CN114866350B - Sdn数据平面低速率攻击检测方法及系统 - Google Patents
Sdn数据平面低速率攻击检测方法及系统 Download PDFInfo
- Publication number
- CN114866350B CN114866350B CN202210785690.0A CN202210785690A CN114866350B CN 114866350 B CN114866350 B CN 114866350B CN 202210785690 A CN202210785690 A CN 202210785690A CN 114866350 B CN114866350 B CN 114866350B
- Authority
- CN
- China
- Prior art keywords
- host
- increment
- entropy
- data plane
- detection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及SDN数据平面低速率攻击检测方法及系统,通过对边缘交换机流表信息的周期性收集,统计各主机在其直连各边缘交换机中作为源IP的流表项数量之和的增量,并根据各增量所对应熵值与对应熵值阈值的比较,实现对主机可疑的判定,并且为了减少误报率,进一步结合连续可疑判定次数与预设次数阈值之间的判断,与此同时,设计流表项存活时长下的判断,实现攻击主机的综合分析检测;相较于机器学习/深度学习的方法,本设计方案具有轻量级的优点,对控制器的负担更小的优点,并且相较于已有的SDN中攻击的熵值检测方法,本发明设计方法不依赖packet‑in消息,更适用于SDN数据平面的低速率拒绝服务攻击。
Description
技术领域
本发明涉及SDN数据平面低速率攻击检测方法及系统,属于SDN网络安全性保护技术领域。
背景技术
在SDN数据平面的低速率拒绝服务攻击的检测中,利用的是机器学习/深度学习的方法,现有技术提出了一种基于决策树算法的检测方法,该方法从流表规则中选取了四个特征,并通过实验构建了相关的数据集,然后利用决策树算法去训练,实验结果表明了方法的可用性。
现有技术还提出了使用CNN-LSTM混合模型来检测SDN中的低速率攻击,研究者通过实验构建了攻击流量数据集和正常流量数据集,实验结果证明了该方法的效果要强于MLP和1-Class SVM模型。
目前SDN中的熵值检测方法集中在对SDN中的DDoS攻击检测中,Mousavi等人提出利用packet-in消息,统计网络中各个目的主机的频率,然后计算滑动窗口内的香农熵的大小来检测SDN中的DDoS攻击;Kalkan等人考虑到不只存在一个受害主机的情况,提出了一种基于联合熵的DDoS攻击检测方法,该方法同时关注了IP地址和TCP层属性的组合与目标IP地址熵。
但是目前的现有技术仍然存在如下几点不足。
1.机器学习和深度学习的检测方法的优点在于其具有较高的准确率,其缺点在于有着较长的训练时间和较大的计算量,而这种缺点会增加SDN控制器的计算负担。作为检测方法最好能做到轻量级,因为SDN的控制层控制着整个网络所有的通信任务,检测方法若占据了太多的计算资源会影响SDN网络的通信。
2.熵值的检测方式的优点在于轻量级和计算量小,但是现有的SDN利用熵值检测攻击的方式集中在DDoS攻击上,这种熵值检测方式依靠的是packet-in消息进行熵值计算,但对于SDN数据平面的低速率攻击来说,由于它并不会短时间内产生大量的packet-in消息,这导致了已有的熵值检测方法在该攻击上的失效。
发明内容
本发明所要解决的技术问题是提供SDN数据平面低速率攻击检测方法,能够对SDN数据平面的低速率拒绝服务攻击的发生,实现高效检测。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了SDN数据平面低速率攻击检测方法,基于SDN数据平面网络中各边缘交换机分别直连的各个主机,分别针对该各个主机,周期执行如下步骤A至步骤B;
步骤A. 基于预设数量个连续周期,作为各个待分析周期,以及主机对应周期内、其在直连各边缘交换机中作为源IP的流表项数量之和作为主机所对应的统计数据,获得主机所对应各待分析周期的统计数据分别相较相邻上一周期的统计数据的增量结果,并进入步骤B;
步骤B. 根据该主机所对应的各个增量结果,计算获得相对应的熵值,并判断该熵值是否大于该主机对应的熵值阈值,是则判定主机为可疑。
作为本发明的一种优选技术方案:所述分别针对与各边缘交换机直连的各个主机,周期执行步骤A至步骤B的过程中,若连续被判定为可疑的次数达到预设次数阈值,则判定该主机发起了低速率攻击;否则不对该主机进行判定。
作为本发明的一种优选技术方案:所述分别针对各个主机,周期执行步骤A至步骤B,并根据可疑次数,判定低速率攻击的同时,分别针对该各个主机,周期统计主机在直连各边缘交换机中作为源IP的各流表项中、存活时长大于预设时长阈值的流表项的数量,并关于该主机分别对应各周期的该数量中,若该数量呈增长的连续周期数量达到预设周期阈值数,则判定该主机发起了低速率攻击;否则不对该主机进行判定。
作为本发明的一种优选技术方案:所述步骤A中,基于自当前周期起、向未来时间方向或者向历史时间方向的预设数量个顺序周期,作为各个待分析周期,获得主机所对应各待分析周期的统计数据分别相较相邻上一周期的统计数据的增量结果。
作为本发明的一种优选技术方案:所述步骤A中,若主机所对应待分析周期的统计数据分别相较相邻上一周期的统计数据的增量结果小于或等于0,则定义该增量结果为0;否则不做任何处理。
作为本发明的一种优选技术方案:所述步骤B中主机对应的熵值阈值,基于SDN数据平面网络无攻击状态下,该主机周期执行步骤A至步骤B所获得的各个熵值,计算获得各个熵值的平均值,即构成该主机对应的熵值阈值。
作为本发明的一种优选技术方案:还包括步骤AB如下,执行完步骤A之后,进入步骤AB;
步骤AB. 针对该主机所对应的各个增量结果,首先确定其中大于0的个数a、以及小于或等于0的个数b,并针对个数a与个数b进行归一化处理,获得a’、b’,由a’构成大于0的各增量结果的权重,以及由b’构成小于或等于0的各增量结果的权重;然后针对各个增量结果执行加权操作,并计算获得加权结果所对应的熵值,构成该主机所对应的熵值阈值,然后进入步骤B。
本发明所要解决的技术问题是提供SDN数据平面低速率攻击检测方法的系统,通过模块化的组合设计,高效实施所设计方法,提高攻击检测的效率。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了SDN数据平面低速率攻击检测方法的系统,基于SDN网络中用于管理各交换机和主机之间通信的控制器,包括流表信息收集模块和攻击检测模块,其中,流表信息收集模块用于执行步骤A,攻击检测模块用于执行步骤B。
本发明所述SDN数据平面低速率攻击检测方法及系统,采用以上技术方案与现有技术相比,具有以下技术效果:
本发明所设计SDN数据平面低速率攻击检测方法及系统,通过对边缘交换机流表信息的周期性收集,统计各主机在其直连各边缘交换机中作为源IP的流表项数量之和的增量,并根据各增量所对应熵值与对应熵值阈值的比较,实现对主机可疑的判定,并且为了减少误报率,进一步结合连续可疑判定次数与预设次数阈值之间的判断,与此同时,设计流表项存活时长下的判断,实现攻击主机的综合分析检测;相较于机器学习/深度学习的方法,本设计方案具有轻量级的优点,对控制器的负担更小的优点,并且相较于已有的SDN中攻击的熵值检测方法,本发明设计方法不依赖packet-in消息,更适用于SDN数据平面的低速率拒绝服务攻击。
附图说明
图1是本发明设计SDN数据平面低速率攻击检测方法中判定主机可疑的流程图;
图2是本发明设计SDN数据平面低速率攻击检测方法中判定攻击主机的流程图;
图3是本发明设计SDN数据平面低速率攻击检测方法中流表项存活时长判断的流程图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了SDN数据平面低速率攻击检测方法及系统,其中,基于SDN网络中用于管理各交换机和主机之间通信的控制器,系统包括流表信息收集模块和攻击检测模块;关于SDN数据平面低速率攻击检测方法,实际应用当中,基于SDN数据平面网络中各边缘交换机分别直连的各个主机,分别针对该各个主机,如图1所示,周期执行如下步骤A至步骤B。
步骤A. 流表信息收集模块基于预设数量个连续周期,作为各个待分析周期,以及主机对应周期内、其在直连各边缘交换机中作为源IP的流表项数量之和作为主机所对应的统计数据,获得主机所对应各待分析周期的统计数据分别相较相邻上一周期的统计数据的增量结果,并进入步骤B。实际应用中,这里增量结果的个数,对应于滑动窗口的长度,即获得一个增量结果,即加入到滑动窗口中,当所加入增量结果的数量达到滑动窗口的长度时,即滑动窗口满时,则将滑动窗口发送至攻击检测模块,即由攻击检测模块接收滑动窗口中的各个增量结果。
关于各主机在直连各边缘交换机中作为源IP的流表项数量之和作为主机所对应的统计数据的统计,实际应用中,为了对各直连主机所占的流表项数量进行统计,由控制器周期性的向各边缘交换机发送请求流表查询消息,交换机在收到消息后返回流表信息,即可获得交换机内所有流表项的统计信息。
实际应用当中,上述步骤A中,基于自当前周期起、向未来时间方向或者向历史时间方向的预设数量个顺序周期,作为各个待分析周期,获得主机所对应各待分析周期的统计数据分别相较相邻上一周期的统计数据的增量结果,具体若主机所对应待分析周期的统计数据分别相较相邻上一周期的统计数据的增量结果小于或等于0,则定义该增量结果为0;否则不做任何处理。
实际应用中,以主机h为例,统计其在各个周期时在其直连交换机中作为源IP的流
表项数量,即统计主机在第t个周期时的数量和在第t+1个周期时的数量。当小于等于时,记录第t+1个周期相较于第t个周期,h的流表项增量结果Δx为0,否
则记录Δx为。然后将该增量值Δx添加到到h对应的滑动窗口中,当滑动窗口
的长度满足设定值后,即将滑动窗口发送至攻击检测模块,由攻击检测模块接收滑动窗口。
步骤B. 根据该主机所对应的各个增量结果,计算获得相对应的熵值,并判断该熵值是否大于该主机对应的熵值阈值,是则判定主机为可疑。
上述分别针对与各边缘交换机直连的各个主机,周期执行步骤A至步骤B的过程中,关于熵值阈值的获得,具体设计了两种方案,其一,基于SDN数据平面网络无攻击状态下,该主机周期执行步骤A至步骤B所获得的各个熵值,计算获得各个熵值的平均值,即构成该主机对应的熵值阈值。
其二,在步骤A至步骤B执行的过程中,进一步设计加入步骤AB如下,执行完步骤A之后,进入步骤AB。
步骤AB. 针对该主机所对应的各个增量结果,首先确定其中大于0的个数a、以及小于或等于0的个数b,并针对个数a与个数b进行归一化处理,获得a’、b’,由a’构成大于0的各增量结果的权重,以及由b’构成小于或等于0的各增量结果的权重;然后针对各个增量结果执行加权操作,并计算获得加权结果所对应的熵值,构成该主机所对应的熵值阈值,然后进入步骤B。
即伴随着步骤A至步骤B的执行,动态生成该主机所对应的熵值阈值,用于在步骤B进行进一步的比较。
实际应用当中,分别针对与各边缘交换机直连的各个主机,周期执行步骤A至步骤B的过程中,若连续被判定为可疑的次数达到预设次数阈值,则判定该主机发起了低速率攻击,实际应用中,基于设计异常队列长度对应预设次数阈值,如图2所示,关于主机判断定一次异常,则在该主机对应的异常队列中加1,若连续在异常队列中加1动作,使得所加1的数量达到异常队列的长度时候,即主机被判定为可疑的次数达到预设次数阈值,则判定该主机发起了低速率攻击。
上述分别针对各个主机,周期执行步骤A至步骤B,并根据可疑次数,判定低速率攻击的同时,设计对各个边缘交换机所包含的流表项的存活时长(duration)进行观察,这样做的目的是对速度极低的攻击方式进行处理,减少漏报。当攻击者以极低的攻击速率时,如攻击者在每个空闲超时时间内只增加一条流表项,为了避免这种极慢的攻击方式会降低检测方法的准确率,甚至可能会导致方法的失效,所以要单独处理。因此,如图3所示,具体分别针对该各个主机,周期统计主机在直连各边缘交换机中作为源IP的各流表项中存活时长大于诸如150s预设时长阈值的流表项的数量,并关于该主机分别对应各周期的该数量中,若该数量呈增长的连续周期数量达到预设周期阈值数,则判定该主机发起了低速率攻击;否则不对该主机进行判定。
上述技术方案所设计SDN数据平面低速率攻击检测方法及系统,通过对边缘交换机流表信息的周期性收集,统计各主机在其直连各边缘交换机中作为源IP的流表项数量之和的增量,并根据各增量所对应熵值与对应熵值阈值的比较,实现对主机可疑的判定,并且为了减少误报率,进一步结合连续可疑判定次数与预设次数阈值之间的判断,与此同时,设计流表项存活时长下的判断,实现攻击主机的综合分析检测;相较于机器学习/深度学习的方法,本设计方案具有轻量级的优点,对控制器的负担更小的优点,并且相较于已有的SDN中攻击的熵值检测方法,本发明设计方法不依赖packet-in消息,更适用于SDN数据平面的低速率拒绝服务攻击。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (6)
1.基于流表项增量熵值的SDN数据平面低速率攻击检测方法,其特征在于:基于SDN数据平面网络中各边缘交换机分别直连的各个主机,分别针对该各个主机,周期执行如下步骤A至步骤B;
步骤A.基于预设数量个连续周期,作为各个待分析周期,以及主机对应周期内、其在直连各边缘交换机中作为源IP的流表项数量之和作为主机所对应的统计数据,获得主机所对应各待分析周期的统计数据分别相较相邻上一周期的统计数据的增量结果,并进入步骤B;步骤B.根据该主机所对应的各个增量结果,计算获得相对应的熵值,并判断该熵值是否大于该主机对应的熵值阈值,是则判定主机为可疑;
上述分别针对与各边缘交换机直连的各个主机,周期执行步骤A至步骤B的过程中,若连续被判定为可疑的次数达到预设次数阈值,则判定该主机发起了低速率攻击;否则不对该主机进行判定;
并且分别针对各个主机,周期执行步骤A至步骤B,并根据可疑次数,判定低速率攻击的同时,分别针对该各个主机,周期统计主机在直连各边缘交换机中作为源IP的各流表项中、存活时长大于预设时长阈值的流表项的数量,并关于该主机分别对应各周期的该数量中,若该数量呈增长的连续周期数量达到预设周期阈值数,则判定该主机发起了低速率攻击;否则不对该主机进行判定。
2.根据权利要求1所述基于流表项增量熵值的SDN数据平面低速率攻击检测方法,其特征在于:所述步骤A中,基于自当前周期起、向未来时间方向或者向历史时间方向的预设数量个顺序周期,作为各个待分析周期,获得主机所对应各待分析周期的统计数据分别相较相邻上一周期的统计数据的增量结果。
3.根据权利要求2所述基于流表项增量熵值的SDN数据平面低速率攻击检测方法,其特征在于:所述步骤A中,若主机所对应待分析周期的统计数据分别相较相邻上一周期的统计数据的增量结果小于或等于0,则定义该增量结果为0;否则不做任何处理。
4.根据权利要求1所述基于流表项增量熵值的SDN数据平面低速率攻击检测方法,其特征在于:所述步骤B中主机对应的熵值阈值,基于SDN数据平面网络无攻击状态下,该主机周期执行步骤A至步骤B所获得的各个熵值,计算获得各个熵值的平均值,即构成该主机对应的熵值阈值。
5.根据权利要求1所述基于流表项增量熵值的SDN数据平面低速率攻击检测方法,其特征在于:还包括步骤AB如下,执行完步骤A之后,进入步骤AB;
步骤AB.针对该主机所对应的各个增量结果,首先确定其中大于0的个数a、以及小于或等于0的个数b,并针对个数a与个数b进行归一化处理,获得a’、b’,由a’构成大于0的各增量结果的权重,以及由b’构成小于或等于0的各增量结果的权重;然后针对各个增量结果执行加权操作,并计算获得加权结果所对应的熵值,构成该主机所对应的熵值阈值,然后进入步骤B。
6.实现权利要求1至5中任意一项所述基于流表项增量熵值的SDN数据平面低速率攻击检测方法的系统,其特征在于:包括流表信息收集模块和攻击检测模块,其中,流表信息收集模块用于执行步骤A,攻击检测模块用于执行步骤B。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210785690.0A CN114866350B (zh) | 2022-07-06 | 2022-07-06 | Sdn数据平面低速率攻击检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210785690.0A CN114866350B (zh) | 2022-07-06 | 2022-07-06 | Sdn数据平面低速率攻击检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114866350A CN114866350A (zh) | 2022-08-05 |
CN114866350B true CN114866350B (zh) | 2022-09-27 |
Family
ID=82626503
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210785690.0A Active CN114866350B (zh) | 2022-07-06 | 2022-07-06 | Sdn数据平面低速率攻击检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114866350B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115242551B (zh) * | 2022-09-21 | 2022-12-06 | 北京中科网威信息技术有限公司 | 慢速攻击的防御方法、装置、电子设备及存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104580173B (zh) * | 2014-12-25 | 2017-10-10 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种sdn异常检测与阻截方法及系统 |
KR101900154B1 (ko) * | 2016-10-17 | 2018-11-08 | 숭실대학교산학협력단 | DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치 |
CN108366065A (zh) * | 2018-02-11 | 2018-08-03 | 中国联合网络通信集团有限公司 | 攻击检测方法和sdn交换机 |
CN112653658A (zh) * | 2020-09-02 | 2021-04-13 | 浙江德迅网络安全技术有限公司 | 一种SDN环境下基于信息熵的DDoS攻击检测方法 |
CN114143107B (zh) * | 2021-12-07 | 2023-03-07 | 苏州大学 | 一种低速DDoS攻击检测方法、系统及相关设备 |
-
2022
- 2022-07-06 CN CN202210785690.0A patent/CN114866350B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114866350A (zh) | 2022-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109005157B (zh) | 一种软件定义网络中DDoS攻击检测与防御方法与系统 | |
Xiang et al. | Flexible deterministic packet marking: An IP traceback system to find the real source of attacks | |
Van Trung et al. | A multi-criteria-based DDoS-attack prevention solution using software defined networking | |
CN112134894A (zh) | 一种DDoS攻击的移动目标防御方法 | |
CN114866350B (zh) | Sdn数据平面低速率攻击检测方法及系统 | |
Tang et al. | WEDMS: An advanced mean shift clustering algorithm for LDoS attacks detection | |
KR100615080B1 (ko) | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 | |
CN110493260A (zh) | 一种网络洪范攻击行为检测方法 | |
CN112995202A (zh) | 一种基于SDN的DDoS攻击检测方法 | |
Wang et al. | A multi-core based DDoS detection method | |
Shohani et al. | Introducing a new linear regression based method for early DDoS attack detection in SDN | |
Celesova et al. | Enhancing security of SDN focusing on control plane and data plane | |
CN114513365B (zh) | 一种针对SYN Flood攻击的检测与防御方法 | |
CN112953910B (zh) | 基于软件定义网络的DDoS攻击检测方法 | |
Najafimehr et al. | DDoS attacks and machine‐learning‐based detection methods: A survey and taxonomy | |
Tang et al. | SFTO-Guard: Real-time detection and mitigation system for slow-rate flow table overflow attacks | |
Tang et al. | LtRFT: Mitigate the low-rate data plane DDoS attack with learning-to-rank enabled flow tables | |
Zhai et al. | Distributed denial of service defense in software defined network using openflow | |
Patil et al. | Software Defined Network: DDoS Attack Detection | |
CN101202744A (zh) | 一种自学习检测蠕虫的装置及其方法 | |
CN111641659A (zh) | 一种交换机的中央处理器防攻击的方法、装置、设备及存储介质 | |
CN103139206A (zh) | 一种僵尸主机的检测方法及装置 | |
Wang et al. | Collaborative defense against hybrid network attacks by SDN controllers and P4 switches | |
Neethu et al. | Detection of DDoS Attacks in SDN | |
KR20110107880A (ko) | 패스트 정보 엔트로피와 능동형 이동평균 탐지기를 이용한 분산형 서비스 거부 공격 탐지 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |