[发明专利]一种基于格拉姆角场的低速率拒绝服务攻击检测方法

说明书

本发明公开了一种基于格拉姆角场的低速率拒绝服务攻击检测方法，属于计算机网络安全领域。本发明所述的方法包括：对于每一个单位时间窗口，实时获取软件定义网络交换机中的流表信息，提取TCP原始流量数据和UDP原始流量数据；并用格拉姆角场算法分别对采集到的TCP原始流量数据和UDP原始流量数据进行处理，获得TCP流量图片模型和UDP流量图片模型；进而提取两个模型共五个的颜色矩特征作为AHP算法的输入；在用AHP算法对其进行打分后，将分数输入到K临近值分类器，若K临近值分类器的输出标签值与存在攻击时设定的标签值相符，则判定该时间窗口内网络发生了低速率拒绝服务攻击。本发明提出的基于格拉姆角场的低速率拒绝服务攻击检测方法可在网络中部署进行实时监测，具有良好的普适性和准确性。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于格拉姆角场的低速率拒绝服务攻击检测方法。

背景技术

低速率拒绝服务攻击是针对TCP拥塞控制机制缺陷而设计的一种拒绝服务攻击的变体，该攻击通过周期性地向瓶颈网络注入攻击流来恶意使得网络被迫拥塞，从而触发拥塞控制机制的自适应机制不断处于调整状态来达到降低网络质量的目的。同时，由于它还具有低速率性的特点，也变得更加隐蔽，从而难以通过使用对传统攻击的防范机制来进行检测。

SDN体系结构主要分为三个层面和两个接口。三个层面分别为应用层、控制层和数据层，两个接口分为北向接口和南向接口。虽然SDN实现了通过将控制平面与数据平面相分离从而提高了网络的可管理性和可编程性，它的网络安全现状并不会由于其采用了新的体系架构而发生根本性的改变，SDN也同样容易成为拒绝服务攻击的目标。对于SDN而言，若其控制层遭受到了低速率拒绝服务攻击，整个网络的管理便会受到影响，控制层无法及时对网络的状态进行判断与调整甚至可能加重攻击，带来更严重的损害。

本发明针对SDN体系结构所面临的低速率拒绝服务攻击安全隐患，以及现有低速率拒绝服务攻击检测算法仍存在着复杂度较高、处理过程复杂、无法实际部署进行实时检测的问题，提出了一种基于格拉姆角场的低速率拒绝服务攻击检测方法。该方法通过在SDN体系结构下，利用控制器向交换机发起信息申请轮询，记录流经交换机的实时TCP流量和UDP流量，并以此为根据结合格拉姆算法构建流量图片模型，进而对TCP流量图片模型和UDP流量图片模型提取颜色矩特征，再利用层次分析法(AHP)算法和K临近值算法进一步确定低速率拒绝服务攻击是否发生。该方法能够在SDN体系结构下进行实际部署，实现对低速率拒绝服务攻击的实时检测，且误报率和漏报率低，具有良好的普适性以及准确性。本发明提出的方法在实际部署进行检测时，响应时间快速，平均准确率可达96.91％，因此该检测方法可用于SDN体系结构下准确检测低速率拒绝服务攻击。

发明内容

针对SDN体系结构所面临的低速率拒绝服务攻击安全隐患，以及传统低速率拒绝服务攻击检测算法仍存在着复杂度较高、处理过程复杂、无法实际部署进行实时检测的问题，本发明提出了一种基于格拉姆角场的低速率拒绝服务攻击检测方法。该低速率拒绝服务攻击检测方法实现了在SDN下对低速率拒绝服务攻击进行实时检测，且误报率和漏报率低，具有良好的普适性以及准确性，因此该检测方法可用于SDN体系结构下准确检测低速率拒绝服务攻击。

本发明为实现上述目标所采用的技术方案为：该低速率拒绝服务攻击检测方法主要包括四个步骤：流量数据采样、检测模型建立、模型特征提取、攻击判定检测。

1.流量数据采样。基于软件定义网络及其配套的OpenFlow协议实现，控制器以一定周期为时间间隔向网络中的关键交换机申请读取流表信息，并对流表信息进行解析，获得条目和数据形成TCP原始流量数据和UDP原始流量数据。

2.检测模型建立。根据获得的TCP原始流量数据和UDP原始流量数据，采用格拉姆角场算法分别建立两个不同的流量图片模型，其中，格拉姆角场算法采用角度和的三角函数变换，具体包括三个处理过程。

3.模型特征提取。基于建立的TCP流量图片模型和UDP流量图片模型，分别提取两个模型的颜色矩特征，获得模型特征值。