【技术实现步骤摘要】
基于MWD
‑
CFM的SDN慢速DDoS攻击检测与缓解框架
[0001]本专利技术属于计算机网络安全领域,具体涉及一种基于MWD
‑
CFM的SDN慢速DDoS攻击检测与缓解框架。
技术介绍
[0002]作为以集中控制为核心设计的新架构,软件定义网络(SDN)不仅获得了广大学术界的关注,同时也赢得了工业界的青睐。它的创造性在于解耦了控制与数据的处理转发,这就意味着控制操作能够以软件形式独立运行,而不再与传统的架构一样是在硬件交换机层次进行混合处理。SDN的优势在于其增强了全局网络的可编程性和可管理性。一个典型的SDN架构包含三个层次,分别为应用层、控制层和数据层。应用层中运行着来自不同的开发者设计的程序,控制层主要由控制器组成,应用层和控制层由北向接口连接通信。数据层由大量的基础设备组成,例如交换机和路由器,负责对数据包的转发。数据层与控制层由南向接口建立连接。目前,SDN已被广泛结合应用于云环境、车载自组织网络以及数据中心等产业来增强网络的设计与性能。
[0003]SDN虽然带来了便利,同时也给新的威胁提供了可乘之机。尽管SDN是一种解耦了控制操作的新架构,它依然包含着传统网络的基本属性。应用层运行的程序本身就可能存在漏洞,从而被攻击者利用,以至于对整个SDN造成破坏。攻击者可以监控控制链路并通过泛洪致使它们拥塞瘫痪造成通信中断,并且,SDN的三个层次以及两种通信链路均可能成为分布式拒绝服务(DDoS)攻击的目标。对于控制层,攻击者通过发动饱和攻击致使控制器忙于处理大量无意 ...
【技术保护点】
【技术特征摘要】
1.基于MWD
‑
CFM的SDN慢速DDoS攻击检测与缓解框架,该框架部署在SDN控制层,对SDN数据层的OpenvSwitch类型交换机进行轮询保护,每一台交换机独立由一台控制器管理并运行此框架,其检测对象为针对SDN交换机的慢速DDoS攻击,这种攻击能够造成SDN交换机中有限的流表空间饱和并溢出,使得其无法为正常的合法流提供足够的空间进行流规则的安装和处理,MWD是指多窗口联合协同检测,CFM是指基于校正的特征缓解,框架包括监控提取模块、多窗口联合检测模块和校正特征缓解模块,其中的交换机均指代OpenvSwitch类型的SDN交换机,具体包括如下步骤:监控提取模块:S1.监控提取模块根据设置的轮询周期,通过使用基于ovs
‑
ofctl命令的执行脚本对交换机的流表占用情况以及具体流规则信息进行提取,同时基于控制器的event事件记录packet in消息和流经交换机输入端口的流量信息,将提取的信息传递给多窗口联合检测模块;多窗口联合检测模块:S2.多窗口联合检测模块首先根据idle timeout划分多个检测窗口,检测窗口的长度均小于idle timeout且呈等差数列,每一个窗口都分别根据S1获得的信息进行特征提取;S3.在每一个检测窗口内,分别提取交换机所有流入端口的流量字节数、packet in消息的数量、IP以及total len字段值,获得四元原始特征;S4.每一个检测窗口基于S3获得的四元原始特征,分别计算各自窗口内的交换机流入端口的流量字节数的占用率均值、方差、变异系数,packet in消息数量的均值、方差,IP的熵值,total len的均值、方差和变异系数,获得九元检测特征;S5.对于所有经S4获得的九元检测特征,为减小特征本身的维度差异性造成的影响,使用Fisher Score算法对九元检测特征进行打分,获得特征重要性分值;S6.在每一个检测窗口内,基于设定的经验阈值以及敏感系数,对九元检测特征进行判定,具体判断方式为,如果特征值大于或等于阈值与敏感系数的乘积,则认为特征异常,将九个检测特征中所有异常的特征的重要性分值进行累加,获得检测窗口分值;S7.根据S6获得的每一个检测窗口分值,基于赋予的检测窗口权重,对所有检测窗口的分值进行求和获得联合总分值,若联合总分值大于设定的阈值,则认为交换机受到了慢速DDoS攻击;S8.多窗口联合检测模块检测到慢速DDoS攻击发生后,把由S1获得的流规则信息传递给校正特征缓解模块,缓解程序开始运行,若未检测到攻击发生,则重复步骤S1至S7;校正特征缓解模块:S9.基于多窗口联合检测模块反馈的信息,校正特征缓解模块首先提取每一条流规则的包数、字节数和持续时间,获得三元原始特征;S10.基于S9获得的三元原始特征,计算平均包字节数和平均包持续时间,并对平均包持续时间进行校正,获得二元缓解特征;S11.将由S10获得的二元缓解特征输入到训练好的多层感知机分类器中进行判定,若输...
【专利技术属性】
技术研发人员:汤澹,王思苑,林汉臣,梁伟,肖晟,陈可可,
申请(专利权)人:湖南大学重庆研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。