CN113364810A - 一种链路洪泛攻击检测与防御系统及方法 - Google Patents

Abstract

本发明提供一种链路洪泛攻击检测与防御系统及方法，涉及物联网安全技术领域。该系统及方法采用三级防御框架，包括一级防御的目标链路预测模块、二级防御的LFA攻击检测模块和三级防御的LFA攻击流识别模块；目标链路预测模块用于预测网络中所有可能遭受链路洪泛攻击的链路，以此来锁定易受攻击的目标链路；攻击检测模块进行链路层次的LFA检测，通过联合监测多个目标链路的拥塞状态特征来检测是否有链路正在遭受链路洪泛攻击；攻击流识别模块在攻击检测模块检测到链路洪泛攻击后启动，通过构建深度强化学习模型，让智能体不断对数据流进行限速操作以恢复链路的正常状态，再通过限速操作后网络状态的变化来识别攻击流，实现对链路洪泛攻击的检测与防御。

Description

一种链路洪泛攻击检测与防御系统及方法

技术领域

本发明涉及物联网安全技术领域，尤其涉及一种链路洪泛攻击检测与防御系统及方法。

背景技术

随着信息科学技术的发展，物联网设备数量高速增长，促使了物联网的快速发展。物联网中大量异构网络设备(例如摄像机、无线传感器网络、智能仪表、车辆等)互联，并应用于众多领域，如医疗辅助设备、汽车、智能电网等，为人们的日常生活带来了极大的便利。然而，由于物联网设备成本低廉，这使得设备在计算能力和存储容量方面受到限制，从而导致无法部署需要较大计算、存储资源的安全解决方案。因此，迫切需要一种新的手段检测出网络是否遭受到链路洪泛攻击，进而采取进一步的措施，为物联网用户提供安全的生产环境。

软件定义网络(Software defined network，SDN)作为一种新型网络体系结构技术，其兴起为链路洪泛攻击(Link Flooding Attack，LFA)的检测防御提供了新的可能。相对于传统网络而言，它通过将数据平面和控制平面分离开实现了集中式网络控制，允许管理者在应用平面部署特定的网络管理应用，从而可以根据全网范围内实时的网络状况来发现网络异常，实现对网络中遭遇LFA的检测与防御。目前，链路洪泛攻击检测与防御主要分为以下几种方法：(1)在基于流量工程原理的方法中，Liaskos等人提出了一种基于关系代数的方法来防御LFA，该方案对拥塞链路不断进行重路由，并认为持续参加洪泛事件的攻击源是可疑的，因为攻击者为了持续洪泛该链路会通过改变目的地以再次流经该链路；Gkounis等人提出了一种基于流量工程的LFA缓解方法，当发现存在攻击时，该方法不断重新计算网络路径对数据流进行重路由，迫使攻击者不断更换诱饵服务器，通过观察并分析流量的变化模式来确定潜在的攻击源。此外，一些其他的技术方案主要利用traceroute数据包的主动LFA防御技术，先对traceroute数据包的正常状况进行建模，再通过分析攻击发生前网络不同区域内traceroute包的数量变化特征来检测LFA；(2)基于链路混淆的方法中，Qian等人提出了一种主动的链路混淆方法，通过向攻击者提供虚假的链路图以使其难以准确地找出网络中的关键链路，同时，利用支持向量机(Support vector machines，SVM)来区分合法用户和僵尸机。(3)基于链路监测的防御方法，Kang等人提出SPIFFY技术，通过临时增加核心链路的有效带宽并观察响应，来检测无法适应带宽扩展的攻击者；Wang等人提出了一种称为Woodpecker的防御方案，首先基于源与目的地之间的最短路径算法选择部分节点升级为SDN交换机，以增强网络连接性，然后控制器通过逐跳探测查找拥塞链路，最后，基于阈值判断链路拥塞是否归因于LFA。(4)基于数据流特征的防御方法。Lee等人提出CoDef方案，该方案使用修改后的路由器，并利用不同自治系统(Autonomous System，AS)之间的协作从众多的合法流量中识别出攻击流量，同时在受攻击链路中尽量保护合法流量。

在基于流量工程的现有研究技术方案中，主要特征就是针对链路不断的进行重路由，迫使攻击者不断更换诱饵服务器，然而重路由过程中多次路由规则的修改会增加流量延迟和网络开销，此外，利用traceroute数据包的主动LFA防御技术，如果攻击者较少地发送traceroute数据包以免被检测系统检测到，则该方案的防御效果将大大降低；

在基于链路混淆的现有技术方案中，Qian等人提出的技术方案，由于利用SVM进行僵尸机的检测，所以该方法较依赖于训练数据，训练数据不足或不佳时，检测性能会随之下降。

基于链路监测的方法中，通过监测网络中所有的链路状态来检测攻击，导致监测效率低下，带来了较大的资源开销，同时又增加了攻击的误判率；

基于数据流特征的技术方案，攻击者通常使用有效的IP地址发送低速流量进行攻击，这使得攻击流量没有鲜明的自身特征，难以与正常流量区分开，因此基于数据流异常特征来识别攻击流的方法检测精确率较低。

因此，现有的针对链路洪泛攻击的检测和防御方法中，虽然可以在一定程度上检测出网络是否遭受链路洪泛攻击，但是由于现有技术的检测精度和效率问题，例如，1)链路监测效率低、资源开销大；2)不能充分考虑链路数据流的联合特征，导致检测精确率不足；3)攻击流识别率不足、误判率较高等，对链路洪泛攻击并不能起到有效的防御和缓解。因此，研究一种能够实时有效的链路洪泛攻击检测与防御系统方法是十分必要的。

发明内容

本发明要解决的技术问题是针对上述现有技术的不足，提供一种链路洪泛攻击检测与防御系统及方法，通过对攻击数据流的特征提取进行多层次的检测识别，并对网络攻击做出相应的防御措施，实现对链路洪泛攻击的多级检测与防御。

为解决上述技术问题，本发明所采取的技术方案是：

一方面，本发明提供一种链路洪泛攻击检测与防御系统，采用三级防御框架，包括一级防御的目标链路预测模块、二级防御的LFA攻击检测模块和三级防御的LFA攻击流识别模块；所述目标链路预测模块用于预测网络中所有可能遭受链路洪泛攻击的链路，以此来锁定易受攻击的目标链路；所述LFA攻击检测模块进行链路层次的LFA检测，通过联合监测多个目标链路的拥塞状态特征来检测是否有链路正在遭受链路洪泛攻击；所述LFA攻击流识别模块在LFA攻击检测模块检测到链路洪泛攻击后启动，通过构建深度强化学习模型，让智能体不断对数据流进行限速操作以恢复链路的正常状态，再通过限速操作后网络状态的变化来识别攻击流。

优选地，所述LFA攻击流识别模块包括数据采集与分析子模块、深度强化学习子模块和限速决策下发子模块；其中，数据采集与分析子模块负责采集数据平面中的网络信息，并进行处理以生成网络环境的变化信息；深度强化学习子模块利用学习到的策略从获取的网络环境的变化信息中识别出攻击流，生成对应的限速动作发送到限速决策下发子模块；限速决策下发子模块将深度强化学习子模块输出的限速动作下发到SDN数据平面，交换机根据下发的限速动作对恶意的攻击流量采取限速动作，从而缓解链路洪泛攻击。

另一方面，本发明还提供一种链路洪泛攻击检测与防御方法，包括以下步骤：

步骤1：预测易受攻击的目标链路；

目标链路预测模块采用主动探测的方式，通过控制器向边缘交换机下发探测包查找到目标服务器的流路径，并计算链路的流密度，从而筛选出易受攻击的目标链路；具体方法为：

目标链路预测模块通过SDN网络的北向接口向控制器请求获取网络中的边缘交换机；控制器接收到请求后通过SDN网络的南向接口访问网络中的边缘交换机，并向网络中的所有交换机下发探测流表；边缘交换机向控制器回复消息；然后控制器向边缘交换机发送探测包；边缘交换机收到探测包后在网络中将其转发到相邻交换机，并将该探测包复制一份上传至控制器；探测包在转发过程中记录所经过的交换机的ID号和端口信息，并最终经转发回到目标链路预测模块；目标链路预测模块根据收到的探测包中的一系列信息解析探测包的路径，获得全局网络拓扑，并计算链路的流密度，筛选出目标链路；

所述探测包的ToS字段设置为特殊值，交换机接收到探测包后通过匹配探测流表中ToS字段识别出探测包；所述探测包中定义probe_id字段来唯一标识相同源交换机/目的主机的不同批次的探测包；

所述目标链路预测模块计算链路的流密度，筛选出目标链路的具体方法为：

设定探测包获取的路径序列为(Sw₁,port₁)→(Sw₂,port₂)→…→(sw_k,port_k)，其中，k为探测包获取的路径序列中交换机总数，将每一段路径序列(Sw_a,port_a)→(Sw_b,port_b)之间的链路记为L_ab，其中，a∈(1,k)，b∈(1,k)；最终获得边缘交换机S_n到目标服务器T_m的链路序列为：L₁→L₂→L₃→…→L_w，w为S_n到目标服务器T_m的链路序列中链路总数；对所有的链路序列，统计每条链路出现的次数，即为链路的流密度，并选择流密度大于设定阈值的链路作为目标链路，得到预测的目标链路集合；

步骤2：检测链路洪泛攻击；

LFA攻击检测模块接收来自一级防御的目标链路预测模块预测的目标链路信息，并通过SDN网络的北向接口向控制器发送目标链路信息；控制器接收到目标链路信息后监测所有的目标链路，并将监测到的目标链路状态信息通过SDN网络的南向接口和北向接口返回至二级防御的LFA攻击检测模块中；

LFA攻击检测模块统计整理所有目标链路的状态信息并依据三项特征来判别是否有目标链路遭受链路洪泛攻击；

所述三项特征为：第一项特征：目标链路的上游链路不会拥塞；第二项特征：多条目标链路在某时段同时发生拥塞；第三项特征：目标链路周期性发生拥塞；

所述LFA攻击检测模块依据三项特征来判别是否有目标链路遭受链路洪泛攻击的具体方法为：

首先根据第一项特征，同时监测目标链路及其上游链路的拥塞状态；当监测到目标链路发生拥塞时，还需再考虑其上游链路是否拥塞；若其上游链路也发生拥塞，则该目标链路的拥塞不是链路洪泛攻击导致的；若上游链路未发生拥塞，则继续监测该目标链路的拥塞状态，根据其呈现的拥塞特征进行分析判断，具体为：

统计所有拥塞的目标链路的拥塞起止时间，并计算出拥塞时长；根据第二项特征，将拥有相同的拥塞起止时间的目标链路看作可疑受攻击链路集；根据第三项特征，继续监测可疑链路集中的目标链路；在监测过程中，若再次监测到可疑受攻击链路，即目标链路呈现出周期性拥塞的特征，则判断该目标链路的拥塞是链路洪泛攻击导致的；持续重复以上过程，直到预测的目标链路集合被更新或者不再有目标链路拥塞；

步骤3：识别与缓解LFA攻击；

LFA攻击流识别模块收到链路受攻击的信号，通过SDN网络的北向接口向控制器请求获取受攻击链路和相关流量信息；控制器收到请求后通过南向接口访问数据平面的交换机获取受攻击链路和流量信息；受攻击链路和流量信息通过南向接口和北向接口上传至LFA攻击流识别模块；

LFA攻击流识别模块根据收到的受攻击链路和流量信息进行深度强化学习，识别出攻击流或攻击主机，并通过南向接口向数据平面的数据流下发限速操作，即控制器通过meter表的更新限制识别出的攻击流或攻击主机的流量，包括meter生成、meter表项更新、meter下发三个步骤；

所述LFA攻击流识别模块收根据收到的受攻击链路和流量信息进行深度强化学习，识别出攻击流或攻击主机的具体方法为：将识别链路洪泛攻击流的问题看作是带宽资源分配问题，建立带宽资源分配目标的数学模型，将获得带宽资源最少的数据流确定为攻击流；

所述建立带宽资源分配目标的数学模型的具体方法为：

设定受攻击链路为L，其总带宽容量是U_L；链路上的合法流集合为F_ben＝{f_i,}，f_i为第i个合法数据流，攻击流集合为F_att＝{f_j}，f_j为第j个攻击数据流，且

是合法数据流f_i在时间t的流速，

是攻击流f_j在时间t上的流速，d^t∈[0,1]是在时间t对某个数据流的限速因子，表示对某个流的数据包的丢弃率，其中，d^t＝0表示数据流的所有数据包都将通过链路L到达其目的地，d^t＝1表示数据流的所有数据包都将被丢弃，不再通过链路L；资源分配的目标是期望最大化合法数据流的带宽资源、最小化攻击数据流的带宽资源，同时，经由链路L的流量负载应小于其总带宽容量U_L，以确保链路L的正常工作状态，建立带宽资源分配目标的数学模型，如下公式所示：

obj:

s.t.

其中，r_ben是合法流量通过率，r_att是恶意流量通过率，N_ben是合法数据流的数量，N_att是攻击数据流的数量。

采用上述技术方案所产生的有益效果在于：本发明提供的一种链路洪泛攻击检测与防御系统及方法，(1)基于SDN技术构建了三级链路洪泛攻击防御框架，具备更加高效和精确的链路洪泛攻击检测方式；

(2)利用SDN技术获取全网拓扑视图，提前预测目标链路，锁定网络中易受攻击的链路，从而针对性地对链路进行监测，同时一定程度上预防了LFA的发生，极大地减少了不必要的资源消耗；

(3)提取出攻击发生时目标链路的三点显著拥塞特征，从链路的联合拥塞统计信息中有效地检测出是否有链路遭受LFA；

(4)优化了LFA检测方法，简化了攻击缓解所需要的流表，极大的降低了为了达到防御效果所需要的开销，降低了防御过程中对正常网络行为的影响；

(5)利用强化学习机制，提供了一种新型的LFA攻击源识别算法，极大地增强了识别的精确性、有效性和高效性，并降低了攻击缓解过程中对正常流量的影响。

附图说明

图1为本发明实施例提供的一种链路洪泛攻击检测与防御系统的框架示意图；

图2为本发明实施例提供的目标链路预测模块的结构示意图；

图3为本发明实施例提供的LFA攻击检测模块的结构示意图；

图4为本发明实施例提供的LFA攻击识别模块的结构示意图；

图5为本发明实施例提供的基于深度强化学习的攻击流识别的框架示意图；

图6为本发明实施例提供的LFA的识别与缓解流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

本实施例中，一种链路洪泛攻击检测与防御系统，采用三级防御框架，如图1所示，具体包括一级防御的目标链路预测模块、二级防御的LFA攻击检测模块和三级防御的LFA攻击流识别模块；

所述目标链路预测模块用于预测网络中所有可能遭受链路洪泛攻击的链路，以此来锁定易受攻击的目标链路；所述LFA攻击检测模块进行链路层次的LFA检测，通过联合监测多个目标链路的拥塞状态特征来检测是否有链路正在遭受链路洪泛攻击；所述LFA攻击流识别模块在LFA攻击检测模块检测到链路洪泛攻击后启动，通过构建深度强化学习模型，让智能体不断对数据流进行不同程度的限速操作以恢复链路的正常状态，再通过限速操作后网络状态的变化来识别攻击流。

所述LFA攻击流识别模块包括数据采集与分析子模块、深度强化学习子模块和限速决策下发子模块；其中，数据采集与分析子模块负责采集数据平面中的网络信息，并进行处理以生成网络环境的变化信息；深度强化学习子模块利用学习到的策略从获取的网络环境的变化信息中识别出攻击流，生成对应的限速动作发送到限速决策下发子模块；限速决策下发子模块将深度强化学习子模块输出的限速动作下发到SDN数据平面，交换机根据下发的限速动作对恶意的攻击流量采取限速动作，从而缓解链路洪泛攻击。

软件定义网络的数据平面中链路数量巨大，观测所有链路的状态会给控制器带来较大的资源开销，也会给网络增加一定的流量开销。因此，在本发明的三级防御框架中，首先在一级防御过程预测网络中所有可能遭受链路洪泛攻击的链路，以此来锁定易受攻击的目标链路。这样以来，在二级防御过程中只需要对这些有潜在威胁的链路进行监测即可，而不必再监测一些受攻击概率很低的链路。比如，网络中的边缘链路显然不会是攻击者的目标。预测目标链路减少了无意义的资源浪费，且提高了对网络链路的监测效率，一定程度上满足了低消耗、高效率的设计目标。链路洪泛攻击较为隐蔽，其攻击流量符合协议标准、保持低速状态，与正常流量特征类似，因此难以通过数据流级别的特征来直接找到链路洪泛攻击流量。然而，链路洪泛攻击会使网络中的链路呈现出具有鲜明特点的拥塞状态，故在本发明的防御框架中，首先进行链路层次的LFA检测，即在链路层面检测链路洪泛攻击的存在，通过联合监测多个目标链路的拥塞状态特征来检测是否有链路正在遭受链路洪泛攻击。由于受攻击链路极具辨识度的异常特征，在链路层面检测链路洪泛攻击较为容易，因此链路级检测LFA一定程度上满足了高检测率的设计目标。

在经过前两级的防御过程后，若发现有链路遭受攻击，则启动三级防御过程，也就是进一步从受攻击链路中找到攻击流，其本质上也是数据流层次的LFA检测。只有找到具体的恶意数据流，才能针对性地对链路洪泛攻击进行防御。但由于攻击流与正常流的区别微乎其微，本发明并未从数据流的特征出发来识别攻击流，而是通过构建深度强化学习模型，让智能体不断对数据流进行不同程度的限速操作以恢复链路的正常状态，再通过限速操作后网络状态的变化来识别攻击流。尽管是数据流层次的LFA检测，但本质上依旧是从链路状态变化的角度来识别攻击流，有效提高了准确率、降低了误判率。因此该模块一定程度上满足了快速响应、低误判率的设计目标。

一种链路洪泛攻击检测与防御方法，包括以下步骤：

步骤1：预测易受攻击的目标链路；

目标链路预测模块采用主动探测的方式，通过控制器向边缘交换机下发探测包查找到目标服务器的流路径，并计算链路的流密度，从而筛选出易受攻击的目标链路，如图2所示；同时结合实际，平衡预测目标链路的准确度和其带来的时间、传输等开销问题。具体方法为：

