【技术实现步骤摘要】
本专利技术属于计算机网络安全领域,具体涉及一种基于特征分析和在线聚类的drdos攻击检测与缓解方法。
技术介绍
1、拒绝服务(denial of service,dos)攻击是一种危害较大的网络攻击,它通过耗尽被攻击目标资源的方式,让其无法提供正常的服务或资源访问,从而达到攻击的目的。分布式拒绝服务(distributed denial of service,ddos)攻击是目前主流的dos攻击方式,攻击者在ddos攻击中劫持多个主机对目标发动dos攻击,从而破坏受害者的正常服务。
2、分布式反射拒绝服务(distributed reflection denial of service,drdos)攻击是ddos攻击的一种变体,攻击者通过ip欺骗技术伪装成攻击目标,向服务器发送请求包,而后由于反射机制,受害者将被迫接收服务器的响应包,且由于放大机制,响应包的规模与请求包相比将成倍增长。与传统的ddos攻击相比,drdos攻击具有以下特点:第一,drdos攻击只需利用服务器作为反射器,向其发送请求包就可以发动攻击,因此其更容易实现;第二,基于放大原理,drdos攻击中攻击者只需发送低带宽的请求包,因此drdos攻击的成本更低;第三,由于响应包是由被利用的合法服务器发出的,所以受害者很难区分合法的响应包和作为攻击包的响应包,drdos攻击更难检测。
3、目前已经提出的drdos攻击的检测及缓解方法中,有些需要额外的网络设施的参与,方法的功能可能会受到牵制;有些需要进行信息交互或聚合,会造成网络带宽的部分占用和
4、随着网络可编程性的发展,可编程数据平面被提出,可编程数据平面具有独立的数据包处理能力,可以自定义数据包的处理逻辑,无需与任何网络协议绑定,且具有较高的灵活性,可以随时重构数据包处理模式。在数据包处理效率方面,可编程数据平面以线速处理数据包,在高吞吐量的网络环境中可以实现低延迟的数据包转发。可编程数据平面与控制器之间的通信基于p4runtime协议进行,控制器可以使用高级编程语言描述并下发可编程数据平面中匹配-动作表的表项。
5、本专利技术针对drdos攻击,提出了一种基于特征分析和在线聚类的drdos攻击检测与缓解方法。该方法在边缘可编程交换机中,即受害者端提取和分析网络流量特征,来判定网络状态、定位受害者ip,考虑到可编程交换机中有限的操作集和内存,基于基尼不纯度计算特征来反映到达数据包的混乱程度,进行网络状态判定,统计双向流的数据包包数和字节数并以二进制的形式表达,计算二进制表达的最高幂的差值作为特征,来反映双向流的倍数关系,进行受害者ip定位,并使用保守更新草图和计数最小草图来减少哈希碰撞;当定位到受害者ip后,可编程交换机使用digest将发往受害者ip的数据包的信息上报到控制器,控制器基于上报的包信息进行在线包聚类,根据聚类结果划分攻击簇,并基于攻击簇的信息制定drdos攻击缓解规则,将缓解规则写入可编程交换机的匹配-动作表中,进行攻击缓解,为了更好地适应动态的网络环境,聚类的簇数是非固定的,且聚类周期性进行,每轮聚类开始前会对之前的聚类结果进行清除,从而使聚类结果实时反映发往受害者的数据包情况。本专利技术提出的方法可以实现对drdos攻击的实时检测与缓解,基于可编程交换机对数据包的线速处理,该方法产生的时延较低,可以及时地检测到drdos攻击并进行快速缓解,此外,该方法对内存和cpu的占用较少,且可编程交换机与控制器间的通信开销较小。
技术实现思路
1、本专利技术针对drdos攻击,提出了一种基于特征分析和在线聚类的drdos攻击检测与缓解方法。该方法具有良好的实时性,可以及时地检测到drdos攻击并进行快速缓解,且资源开销较低。
2、本专利技术为实现上述目标所采用的技术方案为:该drdos攻击检测与缓解方法主要包括五个步骤:网络状态判定、受害者ip定位、数据包信息上报、在线包聚类以及缓解规则部署。
3、1.网络状态判定。在可编程交换机中按数据包包数划分评估窗口来实时评估数据包的混乱程度,若混乱程度较低,则判定网络遭受了drdos攻击。
4、2.受害者ip定位。在边缘可编程交换机中以一定的时间间隔对到达的数据包划分检测窗口,根据检测窗口内各对双向流的数据包包数和字节数的倍数关系定位可疑受害者ip,并记录ip可疑程度,从而进行受害者ip判定。
5、3.数据包信息上报。对于发往受害者ip的数据包,可编程交换机使用digest上报其包头字段信息<src_ip,dst_ip,ttl,tlen>到控制器,其中src_ip指数据包的源ip地址,dst_ip指数据包的目的ip地址,ttl指数据包的生存时间,tlen指数据包的总长度。
6、4.在线包聚类。控制器提取可编程交换机上报的数据包信息,并基于数据包信息对发往受害者ip的数据包进行在线聚类。
7、5.缓解规则部署。控制器根据在线聚类结果划分攻击簇,基于攻击簇的信息制定缓解规则,并将其写入可编程交换机的匹配-动作表中,实现drdos攻击缓解。
8、有益效果
9、本专利技术提出的drdos攻击检测与缓解方法在边缘可编程交换机中提取网络流量特征,通过特征分析来判定网络状态和定位受害者ip,并基于簇数非固定的在线聚类进行攻击缓解。该方法可以精准地检测到drdos攻击,并快速进行缓解。在基于mininet和bmv2交换机搭建的仿真网络中展开了实验,该方法可以及时地检测及缓解网络中的drdos攻击,响应时间平均在2s左右,且资源消耗较低,cpu占用约为4.5%,内存占用约为10kb,是一种有效的drdos攻击实时检测及缓解方法。
本文档来自技高网...【技术保护点】
1.基于特征分析和在线聚类的DRDoS攻击检测与缓解方法,其特征在于,DRDoS是Distributed Reflection Denial of Service,即分布式反射拒绝服务,所述DRDoS攻击检测与缓解方法包括以下几个步骤:
2.根据权利要求1中所述的DRDoS攻击检测与缓解方法,其特征在于,步骤2的特征计算中,使用保守更新草图进行检测窗口内各对双向流的数据包包数和字节数的计数,通过分析特征来定位可疑受害者IP,并使用计数最小草图来记录IP的可疑程度,当某一可疑受害者IP的可疑程度较高时,将其判定为受害者IP,保守更新草图和计数最小草图的使用可以减少哈希碰撞。
3.根据权利要求1中所述的DRDoS攻击检测与缓解方法,其特征在于,步骤4中的在线聚类不固定簇数,最终的簇数取决于发往受害者的流量情况,使聚类结果更准确地体现发往受害者的数据包的实时情况,为步骤5中缓解规则部署提供更可靠的依据,对于发往某一受害者的数据包,在线聚类具体可以分为三个步骤:
4.根据权利要求3中所述的DRDoS攻击检测与缓解方法,其特征在于,对于步骤4中的在线聚类
...【技术特征摘要】
1.基于特征分析和在线聚类的drdos攻击检测与缓解方法,其特征在于,drdos是distributed reflection denial of service,即分布式反射拒绝服务,所述drdos攻击检测与缓解方法包括以下几个步骤:
2.根据权利要求1中所述的drdos攻击检测与缓解方法,其特征在于,步骤2的特征计算中,使用保守更新草图进行检测窗口内各对双向流的数据包包数和字节数的计数,通过分析特征来定位可疑受害者ip,并使用计数最小草图来记录ip的可疑程度,当某一可疑受害者ip的可疑程度较高时,将其判定为受害者ip,保守更新草图和计数最小草图的使用可以减少哈希碰撞。
3.根据权利要求1中所述的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。