[发明专利]一种基于P-F的软件定义网络慢速拒绝服务攻击检测方法

说明书

本发明公开了一种基于P‑F方法的软件定义网络(SDN)慢速拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：实时获取SDN交换机中的流表信息，基于OpenFlow协议，对单位时间窗口内的流量条目及其数据进行采样统计；提取网络特征值，并依据网络协议种类，将所提取的特征值分为攻击效果P与攻击特征F两组；根据P与F两组特征值，利用梯度提升树‑逻辑回归(GBDT‑LR)与双滑片‑K峰值(DSS‑KB)算法分别构建基于P与F的检测模型；根据待测时间窗口内的网络数据，基于两种检测模型检测结论的综合分析，判定待检测时间窗口内是否同时出现网络形态异常和LDoS攻击流，从而检测该窗口内是否发生LDoS攻击。本发明提出的P‑F方法对于LDoS攻击检测率高，误报、漏报率低，自适应性强，且该方法能运行在SDN控制器上，针对SDN环境中的LDoS攻击，能够实现精准、实时的检测。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于P-F的软件定义网络(SDN)慢速拒绝服务(LDoS)攻击检测方法。

背景技术

LDoS攻击的平均攻击速率低于普通拒绝服务(DoS)与分布式拒绝服务(DDoS)攻击，且LDoS攻击的形态具有周期性、突发性等特点，隐蔽性强，传统检测方法难以识别，现存针对LDoS攻击的检测方法普遍存在检测率不高、自适应性较弱和难以实际部署等问题。

作为一种新型的网络体系结构，软件定义网络中的数据和控制平面互相分离、解耦，且具有良好的可编程性，为部署LDoS攻击的检测方法提供了思路；同时，SDN的集中控制模式使得其成为LDoS攻击的潜在对象。如果控制器受到了LDoS攻击的影响，则会影响控制器对于整个SDN网络的管理，甚至造成全网拒绝服务。

本发明针对SDN体系结构所面临的LDoS攻击安全隐患，以及传统LDoS攻击检测算法检测率不高、自适应性不强、难以实际部署等问题，基于保护SDN安全的目标，提出了一种基于P-F方法的软件定义网络LDoS攻击检测方法。该方法通过SDN控制器轮询，提取TCP、UDP流量的特征值作为攻击检测指标，并应用梯度提升树-逻辑回归(GBDT-LR)算法和基于突发信号检测的双滑片-K峰值(DSS-KB)算法构建检测模型，分别基于正常网络流量形态受攻击后的变化所反映的攻击效果(P)，以及LDoS流自身的攻击特征(F)进行检测。最后，为了尽可能地降低检测误差，将上述两种方法结合，并建立了判定准则。该方法能够实际部署在控制器上，实现SDN网络对LDoS攻击的实时检测，且误报率和漏报率低，能适应多种网络状态。因此该检测方法可用于SDN网络，以准确检测LDoS攻击。

发明内容

针对SDN体系结构所面临的LDoS攻击安全隐患，以及传统LDoS攻击检测方法普遍存在检测准确度不高，自适应性弱、难以实际部署等问题，提出了一种SDN环境下基于攻击效果与攻击特征的慢速拒绝服务攻击检测方法。该LDoS攻击检测方法的检测精度较高，误报率和漏报率低，算法开销小，且能作为用户程序部署在SDN控制器上，因此该检测方法可普适于准确、实时检测SDN中的LDoS攻击。

本发明为实现上述目标所采用的技术方案为：该慢速拒绝服务攻击检测方法主要包括四个步骤：网络数据采样、特征提取分类、建立检测模型、攻击判定检测。

1.网络数据采样。基于软件定义网络所采用的OpenFlow协议，控制器以一定频率对网络拓扑中关键交换机的流表进行轮询，实时获取软件定义交换机中的流表信息，并进一步解析流表字段，对单位时间窗口内所有流经交换机的流量条目及其数据进行采样统计，形成检测攻击的原始数据。

2.特征提取分类。根据获取的网络原始流表数据计算特征值，依据网络协议种类的不同，将特征值分为P与F两组，具体是：1)单位时间窗口内的TCP流量占比、方差、标准差与包平均大小4个特征，作为反映攻击效果的P组特征值，此类特征在攻击发生时会出现明显的异常，能反映正常网络受到慢速拒绝服务攻击的不良效果；2)单位时间窗口内的UDP流量序列作为反映攻击特征的F组特征值，该特征值能反映慢速拒绝服务攻击的周期性流量形态。