CN108282497A - 针对SDN控制平面的DDoS攻击检测方法 - Google Patents

针对SDN控制平面的DDoS攻击检测方法 Download PDF

Info

Publication number
CN108282497A
CN108282497A CN201810396522.6A CN201810396522A CN108282497A CN 108282497 A CN108282497 A CN 108282497A CN 201810396522 A CN201810396522 A CN 201810396522A CN 108282497 A CN108282497 A CN 108282497A
Authority
CN
China
Prior art keywords
packet
messages
source
attack
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810396522.6A
Other languages
English (en)
Other versions
CN108282497B (zh
Inventor
虞红芳
赵汉佳
孙罡
许都
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN201810396522.6A priority Critical patent/CN108282497B/zh
Publication of CN108282497A publication Critical patent/CN108282497A/zh
Application granted granted Critical
Publication of CN108282497B publication Critical patent/CN108282497B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

本发明公开了一种针对SDN控制平面的DDoS攻击检测方法,其包括接收来自于交换机的OpenFlow报文;当OpenFlow报文为Packet‑in报文且窗口计数器累计的Packet‑in报文数量达到预设数量时,计算预设数量Packet‑in报文的Packet‑in速率;当Packet‑in速率超过设定阈值时,基于Packet‑in报文的熵值提取Packet‑in报文中的可疑攻击源;获取可疑攻击源的流表统计数据,并将流表项匹配报文数小于报文阈值的流标记为可疑流,之后计算可疑攻击源的可疑程度;当可疑程度大于等于可疑阈值时,则可疑攻击源对应的主机为被攻击对象。

