[发明专利]SDN中基于FGD-FM的LDoS攻击检测与缓解方法

说明书

本发明公开了SDN中基于FGD‑FM的LDoS攻击检测与缓解方法，属于计算机网络安全领域。该方法调用SDN控制平面的API获取交换机的流量序列，使用FGD方法检测LDoS攻击，并基于检测结果使用FM方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合，精确检测每一次攻击突发。FM方法分析端口流量序列，通过计算每个端口的可疑分数来定位受到攻击的端口，并在交换机上安装流规则，丢弃来自攻击者的攻击流量。本发明公开的方法能够实现细粒度的LDoS攻击检测，有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性，并能够有效地过滤掉攻击流量，保证良性流量的传输。

技术领域

本发明属于计算机网络安全领域，具体涉及SDN中基于FGD-FM的LDoS攻击检测与缓解方法。

背景技术

随着互联网的快速发展，互联网面临的安全问题也变得越来越复杂和严重。DoS(Denial of Service，拒绝服务)攻击是最常见的安全威胁之一，它阻止目标服务器向合法用户提供正常服务，对网络性能损害巨大。

LDoS(Low-rate Denial of Service，低速率拒绝服务)攻击是Kuzmanovic和Knightly在2003年的SIGCOMM会议上提出的一种DoS攻击的变种。它利用TCP(TransmissionControl Protocol，传输控制协议)的拥塞控制机制，周期性地发送短时高速突发，调整攻击周期反复触发RTO(Retransmission Timeout，超时重传)机制，达到攻击效果。这种攻击模式有效地限制了TCP流量的传输，同时以足够低的平均速率避免被检测。

对于传统网络来说，实际部署在线方法来检测和缓解LDoS攻击是一项艰巨的任务。传统网络将网络设备上的逻辑控制和数据转发功能紧密耦合，降低了设备的灵活性和可扩展性。具体来说，如果设备需要添加新功能，则必须重新设计新的协议或规则。因此，本发明使用SDN(Software Defined Network，软件定义网络)来实现LDoS攻击实时检测和缓解。SDN采用OpenFlow协议解耦逻辑控制功能和数据转发功能，提高了网络的开放性和可编程性，实现了网络的可扩展性。开发者可以灵活地使用高级语言在上层平面设计应用和修改网络策略，无需关注底层硬件。

针对SDN中LDoS攻击的检测与缓解研究主要存在如下问题：利用SDN检测和缓解传统DoS攻击的研究很多，针对LDoS攻击的很少，而针对传统DoS攻击的方法无法有效地对LDoS攻击进行检测及缓解。

本发明根据SDN中LDoS攻击的检测与缓解研究中主要存在的问题，提出了SDN中基于FGD-FM的LDoS攻击检测与缓解方法。该方法调用SDN控制平面的API(ApplicationProgramming Interface，应用程序接口)获取交换机的流量序列，使用FGD(Fine GrainedDetection，细粒度检测)方法检测LDoS攻击，并基于检测结果使用FM(Fast Mitigation，快速缓解)方法缓解LDoS攻击。FGD方法将序列比对算法与机器学习相结合，以细粒度的方式精确检测每一次攻击突发。FM方法分析端口流量序列，通过计算每个端口的可疑分数来定位受到攻击的端口，并在交换机上安装流规则，丢弃来自攻击者的攻击流量。

发明内容

根据SDN中LDoS攻击的检测与缓解研究中主要存在的问题，提出了SDN中基于FGD-FM的LDoS攻击检测与缓解方法。该方法能够实现细粒度的LDoS攻击检测，有着较高的准确度、较低的误报率和漏报率、较低的复杂度和较好的实时性。同时，该方法还可以准确地定位受攻击端口，有效地过滤掉来自受攻击端口的攻击流量，保证良性流量的传输。因此，该方法能够实时准确地识别并有效地缓解LDoS攻击。

SDN中基于FGD-FM的LDoS攻击检测与缓解方法包括以下三个步骤：

步骤1、数据采集：固定采样时间和采样间隔，在采样时间内基于采样间隔，周期性地调用SDN控制平面的API，获取交换机的流量序列；