务器。LFA实例包括Crossfire、Coremelt等。LFA消耗链路带宽，不同于其他欺诈性DDoS攻击如VLAN跳变、ARP欺骗和IP地址欺骗等。作为防御者，识别受害者PR是现有对抗LFA的措施的共同前提，例如，基于移动目标防御、路由模糊以及重路由等。因此为了保证防御的有效性，PR识别必须达到尽可能高的准确性。若对于每一个错误识别的PR，防御者都不能及时采取相应的对策，这可能无法缓解PR拥塞，对于主机来说，这种未受保护的PR将遭受高延迟甚至中断，然后会导致其上层服务降低品质甚至处于不可用状态。
[0003]为了从链接中准确识别PR，目前还没有系统的设计方法。在每条链路中，一种直观的方法是确定一段时间内洪水流量与该链路上所有流量之间的比例。由于洪水的隐形特征，挑战一在于准确提取到有效的关键的流特征，二在于准确地对在数据包速率和大小上相似的洪水攻击流量和良性流量进行分类，处理好连续的带时间序列的流量数据，因为与良性流量相比，要在一段时间内对目标造成破坏，大多数洪水流量必须在这段时间内持续存在。为了确定比例，可以利用模型对攻击和良性流进行分类，以进一步识别受害者PR。分类可以采用现有的专门用于时间序列分析的机器学习模型，包括递归神经网络(Recurrent Neural Network，RNN)和长短期记忆(Long
‑
Short
‑
Term Memory，LSTM)网络，除了上述模型之外，为了实现高精度，其他模型也将面临困难，因为隐形洪水流量和良性流量彼此非常相似。例如还包括使用主成分分析(Principal Component Analysis，PCA)的支持向量机(Support Vector Machine，SVM)、卷积神经网络(Convolution Neural Network，CNN)和深度神经网络(Deep Neural Network，DNN)。
[0004]RNN是一种普及的神经网络，它包含允许信息在相邻神经元之间传递的回路。为了在处理时间序列数据时改进RNN，LSTM通过解决梯度消失和梯度爆炸问题来避免长期数据依赖，此外，LSTM的工作成本很低，这要归功于它对早期信息的默认处理行为。具体而言，LSTM的结构由以下三个阶段组成：(i)遗忘门，用于决定需要从细胞状态中清除哪些旧信息；(ii)输入门，用于确定在单元状态中可以存储什么新信息；(iii)输出门，用于确定输出值。
[0005]软件定义网络(Software
‑
Defined Networking，SDN)控制器可以使用两种常用工具OpenSketch和P4，在流级粒度上有效地收集流量特征。例如，为了捕获这些功能，OpenSketch通过聚合流量统计数据来利用交换机的流表条目。此外，P4是一种用于数据平面处理的编程语言，提供了一种灵活的方式来捕获流量统计数据并将其发送给控制器进行分析，但P4通常不用于处理原始流量传输。稍后，可以将收集到的特征存储在文件中以供进一步分析。对于商用SDN控制器，文件存储大小因制造商和型号而异，通常可达数十至数百GB，具体取决于网络规模。

