CN112788062B - SDN中基于ET-EDR的LDoS攻击检测与缓解方法 - Google Patents
SDN中基于ET-EDR的LDoS攻击检测与缓解方法 Download PDFInfo
- Publication number
- CN112788062B CN112788062B CN202110130818.5A CN202110130818A CN112788062B CN 112788062 B CN112788062 B CN 112788062B CN 202110130818 A CN202110130818 A CN 202110130818A CN 112788062 B CN112788062 B CN 112788062B
- Authority
- CN
- China
- Prior art keywords
- ldos
- attack
- time window
- traffic
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明公开了SDN中基于ET‑EDR的LDoS攻击检测与缓解方法,属于网络安全领域。其中所述方法包括:以固定的采样间隔实时获取关键交换机中的聚合流量报文,按照固定的时间长度和步长划分为时间窗口后,计算时间窗口内流量数据的六维特征值;根据时间窗口内流量数据的特征值,基于事先训练得到的ET模型对该时间窗口进行分类,得到分类结果;若分类为发生了LDoS攻击的实时窗口数量,大于预先设定的阈值,则认为当前网络受到了LDoS攻击;使用EDR算法定位受攻击的交换机端口,利用控制器下发流规则来完成LDoS攻击的缓解。本发明提出的SDN中基于ET‑EDR的LDoS攻击检测和缓解方法能准确、实时地检测并缓解SDN中的LDoS攻击。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及SDN中基于ET-EDR的LDoS攻击检测与缓解方法。
背景技术
SDN(Software Defined Networking,软件定义网络)是一种新型的网络架构,它简化了数据平面的功能,将控制功能分离出来,使得数据平面只提供基本的数据包转发。SDN的基本架构主要分为三个平面:应用平面、控制平面和数据平面。应用平面包含各种应用和服务。控制平面管理SDN应用,同时也管理交换机中流的转发。数据平面由不同种类的转发设备组成。应用平面和控制平面之间的北向接口为开发者提供API(ApplicationProgramming Interface,应用程序编程接口)。控制平面和数据平面之间的南向接口提供南向API,定义转发的命令和数据平面网络设备的功能,同时还定义了转发设备与控制平面之间的通信协议(如OpenFlow协议)。
DoS(Denial of Service,拒绝服务)攻击是指恶意用户发送大量数据包,占用被攻击对象的资源,使得被攻击对象无法提供正常服务甚至崩溃的一种网络攻击方式。LDoS(Low-rate DoS,慢速拒绝服务)攻击,是DoS攻击的一种类型,其主要是利用网络服务或协议中自适应机制的缺陷,使用周期性的高速脉冲数据流攻击受害者端,降低受害者端的服务质量。
SDN中的LDoS攻击主要有基于流表的攻击和基于拥塞控制的攻击。SDN的架构特点为检测LDoS攻击提供了极大的便利,统一控制和网络可编程性使得在线检测和防御策略的部署成为可能,而基于流量的转发策略则为定位和过滤攻击数据创造了条件。而目前SDN中缺少针对拥塞控制机制的LDoS攻击的相关工作,因此,有必要针对SDN中基于拥塞控制的LDoS攻击检测与缓解进行研究。
本发明针对SDN中的基于拥塞控制机制的LDoS攻击,提出了一种在线检测与缓解方法。该方法将网络流量特征和ET(Extremely Randomized Trees,极端随机树)模型相结合,在线检测LDoS攻击。一旦有LDoS攻击发生,就利用EDR(Edit Distance on RealSequence,真实序列编辑距离)算法来定位受害端口,随后通过安装流规则来缓解LDoS攻击。
发明内容
本发明针对SDN中的基于拥塞控制机制的LDoS攻击,提出了一种SDN中基于ET-EDR的LDoS攻击检测与缓解方法。该LDoS攻击检测与缓解方法,能够有效且快速地检测SDN中基于拥塞控制的LDoS攻击,检测的准确率较高,误报率和漏报率较低,并且能在检测到LDoS攻击后快速缓解攻击,检测和缓解的实时性较好。因此该检测方法可普适于在线检测和缓解SDN中的LDoS攻击。
本发明为实现上述目标所采用的技术方案为:该LDoS攻击检测与缓解方法主要包括四个步骤:信息收集、特征计算、攻击检测以及攻击缓解。
步骤1、信息收集。使用SDN控制器的API,每隔0.5秒的采样时间向交换机发起获取流量的请求,获取该采样时间内流经此交换机的流量总和,包括TCP聚合流量及UDP聚合流量,形成训练样本原始值,再以固定步长、固定窗口长度将训练样本原始值划分为多个时间窗口,为每个时间窗口打上标签0或标签1,其中标签0表示该时间窗口内没有发生LDoS攻击,标签1表示该时间窗口内发生了LDoS攻击。
步骤2、特征计算。以步骤1中获得的时间窗口为单位,计算特征值,本发明根据LDoS攻击产生的效果选取了六维特征,包括计算TCP流量的均值、占比、变异系数,UDP流量的均值、变异系数,以及TCP流量与聚合流量之间的斯皮尔曼等级相关系数,作为该时间窗口的六维特征值。
在受到LDoS攻击后,TCP流量会立即出现明显的下降。令n为一个时间窗口内聚合流量样本数,ST为一个时间窗口内的TCP流量样本,SU为一个时间窗口内的UDP流量样本,S为一个时间窗口内的聚合流量样本,单位均为字节。本发明使用TCP流量均值Tmean、UDP流量均值Umean和TCP流量占比Tratio来反映LDoS攻击对流量大小的影响,这三种特征的计算方法如下:
LDoS攻击会导致网络流量的离散程度急剧增加,本发明使用TCP的变异系数和UDP的变异系数来衡量离散程度的变化。TCP流量变异系数Tcv、UDP流量变异系数Ucv的计算方法如下:
当网络处于LDoS攻击下时,聚合流量与UDP流量的形态相似度较高,相反,当未受到LDoS攻击时,聚合流量与TCP流量的相似度较高。因此,本发明使用斯皮尔曼等级相关系数来反映TCP流量和聚合流量的相似度,将其作为最后一维特征。斯皮尔曼等级相关系数rS,ST的计算方法如下,其中ρrs,rst为皮尔逊相关系数,rS,ST被定义为等级变量之间的皮尔逊相关系数,rst和rs为样本ST和S转换后的等级数据:
步骤3、攻击检测。根据时间窗口的特征,对ET模型进行训练,得到训练完成的ET模型,使用训练完成的ET模型对控制器实时获取的聚合流量报文进行分类,得到分类结果,根据分类结果判定是否发生LDoS攻击。具体步骤如下:
(1)根据步骤2得到的时间窗口的特征值和步骤1中的时间窗口标签,对ET模型进行训练,得到训练完成的ET模型;
(2)每隔固定步长实时获取交换机的固定窗口长度内的聚合流量,作为一个实时窗口的样本原始值,基于步骤2的计算方法计算得到该实时窗口的六维特征值;
(3)针对每个实时窗口,基于(2)中得到的六维特征值,使用训练完成的ET模型对该实时窗口进行分类,得到分类结果;
(4)根据分类结果来判定是否发生LDoS攻击,若分类为标签1的实时窗口数量大于预先设定的阈值,则认为当前网络受到了LDoS攻击,反之则认为当前网络没有受到LDoS攻击。
步骤4、攻击缓解。若发生LDoS攻击,则定位受攻击的交换机端口,下发流规则丢弃来自该端口的数据包,完成攻击缓解。具体步骤如下:
(1)若攻击检测的判定结果为当前网络受到了LDoS攻击,则使用EDR算法比较聚合流量和各个交换机端口流量之间的相似度,相似度最高的对应端口被判定为受攻击的端口,其中EDR算法的公式如下:假设两条序列R和S,ri和sj是两条序列中的元素,只有满足|ri-sj|≤ε时,有match(ri,sj)=true成立,其中ε是匹配阈值,设置为0.18,match=true表示两个元素之间相似。R和S之间的EDR值是指:R中的元素使用插入、删除或者替代这三种操作来将R改变成S的步骤数量。n和m是两个序列R和S的序列长度,Rest(S)代表序列S去掉第一个元素的子序列,则EDR(R,S)的定义描述为:
(2)利用SDN控制器在交换机上安装流规则,丢弃来自该受攻击端口的流量数据,完成攻击缓解,其中流规则设置如下:
字段match:子字段in_port代表输入交换机的端口,将其设置为(1)中定位的受攻击的交换机端口号;子字段nw_proto代表网络层协议类型,将其设置为UDP,用于缓解使用UDP数据进行攻击的基于拥塞控制机制的LDoS攻击,UDP的代表编号为17;子字段dl_type代表以太网协议类型,设置为0x0800表示IP包。
字段priority:代表这条匹配规则的优先级。该字段的值通常取0-65535之间的整数,priority字段值越大,优先级越高。为了确保缓解规则能够被优先匹配,本发明将优先级设置为最大值65535。
字段action:该字段规定了匹配到该流规则的数据包需要执行的动作,本发明将其设置为空,表示丢弃所有对应的数据包。
有益效果
该SDN中基于ET-EDR的LDoS攻击检测与缓解方法,能够有效且快速地检测SDN中基于拥塞控制的LDoS攻击,检测的准确率较高,误报率和漏报率较低,并且能在检测到LDoS攻击后快速缓解攻击,检测和缓解的实时性较好。因此该检测方法可普适于在线检测和缓解SDN中的LDoS攻击。
附图说明
图1为两种网络状态下网络流量特征值的对比图,包括正常网络状态和LDoS攻击下的网络状态的流量特征值。图1(a)为两种网络状态下TCP流量均值和UDP流量均值的对比图,TCP流量均值在受到LDoS攻击后明显降低,相反,UDP流量均值在LDoS攻击后明显上升;图1(b)为两种网络状态下TCP占比的对比图,LDoS攻击后TCP占比明显降低;图1(c)为两种网络状态下TCP变异系数和UDP变异系数的对比图,TCP流量的变异系数在LDoS攻击后明显上升,UDP流量的变异系数在LDoS攻击后同样明显上升,同时,正常网络中TCP流量和UDP流量的变异系数相差不大,而在LDoS攻击下,UDP流量的变异系数上升得更多,表明UDP流量的离散程度更大;图1(d)为两种网络状态下TCP流量和总流量之间斯皮尔曼等级相关系数的对比图,斯皮尔曼等级相关系数越接近1,两者之间的相似度越高,在正常网络状态下,TCP流量和聚合流量之间的斯皮尔曼等级相关系数接近于1,而在LDoS攻击下的网络状态中,TCP流量和聚合流量之间的斯皮尔曼等级相关系数较低。
图2为SDN中基于ET-EDR的LDoS攻击检测与缓解方法的部署架构图,共包含三个模块:信息收集模块、LDoS攻击检测模块和LDoS攻击缓解模块。
图3为SDN中基于ET-EDR的LDoS攻击检测与缓解方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图3所示,该SDN中基于ET-EDR的LDoS攻击检测与缓解方法主要包括四个步骤:信息收集、特征计算、攻击检测以及攻击缓解。
图1为两种网络状态下网络流量特征值的对比图。在正常网络状态下:TCP流量均值较高,占据总流量的大部分,并且变异系数较低,同时TCP流量与总流量之间的斯皮尔曼等级相关系数较高,接近于1;UDP流量的均值较低,变异系数也较低。而在LDoS攻击的状态下:TCP流量的均值较低,同时TCP流量占据总流量的较小部分,变异系数较正常网络状态下更高,TCP流量与总流量之间的斯皮尔曼等级相关系数较低;UDP流量的均值较高,同时UDP流量的变异系数也较高。结合以上情况,两种网络状态下的六维特征值展示出不同的效果,可以有效区分两种网络状态,因此以时间窗口为单位,计算相应的六维特征值,形成LDoS攻击检测的时间窗口特征样本。
图2为SDN中基于ET-EDR的LDoS攻击检测与缓解方法的部署架构图。方法被部署在SDN的控制平面中,共包含三个模块,分别为信息收集模块、LDoS攻击检测模块和LDoS攻击缓解模块。其中信息收集模块负责步骤1信息收集,LDoS攻击检测模块负责步骤2特征计算和步骤3攻击检测,LDoS攻击缓解模块负责步骤4攻击缓解。
Claims (8)
1.SDN中基于ET-EDR的LDoS攻击检测与缓解方法,其特征在于,基于极端随机树联合Edit Distance on Real Sequence算法的英文全称是Extremely Randomized Trees andEdit Distance on Real Sequence,简称为ET-EDR,该方法具体包括以下四个步骤:
步骤1、信息收集:使用SDN控制器实时获取交换机中的聚合流量报文,对聚合流量报文进行采样,形成训练样本原始值,将训练样本原始值划分为多个时间窗口,并为每个时间窗口打上标签;
步骤2、特征计算:以每个时间窗口为单位,计算得到六维特征值;
步骤3、攻击检测:根据时间窗口的特征,对ET模型进行训练,得到训练完成的ET模型,使用训练完成的ET模型对控制器实时获取的聚合流量报文进行分类,得到分类结果,根据分类结果判定是否发生LDoS攻击;
步骤4、攻击缓解:若发生LDoS攻击,则使用EDR算法定位受到攻击的交换机端口,下发流规则丢弃来自该端口的数据包,完成攻击缓解。
2.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤1中使用SDN控制器的API,每隔采样时间0.5秒向交换机发起获取流量的请求,获取该采样时间内流经此交换机的流量总和,包括TCP聚合流量及UDP聚合流量,形成训练样本原始值,再使用固定步长、固定窗口长度将训练样本原始值划分为多个时间窗口。
3.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤1中为每个时间窗口打上标签0或标签1,其中标签0表示该时间窗口内没有发生LDoS攻击,标签1表示该时间窗口内发生了LDoS攻击。
4.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤2中根据步骤1中获得的时间窗口,以时间窗口为单位,计算特征值,包括计算TCP流量的均值、占比、变异系数,UDP流量的均值、变异系数,以及TCP流量与聚合流量之间的相关系数,作为该时间窗口的六维特征值。
5.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤3中训练ET模型并使用训练完成的ET模型对聚合流量进行分类,包括三个步骤:
步骤3.1、根据步骤2得到的时间窗口的特征值和步骤1中的窗口标签,对ET模型进行训练,得到训练完成的ET模型;
步骤3.2、每隔固定步长实时获取交换机的固定窗口长度内的聚合流量,作为一个实时窗口的样本原始值,基于步骤2的计算方法计算得到该实时窗口的六维特征值;
步骤3.3、针对每个实时窗口,基于步骤3.2得到的特征值,使用训练完成的ET模型对该实时窗口进行分类,得到分类结果。
6.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤3中根据分类结果判定是否发生LDoS攻击的准则为:若分类为标签1的实时窗口数量大于预先设定的阈值,则认为当前网络受到了LDoS攻击,否则认为当前网络没有受到LDoS攻击。
7.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤4中使用EDR算法比较聚合流量和各个交换机端口流量之间的相似度,相似度最高的对应端口被判定为受攻击的端口。
8.根据权利要求1中所述的LDoS攻击检测与缓解方法,其特征在于,步骤4中得到受攻击的端口号后,利用SDN控制器在交换机上安装流规则,丢弃来自该受攻击端口的流量数据,完成攻击缓解。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110130818.5A CN112788062B (zh) | 2021-01-29 | 2021-01-29 | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110130818.5A CN112788062B (zh) | 2021-01-29 | 2021-01-29 | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112788062A CN112788062A (zh) | 2021-05-11 |
CN112788062B true CN112788062B (zh) | 2022-03-01 |
Family
ID=75760030
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110130818.5A Active CN112788062B (zh) | 2021-01-29 | 2021-01-29 | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112788062B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114039780B (zh) * | 2021-11-10 | 2022-08-16 | 湖南大学 | 基于流量系数的低速DoS攻击实时响应方法 |
CN114070601B (zh) * | 2021-11-11 | 2022-11-11 | 湖南大学 | 一种基于EMDR-WE算法的LDoS攻击检测方法 |
CN114448661B (zh) * | 2021-12-16 | 2023-05-05 | 北京邮电大学 | 慢速拒绝服务攻击检测方法及相关设备 |
CN114500092B (zh) * | 2022-02-24 | 2023-11-17 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识异常流量识别方法 |
CN115967524B (zh) * | 2022-10-25 | 2024-04-19 | 湖南大学 | 一种基于P4-MSC的DRDoS攻击检测与缓解系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103001825A (zh) * | 2012-11-15 | 2013-03-27 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和系统 |
CN105323241A (zh) * | 2015-09-08 | 2016-02-10 | 中国民航大学 | 云计算中基于可用带宽欧氏距离的LDoS攻击检测方法 |
CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与系统 |
CN110572413A (zh) * | 2019-09-27 | 2019-12-13 | 湖南大学 | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457489B (zh) * | 2010-10-26 | 2015-11-25 | 中国民航大学 | Low-rate DoS(LDoS)攻击、检测和防御模块 |
CN103139166A (zh) * | 2011-11-30 | 2013-06-05 | 中国民航大学 | 基于小信号检测理论的LDoS攻击检测方法 |
CN109167789B (zh) * | 2018-09-13 | 2021-04-13 | 上海海事大学 | 一种云环境LDoS攻击数据流检测方法及系统 |
-
2021
- 2021-01-29 CN CN202110130818.5A patent/CN112788062B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103001825A (zh) * | 2012-11-15 | 2013-03-27 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和系统 |
CN105323241A (zh) * | 2015-09-08 | 2016-02-10 | 中国民航大学 | 云计算中基于可用带宽欧氏距离的LDoS攻击检测方法 |
CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与系统 |
CN110572413A (zh) * | 2019-09-27 | 2019-12-13 | 湖南大学 | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 |
Non-Patent Citations (2)
Title |
---|
SDN环境下LDoS攻击检测与防御机制研究;周蕾;《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》;20200615 * |
颜通 ; 白志华 ; 高镇 ; 闫丽娜 ; 周蕾.SDN环境下的LDoS攻击检测与防御技术.《计算机科学与探索》.2019, * |
Also Published As
Publication number | Publication date |
---|---|
CN112788062A (zh) | 2021-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112788062B (zh) | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 | |
CN109729090B (zh) | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 | |
CN110225037B (zh) | 一种DDoS攻击检测方法和装置 | |
CN101714952B (zh) | 一种接入网的流量识别方法和装置 | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
CN111181971B (zh) | 一种自动检测工业网络攻击的系统 | |
CN111817982A (zh) | 一种面向类别不平衡下的加密流量识别方法 | |
Liu et al. | The detection method of low-rate DoS attack based on multi-feature fusion | |
CN112235288B (zh) | 一种基于gan的ndn网络入侵检测方法 | |
CN109194608B (zh) | 一种基于流的DDoS攻击与闪拥事件检测方法 | |
CN113055251B (zh) | 一种面向高速网络的流量丢包状态实时感知方法 | |
CN107566192A (zh) | 一种异常流量处理方法及网管设备 | |
CN110719270A (zh) | 一种基于fcm算法的慢速拒绝服务攻击检测方法 | |
CN114021135A (zh) | 一种基于R-SAX的LDoS攻击检测与防御方法 | |
CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
CN114866485A (zh) | 一种基于聚合熵的网络流量分类方法及分类系统 | |
CN110266680B (zh) | 一种基于双重相似性度量的工业通信异常检测方法 | |
CN111600877A (zh) | 一种基于MF-Ada算法的LDoS攻击检测方法 | |
US11848959B2 (en) | Method for detecting and defending DDoS attack in SDN environment | |
Min et al. | Online Internet traffic identification algorithm based on multistage classifier | |
CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
CN112583808B (zh) | 针对物联网设备的异常流量检测方法 | |
KR100608541B1 (ko) | 샘플링과 시그너쳐 검색 기능을 구비한 인터넷 프로토콜패킷 수집 장치 및 그 방법 | |
CN115333915B (zh) | 一种面向异构主机的网络管控系统 | |
CN114666273A (zh) | 一种面向应用层未知网络协议的流量分类方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |