CN113824700A - 基于端口相似性的双阶段软件定义网络流表溢出防御方法 - Google Patents

基于端口相似性的双阶段软件定义网络流表溢出防御方法 Download PDF

Info

Publication number
CN113824700A
CN113824700A CN202111012416.1A CN202111012416A CN113824700A CN 113824700 A CN113824700 A CN 113824700A CN 202111012416 A CN202111012416 A CN 202111012416A CN 113824700 A CN113824700 A CN 113824700A
Authority
CN
China
Prior art keywords
flow
port
flow table
overflow
offset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111012416.1A
Other languages
English (en)
Other versions
CN113824700B (zh
Inventor
吴春明
孔德章
吴坚平
程秋美
沈毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202111012416.1A priority Critical patent/CN113824700B/zh
Publication of CN113824700A publication Critical patent/CN113824700A/zh
Application granted granted Critical
Publication of CN113824700B publication Critical patent/CN113824700B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,属于网络安全技术领域。该关联方法利用交换机端口的相似性判断流表溢出攻击,并依据流量拥塞程度采取双阶段的方式过滤恶意流规则,控制流表容量。本发明首先将流表溢出攻击检测的问题建模为交换机端口相似性判断的问题。处于同一隔离域的交换机端口连接同种类型的网络设备,因此各个端口在网络流量、流规则数量上处于同一量级。通过计算每个端口占据流表容量的偏移度来判断攻击的发生。之后基于攻击的严重程度,分阶段地限制可疑流规则数量、过滤删除恶意流规则。与已有的防御相比,本关联方法可以防御更隐蔽的溢出攻击,实现更有效的防御。

Description

基于端口相似性的双阶段软件定义网络流表溢出防御方法
技术领域
本发明属于网络安全技术领域,尤其涉及一种基于端口相似性的双阶段软件定义网络流表溢出防御方法。
背景技术
软件定义网络(Software-Defined Network)是一种控制逻辑与转发逻辑分离的网络架构。控制器负责处理网络数据包的转发逻辑,并生成对应的流规则,将这些流规则下发到交换机上,而交换机则通过流表存储来自控制器的转发指令,并按照这些转发指令处理对应的数据包。然而,交换机的流表在满足高速转发性能的同时无法兼顾大容量的流表存储,其容量往往仅支持几千条流规则的存储。这使得流表成为攻击者的重点攻击对象。攻击者通过伪造大量的陌生数据包,来诱骗控制器下发对应的流规则,从而占据流表空间,阻碍正常数据包的转发。
现有的针对流表溢出攻击的防御有多种多样,例如通过packet-in消息的频率,通过CPU、内存的使用情况来判断攻击等。但是这些已有的防御都存在被攻击者绕过的漏洞。比如慢速攻击可以精准地探测交换机流表的参数,从而在有效地减少攻击流量的同时完成同样的攻击效果。在这种攻击下,攻击流量不会表现出明显的峰值特征,使用这些方法进行的检测将会失效。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于端口相似性的双阶段软件定义网络流表溢出防御方法。
本发明的目的是通过以下技术方案来实现的:一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,包括以下步骤:
(1)软件定义网络中的控制器实时监听统计各交换机端口所占用的流表信息,包括每一条流规则的加入、删除、以及超时事件等;对交换机每个端口接收到的流量的流表占用情况进行及时更新;统计网络中各个流因table-miss而触发packet-in报文的次数。
(2)根据步骤(1)中统计的每个端口流表占用情况,计算得出每个端口占用流规则数量的偏移度d,每当产生流规则超时事件、流表溢出事件、新规则添加事件时,更新基础信息,重新计算d,并对每个端口的偏移度进行排序。
(3)当流表容量被用尽时,取出偏移度的排序结果,判断是否有端口的偏移度大于判断阈值。如果是,则说明攻击流量集中于特定的端口,整个交换机面对攻击流量的压力适中。此时对与之对应的端口流量进行流规则删除,使之所占据的流规则数量减少到平均端口流规则占用数量。
(4)对于步骤(3)中的判断结果,如果没有端口的偏移度超出判断阈值,说明交换机多数端口面临较大的流量压力,此时对于偏移度大于等于0的端口进行流规则的删除,使这些端口每个占据的流规则数量等同于端口平均流规则占用数量。
进一步地,步骤(2)中,计算偏移度d具体为:
对每个端口pi,统计从该端口接收到的流所占用的流规则的数量fpi,计算交换机平均每端口占用流规则数量fave:
Figure BDA0003239439820000021
依据fave计算出每个端口流规则占用数量的的偏移度dpi:
Figure BDA0003239439820000022
进一步地,当步骤(3)(4)中判断端口偏移度是否超出阈值时:
Figure BDA0003239439820000023
进一步地,步骤(3)和(4)中,在对超负荷的流表删除流规则时,选择端口偏移大于等于1的端口进行对应流规则的删除,若不存在端口偏移度大于阈值的端口,则对所有偏移度大于0的端口进行流规则的删除。在具体的端口删除流规则时,根据步骤(1)中统计的每条流所触发的packet-in报文次数,优先删除触发packet-in次数最少的流对应的流规则。
进一步地,每个端口的偏移度从大到小排序。
本发明的有益效果是:本发明首先将攻击判断的问题建模为交换机端口相似性的问题。通过检测异常增加的端口流表占用率,针对不同速率的攻击流量,采取不同程度的防御措施。对于特定端口发起的流表攻击,本发明对特定的交换机端口进行流表空间占用的限制。而当交换机面临大量端口的流量压力时,本发明通过合理分配每个端口的流表占用比率来缓解压力。同时采用分析真实网络数据的特征,有效过滤出攻击流量。与现有技术相比,本发明可以更好地检测流表溢出攻击,避免了已有防御在应对慢速攻击时的不足。
附图说明
图1是本发明基于端口相似性的双阶段软件定义网络流表溢出防御关联方法流程图。
具体的实施方式
下面根据附图详细描述本发明,以突出本发明的目的和具体效果。
如图1所示,本发明一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,具体包括如下步骤:
(1)软件定义网络中的控制器实时监听统计各交换机端口所占用的流表信息,包括每一条流规则的加入、删除、以及超时事件;对于交换机的每个端口pi,统计从该端口接收到的流所占用的流规则的数量fpi,并计算当前交换机下平均每端口占用流规则数量fave
Figure BDA0003239439820000031
其中,i=1~n,n为端口的总数。
之后依据fave计算出每个端口流规则占用数量的的偏移度dpi:
Figure BDA0003239439820000032
与此同时,对于每条流f,统计流所触发的packet-in报文出现的次数nf
每当产生流规则超时事件、流表溢出事件、新规则添加事件时,更新基础信息,重新计算d,并对每个端口的偏移度进行从大到小排序。
(2)当流表容量被用尽时,取出偏移度的排序结果(从大到小),判断是否有端口的偏移度大于判断阈值:
Figure BDA0003239439820000033
其中,overflowpi表示判断端口pi是否存在流表溢出攻击。
如果是,overflowpi=1,则说明攻击流量集中于特定的端口,整个交换机面对攻击流量的压力适中。此时对与之对应的端口流量进行流规则删除,根据步骤(1)中统计的每条流所触发的packet-in报文次数nf,优先删除nf=1的流,然后是nf=2,3,…,n的流,使受攻击端口所占用的流表数量位于平均值以下。
(3)如果没有端口的偏移度超出判断阈值,说明交换机多数端口面临较大的流量压力,此时对于偏移度大于0的端口进行流规则的删除,仍然优先删除nf=1的流,使这些端口每个占据的流规则数量等同于端口平均流规则占用数量。
(4)删除流规则之后,实时更新端口统计信息与偏移度;对新流下发流规则。之后继续监听统计各交换机端口所占用的流表信息,包括每一条流规则的加入、删除、以及超时事件;并计算fpi,fave,dpi

Claims (5)

1.一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,包括以下步骤:
(1)软件定义网络中的控制器实时监听统计各交换机端口所占用的流表信息,包括每一条流规则的加入、删除、以及超时事件等;对交换机每个端口接收到的流量的流表占用情况进行及时更新;统计网络中各个流因table-miss而触发packet-in报文的次数。
(2)根据步骤(1)中统计的每个端口流表占用情况,计算得出每个端口占用流规则数量的偏移度d,每当产生流规则超时事件、流表溢出事件、新规则添加事件时,更新基础信息,重新计算d,并对每个端口的偏移度进行排序。
(3)当流表容量被用尽时,取出偏移度的排序结果,判断是否有端口的偏移度大于判断阈值。如果是,则说明攻击流量集中于特定的端口,整个交换机面对攻击流量的压力适中。此时对与之对应的端口流量进行流规则删除,使之所占据的流规则数量减少到平均端口流规则占用数量。
(4)对于步骤(3)中的判断结果,如果没有端口的偏移度超出判断阈值,说明交换机多数端口面临较大的流量压力,此时对于偏移度大于等于0的端口进行流规则的删除,使这些端口每个占据的流规则数量等同于端口平均流规则占用数量。
2.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,步骤(2)中,计算偏移度d具体为:
对每个端口pi,统计从该端口接收到的流所占用的流规则的数量fpi,计算交换机平均每端口占用流规则数量fave:
Figure FDA0003239439810000011
依据fave计算出每个端口流规则占用数量的的偏移度dpi:
Figure FDA0003239439810000012
3.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,当步骤(3)(4)中判断端口偏移度是否超出阈值时:
Figure FDA0003239439810000013
4.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,步骤(3)和(4)中,在对超负荷的流表删除流规则时,选择端口偏移大于等于1的端口进行对应流规则的删除,若不存在端口偏移度大于阈值的端口,则对所有偏移度大于0的端口进行流规则的删除。在具体的端口删除流规则时,根据步骤(1)中统计的每条流所触发的packet-in报文次数,优先删除触发packet-in次数最少的流对应的流规则。
5.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,每个端口的偏移度从大到小排序。
CN202111012416.1A 2021-08-31 2021-08-31 基于端口相似性的双阶段软件定义网络流表溢出防御方法 Active CN113824700B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111012416.1A CN113824700B (zh) 2021-08-31 2021-08-31 基于端口相似性的双阶段软件定义网络流表溢出防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111012416.1A CN113824700B (zh) 2021-08-31 2021-08-31 基于端口相似性的双阶段软件定义网络流表溢出防御方法

Publications (2)

Publication Number Publication Date
CN113824700A true CN113824700A (zh) 2021-12-21
CN113824700B CN113824700B (zh) 2022-11-15

Family

ID=78913900

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111012416.1A Active CN113824700B (zh) 2021-08-31 2021-08-31 基于端口相似性的双阶段软件定义网络流表溢出防御方法

Country Status (1)

Country Link
CN (1) CN113824700B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115664752A (zh) * 2022-10-19 2023-01-31 湖南大学 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法
CN115664754A (zh) * 2022-10-18 2023-01-31 湖南大学 一种基于无序程度的慢速流表溢出攻击检测与缓解方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050172155A1 (en) * 1999-05-17 2005-08-04 Invicta Networks, Inc. Method of communications and communication network intrusion protection methods and intrusion attempt detection system
CN108282497A (zh) * 2018-04-28 2018-07-13 电子科技大学 针对SDN控制平面的DDoS攻击检测方法
CN111181932A (zh) * 2019-12-18 2020-05-19 广东省新一代通信与网络创新研究院 Ddos攻击检测与防御方法、装置、终端设备及存储介质
US20210092153A1 (en) * 2018-02-05 2021-03-25 Chongqing University Of Posts And Telecommunications Ddos attack detection and mitigation method for industrial sdn network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050172155A1 (en) * 1999-05-17 2005-08-04 Invicta Networks, Inc. Method of communications and communication network intrusion protection methods and intrusion attempt detection system
US20210092153A1 (en) * 2018-02-05 2021-03-25 Chongqing University Of Posts And Telecommunications Ddos attack detection and mitigation method for industrial sdn network
CN108282497A (zh) * 2018-04-28 2018-07-13 电子科技大学 针对SDN控制平面的DDoS攻击检测方法
CN111181932A (zh) * 2019-12-18 2020-05-19 广东省新一代通信与网络创新研究院 Ddos攻击检测与防御方法、装置、终端设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
徐洋等: "SDN中DDoS检测及多层防御方法研究", 《信息网络安全》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115664754A (zh) * 2022-10-18 2023-01-31 湖南大学 一种基于无序程度的慢速流表溢出攻击检测与缓解方法
CN115664754B (zh) * 2022-10-18 2024-04-26 湖南大学 一种基于无序程度的慢速流表溢出攻击检测与缓解方法
CN115664752A (zh) * 2022-10-19 2023-01-31 湖南大学 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法
CN115664752B (zh) * 2022-10-19 2024-04-19 湖南大学 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法

Also Published As

Publication number Publication date
CN113824700B (zh) 2022-11-15

Similar Documents

Publication Publication Date Title
CN108282497B (zh) 针对SDN控制平面的DDoS攻击检测方法
CN113824700B (zh) 基于端口相似性的双阶段软件定义网络流表溢出防御方法
CN101895521B (zh) 一种网络蠕虫检测与特征自动提取方法及其系统
US7865945B2 (en) System and method for detecting and eliminating IP spoofing in a data transmission network
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
CN111614627B (zh) 一种面向sdn的跨平面协作ddos检测与防御方法与系统
EP2158740B1 (en) Processing packet flows
US9386036B2 (en) Method for detecting and preventing a DDoS attack using cloud computing, and server
US7308714B2 (en) Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack
US8358592B2 (en) Network controller and control method with flow analysis and control function
WO2021253899A1 (zh) 针对性攻击检测方法及其装置和计算机可读存储介质
CN109194608B (zh) 一种基于流的DDoS攻击与闪拥事件检测方法
CN107438066B (zh) 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法
CN111262849A (zh) 一种基于流表信息的网络异常流量行为识别阻断的方法
WO2009018737A1 (fr) Procédé et dispositif en réseau pour empêcher des attaques dos
Siregar et al. Intrusion prevention system against denial of service attacks using genetic algorithm
US8095981B2 (en) Worm detection by trending fan out
CN115695041B (zh) 基于sdn的ddos攻击检测与防护的方法及应用
Qin et al. Frequent episode rules for intrusive anomaly detection with internet datamining
CN115987588A (zh) 一种基于规则匹配的入侵防御系统自适应保护方法及装置
CN102111302A (zh) 一种蠕虫检测方法
Araki et al. Unknown attack detection by multistage one-class SVM focusing on communication interval
JP2006148778A (ja) パケット転送制御装置
KR20160087448A (ko) 플로우 별 통계 정보를 활용한 아웃라이어 감지 기반의 DDoS 공격자 구별 방법 및 장치
CN115664752B (zh) 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant