CN113824700A - 基于端口相似性的双阶段软件定义网络流表溢出防御方法 - Google Patents
基于端口相似性的双阶段软件定义网络流表溢出防御方法 Download PDFInfo
- Publication number
- CN113824700A CN113824700A CN202111012416.1A CN202111012416A CN113824700A CN 113824700 A CN113824700 A CN 113824700A CN 202111012416 A CN202111012416 A CN 202111012416A CN 113824700 A CN113824700 A CN 113824700A
- Authority
- CN
- China
- Prior art keywords
- flow
- port
- flow table
- overflow
- offset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,属于网络安全技术领域。该关联方法利用交换机端口的相似性判断流表溢出攻击,并依据流量拥塞程度采取双阶段的方式过滤恶意流规则,控制流表容量。本发明首先将流表溢出攻击检测的问题建模为交换机端口相似性判断的问题。处于同一隔离域的交换机端口连接同种类型的网络设备,因此各个端口在网络流量、流规则数量上处于同一量级。通过计算每个端口占据流表容量的偏移度来判断攻击的发生。之后基于攻击的严重程度,分阶段地限制可疑流规则数量、过滤删除恶意流规则。与已有的防御相比,本关联方法可以防御更隐蔽的溢出攻击,实现更有效的防御。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种基于端口相似性的双阶段软件定义网络流表溢出防御方法。
背景技术
软件定义网络(Software-Defined Network)是一种控制逻辑与转发逻辑分离的网络架构。控制器负责处理网络数据包的转发逻辑,并生成对应的流规则,将这些流规则下发到交换机上,而交换机则通过流表存储来自控制器的转发指令,并按照这些转发指令处理对应的数据包。然而,交换机的流表在满足高速转发性能的同时无法兼顾大容量的流表存储,其容量往往仅支持几千条流规则的存储。这使得流表成为攻击者的重点攻击对象。攻击者通过伪造大量的陌生数据包,来诱骗控制器下发对应的流规则,从而占据流表空间,阻碍正常数据包的转发。
现有的针对流表溢出攻击的防御有多种多样,例如通过packet-in消息的频率,通过CPU、内存的使用情况来判断攻击等。但是这些已有的防御都存在被攻击者绕过的漏洞。比如慢速攻击可以精准地探测交换机流表的参数,从而在有效地减少攻击流量的同时完成同样的攻击效果。在这种攻击下,攻击流量不会表现出明显的峰值特征,使用这些方法进行的检测将会失效。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于端口相似性的双阶段软件定义网络流表溢出防御方法。
本发明的目的是通过以下技术方案来实现的:一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,包括以下步骤:
(1)软件定义网络中的控制器实时监听统计各交换机端口所占用的流表信息,包括每一条流规则的加入、删除、以及超时事件等;对交换机每个端口接收到的流量的流表占用情况进行及时更新;统计网络中各个流因table-miss而触发packet-in报文的次数。
(2)根据步骤(1)中统计的每个端口流表占用情况,计算得出每个端口占用流规则数量的偏移度d,每当产生流规则超时事件、流表溢出事件、新规则添加事件时,更新基础信息,重新计算d,并对每个端口的偏移度进行排序。
(3)当流表容量被用尽时,取出偏移度的排序结果,判断是否有端口的偏移度大于判断阈值。如果是,则说明攻击流量集中于特定的端口,整个交换机面对攻击流量的压力适中。此时对与之对应的端口流量进行流规则删除,使之所占据的流规则数量减少到平均端口流规则占用数量。
(4)对于步骤(3)中的判断结果,如果没有端口的偏移度超出判断阈值,说明交换机多数端口面临较大的流量压力,此时对于偏移度大于等于0的端口进行流规则的删除,使这些端口每个占据的流规则数量等同于端口平均流规则占用数量。
进一步地,步骤(2)中,计算偏移度d具体为:
对每个端口pi,统计从该端口接收到的流所占用的流规则的数量fpi,计算交换机平均每端口占用流规则数量fave:
依据fave计算出每个端口流规则占用数量的的偏移度dpi:
进一步地,当步骤(3)(4)中判断端口偏移度是否超出阈值时:
进一步地,步骤(3)和(4)中,在对超负荷的流表删除流规则时,选择端口偏移大于等于1的端口进行对应流规则的删除,若不存在端口偏移度大于阈值的端口,则对所有偏移度大于0的端口进行流规则的删除。在具体的端口删除流规则时,根据步骤(1)中统计的每条流所触发的packet-in报文次数,优先删除触发packet-in次数最少的流对应的流规则。
进一步地,每个端口的偏移度从大到小排序。
本发明的有益效果是:本发明首先将攻击判断的问题建模为交换机端口相似性的问题。通过检测异常增加的端口流表占用率,针对不同速率的攻击流量,采取不同程度的防御措施。对于特定端口发起的流表攻击,本发明对特定的交换机端口进行流表空间占用的限制。而当交换机面临大量端口的流量压力时,本发明通过合理分配每个端口的流表占用比率来缓解压力。同时采用分析真实网络数据的特征,有效过滤出攻击流量。与现有技术相比,本发明可以更好地检测流表溢出攻击,避免了已有防御在应对慢速攻击时的不足。
附图说明
图1是本发明基于端口相似性的双阶段软件定义网络流表溢出防御关联方法流程图。
具体的实施方式
下面根据附图详细描述本发明,以突出本发明的目的和具体效果。
如图1所示,本发明一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,具体包括如下步骤:
(1)软件定义网络中的控制器实时监听统计各交换机端口所占用的流表信息,包括每一条流规则的加入、删除、以及超时事件;对于交换机的每个端口pi,统计从该端口接收到的流所占用的流规则的数量fpi,并计算当前交换机下平均每端口占用流规则数量fave:
其中,i=1~n,n为端口的总数。
之后依据fave计算出每个端口流规则占用数量的的偏移度dpi:
与此同时,对于每条流f,统计流所触发的packet-in报文出现的次数nf。
每当产生流规则超时事件、流表溢出事件、新规则添加事件时,更新基础信息,重新计算d,并对每个端口的偏移度进行从大到小排序。
(2)当流表容量被用尽时,取出偏移度的排序结果(从大到小),判断是否有端口的偏移度大于判断阈值:
其中,overflowpi表示判断端口pi是否存在流表溢出攻击。
如果是,overflowpi=1,则说明攻击流量集中于特定的端口,整个交换机面对攻击流量的压力适中。此时对与之对应的端口流量进行流规则删除,根据步骤(1)中统计的每条流所触发的packet-in报文次数nf,优先删除nf=1的流,然后是nf=2,3,…,n的流,使受攻击端口所占用的流表数量位于平均值以下。
(3)如果没有端口的偏移度超出判断阈值,说明交换机多数端口面临较大的流量压力,此时对于偏移度大于0的端口进行流规则的删除,仍然优先删除nf=1的流,使这些端口每个占据的流规则数量等同于端口平均流规则占用数量。
(4)删除流规则之后,实时更新端口统计信息与偏移度;对新流下发流规则。之后继续监听统计各交换机端口所占用的流表信息,包括每一条流规则的加入、删除、以及超时事件;并计算fpi,fave,dpi。
Claims (5)
1.一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,包括以下步骤:
(1)软件定义网络中的控制器实时监听统计各交换机端口所占用的流表信息,包括每一条流规则的加入、删除、以及超时事件等;对交换机每个端口接收到的流量的流表占用情况进行及时更新;统计网络中各个流因table-miss而触发packet-in报文的次数。
(2)根据步骤(1)中统计的每个端口流表占用情况,计算得出每个端口占用流规则数量的偏移度d,每当产生流规则超时事件、流表溢出事件、新规则添加事件时,更新基础信息,重新计算d,并对每个端口的偏移度进行排序。
(3)当流表容量被用尽时,取出偏移度的排序结果,判断是否有端口的偏移度大于判断阈值。如果是,则说明攻击流量集中于特定的端口,整个交换机面对攻击流量的压力适中。此时对与之对应的端口流量进行流规则删除,使之所占据的流规则数量减少到平均端口流规则占用数量。
(4)对于步骤(3)中的判断结果,如果没有端口的偏移度超出判断阈值,说明交换机多数端口面临较大的流量压力,此时对于偏移度大于等于0的端口进行流规则的删除,使这些端口每个占据的流规则数量等同于端口平均流规则占用数量。
4.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,步骤(3)和(4)中,在对超负荷的流表删除流规则时,选择端口偏移大于等于1的端口进行对应流规则的删除,若不存在端口偏移度大于阈值的端口,则对所有偏移度大于0的端口进行流规则的删除。在具体的端口删除流规则时,根据步骤(1)中统计的每条流所触发的packet-in报文次数,优先删除触发packet-in次数最少的流对应的流规则。
5.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,每个端口的偏移度从大到小排序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111012416.1A CN113824700B (zh) | 2021-08-31 | 2021-08-31 | 基于端口相似性的双阶段软件定义网络流表溢出防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111012416.1A CN113824700B (zh) | 2021-08-31 | 2021-08-31 | 基于端口相似性的双阶段软件定义网络流表溢出防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113824700A true CN113824700A (zh) | 2021-12-21 |
CN113824700B CN113824700B (zh) | 2022-11-15 |
Family
ID=78913900
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111012416.1A Active CN113824700B (zh) | 2021-08-31 | 2021-08-31 | 基于端口相似性的双阶段软件定义网络流表溢出防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113824700B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115664752A (zh) * | 2022-10-19 | 2023-01-31 | 湖南大学 | 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 |
CN115664754A (zh) * | 2022-10-18 | 2023-01-31 | 湖南大学 | 一种基于无序程度的慢速流表溢出攻击检测与缓解方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050172155A1 (en) * | 1999-05-17 | 2005-08-04 | Invicta Networks, Inc. | Method of communications and communication network intrusion protection methods and intrusion attempt detection system |
CN108282497A (zh) * | 2018-04-28 | 2018-07-13 | 电子科技大学 | 针对SDN控制平面的DDoS攻击检测方法 |
CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
US20210092153A1 (en) * | 2018-02-05 | 2021-03-25 | Chongqing University Of Posts And Telecommunications | Ddos attack detection and mitigation method for industrial sdn network |
-
2021
