本發明專利技術涉及一種SDN網絡拒絕服務攻擊的集中式檢測系統,包括設置在各個交換機內部的數據采集模塊、設置在SDN控制器內部的集中式的檢測模塊和輸入輸出模塊;其中數據采集模塊用于采集經過SDN交換機的網絡流量;集中式的檢測模塊用于對數據采集模塊采集的網絡流量在空間域上進行檢測,確定是否存在可疑流量,并基于空間域的檢測結果,再從時間域上對網絡流量進行檢測,辨別攻擊是否存在以及攻擊類型;輸入輸出模塊用于根據用戶的輸入對數據采集模塊和集中式的檢測模塊的參數進行調整,或將集中式的檢測模塊的檢測結果存儲并按照既定格式進行輸出。本發明專利技術提供的集中式檢測系統可以應用于中小型SDN網絡,如園區網、校園網的安全檢測。
【技術實現步驟摘要】
本專利技術涉及網絡入侵檢測領域,更具體地,涉及一種SDN網絡拒絕服務攻擊的集 中式檢測系統。
技術介紹
傳統的拒絕服務攻擊在新興的SDN網絡下,也出現了新的攻擊方式: (1)針對SDN控制器的DDoS。SDN交換機對于無法在流表中找到匹配項的數據包, 會形成包含這些數據包的packet-in信息到SDN控制器。攻擊者通過對多個交換機持續不 斷地發送精心設計的數據包,如數據包的源IP地址、目的IP地址、源端口、目的端口隨機 生成,造成交換機收到大量無法在流表匹配的數據包。多個交換機同時向單個控制器發送 packet-in信息,容易導致控制器或控制器的對外鏈路過載,導致控制器無法響應正常數據 包的packet-in消息。 (2)針對SDN交換機的DLDoS。SDN里,每個數據包都屬于一個流(flow),每個流 的組成/粒度可粗可細,如IPA到IPB可以使一個流,IPA的TCP到IPB的TCP可以是 一個流。對于某個流,SDN交換機在流表里有一個流表項與之對應,用于告訴交換機對這個 流的數據包如何轉發/處理。SDN交換機對于無法在流表中找到匹配項的數據包,會形成包 含這些數據包的packet-in信息到SDN控制器,依據返回的流信息,在流表中插入新的流表 項,用以轉發這個數據包及這個流的后續數據包。當多個攻擊者對一臺SDN交換機發送精 心設計的數據包,如數據包的源IP地址、目的IP地址、源端口、目的端口隨機生成,造成交 換機收到大量無法在流表匹配的數據包,之后交換機會依據返回的信息建立大量的新流表 項。流表項需要在一定時間之后才會過期,而交換機的流表大小有限,在這段時間內,交換 機的流表被大量無用的項占據,正常網絡流無法建立或只有部分能新流表項,從而流經交 換機的網絡通信被阻塞。DDoS中的攻擊針對的是SDN控制器,控制器一般是性能較好的服務器,攻擊需要 持續不斷的進行,達到的效果是控制器無法響應正常的packet-in消息,類似DDoS攻倒服 務器的效果。DLDoS中的攻擊針對的是SDN交換機,達到的效果是交換機無法為正常流建立 新流表項。由于流表項有過期時間,攻擊只需周期性進行,相較于DDoS,DLDoS在時間平均 數是低速率的,這類似于DLDoS攻倒使用TCP的服務器的效果。 針對DDoS、DLDoS,傳統的檢測方法效果不佳。DDoS和DLDoS在傳統網絡中為多個 攻擊源針對單個受害端的協同攻擊,網絡中出現大量目的IP相同、端口相同或協議相同的 數據包,傳統的檢測方法大多利用這些特征進行檢測。但DD〇S、DLD〇S隨機偽造數據包字段 的數值,不會出現上述特征,在傳統檢測方法看來,DD〇S、DLD〇S更類似于突發的正常的大流 量。針對SDN下的新型DDoS和DLDoS,需要采用新的檢測指標和檢測方法,才能更有效發現 攻擊。
技術實現思路
本專利技術為解決以上現有技術的缺陷,提供了一種SDN網絡拒絕服務攻擊的集中式 檢測系統,該系統針對拒絕服務攻擊的特征,從網絡流量空間域和時間域上來檢測、辨別拒 絕服務攻擊。 為實現以上專利技術目的,采用的技術方案是: 一種SDN網絡拒絕服務攻擊的集中式檢測系統,適用于對中小型的SDN網絡進行 檢測,包括設置在各個交換機內部的數據采集模塊、設置在SDN控制器內部的集中式的檢 測模塊和輸入輸出模塊; 其中數據采集模塊用于采集經過SDN交換機的網絡流量; 集中式的檢測模塊用于對數據采集模塊采集的網絡流量在空間域上進行檢測,確 定是否存在可疑流量,并基于空間域的檢測結果,再從時間域上對網絡流量進行檢測,辨別 攻擊是否存在以及攻擊類型;; 輸入輸出模塊用于根據用戶的輸入對數據采集模塊和集中式的檢測模塊的參數 進行調整,或將集中式的檢測模塊的檢測結果存儲并按照既定格式進行輸出。 上述方案中,數據流被SDN交換機的數據采集模塊抽樣收集、預處理并發送到SDN 控制器,經過集中式的檢測模塊,以判定是否存在拒絕服務攻擊的數據流,并通過輸入輸出 模塊與網絡安全管理員進行交互及存儲檢測結果。 優選地,所述集中式的檢測模塊由兩個級聯的ANN構成,其中第一級ANN負責從空 間域對網絡流量進行檢測,發現網絡中是否存在可疑攻擊,第二級ANN基于第一級ANN的檢 測結果,從時間域上對網絡流量進行檢測,辨別攻擊是否存在以及攻擊類型。 優選地,第一級ANN從空間域對網絡流量進行檢測后,將得到的檢測結果發送至 第二級ANN,第二級ANN接收檢測結果并采用自相關函數對檢測結果進行預處理,然后基于 預處理后的檢測結果從時間域上對網絡流量進行檢測。 優選地,所述采用自相關函數對檢測結果進行預處理的具體過程表示如下: 其中Rxx (m)為預處理后的檢測結果,XX為進行相關運算的兩序列的標號,N為檢測 時時間序列的長度,m為運算的兩列序列錯開的時間間隔,x(n)表示某個時間段內第一級 ANN的輸出,x(n+m)表示與x(n)時間間隔為m的某個時間段內第一級ANN的輸出,x(n+m)、 x(n)的取值為0~1。x(n)數值越大,表示對應時段越可能存在攻擊流量。對于不同的流 量和攻擊,自相關函數值有不同的特性: (1)正常平緩的網絡流量,x(n)為0,對于所有m值,自相關函數值為0。 ⑵正常的突發流量具有隨機性,多余多個m值,其自相關函數值較小。 (3)DDoS攻擊具有持續性,對于多個m值,其自相關函數值較大。 (4)DLDoS攻擊具有周期性,對于某些特定m值,其自相關函數較大。 每個ANN輸入層的神經元采用一個不同的m值,從而,這一級ANN能從時間域對網 絡流量進行檢測,以更好地辨別攻擊是否為存在及攻擊類型。優選地,所述數據采集模塊采集經過SDN交換機的網絡流量,并根據網絡流量的 特征更新網絡特性指標,然后將更新的網絡特性指標發送至集中式的檢測模塊,集中式的 檢測模塊根據網絡特性指標對拒絕服務攻擊進行空間域、時間域上的檢測。 優選地,所述網絡特性指標包括: (l)SDN交換機流表中流表項平均利用率: y表示流表項平均利用率,Pl表示第i條流表項的利用率,爲表示 第i條流表項的權重 其中At表示采樣間隔,Ati表示第i條流表項在采樣間隔內存在的時間長度, 叫表示第i條流表項在采樣間隔內的數據包數,L表示流表項總數。Ati越大,即第i條 流表項存在的時間越長,pjty的影響越大。 (2)SDN交換機的Packet-In速率v表示Packet-In速率,mpa(:ketIn表示采樣間隔內交換機上報的packetIn數據包 (fl 總數,一^表示每個采樣間隔At內packet-in的數目; L (3)流表的飽和度:P=Lmax表示switch允許的最大流表項數目,L表示實時的流表項數目。 優選地,數據采集模塊更新網絡特性指標后,對網絡特性指標進行歸一化處理,再 將歸一化處理后的網絡特性指標發送至集中式的檢測模塊;其中進行歸一化處理的具體過 程如下:x是歸一化后的數值結果,X。是歸一化前的數值結果,x_是對應指標歷史上的最 大值,1_是對應指標歷史上的最大值。 與現有技術相比,本專利技術的有益效果是: 本專利技術提供的集中式檢測系統針對拒絕服務攻擊的特征,采用適合于SDN網絡的 新監測指標,從網絡流量空間域和時間域來檢測本文檔來自技高網...
【技術保護點】
一種SDN網絡拒絕服務攻擊的集中式檢測系統,適用于對中小型的SDN網絡進行檢測,其特征在于:包括設置在各個交換機內部的數據采集模塊、設置在SDN控制器內部的集中式的檢測模塊和輸入輸出模塊;其中數據采集模塊用于采集經過SDN交換機的網絡流量;集中式的檢測模塊用于對數據采集模塊采集的網絡流量在空間域上進行檢測,確定是否存在可疑流量,并基于空間域的檢測結果,再從時間域上對網絡流量進行檢測,辨別攻擊是否存在以及攻擊類型;輸入輸出模塊用于根據用戶的輸入對數據采集模塊和集中式的檢測模塊的參數進行調整,或將集中式的檢測模塊的檢測結果存儲并按照既定格式進行輸出。
【技術特征摘要】
【專利技術屬性】
技術研發人員:陳曉帆,余順爭,
申請(專利權)人:廣東順德中山大學卡內基梅隆大學國際聯合研究院,
類型:發明
國別省市:廣東;44
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。