技术实现思路

[0006]本专利技术的目的在于针对现有技术的不足，提供一种链路泛洪攻击下持久路由的识别方法与装置。本专利技术可以精确地识别链路洪泛攻击下的持久路由。
[0007]本专利技术的目的是通过以下技术方案来实现的：本专利技术实施例第一方面提供了一种链路泛洪攻击下持久路由的识别方法，包括以下步骤：
[0008](1)按照预设的采样周期从SDN数据平面采集每条链路的流量数据，通过SDN控制器提取每条链路的流量数据的流特征，以构建流特征数据集，根据流特征数据集构建训练集；
[0009](2)基于LSTM网络构建LSTM分类模型，使用训练集对LSTM分类模型进行离线训练，并根据LSTM分类模型的损失函数和精度调整LSTM分类模型的参数，以获取训练好的LSTM分类模型；
[0010](3)将SDN网络中链路洪泛攻击下的每条链路的流量数据的流特征输入到训练好的LSTM分类模型中，以获取每条链路的流特征的流量类别，以构建流特征类别数据集；
[0011](4)从网络拓扑中获取拓扑状态信息，并对流特征类别数据集进行遍历，以获取每条链路的洪水比例，根据拓扑状态信息和洪水比例获取持久路由存储集及其中的定位信息，以识别并定位到链路洪泛攻击下的持久路由。
[0012]进一步地，所述步骤(1)包括以下子步骤：
[0013](1.1)基于开放数据集CAIDA模拟链路洪泛攻击，并按照预设的采样周期从SDN数据平面采集每条链路的流量数据，同时标记流量数据的真实的流量类别；
[0014](1.2)通过SDN控制器对每条链路的流量数据进行特征提取，以获取每条链路的流特征，并根据每条链路的流特征构建流特征数据集；
[0015](1.3)根据流特征数据集以及流量数据的流量类别构建训练集。
[0016]进一步地，所述流量类别包括洪水流量和良性流量；
[0017]所述流特征包括时间、源IP、目的IP、协议和数据包大小。
[0018]进一步地，所述LSTM分类模型包括输入层、第一LSTM层、第二LSTM层、第一致密层、
第二致密层和输出层；其中，所述输入层用于输入流特征，所述第一LSTM层为具有64个神经元的LSTM层，所述第二LSTM层为具有32个神经元的LSTM层，所述第一致密层为r本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种链路泛洪攻击下持久路由的识别方法，其特征在于，包括以下步骤：(1)按照预设的采样周期从SDN数据平面采集每条链路的流量数据，通过SDN控制器提取每条链路的流量数据的流特征，以构建流特征数据集，根据流特征数据集构建训练集；(2)基于LSTM网络构建LSTM分类模型，使用训练集对LSTM分类模型进行离线训练，并根据LSTM分类模型的损失函数和精度调整LSTM分类模型的参数，以获取训练好的LSTM分类模型；(3)将SDN网络中链路洪泛攻击下的每条链路的流量数据的流特征输入到训练好的LSTM分类模型中，以获取每条链路的流特征的流量类别，以构建流特征类别数据集；(4)从网络拓扑中获取拓扑状态信息，并对流特征类别数据集进行遍历，以获取每条链路的洪水比例，根据拓扑状态信息和洪水比例获取持久路由存储集及其中的定位信息，以识别并定位到链路洪泛攻击下的持久路由。2.根据权利要求1所述的链路泛洪攻击下持久路由的识别方法，其特征在于，所述步骤(1)包括以下子步骤：(1.1)基于开放数据集CAIDA模拟链路洪泛攻击，并按照预设的采样周期从SDN数据平面采集每条链路的流量数据，同时标记流量数据的真实的流量类别；(1.2)通过SDN控制器对每条链路的流量数据进行特征提取，以获取每条链路的流特征，并根据每条链路的流特征构建流特征数据集；(1.3)根据流特征数据集以及流量数据的流量类别构建训练集。3.根据权利要求2所述的链路泛洪攻击下持久路由的识别方法，其特征在于，所述流量类别包括洪水流量和良性流量；所述流特征包括时间、源IP、目的IP、协议和数据包大小。4.根据权利要求1所述的链路泛洪攻击下持久路由的识别方法，其特征在于，所述LSTM分类模型包括输入层、第一LSTM层、第二LSTM层、第一致密层、第二致密层和输出层；其中，所述输入层用于输入流特征，所述第一LSTM层为具有64个神经元的LSTM层，所述第二LSTM层为具有32个神经元的LSTM层，所述第一致密层为relu激活函数连接具有16个神经元的全连接层，所述第二致密层为sigmoid激活函数连接具有1个神经元的全连接层，所述输出层用于输出流量类别预测值。5.根据权利要求1所述的链路泛洪攻击下持久路由的识别方法，其特征在于，所述获取训练好的LSTM分类模型具体包括：设置离线训练的轮次，在每轮训练过程中，将训练集中的流特征输入到LSTM分类模型中，以获取流量类别预测值，根据流量类别预测值和训练集中的流量类别计算LSTM分类模型的损失和精度，并根据LSTM分类模型的损失和精度采用小批量梯度下降法...

【专利技术属性】
技术研发人员：余文杰，周伯阳，叶童，
申请(专利权)人：之江实验室，
类型：发明
国别省市：