CN112910889B - SDN中基于FGD-FM的LDoS攻击检测与缓解方法 - Google Patents

Abstract

本发明公开了SDN中基于FGD‑FM的LDoS攻击检测与缓解方法，属于计算机网络安全领域。该方法调用SDN控制平面的API获取交换机的流量序列，使用FGD方法检测LDoS攻击，并基于检测结果使用FM方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合，精确检测每一次攻击突发。FM方法分析端口流量序列，通过计算每个端口的可疑分数来定位受到攻击的端口，并在交换机上安装流规则，丢弃来自攻击者的攻击流量。本发明公开的方法能够实现细粒度的LDoS攻击检测，有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性，并能够有效地过滤掉攻击流量，保证良性流量的传输。

Description

SDN中基于FGD-FM的LDoS攻击检测与缓解方法

技术领域

本发明属于计算机网络安全领域，具体涉及SDN中基于FGD-FM的LDoS攻击检测与缓解方法。

背景技术

随着互联网的快速发展，互联网面临的安全问题也变得越来越复杂和严重。DoS(Denial of Service，拒绝服务)攻击是最常见的安全威胁之一，它阻止目标服务器向合法用户提供正常服务，对网络性能损害巨大。

LDoS(Low-rate Denial of Service，低速率拒绝服务)攻击是Kuzmanovic和Knightly在2003年的SIGCOMM会议上提出的一种DoS攻击的变种。它利用TCP(TransmissionControl Protocol，传输控制协议)的拥塞控制机制，周期性地发送短时高速突发，调整攻击周期反复触发RTO(Retransmission Timeout，超时重传)机制，达到攻击效果。这种攻击模式有效地限制了TCP流量的传输，同时以足够低的平均速率避免被检测。

对于传统网络来说，实际部署在线方法来检测和缓解LDoS攻击是一项艰巨的任务。传统网络将网络设备上的逻辑控制和数据转发功能紧密耦合，降低了设备的灵活性和可扩展性。具体来说，如果设备需要添加新功能，则必须重新设计新的协议或规则。因此，本发明使用SDN(Software Defined Network，软件定义网络)来实现LDoS攻击实时检测和缓解。SDN采用OpenFlow协议解耦逻辑控制功能和数据转发功能，提高了网络的开放性和可编程性，实现了网络的可扩展性。开发者可以灵活地使用高级语言在上层平面设计应用和修改网络策略，无需关注底层硬件。

针对SDN中LDoS攻击的检测与缓解研究主要存在如下问题：利用SDN检测和缓解传统DoS攻击的研究很多，针对LDoS攻击的很少，而针对传统DoS攻击的方法无法有效地对LDoS攻击进行检测及缓解。

本发明根据SDN中LDoS攻击的检测与缓解研究中主要存在的问题，提出了SDN中基于FGD-FM的LDoS攻击检测与缓解方法。该方法调用SDN控制平面的API(ApplicationProgramming Interface，应用程序接口)获取交换机的流量序列，使用FGD(Fine GrainedDetection，细粒度检测)方法检测LDoS攻击，并基于检测结果使用FM(Fast Mitigation，快速缓解)方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合，以细粒度的方式精确检测每一次攻击突发。FM方法分析端口流量序列，通过计算每个端口的可疑分数来定位受到攻击的端口，并在交换机上安装流规则，丢弃来自攻击者的攻击流量。

发明内容

根据SDN中LDoS攻击的检测与缓解研究中主要存在的问题，提出了SDN中基于FGD-FM的LDoS攻击检测与缓解方法。该方法能够实现细粒度的LDoS攻击检测，有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性。同时，该方法还可以准确地定位受攻击端口，有效地过滤掉来自受攻击端口的攻击流量，保证良性流量的传输。因此，该方法能够实时准确地识别并有效地缓解LDoS攻击。

SDN中基于FGD-FM的LDoS攻击检测与缓解方法包括以下三个步骤：

步骤1、数据采集：固定采样时间和采样间隔，在采样时间内基于采样间隔，周期性地调用SDN控制平面的API，获取交换机的流量序列；

步骤2、攻击检测：基于步骤1采集到的流量序列，使用FGD方法检测LDoS攻击，得到检测结果，FGD方法流程为首先使用Needleman-Wunsch算法估计出LDoS攻击的周期，再提取出LDoS攻击的八维特征，之后使用递归特征消除算法进行特征选择，最后使用高斯过程分类模型进行分类；

步骤3、攻击缓解：基于步骤2的检测结果和步骤1采集到的流量序列，使用FM方法缓解LDoS攻击，FM方法流程为首先计算每个端口的可疑分数来定位受攻击端口，之后在交换机上安装一条端口匹配字段为受攻击端口号、动作匹配字段为丢弃的流规则来丢弃来自攻击者的攻击流量。

步骤2包括以下四个步骤：

步骤2.1、使用Needleman-Wunsch算法，对采集到的UDP流量序列与基准比对矩阵进行序列比对，根据比对结果估计出LDoS攻击的周期；

步骤2.2、以步骤2.1得到的攻击周期为时间单位，将采集到的TCP流量序列和UDP流量序列分成若干个检测单元，基于LDoS攻击在攻击特征和攻击效果两个方面的特点，提取出检测单元的八维特征；

步骤2.3、使用递归特征消除算法对步骤2.2提取出来的八维特征进行特征选择；

步骤2.4、将步骤2.3得到的特征输入到高斯过程分类模型中，根据分类结果判别LDoS攻击是否存在。

若步骤2的检测结果为存在LDoS攻击，步骤3中基于步骤1采集到的流量序列，使用FM方法缓解LDoS攻击，包括以下两个步骤：

步骤3.1、分析端口流量序列，根据每个端口的可疑分数来定位受攻击的端口；

步骤3.2、基于步骤3.1中定位到的受攻击端口，在交换机上安装一条流规则，该流规则的端口匹配字段为受攻击端口号、动作匹配字段为丢弃，以此来丢弃来自攻击者的攻击流量。

有益效果

该方法能够实现细粒度的LDoS攻击检测，有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性。同时，该方法还可以准确地定位受攻击端口，有效地过滤掉来自受攻击端口的攻击流量，保证良性流量的传输。因此，该方法能够实时准确地识别并有效地缓解LDoS攻击。

附图说明

图1是良性流量和LDoS攻击下的各特征归一化值的变化。其中，图1(a)表示UDP流量的平均传输速率，图1(b)表示UDP流量的方差，图1(c)表示UDP流量的变异系数，图1(d)表示TCP流量的变异系数，图1(e)表示TCP流量的与总流量的Pearson相关系数，图1(f)表示端口流量差的绝对值。

图2是良性端口和受攻击端口的可疑分数。其中，图2(a)表示可疑分数的分布，图2(b)表示可疑分数的分布统计。

图3是LDoS攻击下的流量传输速率。其中，图3(a)表示网络中没有实现基于FGD-FM方法的LDoS攻击检测与缓解方法，图3(b)表示网络中实现了基于FGD-FM方法的LDoS攻击检测与缓解方法。

图4是SDN中基于FGD-FM的LDoS攻击检测与缓解方法的流程图。

具体实施方式

SDN中基于FGD-FM的LDoS攻击检测与缓解方法主要分为以下步骤：数据采集、攻击检测和攻击缓解。

1.数据采集。固定采样时间Time_CW和采样间隔Δt，在采样时间内基于采样间隔周期性地调用控制平面的API，获取交换机的流量序列。

2.攻击检测。使用FGD方法实现LDoS攻击细粒度检测，步骤如下：

步骤2.1：使用Needleman-Wunsch算法对采集到的UDP(User Datagram Protocol，用户数据报协议)流量序列A＝a₁,a₂,…,a_n与基准比对矩阵中的每一个基准比对向量B＝b₁,b₂,…,b_m进行序列比对，拥有最大相似度得分的向量所对应的周期即为LDoS攻击的周期Time_DU。

(1)定义相似得分S(a_i,b_j)和惩罚分数w_k。S(a_i,b_j)如下式所示，若两个位点处的值相匹配，则+2分，不匹配则-2分。w_k是连续出现k个空缺时的惩罚分数，它的值随着k值的增长而线性增长。

(2)构造并填充得分矩阵H。构造一个大小为(n+1)×(m+1)的得分矩阵，使用惩罚分数来初始化矩阵的第一列和第一行。利用如下式的得分规则来填充得分矩阵：

其中，位点得分H_i,j取三个相关位点得分计算后的值和0之间的最大值，H_i-1,j-1+S(a_i,b_j)是a_i和b_j匹配时的分数，H_i-1,j-w_r是在a_i-r后加入r个空缺后的分数，H_i,j-1-w_f指在b_j-l后加入f个空缺后的分数，0表示a_i和b_j之前没有相匹配的子段。

(3)对基准比对矩阵中的每一个基准比对向量都重复上述步骤(1)和步骤(2)，选择出具有最大相似度得分的向量，该向量对应的周期即为LDoS攻击的周期Time_DU。

步骤2.2：以步骤2.1中得到的攻击周期Time_DU将采集到的TCP流量序列和UDP流量序列分成若干个检测单元，基于LDoS攻击在攻击特征和攻击效果两个方面的特点，提取出检测单元的八维特征。

(1)攻击特征。在没有攻击的情况下，UDP的传输速率较低，当LDoS攻击开始，UDP传输速率就会周期性地达到峰值，波动和平均传输速率明显增加。因此，本发明选择UDP流量的平均值、方差和变异系数作为攻击特征方面的特征值。

(2)攻击效果。在没有攻击的情况下，TCP的传输速率较高且波动平稳，端口流入流出流量相对平衡。当LDoS攻击开始，UDP传输速率就会周期性地达到峰值，导致合法的TCP流量剧烈波动，传输速率显著下降，端口流入流出流量失衡。因此，本发明选择TCP流量的方差、变异系数、与总流量的Pearson相关系数、小波包能量熵和端口流量差的绝对值作为攻击效果方面的特征值。其中，TCP流量与总流量的Pearson相关系数P、小波包能量熵H和端口流量差的绝对值ΔPacks分别如下式所示：

ΔPacks＝|Packs_in-Packs_out|

其中，cov(T_tcp,T_total)是TCP流量T_tcp和总流量T_total的协方差，D是方差，E(i)是尺度K下的小波包能量，E是总能量，并且

D_i(t)是小波包的系数，Packs_in表示流入交换机所有端口的总数据包个数，Packs_out表示流出交换机所有端口的总数据包个数。

步骤2.3：基于步骤2.2获得的八维特征，使用进行RFE(Recursive FeatureElimination，递归特征消除)算法进行特征选择，选择出最重要的六维特征，分别为UDP流量的平均值、方差和变异系数，TCP流量的变异系数、与总流量的Pearson相关系数和端口流量差的绝对值。

步骤2.4：将步骤2.3中得到的特征输入到GP(Gaussian Process，高斯过程)分类模型中进行分类，若分类结果值更靠近无攻击时的标签值0，即分类结果值小于或等于0.5，则LDoS攻击不存在，若更靠近有攻击时的标签值1，即分类结果值大于0.5，则网络中存在LDoS攻击。

3.攻击缓解。使用FM方法实现LDoS攻击缓解，步骤如下：

步骤3.1：分析端口流量序列，计算每个端口的可疑分数。可疑分数最大的端口即为受攻击端口。

(1)统计每个端口流量序列的峰值、零值和中间值的个数。根据LDoS攻击原理，攻击流量具有周期性的高速脉冲波形，在每个周期中只有一个突发，并在剩余时间内保持沉默，而良性流量没有这些特征。因此，本发明可以根据该特征来区分受攻击端口和良性端口，首先要统计端口流量序列的峰值、零值和中间值的数量。

(2)计算每个端口的可疑分数。如果该端口为受攻击端口，那么端口流量序列中的峰值数应为

即n个突发，而剩余的所有采样数据都应该为零值。根据这个属性，本发明定义了一个变量可疑分数SS来定量描述该端口为受攻击端口的可能性，其计算如下式所示：

SS＝SS_h+SS_mid+SS_z

其中，SS_h、SS_mid和SS_z分别是峰值、中间值和零值的统计可疑分数，计算如下式所示：

SS_mid＝-mid×(mid+1),mid＞0

SS_h是线性分数的累积值，当峰值数h≤n时，SS_h的值为2+4+...+2×h，每增加一个峰值，SS_h的增加值就线性增加，这是因为当峰值数小于或等于理论突发数时，端口被攻击的概率随着峰值数的增加而成倍增加。当峰值数h＞n，SS_h的值为n×(n+1)-2-4-...-2×(h-n)，即当峰值数大于理论值时，端口是受攻击端口的概率随着峰值数的增加而成倍减小。零值的可疑分数SS_z的计算与SS_h同理。根据LDoS攻击理论，不存在零值和峰值之间的中间值，因此，SS_mid的减少值随着中间值mid数量的增加线性增加，即SS_mid＝-2-4-...-2×mid。

(3)定位受攻击端口。端口的可疑分数越大，该端口受到攻击的可能性越大。比较所有端口的可疑分数，可疑分数最大的端口即为受攻击端口。

步骤3.2：在交换机上安装一条流规则，该流规则的端口匹配字段in_port的值设置为步骤3.1定位到的受攻击端口号，动作匹配字段action的值设置为drop，以此来丢弃来自攻击者的攻击流量。

下面结合附图对本发明进一步说明。

图4是SDN中基于FGD-FM的LDoS攻击检测与缓解方法的流程图，该图表示SDN中基于FGD-FM方法的LDoS攻击检测与缓解方法主要包括以下步骤：数据采集、攻击检测和攻击缓解。

图1是良性流量和LDoS攻击流量的各特征归一化值的变化。良性流量与LDoS攻击流量的六维特征存在明显差异，表明所选特征能够有效区分攻击流量和良性流量。

图2是良性端口和受攻击端口的可疑分数。良性端口的可疑分数在-72～-6之间，其中97.5％是-72，而受攻击端口流量的可疑分数分布在较高的范围0～48，表明受攻击端口的可疑分数大于良性端口的可疑分数。

图3是LDoS攻击下的流量传输速率。其中，图3(a)表示网络中没有实现基于FGD-FM方法的LDoS攻击检测与缓解方法的情况下，网络中良性TCP流量受到LDoS攻击流量的严重影响，传输速率不断降低，在36秒后处于极低水平，同时，攻击流量由于不受限制，持续出现峰值。图3(b)表示网络中实现了基于FGD-FM方法的LDoS攻击检测与缓解方法的情况下，LDoS攻击持续4秒左右时，就会被检测到并且过滤掉，良性TCP流量很快恢复到正常水平。

Claims (9)

1.SDN中基于FGD-FM的LDoS攻击检测与缓解方法，其特征在于，FGD-FM的全称是FineGrained Detection-Fast Mitigation，即细粒度检测和快速缓解，细粒度检测结合递归特征消除算法、Needleman-Wunsch算法和高斯过程分类模型来实现每一个攻击突发的检测，快速缓解是基于可疑分数SS的值来定位受攻击端口并丢弃来自该端口的攻击流量，可疑分数表示端口为受攻击端口的可能性，可疑分数越大，端口是受攻击端口的可能性越大，其计算如下式所示：

SS＝SS_h+SS_mid+SS_z

其中，SS_h、SS_mid和SS_z分别是峰值、中间值和零值的统计可疑分数，计算分别如下式所示：

SS_mid＝-mid×(mid+1),mid＞0

其中，h是端口流量序列中峰值的数量，n是峰值的理论数量，mid是中间值的数量，z是零值的数量，m是零值的理论数量。

2.SDN中基于FGD-FM的LDoS攻击检测与缓解方法，其特征在于，所述的LDoS攻击检测与缓解方法包括以下三个步骤：

步骤1、数据采集：固定采样时间和采样间隔，在采样时间内基于采样间隔，周期性地调用SDN控制平面的API，获取交换机的流量序列；

步骤2、攻击检测：基于步骤1采集到的流量序列，使用FGD方法检测LDoS攻击，得到检测结果，FGD方法流程为首先使用Needleman-Wunsch算法估计出LDoS攻击的周期，再提取出LDoS攻击的八维特征，之后使用递归特征消除算法进行特征选择，最后使用高斯过程分类模型进行分类；

步骤3、攻击缓解：基于步骤2的检测结果和步骤1采集到的流量序列，使用FM方法缓解LDoS攻击，FM方法流程为首先计算每个端口的可疑分数来定位受攻击端口，之后在交换机上安装一条端口匹配字段为受攻击端口号、动作匹配字段为丢弃的流规则来丢弃来自攻击者的攻击流量。

3.根据权利要求2中所述的LDoS攻击检测与缓解方法，其特征在于，步骤2中基于步骤1采集到的流量序列，利用FGD方法进行攻击检测，包括以下四个步骤：

步骤2.1、使用Needleman-Wunsch算法，对采集到的UDP流量序列与基准比对矩阵进行序列比对，根据比对结果估计出LDoS攻击的周期；

步骤2.2、以步骤2.1得到的攻击周期为时间单位，将采集到的TCP流量序列和UDP流量序列分成若干个检测单元，基于LDoS攻击在攻击特征和攻击效果两个方面的特点，提取出检测单元的八维特征；

步骤2.3、使用递归特征消除算法对步骤2.2提取出来的八维特征进行特征选择；

步骤2.4、将步骤2.3得到的特征输入到高斯过程分类模型中，根据分类结果判别LDoS攻击是否存在。

4.根据权利要求3中所述的LDoS攻击检测与缓解方法，其特征在于，步骤2.1中基准比对矩阵是指根据LDoS攻击的攻击模型创建出来的矩阵，其中每个向量对应的攻击参数是不同的，使用Needleman-Wunsch算法对采集到的UDP流量序列与基准比对矩阵进行序列比对，拥有最大相似度得分的向量所对应的周期即为LDoS攻击的周期。

5.根据权利要求3中所述的LDoS攻击检测与缓解方法，其特征在于，步骤2.2中根据LDoS攻击在攻击特征和攻击效果两个方面的特点，提取出UDP流量的平均值、方差和变异系数，TCP流量的方差、变异系数、与总流量的Pearson相关系数、小波包能量熵和端口流量差的绝对值这八维特征。

6.根据权利要求3中所述的LDoS攻击检测与缓解方法，其特征在于，步骤2.3中基于步骤2.2获得的八维特征，使用递归特征消除算法进行特征选择，选择出最重要的六维特征，分别为UDP流量的平均值、方差和变异系数，TCP流量的变异系数、与总流量的Pearson相关系数和端口流量差的绝对值。

7.根据权利要求3中所述的LDoS攻击检测与缓解方法，其特征在于，步骤2.4中将步骤2.3得到的特征输入高斯过程分类模型中进行分类，若分类结果值更靠近无攻击时的标签值0，即分类结果值小于或等于0.5，则LDoS攻击不存在，若更靠近有攻击时的标签值1，即分类结果值大于0.5，则网络中存在LDoS攻击。

8.根据权利要求2中所述的LDoS攻击检测与缓解方法，其特征在于，若步骤2的检测结果为存在LDoS攻击，步骤3中基于步骤1采集到的流量序列，使用FM方法缓解LDoS攻击，包括以下两个步骤：

步骤3.1、分析端口流量序列，根据每个端口的可疑分数来定位受攻击的端口；

步骤3.2、基于步骤3.1中定位到的受攻击端口，在交换机上安装一条流规则，该流规则的端口匹配字段为受攻击端口号、动作匹配字段为丢弃，以此来丢弃来自攻击者的攻击流量。

9.根据权利要求8中所述的LDoS攻击检测与缓解方法，其特征在于，步骤3.1中统计每个端口流量序列中的峰值、零值和中间值，并根据设定的得分规则计算出每个端口的可疑分数，可疑分数越大，该端口受到攻击的可能性越大，因此，可疑分数最大的端口即为受攻击端口。

Images