CN112769770B - 一种基于流表项属性的采样及DDoS检测周期自适应调整方法 - Google Patents
一种基于流表项属性的采样及DDoS检测周期自适应调整方法 Download PDFInfo
- Publication number
- CN112769770B CN112769770B CN202011549414.1A CN202011549414A CN112769770B CN 112769770 B CN112769770 B CN 112769770B CN 202011549414 A CN202011549414 A CN 202011549414A CN 112769770 B CN112769770 B CN 112769770B
- Authority
- CN
- China
- Prior art keywords
- flow table
- detection
- flow
- table entry
- factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于流表项属性的采样及DDoS检测周期自适应调整方法,涉及互联网安全技术领域。包括以下步骤:S100、计算基于流表项存在时间以及检测过程的过程因子;S200、计算基于历史检测信息的信任度因子;S300、基于所述过程因子和信任度因子,自适应调整采样及检测周期。本发明能够定期收集由网络请求产生的新增流表项,并根据流表项存在时间、检测过程以及检测结果自适应地调整流表项采样及检测周期;针对新增表项和交换机中已有的流表项,自适应地调整检测周期,能够达到精准定位由DDoS攻击产生的流表项、有效降低控制器与交换机之间的网络负载以及快速响应DDoS攻击的目的。
Description
技术领域
本发明涉及一种基于流表项属性的采样及DDoS检测周期自适应调整方法,属于互联网安全技术领域。
背景技术
软件定义网络(Software-Defined Networking,SDN)与传统有线网络最大的区别是其解耦了控制层和数据层,将网络设备的控制功能逻辑性地集中在了统一的控制层,提高了网络的可编程性和灵活性。在SDN中,具有逻辑中心化和开放可编程的控制器拥有全局网络信息,使得管理配置网络和部署新业务等工作更加便利。因此,SDN受到业界高度关注并有可能逐步替代传统网络架构。但是,鉴于SDN具有与传统网络不同的架构,SDN面临着一些严重的安全问题,这些安全问题阻碍了SDN发展及进一步应用。其中,分布式拒绝服务(Distributed Denial of Service,DDoS)攻击就是引发此类问题最常见方式的一种。
DDoS攻击作为互联网安全的主要威胁之一,一般通过控制很多的异构终端向目标主机发送大量攻击数据包,以消耗目标主机的资源,使目标主机无法正常地为合法用户提供服务。DDoS攻击具有发起简单、危害性大,难以被快速精准检测和防御的特点。因此,DDoS被认为是对SDN的最危险的攻击和威胁之一。在以OpenFlow协议为南向接口的SDN中,DDoS攻击在对目标主机发送大量攻击流量的同时,会在目标主机所连接的交换机和控制器之间产生大量OpenFlow消息,进而在交换机中生成大量流表项。目前SDN的DDoS检测方法需要全部检测这些流表项信息,这种做法极大地影响检测效率以及控制器和交换机资源利用率。因此,针对上述问题,本发明设计了一种基于流表项属性的采样及DDoS检测周期自适应调整方案。该方案根据流表项存在时间、检测过程以及检测结果自适应地调整流表项检测周期,以精准定位由DDoS攻击产生的流表项、降低控制器与交换机之间的网络负载、降低DDoS攻击响应时间。
发明内容
本发明的目的是提出一种基于流表项属性的采样及DDoS检测周期自适应调整方法,根据流表项存在时间、检测过程以及检测结果自适应地调整流表项检测周期,以精准定位由DDoS攻击产生的流表项、降低控制器与交换机之间的网络负载、降低DDoS攻击响应时间。
一种基于流表项属性的采样及DDoS检测周期自适应调整方法,所述自适应调整方法为:根据流表项存在时间、检测过程以及检测结果自适应地调整流表项采样和检测周期,具体包括以下步骤:
S100、计算基于流表项存在时间以及检测过程的过程因子;
S200、计算基于历史检测信息的信任度因子;
S300、基于所述过程因子和信任度因子,自适应调整采样及检测周期。
进一步的,在S100中,具体包括以下步骤:
S110、收集需要检测的流表项;
S120、根据历史信息得到需要检测的流表项的检测次数;
S130、依据设定的过程因子-检测次数模型计算采样及检测时间过程因子。
进一步的,在S200中,具体包括以下步骤:
S210、对流表项进行检测,统计检测结果;
S220、基于多次检测结果计算流表项信任度;
S230、依据信任度和流表项检测历史信息计算流表项的检测周期信任度因子。
进一步的,在S300中,具体包括以下步骤:
S310、对于新增流表项,基于所述过程因子初始化检测周期;
S320、对于非新增流表项,对所述过程因子和信任度因子求平均,作为该流表项的下一次检测间隔。
本发明的主要优点是:本发明的一种基于流表项属性的采样及DDoS检测周期自适应调整方法,其根据流表项存在时间、历史检测结果自适应地调整检测周期。该方法根据流表项存在时间、检测过程以及检测结果自适应地调整流表项检测周期,以精准定位由DDoS攻击产生的流表项、降低控制器与交换机之间的网络负载、降低DDoS攻击响应时间。
附图说明
图1是本发明实施例中结合流表项存在时间及信任度自适应调整采样及检测周期流程图;
图2是本发明实施例中检测周期过程因子-检测次数曲线图;
图3是本发明实施例中基于检测过程计算过程因子流程图;
图4是本发明实施例中基于检测结果计算信任度因子流程图。
具体实施方式
下面将结合本发明实施例中的附图对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提出了一种基于流表项属性的采样及DDoS检测周期自适应调整方法,其根据流表项存在时间、历史检测结果自适应地调整检测周期。本方法中,当控制器收到OpenFlow消息时,根据消息头部信息判断消息类型,结合内部匹配域等信息为流表项计算唯一的编号。基于此编号储存交换机信息、流表项存在时间、流表项最近一次检测时间、检测次数、检测结果以及检测间隔等流表项信息。执行检测时,首先获取***当前时间、流表项上次检测时间,计算出距离上一次检测的时间间隔。若该时间间隔大于设定的流表项检测间隔,则根据上述流表项储存信息获取与之对应的交换机信息,通过控制器向该交换机发送流表项请求消息,获取相应流表项的相关信息。检测结束后,根据历史信息,基于流表项检测过程计算过程因子,利用检测结果计算信任度因子,结合过程因子、信任度因子自适应调整流表项下一采样及检测时间。
参照图1所示,一种基于流表项属性的采样及DDoS检测周期自适应调整方法,所述自适应调整方法为:根据流表项存在时间、检测过程以及检测结果自适应地调整流表项采样和检测周期,具体包括以下步骤:
S100、计算基于流表项存在时间以及检测过程的过程因子;
S200、计算基于历史检测信息的信任度因子;
S300、基于所述过程因子和信任度因子,自适应调整采样及检测周期。
具体的,本发明的自适应调整方法的具体步骤包括:
S1.1:由控制器处理新增流表项信息,存储整理好的数据;
S1.2:判断距离上一次检测的时间间隔是否达到流表项的检测间隔阈值,若达到检测间隔阈值,则基于流表项编号通过控制器采集该流表项信息;否则不做处理;
S1.3:提取流表项信息中的源IP、目的IP、匹配报文数、匹配字节数、存在时间等关键信息;
S1.4:使用机器学习算法对相关流表项进行检测;
S1.5:若当前检测结果显示网络中出现了DDoS攻击,则执行S1.12;否则返回至S1.6;
S1.6:根据当前/历史信息更新流表项的检测次数;
S1.7:若当前流表项的检测次数为1,则用初始值初始化采样及检测周期,并执行S1.12;否则执行S1.8;
S1.8:根据检测次数及过程因子-检测次数模型,计算得出采样及检测周期过程因子;
S1.9:依据当前检测结果的离散值采用二次指数平滑算法计算流表项信任度;
S1.10:通过当前信任度与上一周期检测间隔的乘积计算得出采样及检测周期信任度因子;
S1.11:结合过程因子、信任度因子自适应调整流表项采样及检测周期;
S1.12:根据flow_remove消息提取已被交换机删除的流表项编号,根据此编号删除该表项相关信息;
S1.13:更新流表项与检测过程相关的信息。
图1示出了本实施例中结合流表项存在时间及信任度自适应调整检测周期流程图,其具体步骤为:
S1.1.1:对于新增流表项,基于匹配域match_field信息和优先级priority为每一个新增流表项建立唯一的编号flow_id,并存储在流表项管理字典Df中;
S1.1.2:依据流表项的采样及检测周期在流表项管理字典Df中查找本次需要检测的流表项;
S1.1.3:向交换机发送流表项请求信息,获取需检测流表项的源IP、目的IP、匹配报文数、匹配字节数、报文速率、字节速率、存在时间等关键信息;
S1.1.4:基于收集到的信息计算报文数不对称率、字节数不对称率;
S1.1.5:将待检测流表项匹配报文数、匹配字节数、报文速率、字节速率、存在时间、报文数不对成率、字节数不对称率作为输入使用基于决策树的Cart算法进行检测;
S1.1.6:当前检测结果显示网络中出现了DDoS攻击,则转入攻击处理程序;否则执行步骤S1.1.7;
S1.1.7:依据图3所示步骤计算检测周期过程因子;
S1.1.8:依据图4所示步骤计算检测周期信任度因子;
S1.1.9:根据该流表项的检测周期过程因子以及信任度因子计算该流表项的检测周期,具体算法如下:
Ti=(Pi+TRi)/2
其中,Ti为检测周期,Pi为过程因子,TRi为信任度因子;
S1.1.10:根据flow_remove消息提取已被交换机删除的流表项flow_id,根据flow_id删除该表项相关信息;否则执行S1.1.11;
S1.1.11:调整流表项检测周期,更新相关数据,则返回S1.1.2,进行下一轮检测。
图2示出了本发明实施例中检测周期过程因子-检测次数计算公式曲线:
其中,Pi为第i次检测周期过程因子,n为流表项的被检测次数,a=1/300,b=29/300,L=1。
进一步的,在S100中,具体包括以下步骤:
S110、收集需要检测的流表项;
S120、根据历史信息得到需要检测的流表项的检测次数;
S130、依据设定的过程因子-检测次数模型计算采样及检测周期过程因子。
具体的,图3示出了本实施例基于流表项存在时间、检测过程计算检测周期过程因子流程图,其具体步骤为:
S3.1.1:在流表项管理字典中依据flow_id获取待检测流表项的检测次数n;
S3.1.2:依据检测周期过程因子-检测次数曲线模型计算其过程因子Pi;
S3.1.3:更新流表项的检测次数为n+1、检测周期过程因子等相关信息;
进一步的,在S200中,具体包括以下步骤:
S210、对流表项进行检测,统计检测结果;
S220、基于多次检测结果计算流表项信任度;
S230、依据信任度和流表项检测历史信息计算流表项的检测周期信任度因子。
具体的,图4示出了本实施例中基于检测结果计算检测周期信任度因子流程图,其具体步骤为:
S4.1.1:使用基于决策树的Cart算法分析待检测流表项的数据特征,对相关流表项进行分类;
S4.1.2:判断当前检测结果是否表示发生DDoS攻击,若是,则转入到攻击处理程序;否则转入S4.1.3;
S4.1.3:依据检测算法分类结果得到检测结果μi;
S4.1.4:依据历史检测结果的集合采用二次指数平滑法计算信任度,具体计算公式如下:
θt+N=at+bt*N
步骤S4.1.5:根据信任度计算信任度因子,具体公式如下:
TRi=θi*Ti-1
其中,TRi为第i次流表项的检测周期信任度因子,θi为当前流表项信任度,Ti-1为第i-1次流表项的检测周期。
进一步的,在S300中,具体包括以下步骤:
步骤S310、对于新增流表项,基于所述过程因子初始化检测周期;
步骤S320、对于非新增流表项,对所述过程因子和信任度因子求平均,作为该流表项的下一次检测间隔。
本实施例中采用Cart算法对流表项进行检测、二次指数平滑算法计算待检测的流表项的信任度,但此方法仅用来对本发明中的检测算法进行说明,本发明中的检测算法方法不限于此方法。
Claims (4)
1.一种基于流表项属性的采样及DDoS检测周期自适应调整方法,其特征在于,所述自适应调整方法为:根据流表项存在时间、检测过程以及检测结果自适应地调整流表项采样和检测周期,具体包括以下步骤:
S100、计算基于流表项存在时间以及检测过程的过程因子,具体步骤为:
S1001:在流表项管理字典中依据flow_id获取待检测流表项的检测次数n;
S1002:依据检测周期过程因子-检测次数曲线模型计算其过程因子Pi;
S1003:更新流表项的检测次数为n+1、检测周期过程因子等相关信息;
S200、计算基于历史检测信息的信任度因子,具体步骤为:
S2001:使用基于决策树的Cart算法分析待检测流表项的数据特征,对相关流表项进行分类;
S2002:判断当前检测结果是否表示发生DDoS攻击,若是,则转入到攻击处理程序;否则转入S2003;
S2003:依据检测算法分类结果得到检测结果μi;
S2004:依据历史检测结果的集合采用二次指数平滑法计算信任度,具体计算公式如下:
θt+N=at+bt*N
步骤S2005:根据信任度计算信任度因子,具体公式如下:
TRi=θi*Ti-1
其中,TRi为第i次流表项的检测周期信任度因子,θi为当前流表项信任度,Ti-1为第i-1次流表项的检测周期;
S300、基于所述过程因子和信任度因子,自适应调整采样及检测周期,具体步骤为;
S3001:对于新增流表项,基于匹配域match_field信息和优先级priority为每一个新增流表项建立唯一的编号flow_id,并存储在流表项管理字典Df中;
S3002:依据流表项的采样及检测周期在流表项管理字典Df中查找本次需要检测的流表项;
S3003:向交换机发送流表项请求信息,获取需检测流表项的源IP、目的IP、匹配报文数、匹配字节数、报文速率、字节速率、存在时间等关键信息;
S3004:基于收集到的信息计算报文数不对称率、字节数不对称率;
S3005:将待检测流表项匹配报文数、匹配字节数、报文速率、字节速率、存在时间、报文数不对成率、字节数不对称率作为输入使用基于决策树的Cart算法进行检测;
S3006:当前检测结果显示网络中出现了DDoS攻击,则转入攻击处理程序;否则执行步骤S1.1.7;
S3007:计算检测周期过程因子;
S3008:计算检测周期信任度因子;
S3009:根据该流表项的检测周期过程因子以及信任度因子计算该流表项的检测周期,具体算法如下:
Ti=(Pi+TRi)/2
其中,Ti为检测周期,Ri为过程因子,TRi为信任度因子;
S3010:根据flow_remove消息提取已被交换机删除的流表项flow_id,根据flow_id删除该表项相关信息;否则执行S3011;
S3011:调整流表项检测周期,更新相关数据,则返回S3002,进行下一轮检测。
2.根据权利要求1所述的一种基于流表项属性的采样及DDoS检测周期自适应调整方法,其特征在于,在S100中,具体包括以下步骤:
S110、收集需要检测的流表项;
S120、根据历史信息得到需要检测的流表项的检测次数;
S130、依据设定的过程因子-检测次数模型计算采样及检测时间过程因子。
3.根据权利要求1所述的一种基于流表项属性的采样及DDoS检测周期自适应调整方法,其特征在于,在S200中,具体包括以下步骤:
S210、对流表项进行检测,统计检测结果;
S220、基于多次检测结果计算流表项信任度;
S230、依据信任度和流表项检测历史信息计算流表项的检测周期信任度因子。
4.根据权利要求1所述的一种基于流表项属性的采样及DDoS检测周期自适应调整方法,其特征在于,在S300中,具体包括以下步骤:
S310、对于新增流表项,基于所述过程因子初始化检测周期;
S320、对于非新增流表项,对所述过程因子和信任度因子求平均,作为该流表项的下一次检测间隔。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011549414.1A CN112769770B (zh) | 2020-12-24 | 2020-12-24 | 一种基于流表项属性的采样及DDoS检测周期自适应调整方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011549414.1A CN112769770B (zh) | 2020-12-24 | 2020-12-24 | 一种基于流表项属性的采样及DDoS检测周期自适应调整方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112769770A CN112769770A (zh) | 2021-05-07 |
CN112769770B true CN112769770B (zh) | 2022-04-22 |
Family
ID=75694063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011549414.1A Active CN112769770B (zh) | 2020-12-24 | 2020-12-24 | 一种基于流表项属性的采样及DDoS检测周期自适应调整方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112769770B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
CN110336830A (zh) * | 2019-07-17 | 2019-10-15 | 山东大学 | 一种基于软件定义网络的DDoS攻击检测*** |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160036837A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
TWI635726B (zh) * | 2017-06-14 | 2018-09-11 | 中原大學 | 巨網路流量偵測方法與軟體定義網路交換器 |
-
2020
- 2020-12-24 CN CN202011549414.1A patent/CN112769770B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
CN110336830A (zh) * | 2019-07-17 | 2019-10-15 | 山东大学 | 一种基于软件定义网络的DDoS攻击检测*** |
Non-Patent Citations (2)
Title |
---|
一种基于BiLSTM的低速率DDoS攻击检测方法;郭春、蒋朝惠;《计算机与现代化》;20200515;全文 * |
云环境下SDN网络低速率DDoS攻击的研究;陈兴蜀;《通信学报》;20190615;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112769770A (zh) | 2021-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11363031B2 (en) | Network architecture providing device identification and redirection using whitelisting traffic classification | |
US10425383B2 (en) | Platforms for implementing an analytics framework for DNS security | |
US10708146B2 (en) | Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience | |
US8924488B2 (en) | Employing report ratios for intelligent mobile messaging classification and anti-spam defense | |
EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
US20150215334A1 (en) | Systems and methods for generating network threat intelligence | |
US20170279685A1 (en) | Adjusting anomaly detection operations based on network resources | |
WO2020135233A1 (zh) | 僵尸网络检测方法、***及存储介质 | |
US20100161537A1 (en) | System and Method for Detecting Email Spammers | |
JP6442051B2 (ja) | コンピュータネットワークへの攻撃を検出する方法 | |
EP3281116A1 (en) | Systems and methods for generating network threat intelligence | |
Las-Casas et al. | SpaDeS: Detecting spammers at the source network | |
Mizuno et al. | Botdetector: a robust and scalable approach toward detecting malware-infected devices | |
CN113630394A (zh) | 一种防御ddos流量攻击检测的方法 | |
CN112769770B (zh) | 一种基于流表项属性的采样及DDoS检测周期自适应调整方法 | |
KR101078851B1 (ko) | 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법 | |
US20220329625A1 (en) | Systems and methods for ip spoofing security | |
Barthakur et al. | Adoption of a Fuzzy Based Classification Model for P2P Botnet Detection. | |
KR20100081109A (ko) | 스팸 필터링 방법 및 그 방법을 채용한 시스템 | |
US11146617B1 (en) | Application detection | |
CN112866243B (zh) | 一种基于单包溯源的DDoS攻击检测方法 | |
Deva Priya et al. | A Skellam Distribution Inspired Trust Factor-Based Selfish Node Detection Technique in MANETs | |
Rajasinghe | INSecS: An Intelligent Network Security System | |
Heseding et al. | ReCEIF: Reinforcement Learning-Controlled Effective Ingress Filtering | |
Bridges et al. | Setting the threshold for high throughput detectors |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |