【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及sdn环境下基于在线深度学习的攻击检测与缓解系统及方法。
技术介绍
1、软件定义网络(software defined network,sdn)通过解耦网络交换机的逻辑控制功能和数据转发功能,能够集中灵活地配置网络转发规则,使网络能够独立于硬件发展。更强的开放性、可编程性以及可扩展性优势,使sdn逐渐成为当前云计算和大数据环境下流行的网络组织形式。然而,sdn的开放性优势也为网络攻击带来便利,例如:拒绝服务攻击(denial ofservice,dos)可以快速耗尽控制器的可用资源,使交换机缓冲区溢出;攻击者还可以通过开放的api接口窃取或篡改网络中的非公开数据,可以说sdn自诞生以来,其自身的安全性就面临着巨大挑战。
2、sdn在设计之初主要考虑如何调度与分配网络资源。以主流的openflow协议为例,当任何新流(无匹配规则的流)到达交换机后,由于自身流表中没有对应的匹配规则,就会向控制器发送packetin分组,询问处理办法。控制器接到请求消息后,分析请求、计算转发路径,并向其连接的所有节点发送流表更新信息。以后,交换机对该流的所有后续数据包都将基于新的流表规则进行处置,而无需再询问控制器。这种开放式的网络架构可以有效地动态调度网络资源,提升网络链路的利用效益。然而,sdn这种控制器和转发平面之间的开放性设计,使其更加容易受到网络攻击,尤其是分布式拒绝服务攻击(distributed denialofservice,ddos)能够从任意转发设备所连接的终端发起,利用过载控制器队列或
3、sdn中的ddos攻击检测是指运用一定的技术手段,检查与分析sdn中的流量数据,发现网络中可能存在的攻击行为。传统的检测方法主要包括基于统计、基于信息论、基于聚类、基于机器学习等方法,但是这些方法普遍存在着模型算法复杂、策略更新困难、计算开销大、检测耗时长等问题。sdn中的ddos攻击缓解旨在确保控制器或交换机即使遭受ddos攻击时,仍然可以保持较为稳定的网络服务状态。常用的缓解方法主要是通过限速策略实现的,例如:令牌桶、漏桶、固定窗口和滑动窗口等技术。但这种策略通常不区分主机是否合法,而是无差别的对所有主机进行限制,这种方法造成对合法主机的损害;另外,大多数限速策略只能暂时减缓恶意攻击流量到达控制器的速率,却不能从根本上将其消除。
4、在线深度学习是一种动态更新的深度神经网络算法,它可以通过学习顺序到达的数据流特征,实时更新自身参数,并且每次参数更新后都得到当前数据模式下的最佳状态。因此,在线深度学习技术常被用于金融数据、网络流量等流式数据的分析与预测活动中;因此,如果能将在线深度学习引用在ddos攻击检测及缓解中,便可以通过优化交换机向控制器预期发送的分组数量与控制器可用队列的剩余容量之间的关系,动态调节每条链路可发送新流请求的权重,将权重变化超过阈值的判定为攻击链路,实现对ddos攻击的精细检测,很好的解决上述现有技术存在的问题;但将在线深度学习引用在ddos攻击检测及缓解中,目前并无相关记载。
5、针对以上问题,亟需设计一种sdn环境下基于在线深度学习的攻击检测与缓解系统及方法,以解决上述现有技术存在的问题。
技术实现思路
1、针对上述存在的问题,本专利技术旨在提供一种sdn环境下基于在线深度学习的攻击检测与缓解系统及方法,本方法通过利用交换机端口的统计信息,计算出流入、流出交换机的网络流和数据包的特征数据,与判定阈值比较后,即可实现对sdn环境中ddos攻击的粗略检测。根据网络的拓扑结构搭建出无向图神经网络,以链路间传输分组量定义连接权重,控制器通过动态调节各链路的权重,实现对ddos攻击的精细检测与缓解,具有检测和缓解效果好并且能够更加合理充分的配置网络资源的特点。
2、为了实现上述目的,本专利技术所采用的技术方案如下:
3、sdn环境下基于在线深度学习的攻击检测与缓解方法,包括步骤
4、s1.利用信息采集模块周期性的采集流经交换机端口的流量序列信息,并将该序列信息进行转换,发送到两阶段检测模块;
5、s2.利用两阶段攻击检测模块对信息采集模块传递的网络攻击信息进行检测;
6、s3.在检测到网络攻击信息后,攻击缓解模块根据两阶段攻击检测模块提供的恶意主机状态信息,定位恶意主机位置、设置包括源地址、有效时间、操作动作等内容的数据包过滤规则,并发送给其控制的所有交换机。
7、优选的,步骤s2所述的利用两阶段攻击检测模块对信息采集模块传递的网络攻击信息进行检测的过程包括
8、s201.基于交换机端口流量统计信息的攻击检测,对交换机所控网段中ddos攻击的粗略检测;
9、s202.基于控制器资源优化的检测,当步骤s201检测出网络中存在攻击行为后,启动本阶段,利用动态调整终端主机允许发送新流的权重,并根据权重变化量对网络攻击进行精细检测。
10、优选的,步骤s201所述的对ddos攻击的粗略检测过程包括
11、(1)当ddos攻击发起时,交换机的流入-转发比减小,流入-转发比如式(1)所示:
12、
13、在式(1)中,numflowin代表流入交换机的网络流数量,numpacketin代表从交换机转发至控制器packetin分组的数量,ratepacketin代表流入交换机的网络流数量与从交换机转发至控制器packetin分组数量的比值;
14、(2)交换机的正常转发比减小,正常转发比如式(2)所示:
15、
16、在式(2)中,numflowout代表流出交换机的网络流数量,numflowin代表流入交换机的网络流数量,rateflowio代表流出交换机的网络流数量占流入交换机的网络流数量的比例;
17、(3)交换机流入和流出交换机数据包的数量差比网络在正常情况下会有显著激增,传入、传出交换机数据包的数量差如式(3)所示:
18、
19、在式(3)中,代表传入交换机的数据包数量,代表传出交换机的数据包数量,δnumpacket代表传入、传出交换机数据包的数量差;
20、(4)当交换机的ratepacketin和rateflowio都减小到阈值时,而δnumpacket增大到阈值时,判定网络中存在ddos攻击,并对攻击主机所在位置进行概略判断。
21、优选的,步骤s202所述的对网络攻击的精细检测过程包括
22、(1)根据sdn中的主机集合h=(h1,h2,...,hn),交换机集合s=(s1,s2,...,sk)以及控制器的拓扑结构建立sdn的神经网络结构;
23、(2)在sdn的神经网络结构中,设连接权重为从主机hi能够发送到交换机sj的新流与最大允许数的比,本文档来自技高网...
【技术保护点】
1.SDN环境下基于在线深度学习的攻击检测与缓解方法,其特征在于:包括步骤
2.根据权利要求1所述的SDN环境下基于在线深度学习的攻击检测与缓解方法,其特征在于:步骤S2所述的利用两阶段攻击检测模块对信息采集模块传递的网络攻击信息进行检测的过程包括
3.根据权利要求2所述的SDN环境下基于在线深度学习的攻击检测与缓解方法,其特征在于:步骤S201所述的对DDoS攻击的粗略检测过程包括
4.根据权利要求2所述的SDN环境下基于在线深度学习的攻击检测与缓解方法,其特征在于:步骤S202所述的对网络攻击的精细检测过程包括
5.根据权利要求1所述的SDN环境下基于在线深度学习的攻击检测与缓解方法,其特征在于:步骤S3所述的攻击缓解模块对两阶段攻击检测模块检测到的网络攻击缓解的过程包括
6.基于权利要求1所述的DDoS攻击检测及缓解方法的系统,其特征在于:包括信息采集模块、两阶段攻击检测模块和攻击缓解模块;
7.根据权利要求6所述的SDN环境下基于在线深度学习的攻击检测与缓解系统,其特征在于:所述的基于在线深度学习的D
...【技术特征摘要】
1.sdn环境下基于在线深度学习的攻击检测与缓解方法,其特征在于:包括步骤
2.根据权利要求1所述的sdn环境下基于在线深度学习的攻击检测与缓解方法,其特征在于:步骤s2所述的利用两阶段攻击检测模块对信息采集模块传递的网络攻击信息进行检测的过程包括
3.根据权利要求2所述的sdn环境下基于在线深度学习的攻击检测与缓解方法,其特征在于:步骤s201所述的对ddos攻击的粗略检测过程包括
4.根据权利要求2所述的sdn环境下基于在线深度学习的攻击检测与缓解方法,其特征在于:步骤s20...
【专利技术属性】
技术研发人员:王坤,付钰,刘涛涛,段雪源,于游,
申请(专利权)人:中国人民解放军海军工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。