- 2021-08-31 CN CN202111012416.1A patent/CN113824700B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050172155A1 (en) * | 1999-05-17 | 2005-08-04 | Invicta Networks, Inc. | Method of communications and communication network intrusion protection methods and intrusion attempt detection system |
US20210092153A1 (en) * | 2018-02-05 | 2021-03-25 | Chongqing University Of Posts And Telecommunications | Ddos attack detection and mitigation method for industrial sdn network |
CN108282497A (zh) * | 2018-04-28 | 2018-07-13 | 电子科技大学 | 针对SDN控制平面的DDoS攻击检测方法 |
CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
徐洋等: "SDN中DDoS检测及多层防御方法研究", 《信息网络安全》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115664754A (zh) * | 2022-10-18 | 2023-01-31 | 湖南大学 | 一种基于无序程度的慢速流表溢出攻击检测与缓解方法 |
CN115664754B (zh) * | 2022-10-18 | 2024-04-26 | 湖南大学 | 一种基于无序程度的慢速流表溢出攻击检测与缓解方法 |
CN115664752A (zh) * | 2022-10-19 | 2023-01-31 | 湖南大学 | 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 |
CN115664752B (zh) * | 2022-10-19 | 2024-04-19 | 湖南大学 | 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113824700B (zh) | 2022-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
CN113824700B (zh) | 基于端口相似性的双阶段软件定义网络流表溢出防御方法 | |
CN101895521B (zh) | 一种网络蠕虫检测与特征自动提取方法及其系统 | |
US7865945B2 (en) | System and method for detecting and eliminating IP spoofing in a data transmission network | |
US7832009B2 (en) | Techniques for preventing attacks on computer systems and networks | |
CN111614627B (zh) | 一种面向sdn的跨平面协作ddos检测与防御方法与系统 | |
EP2158740B1 (en) | Processing packet flows | |
US9386036B2 (en) | Method for detecting and preventing a DDoS attack using cloud computing, and server | |
US7308714B2 (en) | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack | |
US8358592B2 (en) | Network controller and control method with flow analysis and control function | |
WO2021253899A1 (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
CN109194608B (zh) | 一种基于流的DDoS攻击与闪拥事件检测方法 | |
CN107438066B (zh) | 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 | |
CN111262849A (zh) | 一种基于流表信息的网络异常流量行为识别阻断的方法 | |
WO2009018737A1 (fr) | Procédé et dispositif en réseau pour empêcher des attaques dos | |
Siregar et al. | Intrusion prevention system against denial of service attacks using genetic algorithm | |
US8095981B2 (en) | Worm detection by trending fan out | |
CN115695041B (zh) | 基于sdn的ddos攻击检测与防护的方法及应用 | |
Qin et al. | Frequent episode rules for intrusive anomaly detection with internet datamining | |
CN115987588A (zh) | 一种基于规则匹配的入侵防御系统自适应保护方法及装置 | |
CN102111302A (zh) | 一种蠕虫检测方法 | |
Araki et al. | Unknown attack detection by multistage one-class SVM focusing on communication interval | |
JP2006148778A (ja) | パケット転送制御装置 | |
KR20160087448A (ko) | 플로우 별 통계 정보를 활용한 아웃라이어 감지 기반의 DDoS 공격자 구별 방법 및 장치 | |
CN115664752B (zh) | 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |