[发明专利]基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法

说明书

本发明针对SDN中数据层交换机所面临的慢速流表溢出攻击安全隐患，公开了一种基于ARIMAGini‑DT的慢速流表溢出攻击检测与缓解方法，属于计算机网络安全领域。本发明所述的方法通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中，并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量，再利用不同级的DT对流表中的流规则进行识别分类并移除属于慢速流表溢出攻击类型的恶意流规则，在缩短识别分类时间的同时也提高了其识别的精度，达到保护交换机有限流表空间的目的。该方法能够在慢速流表溢出攻击还在发起阶段，交换机流表还未饱和时就能将其检测，同时采取缓解策略，持续性地对流表进行监控与保护。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法。

背景技术

软件定义网络(SDN)，其优势例如控制层与数据层的分离、集中控制、可编程性、良好的易管理性为其赢得了广大运营商和服务商的关注，被认为是传统网络局限性的解决思路之一。由于其本身的强架构性，这种网络已经被广泛应用在云环境和物联网中。但是一方面，在SDN独特的优势为互联网的管理带来了新思路的同时，它由于本身的特点也成为更多攻击的潜在目标。其中，对于数据层而言，由于仍具有传统网络的一些特征，它就不仅可能遭到例如针对传统网络的拒绝服务攻击，还可能被一些新型攻击作为目标例如流表溢出攻击。

SDN中的交换机为了更好的实现对数据流的管理，采用了支持OpenFlow协议的Ternary Content Addressable Memory(TCAM)来对流表项进行储存。TCAM会储存为每一条流生成的对应的流表项，也被称为流规则，当有流流入时，会先在TCAM中搜索是否有与其匹配的规则，若有则进行相应的操作例如转发、丢弃等。如果没有匹配的规则，就会与控制器沟通并生成一条新规则进行安装处理。为了保证网络的正常通信，伴随着不断有新流进入网络，大量的数据流在交换机之间被转发，同时，交换机的TCAM中的流规则也不断被更新安装。但是由于TCAM是一种价格昂贵且消耗高的部件，交换机中的TCAM通常容量有限。一旦流表饱和，大量的消息将会被转发到控制器，加重控制层与数据层的负载，甚至导致控制器过载瘫痪，网络性能降低。因此，SDN中流表溢出的问题以及如何应对是被关注的一个关键问题。

其中，相较于泛洪式的攻击，慢速流表溢出攻击通常能够以更低的平均攻击速率缓慢达到目的，在同样造成伤害的同时其隐蔽性更高更不易被察觉，在早期更难以及时检测。现有的研究已经表明，攻击者可以提前探测到流表参数例如容量、敏感头部、超时等信息，从而轻易的发起精准的慢速流表溢出攻击来影响网络的性能。而大部分的现有工作都只是在检测到流表溢出后才采取策略进行缓解，但此时流表已经饱和造成了损失。

发明内容

本发明针对SDN中交换机所面临的慢速流表溢出攻击安全隐患，提出了一种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法。

本发明旨在慢速流表溢出攻击还在发起阶段，交换机流表还未饱和时就能将其检测，同时采取缓解策略，持续性地对流表进行保护。

本发明所提供的这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，基于OpenFlow协议和OVS命令语句获取OpenvSwitch类型的SDN交换机信息，并对流规则进行移除，其检测对象为SDN中的慢速流表溢出攻击，其中的ARIMA是指差分整合移动平均自回归模型，Gini是指基尼系数，DT是指决策树分类。

这种基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程，具体包括如下步骤：

交换机流表空间监控过程：

S1.监控模块按照设置的时间间隔周期性地读取SDN交换机当前流表空间的占用率，如果占用率超过了设置的占用率阈值，则发送正信号到检测模块进行慢速流表溢出攻击检测，否则发送负信号并持续轮询监控；