CN110138759A - SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统 - Google Patents

Abstract

本发明涉及SDN以及计算机网络领域，实现了一种SDN环境下针对Packet‑In注入攻击的轻量级自适应检测方法。其步骤包括：建立概率检测模型并设定阈值，控制器根据Packet‑In消息数目的历史样本，结合设定的参数进行建模；设置白名单过滤伪IP/MAC地址消息；基于检测模型对Packet‑In消息进行攻击检测；若检测结果为存在攻击，则使用统计排序方法来找出攻击源并进行防御；同时对白名单和阈值进行动态更新。本发明方法建立了概率模型对Packet‑In消息进行检测，能迅速识别出Packet‑In数据包注入攻击，并根据网络的实际状况对参数进行调整，具有轻量级、自适应等优点。

Description

SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法 及系统

技术领域

本发明涉及SDN以及计算机网络技术领域，尤其涉及一种SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统。

背景技术

软件定义网络SDN(Software-DefinedNetworking)是一种新型的网络架构，该架构通过OpenFlow技术将数据平面与控制平面分离开来，其中控制平面能够对传统分布式的网络状态进行集中管理，为网络管理、QoS、核心网络及应用的创新提供了良好的平台。然而其自身的安全问题也日益显露，如数据层面临的DDoS攻击、南向接口SSL协议的不安全性、控制器的单点故障、应用层的恶意应用程序攻击等等。其中控制器的单点故障将导致控制器、交换机、被攻击主机及整个网络不同程度的瘫痪。由于控制器的集中特性，每当网络出现新流时控制器便需要处理交换机发来的Packet-In消息，此时若攻击者大量注入伪造数据包，便会触发Packet-In注入攻击，导致DDoS攻击、泛洪攻击、拓扑欺骗等，使控制器无法处理正常消息，造成单点故障，甚至上层应用的瘫痪。

在针对控制器的安全防御研究中，提出了TopoGuard、PacketChecker等防御工具，以及一些针对控制器攻击提出的使用阈值检测、统计检测和机器学习等方法的防御机制。其中TopoGuard是一种针对拓扑欺骗攻击的工具。通过验证Port Down信号是否出现等方法，达到核实主机迁移真实性的效果。但该方法未考虑大量Packet-In消息注入的情况。PacketChecker提出了一种基于Packet-In合法性检测的防御策略，通过验证Packet-In消息是否合法，来决定该消息是否应该被转发给控制器处理。该方法未考虑攻击者伪造MAC地址的情况。阈值检测方法是通过判断网络中的流量是否超过规定的阈值来判断是否发生了DDoS等流量攻击。该方法不能及时区别突发流和攻击，容易造成误报。统计检测和机器学习方法是通过对网络中一些固定特征的数据，流量进行建模，用模型来预测并判断网络中的数据，流量是否异常。该方法通常需要进行大量计算。这些方法为SDN的安全防御机制提供了很多解决思路。

在此基础上中，申请人发现《基于混合制排队模型的SDN控制器性能评估研究》中提到，Packet-In消息的到达率满足泊松分布，故选择该统计模型结合阈值检测方法进行对Packet-In注入攻击的检测。为了满足实际网络的需要，加入了使参数能自行学习的自适应机制。能够达到及时检测攻击，自适应更新及开销小的效果。

目前在SDN网络环境下，经过对多种检测方法的调研，针对该种攻击提出了一种轻量且综合的新技术，使其在检测和防御方面都有较好的表现。

发明内容

本发明克服了现有技术的局限性，提出了一种SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法。本发明应用在SDN环境中，将利用控制器的集中控制特性，基于概率模型对Packet-In注入攻击进行检测，还能够根据实际网络的情况对参数进行自适应的动态更新。

本发明包括以下步骤：

S1.建立概率检测模型：控制器中的模型建立模块根据该网络中Packet-In消息的历史正常流量样本，通过矩估计法计算样本均值；再根据泊松分布的性质和正态分布的公式，建立正常情况下的对照检测模型并设置阈值α；

S2.设置白名单并过滤伪IP/MAC消息：控制器中的消息过滤模块根据收到的Packet-In消息和Port-Status消息记录当前网络时段的过滤白名单，其处理步骤如下：

步骤S201控制器监听并接收到Packet-In消息或Port-Status消息；

步骤S202消息过滤模块判断收到的消息是否为Packet-In消息；

步骤S203若收到Port-Status消息，检验该消息中的PORT-DOWN字段是否置位；若PORT-DOWN字段已置位，记录该消息的端口信息，转步骤S204；否则，转步骤S201，继续监听OpenFlow消息；

步骤S204若收到攻击源的端口信息，则从白名单中删除相关条目；

步骤S205若收到Packet-In消息，检验该消息的合法性，构造并更新白名单：若该消息合法，则转步骤S301；若不合法，则该消息的源主机为被攻击主机，将该源主机的端口信息发送到防御模块，转步骤S402；

S3.基于检测模型进行自适应攻击检测：其处理步骤如下：

步骤S301控制器中的检测模块获取待检测窗口内的Packet-In消息数目,计算其概率密度，并与阈值α比较；

步骤S302与检测模型中的概率密度进行对比，若连续两个窗口比值均小于阈值α，则判定为发生攻击，启动防御模块，转步骤S401。若否，则运行正常，转步骤S303；

步骤S303通知模型建立模块使用指数加权移动平均法，利用最新的正常窗口内的消息数来更新当前参数；

S4.根据检测结果进行防御并自适应调整参数：其处理步骤如下：

步骤S401控制器中的防御模块通过找出消息数目最大的端口来找出攻击源，记录其端口信息；

步骤S402防御模块构造并下发Flow_Mod消息到交换机，丢弃与攻击源端口信息相匹配的数据包，并发送端口信息到消息过滤模块，令其更新白名单，以丢弃非法的数据包，转步骤S204。

其中，所述模型建立模块计算样本期望参数中，使用矩估计法的计算公式其中，m表示样本的期望，m_i为第i个窗口内样本的数目，n为样本窗口的个数。

其中，所述模型建立模块建立泊松分布概率检测模型的方法中，使用的概率密度计算公式为：其中，f(m)表示期望为m时概率密度的值，m为样本的期望。

其中，所述步骤S301中，检测模块计算概率密度的公式为： 其中，f(m_t)表示待检测窗口的概率密度函数，m_t为待检测窗口内采样的Packet-In数目，m表示检测模型的期望参数。

其中，所述步骤S303中，模型建立模块使用指数加权移动平均法更新参数的公式为：EWMA_t＝λy_t+(1-λ)EWMA_t-1,t＝1,2,3,…,n；其中EWMA_t为t时刻的估计值，y_t为t时刻的测量值，λ为衰减因子，n为EWMA模型追踪的观测值个数。

基于以上方法，本发明还提出了一种SDN环境下针对Packet-In注入攻击的轻量级自适应检测系统，包括：

模型建立模块，用于建立概率检测模型；

消息过滤模块，用于设置白名单并过滤伪IP/MAC消息；

检测模块，用于基于检测模型进行自适应攻击检测；

防御模块，用于根据检测结果进行防御并自适应调整参数。

本发明的有益效果：

本发明首次提出了一种SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法，可以使控制器以较低的网络开销获取高准确度的检测结果，并进行防御。

本发明还有以下优点：控制器在进行检测和防御时，通过过滤伪IP/MAC地址的数据包，大大减轻了控制器的处理压力，并达到防御拓扑欺骗攻击的效果；通过统计排序的方法来定位攻击源，能够一次发现多个攻击源，达到迅速防御DDoS攻击的效果，且不妨碍正常数据包的转发；通过自适应更新参数和连续两个窗口检测，能够防止突发流的误报。

本发明适用于攻击者引发大量Packet-In消息对被动模式下的控制器进行攻击的情况，例如高速大量发送具有虚假IP地址，MAC地址等字段的伪造数据包。

附图说明

图1是本发明针对Packet-In注入攻击的轻量级自适应检测方法的工作流程示意图。

图2是本发明针对Packet-In注入攻击的轻量级自适应检测方法的具体检测流程图。

图3是本发明针对Packet-In注入攻击的轻量级自适应检测系统的模块示意图。

图4是本发明针对Packet-In注入攻击的攻击模型示意图和Packet-In攻击检测防御系统的部署示意图。

具体实施方式

结合以下具体实施例和附图，对本发明作进一步的详细说明。实施本发明的过程、条件、实验方法等，除以下专门提及的内容之外，均为本领域的普遍知识和公知常识，本发明没有特别限制内容。

图1是本发明针对Packet-In注入攻击的轻量级自适应检测方法工作流程示意图。如图1所示，本发明针对Packet-In注入攻击的轻量级自适应检测方法主要包括四个阶段：建立概率检测模型，设置白名单并过滤伪IP/MAC消息，基于检测模型对攻击进行自适应检测，根据检测结果进行防御并自适应调整参数。

本发明还提出了一种SDN环境下针对Packet-In注入攻击的轻量级自适应检测系统，包括模型建立模块，用于建立概率检测模型；消息过滤模块，用于设置白名单并过滤伪IP/MAC消息；检测模块，用于基于检测模型进行自适应攻击检测；防御模块，用于根据检测结果进行防御并自适应调整参数。

本发明中提出的SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法中：

S1.建立概率检测模型：

控制器中的模型建立模块获取正常流量的历史数据，按照设定的窗口大小进行采样，利用矩估计法计算出样本的期望m_i为第i个窗口内样本的数目，n为样本窗口的个数。使用矩估计法计算的样本均值即为总体期望。用于建立泊松分布概率检测模型。

在实际网络流量中，Packet-In消息到达率满足泊松分布P(λ)，其中往往λ＞20。因此建立检测模型的方法中，根据泊松分布的性质，使用的概率密度计算公式为正态分布N(λ，λ)的概率公式。以此建立出正常流量下的泊松分布检测模型，其概率密度函数为

设置阈值α，其大小范围在0-1之间，具体值要根据误报率和漏报率权衡，网络对攻击承受力越小时，可设置的α值越大。

S2.设置白名单并过滤伪IP/MAC消息：

当一个新主机加入网络时，其所发送的新数据包在交换机中无匹配流表项，故交换机发送Packet-In消息到控制器。当某一主机离开网络时，交换机会发送Port-Status消息到控制器，并将消息中的PORT-DOWN字段置位，表示该端口的主机离开网络。由于端口字段(DPID和IN_PORT字段)可以唯一确定一台主机，因此可以通过记录端口字段和对应的源IP，源MAC地址，判断是否发生了伪IP/MAC地址消息攻击。

图2是本发明针对Packet-In注入攻击的轻量级自适应检测方法的具体检测流程图。如图2所示，本阶段的具体步骤如下：

步骤S201控制器监听并接收到来自交换机的OpenFlow消息(此处特指Packet-In消息和Port-Status消息)；

步骤S202消息过滤模块判断收到的消息是否为Packet-In消息，若是，转步骤S205；否则，转步骤S203；

步骤S203若是Port-Status消息，则继续判断该消息中PORT-DOWN字段是否置位，若已置位，记录该消息的DPID和IN_PORT字段，跳转步骤S204；若未置位，则转步骤S201，继续监听OpenFlow消息；

步骤S204收到攻击源的中DPID和IN_PORT字段，在白名单中删除相匹配的条目，以达到动态更新的目的。

步骤S205若是Packet-In消息，在转发到其他模块前，先判断该消息的合法性。即该消息的DPID，IN_PORT字段和源IP地址，源MAC地址与白名单中对应条目是否一致。

首先抓取Packet-In消息中的DPID和IN_PORT字段，在白名单中查找其是否已存在且绑定了IP地址和MAC地址。

若不存在或未绑定，则将该消息中的源IP地址和源MAC地址字段与其绑定并加入白名单。在白名单中，DPID，IN_PORT，源IP地址和源MAC地址四个字段为一个条目，其中端口字段DPID和IN_PORT为主键值；

若DPID和IN_PORT字段已存在且绑定，则将该消息中的源IP地址和源MAC地址字段和已存在的对应条目进行比对，验证是否相同。若相同，则该消息合法，不存在伪IP/MAC地址消息攻击，继续转发到检测模块，跳转步骤S301；若不相同，则该消息不合法，判定发生了伪IP/MAC地址消息攻击，且该消息端口对应的主机为被攻击主机。此时将攻击源的DPID和IN_PORT字段发送到防御模块，并跳转步骤S402；

S3.基于检测模型对攻击进行自适应检测：

当发生大量Packet-In消息注入攻击时，必定会导致控制器收到的消息数目分布产生异常，与正常状态下的泊松分布产生一定程度的偏离。基于此原理，能够利用正常网络下的泊松分布模型来进行攻击检测。

但是在实际的网络中，Packet-In消息数目可能会发生变化。这种变化较为柔和，和突发攻击时的巨大变化不同，但依旧可能导致参数的更改。因此需要一种自适应更新参数的自学习机制。由于指数加权移动平均法能够提高最新采样数据的权重，故可以利用该方法来有效地适应网络的该种变化。

该阶段的具体步骤如下：

步骤S301检测模块用窗口计数器对收到的正常Packet-In消息进行采样，并计算出当前窗口的概率密度其中，m_t为该窗口内采集到的Packet-In消息数目，m表示检测模型的期望参数。再计算f(m_t)与f(m)的比值其中，f(m)表示泊松分布检测模型的概率密度，并与阈值α对比。

步骤S302若比值不小于阈值α，则不存在攻击，转步骤S303；若比值小于阈值α，则判定为疑似攻击，保存该窗口的采样记录。同时窗口计数器归零，进行新窗口的采样并计算概率密度的比值。

若新窗口的比值不小于阈值α，则判定出现了突发流，并非存在攻击，并跳转步骤S303；

若新窗口的比值仍小于阈值α，则判定出现了攻击，并跳转步骤S401；

步骤S303检测模块将该正常窗口的采样值发送到模型建立模块，模型建立模块使用指数加权移动平均法更新期望参数的值EWMA_t＝λy_t+(1-λ)EWMA_t-1,t＝1,2,3,…,n其中EWMA_t为t时刻的估计值，y_t为t时刻的测量值，λ为衰减因子，表示EWMA对于历史测量值的权重系数，n为EWMA模型追踪的观测值个数。令新的采样正常值占更大权重，以自适应地满足网络中柔和的流量变化。

S4.根据检测结果进行防御并自适应调整参数：

步骤S401防御模块分别统计不同的源IP发送的Packet-In消息数目，并按照每个源IP地址对应Packet-In消息数目的降序排序。按照该顺序依次去除对应数目最高的条目后，计算剩余Packet-In消息总数的概率密度，并和检测模型对比，直到剩余消息数目的比值不大于阈值为止。此时已删除的条目对应的交换机端口即为攻击源。记录下攻击源的DPID和IN_PORT字段，转步骤S402。

步骤S402防御模块收到攻击源的DPID和IN_PORT字段，构造并下发Flow_Mod消息到交换机，在流表中加入一条以攻击源DPID和IN_PORT字段为匹配关键字的流表项，其ACTION字段为DROP。当交换机接收到的数据包端口字段与攻击源匹配时，执行丢弃操作，以丢弃所有该端口发来的数据包。由于攻击源会高速大量地发送恶意包，故给该流表项设定空闲过期时间，待攻击停止后交换机自动删除该流表项，不影响正常通信。

记录攻击源的DPID和IN_PORT字段，发送到消息过滤模块，删除相关记录，实时对白名单进行更新，进一步防御该端口的攻击，转步骤S204。

如图3所示的针对Packet-In注入攻击的轻量级自适应检测系统的模块示意图，其包括：模型建立模块、消息过滤模块、检测模块及防御模块。

模型建立模块用于根据历史数据建立概率检测模型，设置阈值，然后接收检测模块发来的新采样数据，对模型参数进行更新。

消息过滤模块用于建立白名单过滤伪IP/MAC消息，同时收取防御模块的攻击源信息，用以实时更新白名单。

检测模块用于对Packet-In消息进行采样，计算概率密度并判断是否发生攻击，将正常的采样数据发送到模型建立模块。

防御模块用于攻击发生时，查找攻击源并下发防御消息到交换机进行防御，同时发送攻击源信息到消息过滤模块。

如图4所示针对Packet-In注入攻击的攻击模型示意图，其包括控制器，交换机网络，攻击者和正常主机。

正常主机发送正常的数据包到交换机，进行正常通信。

攻击者可能是外部攻击者，或入侵内部某主机的攻击者，向网络中发送大量恶意数据包，如伪IP/MAC消息，或大量向控制器注入恶意数据包。

交换机网络收到主机或攻击者发来的新数据包，在流表中找不到匹配项，故发送Packet-In消息到控制器，询问转发路径。

控制器收到大量Packet-In数据包，无法判定其真伪，对伪IP/MAC消息可能发送大量广播查找不存在的端口，或将伪造主机加入网络拓扑，造成资源浪费，拓扑爆炸；对其他大量注入的Packet-In数据包，需要花费大量资源去处理，导致控制器的处理能力降低，无法处理正常的数据包，甚至造成单点故障，上层应用崩溃，网络瘫痪等严重后果。

如图4所示Packet-In攻击检测防御系统的部署示意图，其中该系统部署在控制器中。

本发明的保护内容不局限于以上实施例。在不背离发明构思的精神和范围下，本领域技术人员能够想到的变化和优点都被包括在本发明中，并且以所附的权利要求书为保护范围。

Claims (7)

1.一种SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法，其特征在于，包括以下步骤：

S1.建立概率检测模型：控制器中的模型建立模块根据该网络中Packet-In消息的历史正常流量样本，通过矩估计法计算样本均值；再根据泊松分布的性质和正态分布的公式，建立正常情况下的对照检测模型并设置阈值α；

S2.设置白名单并过滤伪IP/MAC消息：控制器中的消息过滤模块根据收到的Packet-In消息和Port-Status消息记录当前网络时段的过滤白名单，其处理步骤包括：

步骤S201控制器监听并接收到Packet-In消息或Port-Status消息；

步骤S202消息过滤模块判断收到的消息是否为Packet-In消息；

步骤S203若收到Port-Status消息，检验该消息中的PORT-DOWN字段是否置位；若PORT-DOWN字段已置位，记录该消息的端口信息，转步骤S204；否则，转步骤S201，继续监听OpenFlow消息；

步骤S204若收到攻击源的端口信息，则从白名单中删除相关条目；

步骤S205若收到Packet-In消息，检验该消息的合法性，构造并更新白名单：若该消息合法，则转步骤S301；若不合法，则该消息的源主机为被攻击主机，将该源主机的端口信息发送到防御模块，转步骤S402；

S3.基于检测模型进行自适应攻击检测：其处理步骤如下：

步骤S301控制器中的检测模块获取待检测窗口内的Packet-In消息数目,计算其概率密度，并与阈值α比较；

步骤S302与检测模型中的概率密度进行对比，若连续两个窗口比值均小于阈值α，则判定为发生攻击，启动防御模块，转步骤S401；若否，则运行正常，转步骤S303；

步骤S303通知模型建立模块使用指数加权移动平均法，利用最新的正常窗口内的消息数来更新当前参数；

S4.根据检测结果进行防御并自适应调整参数：其处理步骤如下：

步骤S401控制器中的防御模块通过找出消息数目最大的端口来找出攻击源，记录其端口信息；

步骤S402防御模块构造并下发Flow_Mod消息到交换机，丢弃与攻击源端口信息相匹配的数据包，并发送端口信息到消息过滤模块，令其更新白名单，以丢弃非法的数据包，转步骤S204。

2.根据权利要求1所述的SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法，在步骤S201中，消息过滤模块通过读取Packet-In数据包的头字段，设定白名单。

3.根据权利要求1所述的SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法，其特征在于，在S1中，模型建立模块计算样本期望参数时，使用矩估计法的计算公式为：

其中，m表示样本的期望，m_i为第i个窗口内样本的数目，n为样本窗口的个数。

4.根据权利要求1所述的SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法，其特征在于，在S1中，模型建立模块建立泊松分布概率检测模型时，使用的概率密度计算公式为：

其中，f(m)表示期望为m的概率密度的值，m表示样本的期望。

5.根据权利要求1所述的SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法，其特征在于，在步骤S301中，检测模块计算概率密度的公式为：

其中，f(m_t)表示待检测窗口的概率密度函数，m_t为待检测窗口内采样的Packet-In消息数目，m表示检测模型的期望参数。

6.根据权利要求1所述的SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法，其特征在于，在步骤S303中，模型建立模块使用指数加权移动平均法更新参数的公式为：

EWMA_t＝λy_t+(1-λ)EWMA_t-1,t＝1,2,3,…,n

其中EWMA_t为t时刻的估计值，y_t为t时刻的测量值，λ为衰减因子，表示EWMA对于历史测量值的权重系数，n为EWMA模型追踪的观测值个数。

7.一种SDN环境下针对Packet-In注入攻击的轻量级自适应检测系统，其特征在于，采用如权利要求1-6之任一项所述的SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法，所述系统包括：

模型建立模块，用于建立概率检测模型；

消息过滤模块，用于设置白名单并过滤伪IP/MAC消息；

检测模块，用于基于检测模型进行自适应攻击检测；

防御模块，用于根据检测结果进行防御并自适应调整参数。