[发明专利]基于两级阈值的慢速流表溢出攻击检测与缓解方法

说明书

本发明公开了基于两级阈值的慢速流表溢出攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：部署在SDN交换机上实时监测交换机流表的占用率，当流表占用率达到一级阈值时对流表进行采样并计算流表特征，然后启动攻击检测。若检测到慢速流表溢出攻击，进入攻击缓解模块的恶意流驱逐模式，对分类为恶意的流规则进行驱逐；当流表占用率达到二级阈值时，进入缓解模块的防止流表溢出模式，按比例驱逐流表中疑似恶意的流规则，腾出流表空间防止溢出。本方法能够实时监测交换机的流表状态，准确地检测慢速流表溢出攻击，具有较低的漏报率和误报率，且能够准确识别恶意流规则并进行驱逐，因此本方法能够有效检测和缓解SDN环境中的慢速流表溢出攻击。

技术领域

本发明属于计算机网络安全领域，具体涉及基于两级阈值的慢速流表溢出攻击检测与缓解方法。

背景技术

为了更合理的利用资源，诞生了满足不同网络需求、弹性服务的SDN(SoftwareDefined Network，软件定义网络)。随着云计算技术的发展，传统的网络体系结构更新缓慢，系统复杂、僵化。SDN将网络的流量管理功能和数据包转发功能解耦，提供了网络可编程性、集中式网络管理、网络流量动态控制和自动化部署。

SDN的数据平面和控制平面相互分离，通过OpenFlow协议实现连接和信息交互。但是这种独特的网络架构也存在一定的安全隐患。控制平面需要处理来自整个网络系统的大量信息，所以要求控制平面具有很高的性能。而数据平面的转发能力受到流表大小的制约而存在性能的瓶颈。

流表中规则的存储和快速查找依赖于TCAM(Ternary Content AddressableMemory,三态内容寻址存储器)，由于造价昂贵且功耗很高，其内存的大小非常有限。一旦流表受到攻击而溢出，正常规则无法及时得到处理，从而使得TCP的拥塞窗口减小甚至降低整个网络的吞吐量。慢速流表溢出攻击通过低速率发送与流表不匹配的数据包触发恶意流规则安装并占用流表可用空间，造成流表的溢出。

为了保证流表的可用性和正常流规则的转发效率，本发明提出了基于两级阈值的慢速流表溢出攻击检测与缓解方法。本方法根据流表受到慢速流表溢出攻击的紧急程度不同，为流表占用率设置两级阈值，对应攻击缓解模块的恶意流驱逐模式和防止流表溢出模式。本方法部署在SDN交换机上实时监测交换机流表的占用率，当流表占用率达到一级阈值时对收集流表内容进行采样并计算流表特征，然后启动攻击检测。若检测到慢速流表溢出攻击，系统进入攻击缓解模块的恶意流驱逐模式，对分类为恶意的流规则进行驱逐；当规则数达到二级阈值时，系统直接进入缓解模块的防止流表溢出模式，按比例驱逐流表当中疑似恶意的流规则，腾出流表空间防止溢出。本方法能够实时监测SDN交换机的流表状态，准确地检测慢速流表溢出攻击，具有较低的漏报率和误报率，且能够准确识别恶意流规则并对其进行驱逐，因此本方法能够有效检测和缓解SDN环境中的慢速流表溢出攻击。

发明内容

针对慢速流表溢出攻击检测与缓解方法存在攻击检测率低、不能及时处理恶意流规则以及系统开销过高等不足，以及流表受到攻击溢出时正常规则无法及时得到处理甚至降低整个网络的吞吐量的情况，提出了基于两级阈值的慢速流表溢出攻击检测与缓解方法。本方法能够实时监测SDN交换机的流表状态，准确地检测慢速流表溢出攻击，具有较低的漏报率和误报率，且能够准确识别恶意流规则并对其进行驱逐，因此本方法能够有效检测和缓解SDN环境中的慢速流表溢出攻击。

本发明为实现上述目标所采用的技术方案为：该慢速流表溢出攻击检测与缓解方法主要包括五个步骤：流表占用率监测、流表数据采样、流表特征计算、攻击检测、攻击缓解。

1.流表占用率监测。在SDN中对于交换机中的流规则数进行实时获取，以1.0秒的时间间隔使用OpenvSwitch命令脚本对于SDN中交换机流表中的流规则数进行轮询，并根据流表总容量大小计算得到当前流表的占用率。