CN105187437B - 一种sdn网络拒绝服务攻击的集中式检测系统 - Google Patents
一种sdn网络拒绝服务攻击的集中式检测系统 Download PDFInfo
- Publication number
- CN105187437B CN105187437B CN201510621846.1A CN201510621846A CN105187437B CN 105187437 B CN105187437 B CN 105187437B CN 201510621846 A CN201510621846 A CN 201510621846A CN 105187437 B CN105187437 B CN 105187437B
- Authority
- CN
- China
- Prior art keywords
- network
- sdn
- flow
- centralization
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种SDN网络拒绝服务攻击的集中式检测系统,包括设置在各个交换机内部的数据采集模块、设置在SDN控制器内部的集中式的检测模块和输入输出模块;其中数据采集模块用于采集经过SDN交换机的网络流量;集中式的检测模块用于对数据采集模块采集的网络流量在空间域上进行检测,确定是否存在可疑流量,并基于空间域的检测结果,再从时间域上对网络流量进行检测,辨别攻击是否存在以及攻击类型;输入输出模块用于根据用户的输入对数据采集模块和集中式的检测模块的参数进行调整,或将集中式的检测模块的检测结果存储并按照既定格式进行输出。本发明提供的集中式检测系统可以应用于中小型SDN网络,如园区网、校园网的安全检测。
Description
技术领域
本发明涉及网络入侵检测领域,更具体地,涉及一种SDN网络拒绝服务攻击的集中式检测系统。
背景技术
传统的拒绝服务攻击在新兴的SDN网络下,也出现了新的攻击方式:
(1)针对SDN控制器的DDoS。SDN交换机对于无法在流表中找到匹配项的数据包,会形成包含这些数据包的packet-in信息到SDN控制器。攻击者通过对多个交换机持续不断地发送精心设计的数据包,如数据包的源IP地址、目的IP地址、源端口、目的端口随机生成,造成交换机收到大量无法在流表匹配的数据包。多个交换机同时向单个控制器发送packet-in信息,容易导致控制器或控制器的对外链路过载,导致控制器无法响应正常数据包的packet-in消息。
(2)针对SDN交换机的DLDoS。SDN里,每个数据包都属于一个流(flow),每个流的组成/粒度可粗可细,如IP A到IP B可以使一个流,IP A的TCP到IP B的TCP可以是一个流。对于某个流,SDN交换机在流表里有一个流表项与之对应,用于告诉交换机对这个流的数据包如何转发/处理。SDN交换机对于无法在流表中找到匹配项的数据包,会形成包含这些数据包的packet-in信息到SDN控制器,依据返回的流信息,在流表中插入新的流表项,用以转发这个数据包及这个流的后续数据包。当多个攻击者对一台SDN交换机发送精心设计的数据包,如数据包的源IP地址、目的IP地址、源端口、目的端口随机生成,造成交换机收到大量无法在流表匹配的数据包,之后交换机会依据返回的信息建立大量的新流表项。流表项需要在一定时间之后才会过期,而交换机的流表大小有限,在这段时间内,交换机的流表被大量无用的项占据,正常网络流无法建立或只有部分能新流表项,从而流经交换机的网络通信被阻塞。
DDoS中的攻击针对的是SDN控制器,控制器一般是性能较好的服务器,攻击需要持续不断的进行,达到的效果是控制器无法响应正常的packet-in消息,类似DDoS攻倒服务器的效果。DLDoS中的攻击针对的是SDN交换机,达到的效果是交换机无法为正常流建立新流表项。由于流表项有过期时间,攻击只需周期性进行,相较于DDoS,DLDoS在时间平均数是低速率的,这类似于DLDoS攻倒使用TCP的服务器的效果。
针对DDoS、DLDoS,传统的检测方法效果不佳。DDoS和DLDoS在传统网络中为多个攻击源针对单个受害端的协同攻击,网络中出现大量目的IP相同、端口相同或协议相同的数据包,传统的检测方法大多利用这些特征进行检测。但DDoS、DLDoS随机伪造数据包字段的数值,不会出现上述特征,在传统检测方法看来,DDoS、DLDoS更类似于突发的正常的大流量。针对SDN下的新型DDoS和DLDoS,需要采用新的检测指标和检测方法,才能更有效发现攻击。
发明内容
本发明为解决以上现有技术的缺陷,提供了一种SDN网络拒绝服务攻击的集中式检测系统,该系统针对拒绝服务攻击的特征,从网络流量空间域和时间域上来检测、辨别拒绝服务攻击。
为实现以上发明目的,采用的技术方案是:
一种SDN网络拒绝服务攻击的集中式检测系统,适用于对中小型的SDN网络进行检测,包括设置在各个交换机内部的数据采集模块、设置在SDN控制器内部的集中式的检测模块和输入输出模块;
其中数据采集模块用于采集经过SDN交换机的网络流量;
集中式的检测模块用于对数据采集模块采集的网络流量在空间域上进行检测,确定是否存在可疑流量,并基于空间域的检测结果,再从时间域上对网络流量进行检测,辨别攻击是否存在以及攻击类型;;
输入输出模块用于根据用户的输入对数据采集模块和集中式的检测模块的参数进行调整,或将集中式的检测模块的检测结果存储并按照既定格式进行输出。
上述方案中,数据流被SDN交换机的数据采集模块抽样收集、预处理并发送到SDN控制器,经过集中式的检测模块,以判定是否存在拒绝服务攻击的数据流,并通过输入输出模块与网络安全管理员进行交互及存储检测结果。
优选地,所述集中式的检测模块由两个级联的ANN构成,其中第一级ANN负责从空间域对网络流量进行检测,发现网络中是否存在可疑攻击,第二级ANN基于第一级ANN的检测结果,从时间域上对网络流量进行检测,辨别攻击是否存在以及攻击类型。
优选地,第一级ANN从空间域对网络流量进行检测后,将得到的检测结果发送至第二级ANN,第二级ANN接收检测结果并采用自相关函数对检测结果进行预处理,然后基于预处理后的检测结果从时间域上对网络流量进行检测。
优选地,所述采用自相关函数对检测结果进行预处理的具体过程表示如下:
其中Rxx(m)为预处理后的检测结果,xx为进行相关运算的两序列的标号,N为检测时时间序列的长度,m为运算的两列序列错开的时间间隔,x(n)表示某个时间段内第一级ANN的输出,x(n+m)表示与x(n)时间间隔为m的某个时间段内第一级ANN的输出,x(n+m)、x(n)的取值为0~1。x(n)数值越大,表示对应时段越可能存在攻击流量。对于不同的流量和攻击,自相关函数值有不同的特性:
(1)正常平缓的网络流量,x(n)为0,对于所有m值,自相关函数值为0。
(2)正常的突发流量具有随机性,多余多个m值,其自相关函数值较小。
(3)DDoS攻击具有持续性,对于多个m值,其自相关函数值较大。
(4)DLDoS攻击具有周期性,对于某些特定m值,其自相关函数较大。
每个ANN输入层的神经元采用一个不同的m值,从而,这一级ANN能从时间域对网络流量进行检测,以更好地辨别攻击是否为存在及攻击类型。
优选地,所述数据采集模块采集经过SDN交换机的网络流量,并根据网络流量的特征更新网络特性指标,然后将更新的网络特性指标发送至集中式的检测模块,集中式的检测模块根据网络特性指标对拒绝服务攻击进行空间域、时间域上的检测。
优选地,所述网络特性指标包括:
(1)SDN交换机流表中流表项平均利用率:
μ表示流表项平均利用率,pi表示第i条流表项的利用率,表示第i条流表项的权重,
其中Δt表示采样间隔,Δτi表示第i条流表项在采样间隔内存在的时间长度,ni表示第i条流表项在采样间隔内的数据包数,L表示流表项总数。Δτi越大,即第i条流表项存在的时间越长,pi对μ的影响越大。
(2)SDN交换机的Packet-In速率:
v表示Packet-In速率,mpacketIn表示采样间隔内交换机上报的packet In数据包总数,表示每个采样间隔Δt内packet-in的数目;
(3)流表的饱和度:
Lmax表示switch允许的最大流表项数目,L表示实时的流表项数目。
优选地,数据采集模块更新网络特性指标后,对网络特性指标进行归一化处理,再将归一化处理后的网络特性指标发送至集中式的检测模块;其中进行归一化处理的具体过程如下:
x是归一化后的数值结果,x0是归一化前的数值结果,xmax是对应指标历史上的最大值,xmin是对应指标历史上的最大值。
与现有技术相比,本发明的有益效果是:
本发明提供的集中式检测系统针对拒绝服务攻击的特征,采用适合于SDN网络的新监测指标,从网络流量空间域和时间域来检测、辨别拒绝服务攻击。本发明提供的集中式检测系统可以应用于中小型SDN网络,如园区网、校园网的安全检测。
附图说明
图1为本发明的系统总体结构示意图。
图2为集中式的检测模块的结构示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
以下结合附图和实施例对本发明做进一步的阐述。
实施例1
本发明的系统结构示意图如附图1-2所示,其中附图1为本发明的系统总体结构示意图,附图2为集中式的检测模块示意图。
本发明的最佳实施例如下:
1、总体系统构成
如附图1所示,它其特征在于包括数据采集模块、集中式的检测模块、输入输出模块。
2、具体模块的详细介绍
1)数据采集模块
在每个采样周期结束前,数据采集模块采集经过SDN交换机的网络流量,并根据网络流量的特征更新网络特性指标,然后对网络特性指标进行归一化处理,再将归一化处理后的网络特性指标发送至集中式的检测模块,集中式的检测模块根据归一化后的网络特性指标对拒绝服务攻击进行空间域、时间域上的检测。
其中网络特性指标包括:
(1)SDN交换机流表中流表项平均利用率:
μ表示流表项平均利用率,pi表示第i条流表项的利用率,表示第i条流表项的权重,
其中Δt表示采样间隔,Δτi表示第i条流表项在采样间隔内存在的时间长度,ni表示第i条流表项在采样间隔内的数据包数,L表示流表项总数。Δτi越大,即第i条流表项存在的时间越长,pi对μ的影响越大。
(2)SDN交换机的Packet-In速率:
v表示Packet-In速率,mpacketIn表示采样间隔内交换机上报的packet In数据包总数,表示每个采样间隔Δt内packet-in的数目;
(3)流表的饱和度:
Lmax表示switch允许的最大流表项数目,L表示实时的流表项数目。
而进行归一化处理的具体过程如下:
x是归一化后的数值结果,x0是归一化前的数值结果,xmax是对应指标历史上的最大值,xmin是对应指标历史上的最大值。
2)集中式的检测模块
集中式的检测模块由两个级联的ANN构成,其中第一级ANN负责从空间域对网络流量进行检测,发现网络中是否存在可疑攻击,第二级ANN基于第一级ANN的检测结果,从时间域上对网络流量进行检测,辨别攻击是否存在以及攻击类型。以两个级联的三层结构ANN为例。如附图2所示,第一级ANN中,h(·)是预处理函数(本系统的预处理已经于数据采集模块实现),Σ是求和函数,f(·)、g(·)分别是ANN隐藏层和输出层的激活函数,为一一对应的数学映射,不同类型的ANN的激活函数一般不同。wij为前一层第i个神经元到下一层第j个神经元的连接权值,权值越大,神经元i的结果对神经元j的影响越大。每一层的神经元将上一层所有神经元发来的信号进行加权求和,再通过激活函数进行映射,并将结果发送到下一层神经元。第一级ANN输出层的神经元将检测结果发送到第二级ANN的输入层神经元。第二级ANN中,Rxx是自相关函数,Σ是求和函数,f(·)、g(·)分别是隐藏层和输出层的激活函数。第二级ANN输入层的每个神经元用不同的时间间隔来计算输入序列的自相关值,并通过第二级ANN输出层的神经元将计算结果发送到输入输出模块进行输出。
3)输入输出模块
输入输出模块主要用于向用户提供输入界面,根据用户输入对数据采集模块、集中式检测模块的参数进行调整,或将集中式检测模块的检测结果存储并按照既定格式输出到用户界面。输出格式可以定制,包括是否有异常、攻击类型、异常时间等,可以设定在发现攻击时发出警报。
本发明提供的集中式检测系统针对拒绝服务攻击的特征,采用适合于SDN网络的新监测指标,从网络流量空间域和时间域来检测、辨别拒绝服务攻击。本发明提供的集中式检测系统可以应用于中小型SDN网络,如园区网、校园网的安全检测。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (4)
1.一种SDN网络拒绝服务攻击的集中式检测系统,适用于对中小型的SDN网络进行检测,其特征在于:包括设置在各个交换机内部的数据采集模块、设置在SDN控制器内部的集中式的检测模块和输入输出模块;
其中数据采集模块用于采集经过SDN交换机的网络流量;
集中式的检测模块用于对数据采集模块采集的网络流量在空间域上进行检测,确定是否存在可疑流量,并基于空间域的检测结果,再从时间域上对网络流量进行检测,辨别攻击是否存在以及攻击类型;
输入输出模块用于根据用户的输入对数据采集模块和集中式的检测模块的参数进行调整,或将集中式的检测模块的检测结果存储并按照既定格式进行输出;
所述集中式的检测模块由两个级联的ANN构成,其中第一级ANN负责从空间域对网络流量进行检测,发现网络中是否存在可疑攻击,第二级ANN基于第一级ANN的检测结果,从时间域上对网络流量进行检测,辨别攻击是否存在以及攻击类型;
第一级ANN从空间域对网络流量进行检测后,将得到的检测结果发送至第二级ANN,第二级ANN接收检测结果并采用自相关函数对检测结果进行预处理,然后基于预处理后的检测结果从时间域上对网络流量进行检测;
所述采用自相关函数对检测结果进行预处理的具体过程表示如下:
其中Rxx(m)为预处理后的检测结果,xx为进行相关运算的两序列的标号,N为检测时时间序列的长度,m为运算的两列序列错开的时间间隔,x(n)表示某个时间段内第一级ANN的输出,x(n+m)表示与x(n)时间间隔为m的某个时间段内第一级ANN的输出,x(n+m)、x(n)的取值为0~1。
2.根据权利要求1所述的SDN网络拒绝服务攻击的集中式检测系统,其特征在于:所述数据采集模块采集经过SDN交换机的网络流量,并根据网络流量的特征更新网络特性指标,然后将更新的网络特性指标发送至集中式的检测模块,集中式的检测模块根据网络特性指标对拒绝服务攻击进行空间域、时间域上的检测。
3.根据权利要求2所述的SDN网络拒绝服务攻击的集中式检测系统,其特征在于:所述网络特性指标包括:
(1)SDN交换机流表中流表项平均利用率:
μ表示流表项平均利用率,pi表示第i条流表项的利用率,βi表示第i条流表项的权重,
其中Δt表示采样间隔,Δτi表示第i条流表项在采样间隔内存在的时间长度,ni表示第i条流表项在采样间隔内的数据包数,L表示流表项总数;
(2)SDN交换机的Packet-In速率:
v表示Packet-In速率,mpacketIn表示采样间隔内交换机上报的packet In数据包总数,表示每个采样间隔Δt内packet-in的数目;
(3)流表的饱和度:
Lmax表示switch允许的最大流表项数目,L表示实时的流表项数目。
4.根据权利要求3所述的SDN网络拒绝服务攻击的集中式检测系统,其特征在于:数据采集模块更新网络特性指标后,对网络特性指标进行归一化处理,再将归一化处理后的网络特性指标发送至集中式的检测模块;其中进行归一化处理的具体过程如下:
x是归一化后的数值结果,x0是归一化前的数值结果,xmax是对应指标历史上的最大值,xmin是对应指标历史上的最大值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510621846.1A CN105187437B (zh) | 2015-09-24 | 2015-09-24 | 一种sdn网络拒绝服务攻击的集中式检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510621846.1A CN105187437B (zh) | 2015-09-24 | 2015-09-24 | 一种sdn网络拒绝服务攻击的集中式检测系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105187437A CN105187437A (zh) | 2015-12-23 |
CN105187437B true CN105187437B (zh) | 2018-06-26 |
Family
ID=54909281
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510621846.1A Active CN105187437B (zh) | 2015-09-24 | 2015-09-24 | 一种sdn网络拒绝服务攻击的集中式检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105187437B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196891B (zh) | 2016-03-15 | 2020-02-14 | 华为技术有限公司 | 数据流转发异常检测方法、控制器和系统 |
CN105956661A (zh) * | 2016-04-15 | 2016-09-21 | 中山大学 | 一种在sdn网络上实现dann在线训练的系统 |
CN106850438A (zh) * | 2016-12-27 | 2017-06-13 | 中山大学 | 一种实时获取sdn交换机流表空间占有率的方法 |
CN107124301A (zh) * | 2017-04-12 | 2017-09-01 | 东华大学 | 一种基于sdn的校园网网络结构 |
CN110784449A (zh) * | 2019-09-23 | 2020-02-11 | 太仓红码软件技术有限公司 | 一种基于空间编排的针对分布式攻击的网络安全系统 |
CN112367311B (zh) * | 2020-10-30 | 2023-04-07 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、设备及存储介质 |
CN112688970B (zh) * | 2021-03-18 | 2021-07-02 | 广东省新一代通信与网络创新研究院 | 一种基于可编程芯片的大流量DDoS攻击检测方法及系统 |
CN114115068A (zh) * | 2021-12-03 | 2022-03-01 | 东南大学 | 一种内生安全交换机的异构冗余防御策略下发方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562534A (zh) * | 2009-05-26 | 2009-10-21 | 中山大学 | 一种网络行为分析系统 |
CN102523166A (zh) * | 2011-12-23 | 2012-06-27 | 中山大学 | 一种适用于未来互联网的结构化网络系统 |
CN104158800A (zh) * | 2014-07-21 | 2014-11-19 | 南京邮电大学 | 一种面向软件定义网络的分布式拒绝服务攻击检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9450978B2 (en) * | 2014-01-06 | 2016-09-20 | Cisco Technology, Inc. | Hierarchical event detection in a computer network |
-
2015
- 2015-09-24 CN CN201510621846.1A patent/CN105187437B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562534A (zh) * | 2009-05-26 | 2009-10-21 | 中山大学 | 一种网络行为分析系统 |
CN102523166A (zh) * | 2011-12-23 | 2012-06-27 | 中山大学 | 一种适用于未来互联网的结构化网络系统 |
CN104158800A (zh) * | 2014-07-21 | 2014-11-19 | 南京邮电大学 | 一种面向软件定义网络的分布式拒绝服务攻击检测方法 |
Non-Patent Citations (2)
Title |
---|
DDoS攻击检测综述;严芬等;《计算机应用研究》;20080430;全文 * |
Handling intrusion and DDoS attacks in Software Defined Networks using machine learning techniques;Javed Ashraf et al;《2014 National Software Engineering Conference》;20141112;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN105187437A (zh) | 2015-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105187437B (zh) | 一种sdn网络拒绝服务攻击的集中式检测系统 | |
CN109302378B (zh) | 一种SDN网络DDoS攻击检测方法 | |
CN106921666B (zh) | 一种基于协同理论的DDoS攻击防御系统及方法 | |
Loukas et al. | Likelihood ratios and recurrent random neural networks in detection of denial of service attacks | |
CN106357673B (zh) | 一种多租户云计算系统DDoS攻击检测方法及系统 | |
CN105337957B (zh) | 一种SDN网络DDoS和DLDoS分布式时空检测系统 | |
CN103581186B (zh) | 一种网络安全态势感知方法及系统 | |
CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
CN104618377B (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
CN102271068A (zh) | 一种dos/ddos攻击检测方法 | |
CN104539625B (zh) | 一种基于软件定义的网络安全防御系统及其工作方法 | |
CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
CN108494746A (zh) | 一种网络端口流量异常检测方法及系统 | |
CN108632269B (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
CN104283897B (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
CN106685984A (zh) | 一种基于数据包捕获技术的网络威胁分析系统及方法 | |
CN111817982A (zh) | 一种面向类别不平衡下的加密流量识别方法 | |
CN108429761A (zh) | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 | |
CN101980506A (zh) | 一种基于流量特征分析的分布式入侵检测方法 | |
CN102104611A (zh) | 一种基于混杂模式的DDoS攻击检测方法及装置 | |
CN108347442B (zh) | 内容中心网络中检测兴趣包泛洪攻击的方法及系统 | |
CN108183917A (zh) | 基于软件定义网络的DDoS攻击跨层协同检测方法 | |
CN109194608A (zh) | 一种基于流的DDoS攻击与闪拥事件检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |