CN115664752B

CN115664752B - 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法

Info

Publication number: CN115664752B
Application number: CN202211276177.5A
Authority: CN
Inventors: 汤澹; 王思苑
Original assignee: Hunan University
Current assignee: Hunan University
Priority date: 2022-10-19
Filing date: 2022-10-19
Publication date: 2024-04-19
Anticipated expiration: 2042-10-19
Also published as: CN115664752A

Abstract

本发明针对SDN中数据层交换机所面临的慢速流表溢出攻击安全隐患，公开了一种基于ARIMAGini‑DT的慢速流表溢出攻击检测与缓解方法，属于计算机网络安全领域。本发明所述的方法通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中，并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量，再利用不同级的DT对流表中的流规则进行识别分类并移除属于慢速流表溢出攻击类型的恶意流规则，在缩短识别分类时间的同时也提高了其识别的精度，达到保护交换机有限流表空间的目的。该方法能够在慢速流表溢出攻击还在发起阶段，交换机流表还未饱和时就能将其检测，同时采取缓解策略，持续性地对流表进行监控与保护。

Description

基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法。

背景技术

软件定义网络(SDN)，其优势例如控制层与数据层的分离、集中控制、可编程性、良好的易管理性为其赢得了广大运营商和服务商的关注，被认为是传统网络局限性的解决思路之一。由于其本身的强架构性，这种网络已经被广泛应用在云环境和物联网中。但是一方面，在SDN独特的优势为互联网的管理带来了新思路的同时，它由于本身的特点也成为更多攻击的潜在目标。其中，对于数据层而言，由于仍具有传统网络的一些特征，它就不仅可能遭到例如针对传统网络的拒绝服务攻击，还可能被一些新型攻击作为目标例如流表溢出攻击。

SDN中的交换机为了更好的实现对数据流的管理，采用了支持OpenFlow协议的Ternary Content Addressable Memory(TCAM)来对流表项进行储存。TCAM会储存为每一条流生成的对应的流表项，也被称为流规则，当有流流入时，会先在TCAM中搜索是否有与其匹配的规则，若有则进行相应的操作例如转发、丢弃等。如果没有匹配的规则，就会与控制器沟通并生成一条新规则进行安装处理。为了保证网络的正常通信，伴随着不断有新流进入网络，大量的数据流在交换机之间被转发，同时，交换机的TCAM中的流规则也不断被更新安装。但是由于TCAM是一种价格昂贵且消耗高的部件，交换机中的TCAM通常容量有限。一旦流表饱和，大量的消息将会被转发到控制器，加重控制层与数据层的负载，甚至导致控制器过载瘫痪，网络性能降低。因此，SDN中流表溢出的问题以及如何应对是被关注的一个关键问题。

其中，相较于泛洪式的攻击，慢速流表溢出攻击通常能够以更低的平均攻击速率缓慢达到目的，在同样造成伤害的同时其隐蔽性更高更不易被察觉，在早期更难以及时检测。现有的研究已经表明，攻击者可以提前探测到流表参数例如容量、敏感头部、超时等信息，从而轻易的发起精准的慢速流表溢出攻击来影响网络的性能。而大部分的现有工作都只是在检测到流表溢出后才采取策略进行缓解，但此时流表已经饱和造成了损失。

发明内容

本发明针对SDN中交换机所面临的慢速流表溢出攻击安全隐患，提出了一种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法。

本发明旨在慢速流表溢出攻击还在发起阶段，交换机流表还未饱和时就能将其检测，同时采取缓解策略，持续性地对流表进行保护。

本发明所提供的这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，基于OpenFlow协议和OVS命令语句获取OpenvSwitch类型的SDN交换机信息，并对流规则进行移除，其检测对象为SDN中的慢速流表溢出攻击，其中的ARIMA是指差分整合移动平均自回归模型，Gini是指基尼系数，DT是指决策树分类。

这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程，具体包括如下步骤：

交换机流表空间监控过程：

S1.监控模块按照设置的时间间隔周期性地读取SDN交换机当前流表空间的占用率，如果占用率超过了设置的占用率阈值，则发送正信号到检测模块进行慢速流表溢出攻击检测，否则发送负信号并持续轮询监控；

慢速流表溢出攻击检测过程：

S2.接收到步骤S1发送的正信号后，检测模块通过使用SDN交换机的读取命令获得其流表，将流表划分为多个检测片并对每一个检测片进行检测，提取每一条流规则的持续时间、包数目、包字节数，并计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征：持续时间，包数目，包字节数，平均包字节数，平均包间隔时间；

S3.基于由步骤S2得到的五元原始特征，对检测片内的所有流规则计算包字节数的平均值、平均包字节的标准差值和平均包间隔时间的变异系数值，得到一个三元特征；

S4.基于由步骤S2得到的五元原始特征，提取检测片内的每一条流规则的平均包字节数和平均包间隔时间，得到两个一元特征组；

S5.使用ARIMA对由步骤S3得到的一个三元特征进行计算得到一个预测值；

S6.使用Gini对由步骤S4得到的两个一元特征组进行计算得到一个基尼系数值；

S7.把预测值和基尼系数值与设置的对应阈值进行比较，判断是否发生攻击，具体为：如果预测值小于设置的预测值阈值，并且基尼系数值大于设置的基尼系数值阈值，则认为当前检测片内已经含有了慢速流表溢出攻击类型的流规则，此时SDN交换机内已经发生了慢速流表溢出攻击；

S8.如果步骤S7检测到交换机内慢速流表溢出攻击已经发生，则发送正信号到缓解模块，缓解模块开始工作，否则发送负信号到缓解模块，缓解模块保持静默；

慢速流表溢出攻击缓解过程：

S9.接收到步骤S8发送的正信号后，缓解模块开始对当前检测片内的每一条流规则进行识别，调取由步骤S2得到的当前检测片内的每一条流规则对应的五元原始特征，选择其中的包数目、包字节数和平均包字节数，作为缓解模块采用的对每一条流规则进行识别的一个三元特征；

S10.根据每一条流规则的持续时间，使用对应的训练好的DT对其三元特征进行分类识别，输出识别结果；

S11.如果步骤S10中输出的识别结果为正，即认为此条流规则为慢速流表溢出攻击类型的流规则，则缓解模块通过SDN交换机的删除命令将此条流规则移除，识别完当前检测片内的所有流规则并进行移除慢速流表溢出攻击类型的流规则后，缓解模块进入静默，并监听检测模块下一次发送的信号；

检测模块在接收到一次步骤S1发送的正信号后，检测模块将重复步骤S3～S8直到确保所有的检测片都完成检测；

步骤S10所述的本发明采用的DT是指基于分类回归树(CART)算法的决策树分类；

步骤S10所述的DT具体为，不同持续时间的流规则对应不同级的DT，对持续时间长的流规则进行分类识别的DT预先由大量同级持续时间长的流规则进行训练，对持续时间短的流规则进行分类识别的DT预先由大量同级持续时间短的流规则进行训练。

有益效果

本发明提供的这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中，并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量，再利用DT对流表中的流规则进行识别分类并移除属于慢速流表溢出攻击类型的恶意流规则，达到保护交换机的有限流表空间的目的。该方法使用的多级DT不仅降低了每一个DT模型的训练开销和时间复杂度，还提高了分类时的识别精度。该方法能够在慢速流表溢出攻击还在发起阶段，交换机流表还未饱和时就能将其检测，同时采取缓解策略，持续性地对流表进行监控与保护。

附图说明

图1为本发明方法的流程示意图。

图2为正常流规则与属于慢速流表溢出攻击类型的流规则的包数目、包字节数和平均包字节数的特征示意图。

图3为含有正常流规则与属于慢速流表溢出攻击类型的流规则的检测片的包字节数的平均值、平均包字节数的标准差值和平均包间隔时间的变异系数值的特征示意图。

图4为正常流规则与属于慢速流表溢出攻击类型的流规则被ARIMA和Gini处理后的区分示意图。

图5为本发明使用的不同级的DT的示意图。

图6为应用了本发明方法后，交换机流表空间占用率的示意图。

具体实施方式

下面结合附图对本发明方法进一步说明。

如图1所示为本发明方法的流程示意图：本发明提供的这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程，具体包括如下步骤：

交换机流表空间监控过程：

S1.基于OpenFlow协议，监控模块按照设置的时间间隔，通过使用OVS命令周期性地读取SDN交换机当前流表空间的占用率，检查当前流表空间的占用率是否超过了设置的占用率阈值，如果占用率超过了设置的占用率阈值，则发送正信号到检测模块进行慢速流表溢出攻击检测，否则发送负信号并持续轮询读取监控；

慢速流表溢出攻击检测过程：

S2.接收到步骤S1发送的正信号后，检测模块通过使用SDN交换机的OVS读取命令获得交换机中的流表，将流表划分为多个检测片并对每一个检测片进行检测；

对每一个检测片，提取该检测片对应的流规则的信息，每一条流规则内包含很多信息，本发明方法仅提取每一条流规则的持续时间、包数目、包字节数，计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征：持续时间，包数目，包字节数，平均包字节数，平均包间隔时间；

S3.基于由步骤S2得到的五元原始特征，对检测片内的所有流规则计算包字节数的平均值、平均包字节数的标准差值和平均包间隔时间的变异系数值，得到一个三元特征；

检测片内的所有流规则的包字节数的平均值AB的计算公式为：

其中，N是检测片内流规则总条数，bytes_i是第i条流规则的包字节数；

检测片内的所有流规则的平均包字节数的标准差值DAPB的计算公式为：

其中，N是检测片内流规则总条数，bytes_i是第i条流规则的包字节数，packets_i是第i条流规则的包数目，apb是平均包字节数的平均值；

检测片内的所有流规则的平均包间隔时间的变异系数值VAPI的计算公式为：

其中，N是检测片内流规则总条数，duration_i是第i条流规则的持续时间，packets_i是第i条流规则的包数目，api是平均包间隔时间的平均值；

如图3所示，对于正常流规则的检测片与含有慢速流表溢出攻击的流规则的检测片，步骤S3得到的三个特征值具有区分度，能够体现它们的差异；

本发明方法使用的ARIMA的计算公式为：

其中，y是以10为底由步骤S3得到的三元特征的乘积的对数，e是白噪声，α和β是权重，μ是常量；

如图4所示，在步骤S5使用ARIMA对三元特征进行处理后，在慢速流表溢出攻击被发起后，ARIMA计算得到的预测值呈现出与正常情况下的差异性；

本发明方法使用的Gini的计算公式为：

其中，N是检测片内流规则总条数，M是特征数，A_ij表示检测片内第i条流规则的第j个特征，A_sum表示检测片内所有特征之和；

如图4所示，在步骤S6使用Gini对特征进行处理后，正常流规则对应的基尼系数值与属于慢速流表溢出攻击类型的流规则的基尼系数值呈现区分性；

S7.把预测值和基尼系数值与设置的对应阈值进行比较，判断是否发生攻击，具体为：

如果预测值小于设置的预测值阈值，并且基尼系数值大于设置的基尼系数值阈值，只有当二者同时满足，才认为当前检测片内已经含有了属于慢速流表溢出攻击类型的流规则，此时交换机内已经发生了慢速流表溢出攻击；

检测模块在接收到一次步骤S1发送到正信号后，其将重复步骤S3～S8直至确保所有的检测片都完成检测；

慢速流表溢出攻击缓解过程：

S9.接收到步骤S8发送的正信号后，缓解模块开始对当前检测片内的每一条流规则进行识别；

缓解模块将首先调取由步骤S2得到的当前检测片内的每一条流规则对应的五元原始特征，但仅选择其中的包数目、包字节数和平均包字节数，作为缓解模块采用的对每一条流规则进行识别的一个三元特征；

如图2所示，正常流规则与属于慢速流表溢出攻击类型的流规则在包数目、包字节数和平均包字节数均呈现出差异；

步骤S10所述的DT是指基于分类回归树(CART)算法的决策树分类；

步骤S10所述的DT具体为，不同持续时间的流规则对应不同级的DT，对持续时间长的流规则进行分类识别的DT预先由大量同级持续时间长的流规则进行训练，对持续时间短的流规则进行分类识别的DT预先由大量同级持续时间短的流规则进行训练；

如图5所示，根据流规则持续时间的长短，不同持续时间的流规则将被送到由对应同级持续时间预先训练好的DT进行分类识别；

训练不同级的DT对流规则进行识别的优势在于，相较于仅使用一个DT来进行训练和识别，不同级的每一个DT的训练数据量更小，在缩短识别分类时间的同时也提高了其识别的精度；

S11.如果步骤S10中输出的识别结果为正，即认为此条流规则为慢速流表溢出攻击类型的流规则，则缓解模块通过交换机的OVS删除命令将此条流规则从交换机中移除；

识别完当前检测片内的所有流规则并进行移除慢速流表溢出攻击类型的流规则后，缓解模块进入静默，并监听检测模块下一次发送的信号；

如图6所示，相较于没有使用本方法的交换机流表，在应用了本发明方法对SDN交换机流表进行保护之后，流表空间内绝大部分都是正常流规则，优先保证了正常流规则的安装，而没有使用本方法的交换机流表空间已经由大量的属于慢速流表溢出攻击类型的流规则恶意占据。

本发明提供的这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中，并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量，再利用DT对流表中的流规则进行识别分类并移除属于慢速流表溢出攻击类型的恶意流规则，达到保护交换机的有限流表空间的目的。同时，该方法使用的多级DT降低了每一个DT模型的训练开销和时间复杂度，并提高了分类时的识别精度。该方法能够在慢速流表溢出攻击还在发起阶段，交换机流表还未饱和时就能将其检测，同时采取缓解策略，持续性地对流表进行监控与保护。

Claims

1.基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，该方法基于OpenFlow协议和OVS命令语句获取 OpenvSwitch类型的SDN交换机信息并对流规则进行移除，其检测对象为SDN中的慢速流表溢出攻击，其中ARIMA是指差分整合移动平均自回归模型，Gini是指基尼系数，DT是指决策树分类，方法包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程，具体包括如下步骤：

交换机流表空间监控过程：

S1. 监控模块按照设置的时间间隔周期性地读取SDN交换机当前流表空间的占用率，如果占用率超过了设置的占用率阈值，则发送正信号到检测模块进行慢速流表溢出攻击检测，否则发送负信号并持续轮询监控；

慢速流表溢出攻击检测过程：

S2. 接收到步骤S1发送的正信号后，检测模块通过使用SDN交换机的读取命令获得其流表，将流表划分为多个检测片并对每一个检测片进行检测，提取每一条流规则的持续时间、包数目、包字节数，并计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征：持续时间，包数目，包字节数，平均包字节数，平均包间隔时间；

S3. 基于由步骤S2得到的五元原始特征，对检测片内的所有流规则计算包字节数的平均值、平均包字节的标准差值和平均包间隔时间的变异系数值，得到一个三元特征；

S4. 基于由步骤S2得到的五元原始特征，提取检测片内的每一条流规则的平均包字节数和平均包间隔时间，得到两个一元特征组；

S5. 使用ARIMA对由步骤S3得到的一个三元特征进行计算得到一个预测值，计算公式为：其中，/>是以10为底由步骤S3得到的三元特征的乘积的对数，/>是白噪声，/>和/>是权重，/>是常量；

S6. 使用Gini对由步骤S4得到的两个一元特征组进行计算得到一个基尼系数值，计算公式为：其中，/>是检测片内流规则总条数，/>是特征数，表示检测片内第/>条流规则的第/>个特征，/>表示检测片内所有特征之和；S7. 把预测值和基尼系数值与设置的对应阈值进行比较，判断是否发生攻击，具体为：如果预测值小于设置的预测值阈值，并且基尼系数值大于设置的基尼系数值阈值，则认为当前检测片内已经含有了慢速流表溢出攻击类型的流规则，此时SDN交换机内已经发生了慢速流表溢出攻击；

S8. 如果步骤S7检测到SDN交换机内慢速流表溢出攻击已经发生，则发送正信号到缓解模块，缓解模块开始工作，否则发送负信号到缓解模块，缓解模块保持静默；

慢速流表溢出攻击缓解过程：

S9. 接收到步骤S8发送的正信号后，缓解模块开始对当前检测片内的每一条流规则进行识别，调取由步骤S2得到的当前检测片内的每一条流规则对应的五元原始特征，选择其中的包数目、包字节数和平均包字节数，作为缓解模块采用的对每一条流规则进行识别的一个三元特征；

S10. 根据每一条流规则的持续时间，使用对应的训练好的DT对其三元特征进行分类识别，输出识别结果；

S11. 如果步骤S10中输出的识别结果为正，即认为此条流规则为慢速流表溢出攻击类型的流规则，则缓解模块通过SDN交换机的删除命令将此条流规则移除，识别完当前检测片内的所有流规则并进行移除慢速流表溢出攻击类型的流规则后，缓解模块进入静默，并监听检测模块下一次发送的信号。

2.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，其特征在于检测模块在接收到一次步骤S1发送的正信号后，检测模块将重复步骤S3～S8直到确保所有的检测片都完成检测。

3.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，其特征在于步骤S10所述的DT是指基于分类回归树算法的决策树分类。

4.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，其特征在于步骤S10所述的DT具体为，不同持续时间的流规则对应不同级的DT，对持续时间长的流规则进行分类识别的DT预先由大量同级持续时间长的流规则进行训练，对持续时间短的流规则进行分类识别的DT预先由大量同级持续时间短的流规则进行训练。