目标链路预测模块通过SDN网络的北向接口向控制器请求获取网络中的边缘交换机；控制器接收到请求后通过SDN网络的南向接口访问网络中的边缘交换机，并向网络中的所有交换机下发探测流表；边缘交换机向控制器回复消息；然后控制器向边缘交换机发送探测包；边缘交换机收到探测包后在网络中将其转发到相邻交换机，并将该探测包复制一份上传至控制器；探测包在转发过程中记录所经过的交换机的ID号和端口信息，并最终经转发回到目标链路预测模块；目标链路预测模块根据收到的探测包中的一系列信息解析探测包的路径，获得全局网络拓扑，并计算链路的流密度，筛选出目标链路；

所述探测包的ToS字段设置为特殊值，交换机接收到探测包后通过匹配探测流表中ToS字段识别出探测包；所述探测包中定义probe_id字段来唯一标识相同源交换机/目的主机的不同批次的探测包；

所述目标链路预测模块计算链路的流密度，筛选出目标链路的具体方法为：

设定探测包获取的路径序列为(Sw₁,port₁)→(Sw₂,port₂)→…→(Sw_k,port_k)，其中，k为探测包获取的路径序列中交换机总数，将每一段路径序列(Sw_a,port_a)→(Sw_b,port_b)之间的链路记为L_ab，其中，a∈(1,k)，b∈(1,k)；最终获得边缘交换机S_n到目标服务器T_m的链路序列为：L₁→L₂→L₃→…→L_w，w为S_n到目标服务器T_m的链路序列中链路总数；对所有的链路序列，统计每条链路出现的次数，即为链路的流密度，并选择流密度大于设定阈值的链路作为目标链路，得到预测的目标链路集合；

目标链路预测阶段，需要周期性地预测目标链路以保证目标链路的准确性，传统方法中，对网络链路的预测需要控制器逐一对LLDP探测包进行判别，增加了预测链路过程给控制器、交换机等带来的计算、存储开销等问题。因此，本发明方法做出一些改进，当交换机收到探测包时，不再判别该探测包来自相邻交换机还是控制器，而是统一执行预先定义的动作：①正常转发至下一跳交换机；②镜像一份探测包上送控制器。控制器根据接收到的镜像探测包记录相应交换机的ID和端口号信息。主要改进如下：

1)首先，网络中的交换机需要有能力识别探测包。为了使得探测包区别于网络中的其他正常数据包，本发明将探测包的ToS字段设置为特殊值。因此，交换机遇到探测报文时，通过匹配流表中ToS字段可以将其识别。

2)其次，SDN控制器需要提前向网络中的所有交换机下发探测流表，告知交换机遇到探测包时应该如何处理。为了获取探测包在网络中的传输路径，需要获取转发了探测包的交换机的ID和端口号信息。因此，探测流表的规则定义如下：当识别出报文是路径探测包时，首先按照正常处理方式进行报文转发，再将该探测包复制一份并上送控制器，其中镜像探测包内携带了交换机ID和端口号信息。

3)最后，控制器根据收到的一系列镜像探测报文解析出从起始交换机到目标主机的传输路径。本发明预先在探测包中定义probe_id字段来唯一标识相同源交换机/目的主机的不同批次的探测包。这样控制器可以根据probe_id字段将收到的一系列镜像探测包进行区分。本实施例利用数据包头的冗余字段VLAN priority字段(比如其中的vlan_pcp，占据3bits，可以编码8种标识)来定义探测包的序号probe_id。

步骤2：检测链路洪泛攻击；

检测链路洪泛攻击，持续的链路洪泛攻击会让目标链路拥塞且呈现出与众不同的拥塞特点。因而，在LFA攻击检测模块中，通过实时监控并分析目标链路的状态来检测链路洪泛攻击，如图3所示。

LFA攻击检测模块接收来自一级防御的目标链路预测模块预测的目标链路信息，并通过SDN网络的北向接口向控制器发送目标链路信息；控制器接收到目标链路信息后监测所有的目标链路，并将监测到的目标链路状态信息通过SDN网络的南向接口和北向接口返回至二级防御的LFA攻击检测模块中；

LFA攻击检测模块统计整理所有目标链路的状态信息并依据三项特征来判别是否有目标链路遭受链路洪泛攻击；

所述三项特征为：第一项特征：目标链路的上游链路不会拥塞，攻击者为了达到长时间持续阻塞目标链路的目的，会持续地向经过目标链路的主机发送攻击流量，因而攻击者会想办法避免目标链路的上游链路发生拥塞；第二项特征：多条目标链路在某时段同时发生拥塞，攻击者为了大幅度降低目标区域与外界的连接，会操纵大量僵尸机向不同的目的主机发送攻击流量，以同时拥塞多条目标链路，使得正常用户的流量几乎不能再到达目标区域；第三项特征：目标链路周期性发生拥塞，为了应对可能出现的链路失效、链路拥塞等问题，网络利用流量工程机制来平衡网络中的不同交换机、路由器以及链路之间的负载，也就是根据各种数据业务流量的特性选取较优的传输路径；

所述LFA攻击检测模块依据三项特征来判别是否有目标链路遭受链路洪泛攻击的具体方法为：

首先根据第一项特征，同时监测目标链路及其上游链路的拥塞状态；当监测到目标链路发生拥塞时，还需再考虑其上游链路是否拥塞；若其上游链路也发生拥塞，则该目标链路的拥塞不是链路洪泛攻击导致的；若上游链路未发生拥塞，则继续监测该目标链路的拥塞状态，根据其呈现的拥塞特征进行分析判断，具体为：

统计所有拥塞的目标链路(这里所说的拥塞的目标链路特指其上游链路未拥塞的目标链路)的拥塞起止时间，并计算出拥塞时长；根据第二项特征，拥有相同的拥塞起止时间的链路集合有可能处于链路洪泛攻击中，此时，将拥有相同的拥塞起止时间的目标链路看作可疑受攻击链路集，相应地，若仅存在一条链路在某一时间段为拥塞状态，则该链路的拥塞不可能是链路洪泛攻击导致的；根据第三项特征，继续监测可疑链路集中的目标链路；在监测过程中，若再次监测到可疑受攻击链路，即目标链路呈现出周期性拥塞的特征，则判断该目标链路的拥塞是链路洪泛攻击导致的；持续重复以上过程，直到预测的目标链路集合被更新或者不再有目标链路拥塞；

判断算法思想是，首先，通过监测目标链路的可用带宽和丢包率评估其拥塞状态，然后对于发生拥塞的目标链路，统计其拥塞时长、不同时间段内拥塞链路集合的变化，从而通过这些拥塞特征来检测目标链路是否在遭受链路洪泛攻击。依据上述三项特征来判别是否有链路遭受链路洪泛攻击的算法如算法1所示。

步骤3：识别与缓解LFA攻击；

从步骤2确定网络遭受链路洪泛攻击之后，在检测到目标链路遭受攻击后，需要对攻击流进行识别，现有研究中大多数检测攻击流的方法都是通过对数据流的分析来实现的，但链路洪泛攻击流与正常流量几乎没有差别，这导致基于数据流的方法误报率较高，影响了正常用户的使用。因此，虽然LFA攻击流识别模块的主要任务是识别攻击流，但我们并未通过分析数据流的特征来从正常流量中识别攻击流量，而是通过对所有的数据流进行不同程度的限速来观测链路状态的变化，当对良性流量限速时，目标链路短时间内拥塞状态得到缓解，而当攻击者发现目标链路未拥塞时，会逐渐提高攻击流速率直至链路再次拥塞；当对恶意流量限速时，正常用户的流量速率不会有明显变化，因此目标链路的拥塞状态得以缓解；攻击者也有可能花费代价调用新的僵尸机向该链路发送攻击流量，以使目标链路继续拥塞。因此，LFA攻击流识别模块识别与缓解LFA攻击的方法如图4所示，具体为：

LFA攻击流识别模块收到链路受攻击的信号，通过SDN网络的北向接口向控制器请求获取受攻击链路和相关流量信息；控制器收到请求后通过南向接口访问数据平面的交换机获取受攻击链路和流量信息；受攻击链路和流量信息通过南向接口和北向接口上传至LFA攻击流识别模块；

LFA攻击流识别模块根据收到的受攻击链路和流量信息进行深度强化学习，识别出攻击流或攻击主机，并通过南向接口向数据平面的数据流下发限速操作，即控制器通过meter表的更新限制识别出的攻击流或攻击主机的流量，包括meter生成、meter表项更新、meter下发三个步骤，如图5、6所示；

所述LFA攻击流识别模块收根据收到的受攻击链路和流量信息进行深度强化学习，识别出攻击流或攻击主机的具体方法为：将识别链路洪泛攻击流的问题看作是带宽资源分配问题，建立带宽资源分配目标的数学模型，将获得带宽资源最少的数据流确定为攻击流；

识别与缓解LFA攻击中，利用强化学习的机制是一种关键技术。在LFA攻击中攻击者令僵尸机向诱饵主机发送正常速率的流量，并很快耗尽目标链路的带宽。这里主要涉及三个实体：主机、交换机和目标链路，识别攻击流是要从受攻击的目标链路中找到LFA攻击流，以确定哪些主机是僵尸机。然而，链路洪泛攻击中，僵尸机发送的是低速、合法的攻击流，与正常流量相比没有显著的恶意特征，这使得通过静态采集数据流并基于统计特征来识别攻击流的方式收效甚微。

为了应对上述问题，本发明方法将识别链路洪泛攻击流的问题看作是带宽资源分配问题，通过交换机来给不同的主机(可能是合法用户或攻击者)分配相应的带宽资源。分配原则应尽可能给合法用户较大的带宽资源、而给僵尸机较小的带宽资源，从而使合法用户的流量最大概率地被转发，而僵尸机的攻击流量最大程度地被丢弃。当找到最佳的资源分配策略时，获得的带宽资源较少的数据流自然而然就是攻击流，从而解决了识别链路洪泛攻击流的问题。

本实施例中，建立带宽资源分配目标的数学模型的具体方法为：

设定受攻击链路为L，其总带宽容量是U_L；链路上的合法流集合为F_ben＝{f_i,}，f_i为第i个合法数据流，攻击流集合为F_att＝{f_j}，f_j为第j个攻击数据流，且

是合法数据流f_i在时间t的流速，

是攻击流f_j在时间t上的流速，d^t∈[0,1]是在时间t对某个数据流的限速因子，表示对某个流的数据包的丢弃率，其中，d^t＝0表示数据流的所有数据包都将通过链路L到达其目的地，d^t＝1表示数据流的所有数据包都将被丢弃，不再通过链路L；资源分配的目标是期望最大化合法数据流的带宽资源、最小化攻击数据流的带宽资源，同时，经由链路L的流量负载应小于其总带宽容量U_L，以确保链路L的正常工作状态，建立带宽资源分配目标的数学模型，如下公式所示：

obj:

s.t.

其中，r_ben是合法流量通过率，r_att是恶意流量通过率，N_ben是合法数据流的数量，N_att是攻击数据流的数量。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明权利要求所限定的范围。

Claims (8)

1.一种链路洪泛攻击检测与防御系统，采用三级防御框架，其特征在于：包括一级防御的目标链路预测模块、二级防御的LFA攻击检测模块和三级防御的LFA攻击流识别模块；所述目标链路预测模块用于预测网络中所有可能遭受链路洪泛攻击的链路，以此来锁定易受攻击的目标链路；所述LFA攻击检测模块进行链路层次的LFA检测，通过联合监测多个目标链路的拥塞状态特征来检测是否有链路正在遭受链路洪泛攻击；所述LFA攻击流识别模块在LFA攻击检测模块检测到链路洪泛攻击后启动，通过构建深度强化学习模型，让智能体不断对数据流进行限速操作以恢复链路的正常状态，再通过限速操作后网络状态的变化来识别攻击流。

2.根据权利要求1所述的一种链路洪泛攻击检测与防御系统，其特征在于：所述LFA攻击流识别模块包括数据采集与分析子模块、深度强化学习子模块和限速决策下发子模块；其中，数据采集与分析子模块负责采集数据平面中的网络信息，并进行处理以生成网络环境的变化信息；深度强化学习子模块利用学习到的策略从获取的网络环境的变化信息中识别出攻击流，生成对应的限速动作发送到限速决策下发子模块；限速决策下发子模块将深度强化学习子模块输出的限速动作下发到SDN数据平面，交换机根据下发的限速动作对恶意的攻击流量采取限速动作，从而缓解链路洪泛攻击。

3.一种链路洪泛攻击检测与防御方法，基于权利要求1所述系统实现，具体包括以下步骤：

步骤1：预测易受攻击的目标链路；

目标链路预测模块采用主动探测的方式，通过控制器向边缘交换机下发探测包查找到目标服务器的流路径，并计算链路的流密度，从而筛选出易受攻击的目标链路；

步骤2：检测链路洪泛攻击；LFA攻击检测模块接收来自一级防御的目标链路预测模块预测的目标链路信息，并通过SDN网络的北向接口向控制器发送目标链路信息；控制器接收到目标链路信息后监测所有的目标链路，并将监测到的目标链路状态信息通过SDN网络的南向接口和北向接口返回至二级防御的LFA攻击检测模块中；LFA攻击检测模块统计整理所有目标链路的状态信息并依据三项特征来判别是否有目标链路遭受链路洪泛攻击；

所述三项特征为：第一项特征：目标链路的上游链路不会拥塞；第二项特征：多条目标链路在某时段同时发生拥塞；第三项特征：目标链路周期性发生拥塞；

步骤3：识别与缓解LFA攻击；

LFA攻击流识别模块收到链路受攻击的信号，通过SDN网络的北向接口向控制器请求获取受攻击链路和相关流量信息；控制器收到请求后通过南向接口访问数据平面的交换机获取受攻击链路和流量信息；受攻击链路和流量信息通过北向接口上传至LFA攻击流识别模块；LFA攻击流识别模块根据收到的受攻击链路和流量信息进行深度强化学习，识别出攻击流或攻击主机，并通过南向接口向数据平面的数据流下发限速操作，即控制器通过meter表的更新限制识别出的攻击流或攻击主机的流量，包括meter生成、meter表项更新、meter下发三个步骤。

4.根据权利要求3所述的一种链路洪泛攻击检测与防御方法，其特征在于：所述步骤1的具体方法为：

目标链路预测模块通过SDN网络的北向接口向控制器请求获取网络中的边缘交换机；控制器接收到请求后通过SDN网络的南向接口访问网络中的边缘交换机，并向网络中的所有交换机下发探测流表；边缘交换机向控制器回复消息；然后控制器向边缘交换机发送探测包；边缘交换机收到探测包后在网络中将其转发到相邻交换机，并将该探测包复制一份上传至控制器；探测包在转发过程中记录所经过的交换机的ID号和端口信息，并最终经转发回到目标链路预测模块；目标链路预测模块根据收到的探测包中的一系列信息解析探测包的路径，获得全局网络拓扑，并计算链路的流密度，筛选出目标链路；

所述探测包的ToS字段设置为特殊值，交换机接收到探测包后通过匹配探测流表中ToS字段识别出探测包；所述探测包中定义probe_id字段来唯一标识相同源交换机/目的主机的不同批次的探测包。

5.根据权利要求4所述的一种链路洪泛攻击检测与防御方法，其特征在于：所述目标链路预测模块计算链路的流密度，筛选出目标链路的具体方法为：

设定探测包获取的路径序列为(Sw₁,port₁)→(Sw₂,port₂)→…→(Sw_k,port_k)，其中，k为探测包获取的路径序列中交换机总数，将每一段路径序列(Sw_a,port_a)→(Sw_b,port_b)之间的链路记为L_ab，其中，a∈(1,k)，b∈(1,k)；最终获得边缘交换机S_n到目标服务器T_m的链路序列为：L₁→L₂→L₃→…→L_w，w为S_n到目标服务器T_m的链路序列中链路总数；对所有的链路序列，统计每条链路出现的次数，即为链路的流密度，并选择流密度大于设定阈值的链路作为目标链路，得到预测的目标链路集合。

6.根据权利要求3所述的一种链路洪泛攻击检测与防御方法，其特征在于：所述LFA攻击检测模块依据三项特征来判别是否有目标链路遭受链路洪泛攻击的具体方法为：

首先根据第一项特征，同时监测目标链路及其上游链路的拥塞状态；当监测到目标链路发生拥塞时，还需再考虑其上游链路是否拥塞；若其上游链路也发生拥塞，则该目标链路的拥塞不是链路洪泛攻击导致的；若上游链路未发生拥塞，则继续监测该目标链路的拥塞状态，根据其呈现的拥塞特征进行分析判断，具体为：

统计所有拥塞的目标链路的拥塞起止时间，并计算出拥塞时长；根据第二项特征，将拥有相同的拥塞起止时间的目标链路看作可疑受攻击链路集；根据第三项特征，继续监测可疑链路集中的目标链路；在监测过程中，若再次监测到可疑受攻击链路，即目标链路呈现出周期性拥塞的特征，则判断该目标链路的拥塞是链路洪泛攻击导致的；持续重复以上过程，直到预测的目标链路集合被更新或者不再有目标链路拥塞。

7.根据权利要求3所述的一种链路洪泛攻击检测与防御方法，其特征在于：所述LFA攻击流识别模块根据收到的受攻击链路和流量信息进行深度强化学习，识别出攻击流或攻击主机的具体方法为：将识别链路洪泛攻击流的问题看作是带宽资源分配问题，建立带宽资源分配目标的数学模型，将获得带宽资源最少的数据流确定为攻击流。

8.根据权利要求7所述的一种链路洪泛攻击检测与防御方法，其特征在于：所述建立带宽资源分配目标的数学模型的具体方法为：

设定受攻击链路为L，其总带宽容量是U_L；链路上的合法流集合为F_ben＝{f_i,}，f_i为第i个合法数据流，攻击流集合为F_att＝{f_j}，f_j为第j个攻击数据流，且

是合法数据流f_i在时间t的流速，

是攻击流f_j在时间t上的流速，d^t∈[0,1]是在时间t对某个数据流的限速因子，表示对某个流的数据包的丢弃率，其中，d^t＝0表示数据流的所有数据包都将通过链路L到达其目的地，d^t＝1表示数据流的所有数据包都将被丢弃，不再通过链路L；资源分配的目标是期望最大化合法数据流的带宽资源、最小化攻击数据流的带宽资源，同时，经由链路L的流量负载应小于其总带宽容量U_L，以确保链路L的正常工作状态，建立带宽资源分配目标的数学模型，如下公式所示：

obj:

其中，r_ben是合法流量通过率，r_att是恶意流量通过率，N_ben是合法数据流的数量，N_att是攻击数据流的数量。

Images