[发明专利]基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法

权利要求书

1.基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，该方法基于OpenFlow协议和OVS命令语句获取OpenvSwitch类型的SDN交换机信息并对流规则进行移除，其检测对象为SDN中的慢速流表溢出攻击，其中ARIMA是指差分整合移动平均自回归模型，Gini是指基尼系数，DT是指决策树分类，方法包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程，具体包括如下步骤：

交换机流表空间监控过程：

S1.监控模块按照设置的时间间隔周期性地读取SDN交换机当前流表空间的占用率，如果占用率超过了设置的占用率阈值，则发送正信号到检测模块进行慢速流表溢出攻击检测，否则发送负信号并持续轮询监控；

慢速流表溢出攻击检测过程：

S2.接收到步骤S1发送的正信号后，检测模块通过使用SDN交换机的读取命令获得其流表，将流表划分为多个检测片并对每一个检测片进行检测，提取每一条流规则的持续时间、包数目、包字节数，并计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征：持续时间，包数目，包字节数，平均包字节数，平均包间隔时间；

S3.基于由步骤S2得到的五元原始特征，对检测片内的所有流规则计算包字节数的平均值、平均包字节的标准差值和平均包间隔时间的变异系数值，得到一个三元特征；

S4.基于由步骤S2得到的五元原始特征，提取检测片内的每一条流规则的平均包字节数和平均包间隔时间，得到两个一元特征组；

S5.使用ARIMA对由步骤S3得到的一个三元特征进行计算得到一个预测值；

S6.使用Gini对由步骤S4得到的两个一元特征组进行计算得到一个基尼系数值；

S7.把预测值和基尼系数值与设置的对应阈值进行比较，判断是否发生攻击，具体为：如果预测值小于设置的预测值阈值，并且基尼系数值大于设置的基尼系数值阈值，则认为当前检测片内已经含有了慢速流表溢出攻击类型的流规则，此时SDN交换机内已经发生了慢速流表溢出攻击；

S8.如果步骤S7检测到SDN交换机内慢速流表溢出攻击已经发生，则发送正信号到缓解模块，缓解模块开始工作，否则发送负信号到缓解模块，缓解模块保持静默；

慢速流表溢出攻击缓解过程：

S9.接收到步骤S8发送的正信号后，缓解模块开始对当前检测片内的每一条流规则进行识别，调取由步骤S2得到的当前检测片内的每一条流规则对应的五元原始特征，选择其中的包数目、包字节数和平均包字节数，作为缓解模块采用的对每一条流规则进行识别的一个三元特征；

S10.根据每一条流规则的持续时间，使用对应的训练好的DT对其三元特征进行分类识别，输出识别结果；

S11.如果步骤S10中输出的识别结果为正，即认为此条流规则为慢速流表溢出攻击类型的流规则，则缓解模块通过SDN交换机的删除命令将此条流规则移除，识别完当前检测片内的所有流规则并进行移除慢速流表溢出攻击类型的流规则后，缓解模块进入静默，并监听检测模块下一次发送的信号。

2.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，其特征在于检测模块在接收到一次步骤S1发送的正信号后，检测模块将重复步骤S3～S8直到确保所有的检测片都完成检测。

3.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，其特征在于ARIMA的计算公式为：

其中，y是以10为底由步骤S3得到的三元特征的乘积的对数，e是白噪声，α和β是权重，μ是常量。

4.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，其特征在于Gini的计算公式为：

其中，N是检测片内流规则总条数，M是特征数，A_ij表示检测片内第i条流规则的第j个特征，A_sum表示检测片内所有特征之和。

5.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，其特征在于步骤S10所述的DT是指基于分类回归树算法的决策树分类。

6.根据权利要求1所述的基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，其特征在于步骤S10所述的DT具体为，不同持续时间的流规则对应不同级的DT，对持续时间长的流规则进行分类识别的DT预先由大量同级持续时间长的流规则进行训练，对持续时间短的流规则进行分类识别的DT预先由大量同级持续时间短的流规则进行训练。