Description

针对SDN控制平面的DDoS攻击检测方法
技术领域
本发明涉及网络中攻击对象的检测方法,具体涉及针对SDN控制平面的DDoS攻击检测方法。
背景技术
DDoS(Distributed Denial of Service)攻击作为网络中最具有威胁的攻击之一,会严重影响网络性能,增加网络时延,造成合法报文的丢包。在传统网络中,攻击者通过发送大量的报文用于耗尽目标主机或者服务器资源,从而导致目标服务器负载过高不能为合法用户提供相应的服务甚至瘫痪。
相较于传统网络,软件定义网络SDN(Software Defined Networking,SDN)由于其集中控制特性,产生了针对控制平面的新型DDoS攻击。研究人员提出一种新型的针对SDN控制平面的DDoS攻击,该攻击方式为资源耗尽型攻击,通过攻击网络中的主机节点之后伪造大量攻击流注入网络,由于伪造的攻击流无法在交换机上匹配到流表项用于数据报文的转发,短时间内向控制平面发送大量Packet-in消息,从而耗尽控制平面与交换机之间的带宽、控制器处理能力或交换机存储空间资源,使得整个SDN网络不能正常工作。
针对控制平面的DDoS攻击最明显的特征就是短时间内有大量的流量进入控制平面。对于DDoS攻击,最简单的检测机制就是在控制器端检测Packet-in消息速率,若Packet-in速率超过一定的阈值则认为存在攻击。但是只基于Packet-in消息速率由于检测指标单一、粗略,会导致较高的检测误差。为了提高检测精度,现有的检测机制主要利用统计方法或机器学习算法进行攻击检测。
其中,基于机器学习的检测算法,譬如基于SOM(Self-Organizing Maps)、深度学习的检测算法,其原理为基于攻击过程中的攻击特征指标训练得到一个攻击检测模型,在检测过程中基于该模型判断攻击发生与否。其中基于SOM的检测算法比较具有代表性,该检测算法检测之前需要利用采集得到的训练数据集对SOM模型进行训练,训练结束之后得到一个检测模型。在检测阶段通过周期性地采集交换机流表项信息,计算出APf、ABf等指标代入攻击模型中,用于判断是否存在攻击。
上述方法能够在一定程度上检测到DDoS攻击,对于基于机器学习的在线检测算法(即在检测过程中不断获取数据进行训练),由于训练过程需要占用较多CPU、内存资源,会对控制器造成较大的负担。
对于基于机器学习的离线检测算法,其检测精度严重依赖于训练数据集,在实际过程中,由于攻击方式的不同会导致攻击产生的特征会有较大的差异,较难采集到较为完备的训练数据集用于训练检测算法,尤其无法有效的区分突发流与攻击流,从而导致检测准确性较低。
发明内容
针对现有技术中的上述不足,本发明提供的针对SDN控制平面的DDoS攻击检测方法能够有效地区分攻击流与突发流。
为了达到上述发明目的,本发明采用的技术方案为:
提供一种针对SDN控制平面的DDoS攻击检测方法,其包括:
接收来自于交换机的OpenFlow报文;
当OpenFlow报文为Packet-in报文时,采用窗口计数器累计Packet-in报文数量;
当窗口计数器累计的Packet-in报文数量达到预设数量时,计算预设数量Packet-in报文的Packet-in速率:
Ratepacket_in=N/(Tend-Tbegin)
其中,Ratepacket_in为Packet-in速率;N为预设数量;Tbegin为窗口计数器记录第一个Packet-in报文的时间;Tend为窗口计数器记录第N个Packet-in报文的时间;
当Packet-in速率小于设定阈值时,则Packet-in报文对应的主机不存在攻击,将窗口计数器更新为零;
当Packet-in速率超过设定阈值时,基于Packet-in报文的熵值提取Packet-in报文中的可疑攻击源;
获取可疑攻击源的流表统计数据,并将流表项匹配报文数小于报文阈值的流标记为可疑流,之后计算可疑攻击源的可疑程度:
Rattack=Nsuspect/N
其中,Rattack为可疑程度;N为从可疑攻击源进入交换机的总流数目;Nsuspect为可疑流的数目;
当可疑程度小于可疑阈值时,则可疑攻击源对应的主机出现突发流,将窗口计数器更新为零;
当可疑程度大于等于可疑阈值时,则可疑攻击源对应的主机为被攻击对象,同时将窗口计数器更新为零。
进一步地,采用窗口计数器累计Packet-in报文数量之前还包括对进入控制器的Packet-in报文进行冗余Packet-in报文过滤和/或对进入控制器的Packet-in报文进行伪造源IP/MAC的攻击报文过滤。
进一步地,所述对进入控制器的Packet-in报文进行冗余Packet-in报文过滤的方法进一步包括:
提取Packet-in报文的流五元组信息用于表示一条流;
当控制器中未记录Packet-in报文的流五元组信息时,则控制器记录Packet-in报文的流五元组信息,并设置流五元组信息的过期时间;
当控制器中已记录Packet-in报文的五元组信息,且Packet-in报文的上报时间大于等于流五元组信息中设置的过期时间时,则控制器重新记录Packet-in报文的流五元组信息,并设置流五元组信息的过期时间;
当控制器中已记录Packet-in报文的五元组信息,且Packet-in报文的上报时间小于流五元组信息中设置的过期时间时,丢弃Packet-in报文。
进一步地,所述对进入控制器的Packet-in报文进行造源IP/MAC的攻击报文过滤的方法进一步包括:
提取Packet-in报文的源IP、源MAC信息、DPID和in-port,其中以DPID与in-port唯一表示交换机端口,并判断Packet-in报文中的交换机端口是否已绑定源IP和源MAC信息;
若未绑定,则将Packet-in报文中的源IP和源MAC信息与Packet-in报文中的交换机端口进行绑定,并进入采用窗口计数器累计Packet-in报文数量步骤;
若已绑定,则判断Packet-in报文的源IP和源MAC信息是否与Packet-in报文中的交换机端口绑定的源IP和源MAC信息相匹配;
若不匹配,则Packet-in报文中的交换机端口对应的主机为被攻击对象;否则,进入采用窗口计数器累计Packet-in报文数量步骤。
进一步地,所述基于Packet-in报文的熵值提取Packet-in报文中的可疑攻击源进一步包括:
计算预设数量的Packet-in报文的熵值;
当熵值小于预设熵值时,统计不同源IP发送的Packet-in报文数量,并根据每个源IP对应的Packet-in报文数量进行降序排序;
根据源IP发送的Packet-in报文数量降序顺序,依次去除源IP对应的Packet-in报文后,计算剩余Packet-in报文的熵值,直至剩余Packet-in报文的熵值大于等于预设熵值,停止去除源IP对应的Packet-in报文;
当剩余Packet-in报文的熵值大于等于预设熵值时,将已删除的Packet-in报文对应的交换机端口定位为可疑攻击源。
进一步地,所述Packet-in报文的熵值的计算公式为:
其中,H为熵值;Si为第i个源IP发出的Packet-in报文数量;n为Packet-in报文总数量,n≤预设数量;k为n个Packet-in报文对应源IP的种类。
进一步地,当数据包为Port-status报文时,且Port-status报文中的PORT_DOWN位存在置位时,删除控制器记录的交换机的端口与主机源IP/MAC信息。
与现有技术中的统计方法或机器学习算法进行攻击检测相比,本发明的有益效果为:
(1)优化性:本发明通过综合Packet-in速率、熵值和流表统计数据对攻击进行检测,同时本发明能够有效的区分攻击流与突发流,有效地提高了检测的精度。
(2)高效性:本发明在检测过程中使用的采用的检测指标如Packet-in速率、熵值等计算方式简单,耗费的CPU以及内存资源很少,不会对控制平面造成额外的负担,同时由于检测过程轻量级,能快速检测到攻击,因而检测效率高。
附图说明
图1为针对SDN控制平面的DDoS攻击检测方法的流程图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
参考图1,图1示出了针对SDN控制平面的DDoS攻击检测方法的流程图,如图1所示,该方法100包括步骤101至步骤114。
在步骤101中,接收来自于交换机的OpenFlow报文,此处的OpenFlow报文存在Packet-in报文和Port-status报文两种类型。
在步骤102中,判断OpenFlow报文是否为Packet-in报文,若是,则进入步骤105,否则进入步骤103。
在步骤103中,当OpenFlow报文为Port-status报文时,判断Port-status报文中的PORT_DOWN位是否存在置位,若存在,则进入步骤104中。
在步骤104中,删除控制器记录的Port-status报文对应的交换机的端口与主机源IP/MAC信息。
在步骤105中,采用窗口计数器累计Packet-in报文数量。
在本发明的一个实施例中,采用窗口计数器累计Packet-in报文数量之前还包括对进入控制器的Packet-in报文进行冗余Packet-in报文过滤和/或对进入控制器的Packet-in报文进行伪造源IP/MAC的攻击报文过滤。
实施时,本方案优选所述对进入控制器的Packet-in报文进行冗余Packet-in报文过滤的方法200进一步包括步骤201至步骤205。
在步骤201中,提取Packet-in报文的流五元组信息用于表示一条流。
在步骤202中,判断控制器中是否记录Packet-in报文的流五元组信息,若记录则进入步骤204,若未记录,则进入步骤203。
在步骤203中,控制器记录Packet-in报文的流五元组信息,并设置流五元组信息的过期时间。
在步骤204中,判断Packet-in报文的上报时间是否小于流五元组信息中设置的过期时间,若是,则进入步骤205,否则,进入步骤203。
在步骤205中,丢弃Packet-in报文。
实施时,本方案优选所述对进入控制器的Packet-in报文进行造源IP/MAC的攻击报文过滤的方法300进一步包括步骤301至步骤306。
在步骤301中,提取Packet-in报文的源IP、源MAC信息、DPID和in-port,其中以DPID与in-port唯一表示交换机端口。
在步骤302中,判断Packet-in报文中的交换机端口是否已绑定源IP和源MAC信息,若是未绑定,则进入步骤303,若已绑定则进入步骤304。
在步骤303中,将Packet-in报文中的源IP和源MAC信息与Packet-in报文中的交换机端口进行绑定,并进入采用窗口计数器累计Packet-in报文数量步骤。
在步骤304中,判断Packet-in报文的源IP和源MAC信息是否与Packet-in报文中的交换机端口绑定的源IP和源MAC信息相匹配,若匹配,则进入步骤306中,否则,进入步骤305中。
在步骤305中,Packet-in报文中的交换机端口对应的主机为被攻击对象。
在步骤306中,进入采用窗口计数器累计Packet-in报文数量步骤。
当本方案同时对进入控制器的Packet-in报文进行冗余Packet-in报文过滤和伪造源IP/MAC的攻击报文过滤时,优选先进行冗余Packet-in报文过滤,之后对进行冗余Packet-in报文过滤的Packet-in报文进行伪造源IP/MAC的攻击报文过滤。
由于冗余的Packet-in消息与攻击者发送的伪造源IP的攻击流分别会影响Packet-in速率以及熵值的计算的准确性,本方案通过上述方式对Packet-in报文进行过滤,能够大幅度提高最终检测的准确性。
在步骤106中,判断窗口计数器累计的Packet-in报文数量是否达到预设数量,若是,则进入步骤107,否则返回步骤105。
在步骤107中,计算预设数量Packet-in报文的Packet-in速率:
Ratepacket_in=N/(Tend-Tbegin)
其中,Ratepacket_in为Packet-in速率;N为预设数量;Tbegin为窗口计数器记录第一个Packet-in报文的时间;Tend为窗口计数器记录第N个Packet-in报文的时间。
在步骤108中,判断Packet-in速率是否小于设定阈值,若小于,则进入步骤109,否则,进入步骤110。
在步骤109中,Packet-in报文对应的主机不存在攻击,并将窗口计数器更新为零,并返回步骤105。
在步骤110中,基于Packet-in报文的熵值提取Packet-in报文中的可疑攻击源。
基于熵值进行进一步的检测主要用于定位到可疑的攻击源(底层交换机端口),若此时的Packet-in速率急剧增长的确是由攻击导致的(也可能是由突发流导致的),一旦确定了攻击源,后续就能对攻击进行有效地防御。
当攻击产生时,攻击者注入了大量的伪造流,相较于不存在攻击时,端口的无序程度会变化,而熵通常用作无序程度的度量,故本方案在Packet-in速率判断之后采用熵值确定可疑攻击对象。
在本发明的一个实施例中,所述基于Packet-in报文的熵值提取Packet-in报文中的可疑攻击源进一步包括步骤401至步骤406。
在步骤401中,计算预设数量的Packet-in报文的熵值。
在本发明的一个实施例中,所述Packet-in报文的熵值的计算公式为:
其中,H为熵值;Si为第i个源IP发出的Packet-in报文数量;n为Packet-in报文总数量,n≤预设数量;k为n个Packet-in报文对应源IP的种类。
在步骤402中,判断熵值是否小于预设熵值,若大于等于,则进入步骤403中,否则,进入步骤404中。
在步骤403中,Packet-in报文对应的交换机端口不存在攻击,将窗口计数器更新为零,之后返回步骤105。
在步骤404中,统计不同源IP发送的Packet-in报文数量,并根据每个源IP对应的Packet-in报文数量进行降序排序。
在步骤405中,根据源IP发送的Packet-in报文数量降序顺序,依次去除源IP对应的Packet-in报文后,计算剩余Packet-in报文的熵值,直至剩余Packet-in报文的熵值大于等于预设熵值。
下面结合具体的实例对步骤404和步骤405进行详细地说明:
假设统计不同源IP发送的Packet-in报文数量总共有10个,10个Packet-in报文中存在3个不同的源IP,分别为源IP1发出的Packet-in报文存在3个,源IP2发出的Packet-in报文存在5个,源IP3发出的Packet-in报文存在2个;则进行降序排列后为:源IP2、源IP1、源IP3。
之后根据源IP2、源IP1、源IP3的排序顺序,首先剔除的是源IP2对应的Packet-in报文,之后计算源IP1和源IP3的熵值,若熵值还是小于预设熵值,则再次剔除源IP1对应的Packet-in报文,继续计算剩余Packet-in报文的熵值,直至熵值大于等于预设熵值。
在步骤406中,当剩余Packet-in报文的熵值大于等于预设熵值时,将已删除的Packet-in报文对应的交换机端口定位为可疑攻击源。
通过熵值进行判定虽然相较于Packet-in速率检测能够定位到可疑攻击源,但仍然无法有效地区分攻击与突发流,而现有网络中超过90%的正常流至少包含5个报文。
由于攻击流主要为小流,因而可以对流中的报文数目进行分析从而进一步区分攻击流与正常流;当定位到可疑攻击源后,会继续利用交换机流表项统计数据(控制器可以发送OpenFlow消息到交换机用于获取具体某个端口的流表项统计数据,一条流表项对应一条流)进行进一步的判断,以便于区分出攻击与突发流。
对于流入交换机端口的某条流而言,如果其流表项匹配报文数小于一定的阈值PACKETS_NUM_THRESHOLD,则认为该流为可疑流(即有极大可能为攻击流),否则认为此流为正常流。
在步骤111中,获取可疑攻击源的流表统计数据,并将流表项匹配报文数小于报文阈值的流标记为可疑流,之后计算可疑攻击源的可疑程度:
Rattack=Nsuspect/N
其中,Rattack为可疑程度;N为从可疑攻击源进入交换机的总流数目;Nsuspect为可疑流的数目。
其中,交换机流表统计信息包括流表项持续时间(duration字段)、流表项匹配报文数(n_packets字段)、流表项匹配字节数(n_bytes字段)等信息。未进行流表项聚合情况下,一条流对应一条流表项,因而流n_packets字段可以表示流中报文数目,判断过程中使用n_packets字段作为区分攻击流与突发流的重要依据。
在步骤112中,判断可疑程度是否小于可疑阈值,若小于,则进入步骤113中,否则,进入步骤114中。
在步骤113中,可疑攻击源对应的主机出现突发流,将窗口计数器更新为零,之后返回步骤105;
在步骤114中,可疑攻击源对应的主机为被攻击对象,同时将窗口计数器更新为零,之后返回步骤105。
下面对本方案设计的针对SDN控制平面的DDoS攻击检测方法的实施部署场景进行说明:
本方案的检测方法可以部署在SDN网络中,以防御针对SDN控制平面的DDoS攻击,同时SDN网络中采用的是Reactive模式而不是Proactive模式,即网络中的OpenFlow交换机上未预先配置流表项,交换机接收到数据包文后向控制器上报Packet-in消息后控制器才下发相应的流表项。
相对于传统网络架构,SDN网络将控制功能从网络交换设备中分离出来,将其移入逻辑上独立的控制平面之中。该系统可在通用的服务器上运行,任何用户可随时、直接进行控制功能编程。因此,控制功能既不再局限于路由器中,也不再局限于只有设备的生产厂商才能够编程和定义。SDN的本质是逻辑集中控制平面的可编程化。
DDoS攻击检测方案部署
网络运营商可以将本发明所提出的DDoS攻击检测方法部署在SDN的控制平面或者应用平面。
当部署到控制平面时,可以将本发明提出的DDoS攻击检测算法作为其上部署控制器中的一个模块。由于现有控制器众多,需要根据部署的控制器具体实现检测算法。
当部署到应用平面时,DDoS检测算法可以作为一个第三方SDN应用,此时可以与控制平面之间通过REST API等北向接口进行通信,此种部署方式下只要控制器实现相应的北向接口即可,相较于部署到控制平面时部署成本更低,适用性也更广。
综上所述,本方案综合考虑了攻击产生时的多个特征(Packet-in速率、熵值与流表统计数据),相较于已有算法,能够有效地区分攻击流与突发流,在保证较高的检测准确性的同时定位到攻击源(底层交换机端口)。

Claims (7)

1.针对SDN控制平面的DDoS攻击检测方法,其特征在于,包括:
接收来自于交换机的OpenFlow报文;
当OpenFlow报文为Packet-in报文时,采用窗口计数器累计Packet-in报文数量;
当窗口计数器累计的Packet-in报文数量达到预设数量时,计算预设数量Packet-in报文的Packet-in速率:
Ratepacket_in=N/(Tend-Tbegin)
其中,Ratepacket_in为Packet-in速率;N为预设数量;Tbegin为窗口计数器记录第一个Packet-in报文的时间;Tend为窗口计数器记录第N个Packet-in报文的时间;
当Packet-in速率小于设定阈值时,则Packet-in报文对应的主机不存在攻击,并将窗口计数器更新为零;
当Packet-in速率超过设定阈值时,基于Packet-in报文的熵值提取Packet-in报文中的可疑攻击源;
获取可疑攻击源的流表统计数据,并将流表项匹配报文数小于报文阈值的流标记为可疑流,之后计算可疑攻击源的可疑程度:
Rattack=Nsuspect/N
其中,Rattack为可疑程度;N为从可疑攻击源进入交换机的总流数目;Nsuspect为可疑流的数目;
当可疑程度小于可疑阈值时,则可疑攻击源对应的主机出现突发流,将窗口计数器更新为零;
当可疑程度大于等于可疑阈值时,则可疑攻击源对应的主机为被攻击对象,同时将窗口计数器更新为零。
2.根据权利要求1所述的针对SDN控制平面的DDoS攻击检测方法,其特征在于,采用窗口计数器累计Packet-in报文数量之前还包括对进入控制器的Packet-in报文进行冗余Packet-in报文过滤和/或对进入控制器的Packet-in报文进行伪造源IP/MAC的攻击报文过滤。
3.根据权利要求1所述的针对SDN控制平面的DDoS攻击检测方法,其特征在于,所述对进入控制器的Packet-in报文进行冗余Packet-in报文过滤的方法进一步包括:
提取Packet-in报文的流五元组信息用于表示一条流;
当控制器中未记录Packet-in报文的流五元组信息时,则控制器记录Packet-in报文的流五元组信息,并设置流五元组信息的过期时间;
当控制器中已记录Packet-in报文的五元组信息,且Packet-in报文的上报时间大于等于流五元组信息中设置的过期时间时,则控制器重新记录Packet-in报文的流五元组信息,并设置流五元组信息的过期时间;
当控制器中已记录Packet-in报文的五元组信息,且Packet-in报文的上报时间小于流五元组信息中设置的过期时间时,丢弃Packet-in报文。
4.根据权利要求2或3所述的针对SDN控制平面的DDoS攻击检测方法,其特征在于,所述对进入控制器的Packet-in报文进行造源IP/MAC的攻击报文过滤的方法进一步包括:
提取Packet-in报文的源IP、源MAC信息、DPID和in-port,其中以DPID与in-port唯一表示交换机端口,并判断Packet-in报文中的交换机端口是否已绑定源IP和源MAC信息;
若未绑定,则将Packet-in报文中的源IP和源MAC信息与Packet-in报文中的交换机端口进行绑定,并进入采用窗口计数器累计Packet-in报文数量步骤;
若已绑定,则判断Packet-in报文的源IP和源MAC信息是否与Packet-in报文中的交换机端口绑定的源IP和源MAC信息相匹配;
若不匹配,则Packet-in报文中的交换机端口对应的主机为被攻击对象;否则,进入采用窗口计数器累计Packet-in报文数量步骤。
5.根据权利要求1所述的针对SDN控制平面的DDoS攻击检测方法,其特征在于,所述基于Packet-in报文的熵值提取Packet-in报文中的可疑攻击源进一步包括:
计算预设数量的Packet-in报文的熵值;
当熵值小于预设熵值时,统计不同源IP发送的Packet-in报文数量,并根据每个源IP对应的Packet-in报文数量进行降序排序;
根据源IP发送的Packet-in报文数量降序顺序,依次去除源IP对应的Packet-in报文后,计算剩余Packet-in报文的熵值,直至剩余Packet-in报文的熵值大于等于预设熵值,停止去除源IP对应的Packet-in报文;
当剩余Packet-in报文的熵值大于等于预设熵值时,将已删除的Packet-in报文对应的交换机端口定位为可疑攻击源。
6.根据权利要求5所述的针对SDN控制平面的DDoS攻击检测方法,其特征在于,所述Packet-in报文的熵值的计算公式为:
其中,H为熵值;Si为第i个源IP发出的Packet-in报文数量;n为Packet-in报文总数量,n≤预设数量;k为n个Packet-in报文对应源IP的种类。
7.根据权利要求1所述的针对SDN控制平面的DDoS攻击检测方法,其特征在于,当数据包为Port-status报文时,且Port-status报文中的PORT_DOWN位存在置位时,删除控制器记录的Port-status报文对应的交换机的端口与主机源IP/MAC信息。
CN201810396522.6A 2018-04-28 2018-04-28 针对SDN控制平面的DDoS攻击检测方法 Active CN108282497B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810396522.6A CN108282497B (zh) 2018-04-28 2018-04-28 针对SDN控制平面的DDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810396522.6A CN108282497B (zh) 2018-04-28 2018-04-28 针对SDN控制平面的DDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN108282497A true CN108282497A (zh) 2018-07-13
CN108282497B CN108282497B (zh) 2020-01-03

Family

ID=62811917

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810396522.6A Active CN108282497B (zh) 2018-04-28 2018-04-28 针对SDN控制平面的DDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN108282497B (zh)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109768981A (zh) * 2019-01-20 2019-05-17 北京工业大学 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
CN110138759A (zh) * 2019-05-06 2019-08-16 华东师范大学 SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统
CN110149321A (zh) * 2019-05-06 2019-08-20 长沙市智为信息技术有限公司 一种应用于sdn网络中ddos攻击的检测及防御方法和装置
CN110247893A (zh) * 2019-05-10 2019-09-17 中国联合网络通信集团有限公司 一种数据传输方法和sdn控制器
CN110266726A (zh) * 2019-07-08 2019-09-20 新华三信息安全技术有限公司 一种识别ddos攻击数据流的方法及装置
CN110798442A (zh) * 2019-09-10 2020-02-14 广州西麦科技股份有限公司 数据注入攻击检测方法及相关装置
CN111695115A (zh) * 2020-05-25 2020-09-22 武汉大学 基于通信时延与安全性评估的工控系统网络攻击溯源方法
CN111800383A (zh) * 2020-06-02 2020-10-20 深圳供电局有限公司 一种基于SDN的DDos流量检测方法及装置
CN111935063A (zh) * 2020-05-28 2020-11-13 国网电力科学研究院有限公司 一种终端设备异常网络访问行为监测系统及方法
CN112702309A (zh) * 2020-11-24 2021-04-23 福建师范大学 一种SDN环境中的DDoS攻击溯源方法及终端
CN112769791A (zh) * 2020-12-30 2021-05-07 北京天融信网络安全技术有限公司 一种网络防御方法及装置
CN112953910A (zh) * 2021-01-28 2021-06-11 西安电子科技大学 基于软件定义网络的DDoS攻击检测方法
CN113452695A (zh) * 2021-06-25 2021-09-28 中国舰船研究设计中心 一种SDN环境下的DDoS攻击检测和防御方法
CN113596050A (zh) * 2021-08-04 2021-11-02 四川英得赛克科技有限公司 异常流量的分离过滤方法、系统、存储介质及电子设备
CN113824700A (zh) * 2021-08-31 2021-12-21 浙江大学 基于端口相似性的双阶段软件定义网络流表溢出防御方法
CN115695041A (zh) * 2022-11-17 2023-02-03 安超云软件有限公司 基于sdn的ddos攻击检测与防护的方法及应用
CN115664754B (zh) * 2022-10-18 2024-04-26 湖南大学 一种基于无序程度的慢速流表溢出攻击检测与缓解方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应系统及方法
CN105162759A (zh) * 2015-07-17 2015-12-16 哈尔滨工程大学 一种基于网络层流量异常的SDN网络DDoS攻击检测方法
US20160099964A1 (en) * 2014-10-01 2016-04-07 Ciena Corporation Systems and methods to detect and defend against distributed denial of service attacks
US20160381069A1 (en) * 2012-06-11 2016-12-29 Radware, Ltd. Techniques for traffic diversion in software defined networks for mitigating denial of service attacks
CN106561016A (zh) * 2015-11-19 2017-04-12 国网智能电网研究院 一种基于熵的SDN控制器DDoS攻击检测装置和方法
US20170111397A1 (en) * 2013-07-16 2017-04-20 Fortinet, Inc. System and method for software defined behavioral ddos attack mitigation
CN106921666A (zh) * 2017-03-06 2017-07-04 中山大学 一种基于协同理论的DDoS攻击防御系统及方法
CN107959690A (zh) * 2018-01-16 2018-04-24 中国人民解放军国防科技大学 基于软件定义网络的DDoS攻击跨层协同防御方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160381069A1 (en) * 2012-06-11 2016-12-29 Radware, Ltd. Techniques for traffic diversion in software defined networks for mitigating denial of service attacks
US20170111397A1 (en) * 2013-07-16 2017-04-20 Fortinet, Inc. System and method for software defined behavioral ddos attack mitigation
US20160099964A1 (en) * 2014-10-01 2016-04-07 Ciena Corporation Systems and methods to detect and defend against distributed denial of service attacks
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应系统及方法
CN105162759A (zh) * 2015-07-17 2015-12-16 哈尔滨工程大学 一种基于网络层流量异常的SDN网络DDoS攻击检测方法
CN106561016A (zh) * 2015-11-19 2017-04-12 国网智能电网研究院 一种基于熵的SDN控制器DDoS攻击检测装置和方法
CN106921666A (zh) * 2017-03-06 2017-07-04 中山大学 一种基于协同理论的DDoS攻击防御系统及方法
CN107959690A (zh) * 2018-01-16 2018-04-24 中国人民解放军国防科技大学 基于软件定义网络的DDoS攻击跨层协同防御方法

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109768981B (zh) * 2019-01-20 2021-02-02 北京工业大学 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
CN109768981A (zh) * 2019-01-20 2019-05-17 北京工业大学 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
CN110138759A (zh) * 2019-05-06 2019-08-16 华东师范大学 SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统
CN110149321A (zh) * 2019-05-06 2019-08-20 长沙市智为信息技术有限公司 一种应用于sdn网络中ddos攻击的检测及防御方法和装置
CN110247893A (zh) * 2019-05-10 2019-09-17 中国联合网络通信集团有限公司 一种数据传输方法和sdn控制器
CN110247893B (zh) * 2019-05-10 2021-07-13 中国联合网络通信集团有限公司 一种数据传输方法和sdn控制器
CN110266726A (zh) * 2019-07-08 2019-09-20 新华三信息安全技术有限公司 一种识别ddos攻击数据流的方法及装置
CN110266726B (zh) * 2019-07-08 2021-07-20 新华三信息安全技术有限公司 一种识别ddos攻击数据流的方法及装置
CN110798442A (zh) * 2019-09-10 2020-02-14 广州西麦科技股份有限公司 数据注入攻击检测方法及相关装置
CN111695115A (zh) * 2020-05-25 2020-09-22 武汉大学 基于通信时延与安全性评估的工控系统网络攻击溯源方法
CN111695115B (zh) * 2020-05-25 2023-05-05 武汉大学 基于通信时延与安全性评估的工控系统网络攻击溯源方法
CN111935063A (zh) * 2020-05-28 2020-11-13 国网电力科学研究院有限公司 一种终端设备异常网络访问行为监测系统及方法
CN111935063B (zh) * 2020-05-28 2023-11-21 国网电力科学研究院有限公司 一种终端设备异常网络访问行为监测系统及方法
CN111800383A (zh) * 2020-06-02 2020-10-20 深圳供电局有限公司 一种基于SDN的DDos流量检测方法及装置
CN112702309A (zh) * 2020-11-24 2021-04-23 福建师范大学 一种SDN环境中的DDoS攻击溯源方法及终端
CN112769791A (zh) * 2020-12-30 2021-05-07 北京天融信网络安全技术有限公司 一种网络防御方法及装置
CN112953910A (zh) * 2021-01-28 2021-06-11 西安电子科技大学 基于软件定义网络的DDoS攻击检测方法
CN112953910B (zh) * 2021-01-28 2022-07-01 西安电子科技大学 基于软件定义网络的DDoS攻击检测方法
CN113452695A (zh) * 2021-06-25 2021-09-28 中国舰船研究设计中心 一种SDN环境下的DDoS攻击检测和防御方法
CN113596050A (zh) * 2021-08-04 2021-11-02 四川英得赛克科技有限公司 异常流量的分离过滤方法、系统、存储介质及电子设备
CN113824700A (zh) * 2021-08-31 2021-12-21 浙江大学 基于端口相似性的双阶段软件定义网络流表溢出防御方法
CN113824700B (zh) * 2021-08-31 2022-11-15 浙江大学 基于端口相似性的双阶段软件定义网络流表溢出防御方法
CN115664754B (zh) * 2022-10-18 2024-04-26 湖南大学 一种基于无序程度的慢速流表溢出攻击检测与缓解方法
CN115695041A (zh) * 2022-11-17 2023-02-03 安超云软件有限公司 基于sdn的ddos攻击检测与防护的方法及应用

Also Published As

Publication number Publication date
CN108282497B (zh) 2020-01-03

Similar Documents

Publication Publication Date Title
CN108282497A (zh) 针对SDN控制平面的DDoS攻击检测方法
Li et al. Large-scale IP traceback in high-speed Internet: Practical techniques and theoretical foundation
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
CN110519290B (zh) 异常流量检测方法、装置及电子设备
CN108063765B (zh) 适于解决网络安全的sdn系统
CN111817982B (zh) 一种面向类别不平衡下的加密流量识别方法
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
Wang et al. A data streaming method for monitoring host connection degrees of high-speed links
CN102801738B (zh) 基于概要矩阵的分布式拒绝服务攻击检测方法及系统
Sung et al. Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation
EP3266156A1 (en) Network infrastructure device to implement pre-filter rules
CN109150859B (zh) 一种基于网络流量流向相似性的僵尸网络检测方法
CN108965248A (zh) 一种基于流量分析的p2p僵尸网络检测系统及方法
CN108632269A (zh) 基于c4.5决策树算法的分布式拒绝服务攻击检测方法
CN105429940B (zh) 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法
CN114513340B (zh) 一种软件定义网络中的两级DDoS攻击检测与防御方法
CN106357660A (zh) 一种ddos防御系统中检测伪造源ip的方法和装置
CN108011865A (zh) 基于流水印和随机采样的sdn流迹追踪方法、装置及系统
CN108833430B (zh) 一种软件定义网络的拓扑保护方法
CN110213254A (zh) 一种识别伪造互联网协议ip报文的方法和设备
CN110138759A (zh) SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统
CN107864110A (zh) 僵尸网络主控端检测方法和装置
CN108881315A (zh) 一种基于nfv的检测和恢复双lsa攻击ospf协议的方法及系统
CN109361658A (zh) 基于工控行业的异常流量信息存储方法、装置及电子设备
CN109257384A (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant