【CN110149321A】一种应用于SDN网络中DDOS攻击的检测及防御方法和装置【专利】

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(43)申请公布日(21)申请号201910370747.9(22)申请日2019.05.06(71)申请人长沙市智为信息技术有限公司地址410000湖南省长沙市高新开发区文轩路27号麓谷钰园C1栋201号(72)发明人黄惟　(74)专利代理机构广州嘉权专利商标事务所有限公司44205代理人伍传松(51)Int.Cl.H04L29/06(2006.01)H04L12/26(2006.01)(54)发明名称一种应用于SDN网络中DDOS攻击的检测及防御方法和装置(57)摘要本发明公开了一种应用于SDN网络中DDOS攻击的检测及防御方法和装置，其中，所述方法包括收集流、流表以及OpenFlow交换机每端口的统计信息；根据所述统计信息提取数据平面和控制平面的流特征；从流特征中选定检测特征，设定检测比例，根据检测比例选取检测特征排名靠前的相应数量的流，采用在线序贯决策算法对选取的每个流进行计算，分别判定数据平面和控制平面是否发生DDOS攻击；若数据平面和控制平面中的至少一个发生DDOS攻击，对攻击源进行流量清洗，或者相应流进行丢弃和限速处理。本发明计算速度快，能提高SDN网络中DDOS攻击检测的准确性和效率，并能在判定发生DDOS攻击时采取相应的防御措施，提高网络安全性。权利要求书2页说明书8页附图3页CN110149321A2019.08.20CN110149321A1.一种应用于SDN网络中DDOS攻击的检测及防御方法，所述SDN网络包括控制器和至少一个OpenFlow交换机，其特征在于，包括：收集流、流表以及OpenFlow交换机每端口的统计信息；根据收集的所述统计信息提取数据平面和控制平面的流特征；从提取的流特征中选定检测特征，设定检测比例，根据检测比例选取检测特征排名靠前的相应数量的流，采用在线序贯决策算法对选取的每个流进行计算，分别判定数据平面和控制平面是否发生DDOS攻击；若数据平面和控制平面中的至少一个发生DDOS攻击，对攻击源进行流量清洗；或者根据检测比例选取攻击源中检测特征排名靠前的相应数量的流进行丢弃，对剩余流进行限速。2.根据权利要求1所述的检测及防御方法，其特征在于，所述在线序贯决策算法如下：对随机变量x的一系列随机采样记为：X1，X2，...，Xn，设X1，X2，…，Xn独立同分布并且服从则对于检验问题：H0：θ≤θ0和H1：θ≥θ1，其中θ0＜θ1；取第一类错误概率α和第二类错误概率β相等，相应的停止规则为：τ*＝inf{n：un＞c0(n)＝an+a0，或者un＜c1(n)＝bn+b0}(4)其中：相应的决策规则为：3.根据权利要求1或2所述的检测及防御方法，其特征在于，对数据平面，检测特征为流量和/或包速率。4.根据权利要求1或2所述的检测及防御方法，其特征在于，对控制平面，检测特征为流表项速率和PACKET_IN速率。5.根据权利要求1或2所述的检测及防御方法，其特征在于，限速借助OpenFlow交换机中的meter表实现。6.根据权利要求1或2所述的检测及防御方法，其特征在于，还包括对所有日志信息进行保存的步骤。7.一种应用于SDN网络中DDOS攻击的检测及防御装置，所述SDN网络包括控制器和至少一个OpenFlow交换机，其特征在于，包括：权　利　要　求　书1/2页2CN110149321A2信息收集单元：根据所述控制器的指令收集所需要的流、流表以及OpenFlow交换机每端口的统计信息，发送至流特征提取单元；流特征提取单元：从接收的统计信息中提取数据平面和控制平面的流特征，发送至攻击检测单元：攻击检测单元：从所提取的流特征中选定检测特征，设定检测比例，选取检测特征排名靠前且占比为所述检测比例的相应数量的流，采用在线序贯决策算法对选取的每个流进行计算，分别判定数据平面和控制平面是否发生DDOS攻击：防御及缓解单元：用于在所述攻击检测单元判定所述数据平面和控制平面中的至少一个发生DDOS攻击时，对攻击源进行流量清洗；或者对攻击源中检测特征排名靠前且占比为所述检测比例的相应数量的流进行丢弃，对剩余流进行限速。8.根据权利要求7所述的检测及防御装置，其特征在于，还包括日志保存单元，用于保存所有日志信息。9.根据权利要求7或8所述的检测及防御装置，其特征在于，对数据平面，检测特征选自流量和/或包速率。10.根据权利要求7或8所述的检测及防御装置，其特征在于，对控制平面，检测特征选自流表项速率和PACKET_IN速率。权　利　要　求　书2/2页3CN110149321A3一种应用于SDN网络中DDOS攻击的检测及防御方法和装置技术领域[0001]本发明涉及通信技术领域，具体涉及一种应用于SDN网络中DDOS攻击的检测及防御方法和装置。背景技术[0002]软件定义网络(SDN)是一种创新型的网络技术架构，其倡导转发与控制分离，控制部分由可编程的软件实现对网络的管理和控制,转发部分作为可编程的流表项，可以实现用户特定的业务需求。然而，新技术和新架构也带来了潜在的安全性威胁，如集中式控制容易导致单点故障，易受到分布式的攻击等。[0003]SDN网络中的分布式拒绝服务(DDOS)攻击，会同时影响数据平面和控制平面的正常工作。发起DDOS的攻击者，不仅向网络注入大量的攻击流量，而且会针对控制平面发送具有大量不同目的地址的IP报文，从而使得每次收到这些报文的交换机都向控制器发起请求，导致交换机和控制器之间的通讯被这些连接占满，阻断和干扰了正常用户的连接通信。另外，短时间内具有不同目的地址的报文数目如果大大超过流表项的容量，流表项就会被这些流所占满，正常的流转发被延迟和中断，降低了服务质量和客户的满意度。在一个报文缓存采用FIFO(先进先出)的SDN交换机中，大量的攻击报文流也会很快耗尽交换机的缓冲区，使得正常流量报文被丢弃。因此，如何在SDN网络中快速检测和防御DDOS攻击是一个具有挑战性和迫切性的问题。[0004]现有的解决该问题的方法主要有以下三种：[0005](1)基于深度学习的DDOS攻击检测方法。该方法通过采集网络中的流量、报文数、连接数等特征指标，建立深度学习的模型，对已有的数据进行训练，然后基于训练的结果，对网络进行预测是否发生了DDOS攻击。这种方法需要比较大量的计算资源和存储资源，而且对特征数据的选择不同，方法的结果也不同。[0006](2)基于隐马尔科夫(HMM)模型的DDOS攻击检测方法。此方法将网络中的数据流量看成是一串状态链，状态链分为可见的状态链和隐含的状态链，通过隐含的状态，可见的状态由某些概率分布表现出来。用已知的数据训练HMM模型后，可以得到隐含状态的概率转移矩阵和可见状态的转移矩阵。对于一串连续的观测值，可以计算其出现的概率，依据此概率的大小不同，可以判定为正常流量或者DDOS攻击流量。此方法需要对模型进行训练，以及为了达到一定精度而必须选择比较多的隐含状态，导致比较大的计算量。[0007](3)基于主成分分析(PCA)的DDOS攻击检测。该方法将网络中收集到的信息等表示为一个矩阵，通过主成分方法将此矩阵分解为正常流量的矩阵和稀疏异常流量矩阵，由于正常流量通常具有比较强的相关性，因此对应的矩阵是一个低秩(low-rank)矩阵，剩余的异常流量矩阵是一个稀疏的包含异常值的矩阵。通过稀疏异常值矩阵就可以检测出网络中的DDOS攻击流量。由于矩阵的计算和分解以及稀疏矩阵处理比较耗费时间，因此这个方法也需要较多的计算量，而且流量的相关性也会影响检测的准确率。说　明　书1/8页4CN110149321A4发明内容[0008]针对现有技术的上述不足，本发明的目的是提供一种应用于SDN网络中DDOS攻击的检测及防御方法和装置，采用在线序贯决策算法,实时(Online)快速地判定是否发生了DDOS攻击并采取相应的防御措施。[0009]为实现上述目的，第一方面，本发明实施例提供了一种应用于SDN网络中DDOS攻击的检测及防御方法，所述SDN网络包括控制器和至少一个OpenFlow交换机，该方法包括：[0010]收集流、流表以及OpenFlow交换机每端口的统计信息；[0011]根据收集的所述统计信息提取数据平面和控制平面的流特征；[0012]从提取的流特征中选定检测特征，设定检测比例，根据检测比例选取检测特征排名靠前的相应数量的流，采用在线序贯决策算法选取的每个流进行计算，分别判定数据平面和控制平面是否发生DDOS攻击；[0013]若数据平面和控制平面中的至少一个发生DDOS攻击，对攻击源进行流量清洗；或者根据检测比例选取攻击源中检测特征排名靠前的相应数量的流进行丢弃，对剩余流进行限速。[0014]优选的，所述在线序贯决策算法如下：[0015]对随机变量x的一系列随机采样记为:X1,X2,…,Xn，设X1,X2,…,Xn独立同分布并且服从Xi∽N(θ,1),则对于检验问题：H0:θ≤θ0和H1:θ≥θ1，其中θ0θ1；取第一类错误概率(当假设H0为真时,拒绝H0的概率)α和第二类错误概率(当假设H0为假时,接受H0的概率)β相等，相应的停止规则为：[0016]τ*＝inf{n:unc0(n)＝an+a0,或者unc1(n)＝bn+b0}(4)[0017]其中：[0018][0019][0020][0021]相应的决策规则为：[0022][0023]优选的，对数据平面，检测特征为流量和/或包速率。[0024]优选的，对控制平面，检测特征为流表项速率和PACKET_IN速率。[0025]优选的，限速借助OpenFlow交换机中的meter表实现。[0026]优选的，还包括对所有日志信息进行保存的步骤。[0027]第二方面，本发明实施例提供了一种应用于SDN网络中DDOS攻击的检测及防御装说　明　书2/8页5CN110149321A5置，所述SDN网络包括控制器和至少一个OpenFlow交换机，包括：[0028]信息收集单元：根据所述控制器的指令收集所需要的流、流表以及OpenFlow交换机每端口的统计信息，发送至流特征提取单元；[0029]流特征提取单元：从接收的统计信息中提取数据平面和控制平面的流特征，发送至攻击检测单元；[0030]攻击检测单元：从所提取的流特征中选定检测特征，设定检测比例，选取检测特征排名靠前且占比为所述检测比例的相应数量的流，采用在线序贯决策算法对选取的每个流进行计算，分别判定数据平面和控制平面是否发生DDOS攻击；[0031]防御及缓解单元：用于在所述攻击检测单元判定所述数据平面和控制平面中的至少一个发生DDOS攻击时，对攻击源进行流量清洗；或者对攻击源中检测特征排名靠前且占比为所述检测比例的相应数量的流进行丢弃，对剩余流进行限速。[0032]优选的，还包括日志保存单元，用于保存所有日志信息。[0033]优选的，对数据平面，检测特征为流量和/或包速率。[0034]优选的，对控制平面，检测特征为流表项速率和PACKET_IN速率。[0035]优选的，限速借助OpenFlow交换机中的meter表实现。[0036]本发明实施例的有益效果：[0037](1)网络被攻击时，反映网络状态的随机变量分布会发生变化，具体的被攻击设备的总流量、单个协议的流量等发生显著变化，对交换机和控制器之间控制信息的数量，速率也会发生明显变化。传统的DDOS检测方法是预先设定一个固定的阈值来判断攻击的发生，难以兼顾计算量和准确率，本方案采用在线序贯决策算法检测这些变化点，计算量少，计算速度快且精度较高，能很好地适应实际情况的需求。[0038](2)由于SDN网络的控制和转发分离特性，本方案实施所需参数由部署于SDN网络中的控制器得到，从而实现快速检测。[0039](3)当检测出发生DDOS攻击之后，分别对不同的攻击流进行丢弃、限速和清洗处理，或者根据用户的服务质量要求就行限速和流量丢弃，以满足最低业务需求。[0040](4)进一步对所有日志信息进行保存，能满足调查取证及对攻击再现的全景绘图需求。附图说明[0041