一種檢測基于流表超時機制的分布式拒絕服務攻擊的方法
【技術領域】
[0001]本發明涉及一種在軟件定義網絡中檢測基于流表超時機制的分布式拒絕服務攻擊的方法，涉及了分布式拒絕服務攻擊檢測、軟件定義網絡領域，可以用于避免軟件定義網絡中流表超時機制引起的分布式拒絕服務攻擊。
【背景技術】
[0002]隨著計算機技術的發展，網絡的管理變得越來越復雜。
[0003]軟件定義網絡作為一種新型的大規模網絡架構，通過將傳統網絡中的控制邏輯和轉發設備分離，實現可編程網絡，從全局提供了一個虛擬的網絡操作系統，為網絡控制和管理提供了諸多便捷。
[0004]盡管軟件定義網絡帶來了諸多便利，軟件定義網絡也引入了很嚴重的安全威脅和漏洞。在諸多漏洞中，最嚴重的就是由軟件定義網絡集中式控制邏輯引起的分布式拒絕服務攻擊。現有的很多關于軟件定義網絡中分布式拒絕服務攻擊檢測的研究重點在于控制平面，但很少有關心軟件定義網絡中數據平面的分布式拒絕服務攻擊檢測。由于軟件定義網絡中數據平面和控制平面的分離，數據平面同樣可能受到分布式拒絕服務攻擊。具體而言，軟件定義網絡數據平面中的流表存儲能力非常有限。
[0005]在軟件定義網絡中，流表的超時機制指明了網絡流量對應的流表項在流表中的存在時間，因此，存在一種數據平面的分布式拒絕服務攻擊，攻擊者周期性地發送攻擊流量，在第一個周期占用多個流表項，隨后，在這些流表項即將超時之前重新發送相同的攻擊流量，實現對于流表的長期占據。考慮數據平面中流表存儲能力非常有限，這種類型的分布式拒絕服務攻擊會對正常用戶的流量造成很大影響。
[0006]在軟件定義網絡中，流表有兩種超時機制，硬超時和空閑超時。硬超時在流量到來時，不會刷新對應的流表項的超時字段，所以不存在以上提到的分布式拒絕服務攻擊；另夕卜，軟件定義網絡面臨各種傳統和新型的分布式拒絕服務攻擊，其攻擊方式區別于基于空閑超時的分布式拒絕服務攻擊，因此，該方法只適合軟件定義網絡中利用空閑超時漏洞的分布式拒絕服務攻擊檢測。

【發明內容】

[0007]針對現有技術中軟件定義網絡中利用空閑超時漏洞的分布式拒絕服務攻擊，長期占用數據平面有限流表資源的缺陷，提供一種在軟件定義網絡中檢測基于流表超時機制的分布式拒絕服務攻擊的方法。
[0008]本發明提供了一種在軟件定義網絡中檢測基于流表超時機制的分布式拒絕服務攻擊的方法:
[0009]本發明在軟件定義網絡中檢測基于流表超時機制的分布式拒絕服務攻擊的方法，持續獲取軟件定義網絡在每個檢測周期的流表項快照，并把到目前為止可疑的流表項保存在可疑表中，最終檢測警報響起時，保存在可疑表中的有效表項對應的流即分布式拒絕服務攻擊流量，包括四個步驟:
[0010]步驟1:可疑表創建:為軟件定義網絡檢測基于流表超時機制的分布式拒絕服務攻擊創建一個可疑表，可疑表由若干個可疑表項構成，每一個表項對應一個五元組:〈匹配項，最后訪問，時間戳，標志，計數器〉O在第一個檢測周期前，可疑表為空。
[0011 ]步驟2:獲取當前網絡狀態快照:創建軟件定義網絡流表在當前檢測周期i中的快照;快照中每一個流表項有兩個字段需要關注:匹配項字段以及最后訪問字段。這兩個字段和可疑表項中對應的兩個字段相關聯。
[0012]步驟3:可疑表更新:對比步驟2中的流表快照，更新每一個可疑表項。
[0013]具體而言，在步驟2中獲得當前檢測周期流表的快照，并將每個流表項和可疑表中的表項對比，若存在一個可疑表項的〈匹配項〉字段和快照中流表項〈匹配項〉字段相同，并且該可疑表項〈標志〉字段有效，則更新對應的可疑表項:將可疑表項的〈時間戳〉字段設置為當前檢測周期i，“計算器”字段加I，〈最后訪問〉字段加上流表項的最后訪問字段;如果不存在任何一個可疑表項和該流表項〈匹配項〉字段相同，則找到當前可疑表中第一個〈標志〉字段是無效的可疑表項，將該流表項插入該位置，插入內容為:〈匹配項〉字段，“最后訪問字段”均和流表項相同，〈時間戳〉字段為當前檢測周期i，〈標志〉字段為有效，〈計數器〉字段為I;處理完當前快照中所有流表項后，需要收回可疑表中所有無效的可疑表項為下一檢測周期使用，即:對于每一個有效表項，如果其〈時間戳〉字段是i_l(表明前一個周期插入，而本檢測周期不存在該流表項)，則將其標志字段設置為“無效”，即該可疑表項不再可疑(沒有連續出現)。
[0014]步驟4:攻擊檢測:迭代步驟2和步驟3，直至最終檢測警報響起，保存在可疑表中的有效表項對應的流即分布式拒絕服務攻擊流量。
[0015]相比于基于流表超時機制的分布式拒絕服務攻擊流量，軟件定義網絡中正常流量對應的流表項在流表中存在時間較短;且正常流量對應的流表項的〈最后訪問〉字段比攻擊流量對應的流表項的〈最后訪問 > 字段大。
[0016]通過持續不斷的觀察軟件定義網絡中流表中的流表項，長期存在并且〈最后訪問〉字段較小的流表項，極有可能對應分布式拒絕服務攻擊流量。
[0017]有技術表明，超過80%的正常流量持續時間不足I Os，少于0.1 %的正常流量持續時間超過200s，因此在本方法中將檢測周期設置為200s。在每個檢測周期的迭代過程中，如果是正常流量，其對應的流表項幾乎不可能連續的在流表快照中出現，即使連續出現，其〈計數器〉字段也會很小(即只會在很少的幾個檢測周期連續出現)，因此根據步驟3，本方法設置一個較大的迭代次數，正常流量在可疑表中對應的表項〈標志〉字段最終會被設置為無效。相反，基于超時機制的分布式拒絕服務攻擊流量因為其周期性地攻擊本質，會連續在多個檢測周期出現。本方法中根據歷史經驗數據設置警報觸發閾值，如某一可疑表項連續在100個檢測周期中出現，則觸發檢測警報。此時在可疑表中〈計數器〉字段大于100，并且〈標志〉字段有效的均被初步認定為攻擊流量。
[0018]需要進一步說明的是，在本方法中，存在一定的概率將正常流量誤報為基于超時機智的分布式拒絕服務攻擊流量，例如某用戶的正常流量持續訪問，在100個檢測周期都存在，則會被誤報。因此，本方法結合可疑表項的另一字段:〈最后訪問〉字段。對于正常流量而言，訪問是隨機到達，因此距離上一次訪問的最后訪問時間間隔不具有任何規律，是隨機分布的；而攻擊流量為確保上一周期在流表中占據的流表項不被釋放，其攻擊間隔必須小于超時機制指定的區間的下限，所以攻擊流量對應的可疑表項的〈最后訪問〉字段小于正常流量的〈最后訪問〉字段。為降低誤報率，本方法將觸發警報的可疑表項根據“訪問/計數器”從大到小排序，將排在最前面一部分(如前1%)的可疑表項劃分為正常流量，剩下的即對應攻擊流量O
[0019]本方法中使用的參數如檢測周期200s，觸發警報檢測周期次數100，以及誤報糾正參數前1%在實際使用過程中，初始階段可根據現有技術設置，后續使用過程中，反饋該方法在每一次檢測中的實際檢測效率和誤報率，并基于此更新以上參數。
[0020]該方法將攻擊周期性作為檢測基礎，基于攻擊流連續訪問且最后訪問間隔較小的特征，考慮了實際操作中可能出現的誤報，方法簡單且能準確地檢測軟件定義網絡中基于超時機制的分布式拒絕服務攻擊。
[0021]軟件定義網絡中基于超時機制的分布式拒絕服務攻擊相比于傳統的分布式拒絕服務攻擊更容易實現，因為流表大小非常有限，只需很小規模的攻擊流量即可實現對軟件定義網絡數據平面的攻擊，并對正常用戶服務的性能產生嚴重影響。
[0022]因此，在軟件定義網絡中，為實現對基于超時機制的分布式拒絕服務攻擊的主動防御，系統管理員需要提前知道，哪些流量可能是攻擊流量。基于此，我們提出了一個以攻擊周期性作為檢測基礎，基于攻擊流連續訪問且最后訪問間隔較小的特征，檢測流表中長期存在的流表項的方法，所得長期存在的流表項對應的流量被認為是軟件定義網絡中基于超時機制的分布式拒絕服務攻擊流量，該方法簡單卻有效的解決了現實問題。
[0023]根據分布式拒絕服務攻擊者攻擊軟件定義網絡不同的層次，可以將軟件定義網絡受到的分布式拒絕服務攻擊分為應用層分布式拒絕服務攻擊，控制層分布式拒絕服務攻擊，數據層分布式拒絕服務攻擊。在數據層分布式拒絕服務攻擊中，存在一種利用超時機制的攻擊方法，該方法只適用于數據層利用空閑超時的分布式拒絕服務攻擊檢測，不適合利用硬超時的數據層分布式拒絕服務攻擊檢測。軟件定義網絡的空閑超時機制為攻擊者長期占用有限的流表資源提供了嚴重的安全漏洞，會導致對正常用戶的流量拒絕服務，該方法采取流量監控的方法檢測軟件定義網絡中基于空閑超時機制的分布式拒絕服務攻擊。
[0024]與現有技術相比，本發明的效果體現在:首次實現了軟件定義網絡中利用數據層空閑超時機制的分布式拒絕服務攻擊的檢測，傳統方法不能適用于這種攻擊的檢測。本方法簡單直觀，為使得攻擊檢測更加具有現實意義，周期性地檢查數據層流表中長期存在的表項，既實現了對攻擊流量的檢測，又考慮了降低正常流量的誤報率。
【附圖說明】
[0025]圖1為本發明實施例第一個檢測周期流表快照示意圖。
[00