SDN中基于FGD-FM的LDoS攻击检测与缓解方法转让专利
申请号 : CN202110129267.0
文献号 : CN112910889B
文献日 : 2022-05-13
发明人 : 汤澹 , 王曦茵 , 张斯琦 , 施玮 , 陈静文 , 王小彩
申请人 : 湖南大学
摘要 :
权利要求 :
1.SDN中基于FGD‑FM的LDoS攻击检测与缓解方法,其特征在于,FGD‑FM的全称是Fine Grained Detection‑Fast Mitigation,即细粒度检测和快速缓解,细粒度检测结合递归特征消除算法、Needleman‑Wunsch算法和高斯过程分类模型来实现每一个攻击突发的检测,快速缓解是基于可疑分数SS的值来定位受攻击端口并丢弃来自该端口的攻击流量,可疑分数表示端口为受攻击端口的可能性,可疑分数越大,端口是受攻击端口的可能性越大,其计算如下式所示:
SS=SSh+SSmid+SSz
其中,SSh、SSmid和SSz分别是峰值、中间值和零值的统计可疑分数,计算分别如下式所示:
SSmid=‑mid×(mid+1),mid>0其中,h是端口流量序列中峰值的数量,n是峰值的理论数量,mid是中间值的数量,z是零值的数量,m是零值的理论数量。
2.SDN中基于FGD‑FM的LDoS攻击检测与缓解方法,其特征在于,所述的LDoS攻击检测与缓解方法包括以下三个步骤:
步骤1、数据采集:固定采样时间和采样间隔,在采样时间内基于采样间隔,周期性地调用SDN控制平面的API,获取交换机的流量序列;
步骤2、攻击检测:基于步骤1采集到的流量序列,使用FGD方法检测LDoS攻击,得到检测结果,FGD方法流程为首先使用Needleman‑Wunsch算法估计出LDoS攻击的周期,再提取出LDoS攻击的八维特征,之后使用递归特征消除算法进行特征选择,最后使用高斯过程分类模型进行分类;
步骤3、攻击缓解:基于步骤2的检测结果和步骤1采集到的流量序列,使用FM方法缓解LDoS攻击,FM方法流程为首先计算每个端口的可疑分数来定位受攻击端口,之后在交换机上安装一条端口匹配字段为受攻击端口号、动作匹配字段为丢弃的流规则来丢弃来自攻击者的攻击流量。
3.根据权利要求2中所述的LDoS攻击检测与缓解方法,其特征在于,步骤2中基于步骤1采集到的流量序列,利用FGD方法进行攻击检测,包括以下四个步骤:步骤2.1、使用Needleman‑Wunsch算法,对采集到的UDP流量序列与基准比对矩阵进行序列比对,根据比对结果估计出LDoS攻击的周期;
步骤2.2、以步骤2.1得到的攻击周期为时间单位,将采集到的TCP流量序列和UDP流量序列分成若干个检测单元,基于LDoS攻击在攻击特征和攻击效果两个方面的特点,提取出检测单元的八维特征;
步骤2.3、使用递归特征消除算法对步骤2.2提取出来的八维特征进行特征选择;
步骤2.4、将步骤2.3得到的特征输入到高斯过程分类模型中,根据分类结果判别LDoS攻击是否存在。
4.根据权利要求3中所述的LDoS攻击检测与缓解方法,其特征在于,步骤2.1中基准比对矩阵是指根据LDoS攻击的攻击模型创建出来的矩阵,其中每个向量对应的攻击参数是不同的,使用Needleman‑Wunsch算法对采集到的UDP流量序列与基准比对矩阵进行序列比对,拥有最大相似度得分的向量所对应的周期即为LDoS攻击的周期。
5.根据权利要求3中所述的LDoS攻击检测与缓解方法,其特征在于,步骤2.2中根据LDoS攻击在攻击特征和攻击效果两个方面的特点,提取出UDP流量的平均值、方差和变异系数,TCP流量的方差、变异系数、与总流量的Pearson相关系数、小波包能量熵和端口流量差的绝对值这八维特征。
6.根据权利要求3中所述的LDoS攻击检测与缓解方法,其特征在于,步骤2.3中基于步骤2.2获得的八维特征,使用递归特征消除算法进行特征选择,选择出最重要的六维特征,分别为UDP流量的平均值、方差和变异系数,TCP流量的变异系数、与总流量的Pearson相关系数和端口流量差的绝对值。
7.根据权利要求3中所述的LDoS攻击检测与缓解方法,其特征在于,步骤2.4中将步骤
2.3得到的特征输入高斯过程分类模型中进行分类,若分类结果值更靠近无攻击时的标签值0,即分类结果值小于或等于0.5,则LDoS攻击不存在,若更靠近有攻击时的标签值1,即分类结果值大于0.5,则网络中存在LDoS攻击。
8.根据权利要求2中所述的LDoS攻击检测与缓解方法,其特征在于,若步骤2的检测结果为存在LDoS攻击,步骤3中基于步骤1采集到的流量序列,使用FM方法缓解LDoS攻击,包括以下两个步骤:
步骤3.1、分析端口流量序列,根据每个端口的可疑分数来定位受攻击的端口;
步骤3.2、基于步骤3.1中定位到的受攻击端口,在交换机上安装一条流规则,该流规则的端口匹配字段为受攻击端口号、动作匹配字段为丢弃,以此来丢弃来自攻击者的攻击流量。
9.根据权利要求8中所述的LDoS攻击检测与缓解方法,其特征在于,步骤3.1中统计每个端口流量序列中的峰值、零值和中间值,并根据设定的得分规则计算出每个端口的可疑分数,可疑分数越大,该端口受到攻击的可能性越大,因此,可疑分数最大的端口即为受攻击端口。
说明书 :
SDN中基于FGD‑FM的LDoS攻击检测与缓解方法
技术领域
背景技术
用户提供正常服务,对网络性能损害巨大。
Control Protocol,传输控制协议)的拥塞控制机制,周期性地发送短时高速突发,调整攻
击周期反复触发RTO(Retransmission Timeout,超时重传)机制,达到攻击效果。这种攻击
模式有效地限制了TCP流量的传输,同时以足够低的平均速率避免被检测。
可扩展性。具体来说,如果设备需要添加新功能,则必须重新设计新的协议或规则。因此,本
发明使用SDN(Software Defined Network,软件定义网络)来实现LDoS攻击实时检测和缓
解。SDN采用OpenFlow协议解耦逻辑控制功能和数据转发功能,提高了网络的开放性和可编
程性,实现了网络的可扩展性。开发者可以灵活地使用高级语言在上层平面设计应用和修
改网络策略,无需关注底层硬件。
LDoS攻击进行检测及缓解。
Programming Interface,应用程序接口)获取交换机的流量序列,使用FGD(Fine Grained
Detection,细粒度检测)方法检测LDoS攻击,并基于检测结果使用FM(Fast Mitigation,快
速缓解)方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合,以细粒度的方式
精确检测每一次攻击突发。FM方法分析端口流量序列,通过计算每个端口的可疑分数来定
位受到攻击的端口,并在交换机上安装流规则,丢弃来自攻击者的攻击流量。
发明内容
度、较低的误报率和漏报率、较低的复杂度和较好的实时性。同时,该方法还可以准确地定
位受攻击端口,有效地过滤掉来自受攻击端口的攻击流量,保证良性流量的传输。因此,该
方法能够实时准确地识别并有效地缓解LDoS攻击。
出LDoS攻击的八维特征,之后使用递归特征消除算法进行特征选择,最后使用高斯过程分
类模型进行分类;
换机上安装一条端口匹配字段为受攻击端口号、动作匹配字段为丢弃的流规则来丢弃来自
攻击者的攻击流量。
取出检测单元的八维特征;
击流量。
过滤掉来自受攻击端口的攻击流量,保证良性流量的传输。因此,该方法能够实时准确地识
别并有效地缓解LDoS攻击。
附图说明
示TCP流量的变异系数,图1(e)表示TCP流量的与总流量的Pearson相关系数,图1(f)表示端
口流量差的绝对值。
测与缓解方法。
具体实施方式
b1,b2,…,bm进行序列比对,拥有最大相似度得分的向量所对应的周期即为LDoS攻击的周期
TimeDU。
长而线性增长。
后加入f个空缺后的分数,0表示ai和bj之前没有相匹配的子段。
检测单元的八维特征。
的平均值、方差和变异系数作为攻击特征方面的特征值。
量剧烈波动,传输速率显著下降,端口流入流出流量失衡。因此,本发明选择TCP流量的方
差、变异系数、与总流量的Pearson相关系数、小波包能量熵和端口流量差的绝对值作为攻
击效果方面的特征值。其中,TCP流量与总流量的Pearson相关系数P、小波包能量熵H和端口
流量差的绝对值ΔPacks分别如下式所示:
Packsin表示流入交换机所有端口的总数据包个数,Packsout表示流出交换机所有端口的总
数据包个数。
量的平均值、方差和变异系数,TCP流量的变异系数、与总流量的Pearson相关系数和端口流
量差的绝对值。
则LDoS攻击不存在,若更靠近有攻击时的标签值1,即分类结果值大于0.5,则网络中存在
LDoS攻击。
默,而良性流量没有这些特征。因此,本发明可以根据该特征来区分受攻击端口和良性端
口,首先要统计端口流量序列的峰值、零值和中间值的数量。
本发明定义了一个变量可疑分数SS来定量描述该端口为受攻击端口的可能性,其计算如下
式所示:
的概率随着峰值数的增加而成倍增加。当峰值数h>n,SSh的值为n×(n+1)‑2‑4‑...‑2×
(h‑n),即当峰值数大于理论值时,端口是受攻击端口的概率随着峰值数的增加而成倍减
小。零值的可疑分数SSz的计算与SSh同理。根据LDoS攻击理论,不存在零值和峰值之间的中
间值,因此,SSmid的减少值随着中间值mid数量的增加线性增加,即SSmid=‑2‑4‑...‑2×
mid。
自攻击者的攻击流量。
缓解。
口的可疑分数大于良性端口的可疑分数。
影响,传输速率不断降低,在36秒后处于极低水平,同时,攻击流量由于不受限制,持续出现
峰值。图3(b)表示网络中实现了基于FGD‑FM方法的LDoS攻击检测与缓解方法的情况下,
LDoS攻击持续4秒左右时,就会被检测到并且过滤掉,良性TCP流量很快恢复到正常水平。