[发明专利]一种基于排序学习的SDN数据平面低速率DDoS攻击缓解方法

权利要求书

1.一种基于排序学习的SDN数据平面低速率DDoS攻击缓解方法，其特征在于，所述的低速率DDoS攻击缓解方法，包括以下几个步骤：

步骤1、流表数据采样：利用包含OpenFlow交换机流表采样命令的脚本程序，轮询交换机流表，实时获取SDN数据平面上交换机的所有流表项信息，形成原始流表项的数据集；为防止不活跃的流表项在数据集中生成冗余记录，轮询的间隔应至少大于流表的软超时时间；

步骤2、流表特征分析：处理步骤1中的原始流表项的数据集；提取交换机中每条流表项的“持续时间”、“累计匹配分组数”和“累计匹配字节数”作为流表项的三项基本特征，再基于这三项基本特征的组合，提取流表项的“平均分组间隔”、“传输速度”和“平均分组大小”三项组合特征；接着，进一步提取每条流表项的“标识”信息，用于将流表项的六个特征与交换机中唯一的流表项一一对应，最终形成由上述特征和标识组成的新数据集；

步骤3、流表分类标记：在步骤2中获取的新数据集中，依据每条流表项的“标识”，为每条流表项标记“0”或“1”作为其“相关性标签”；接着，为数据集中的每条流表项标记一个“查询ID”，最终得到一个具有“相关性标签”和“查询ID”的标准排序学习数据集；

步骤4、排序模型训练：基于步骤3中所获得的标准排序学习数据集，使用集成学习方法训练流表项排序学习模型，并设定排序的准则为Pairwise；在训练的过程中，优化目标和评价指标则可以是召回率、归一化折损累计增益和平均精确度中的任何一个；

步骤5、攻击阈值设定：利用步骤4中所得的流表项排序学习模型，预测全体数据集中每一条流表项的排序得分，并进行0-1归一化；记步骤3中“相关性标签”为“1”的流表项在数据集中的占比为N，其取值范围为0.00到1.00，则排序得分归一化后的攻击检测阈值为1-N；找出归一化后排序得分最接近1-N的那一条流表项，其原始的排序得分TH，即为攻击判定的阈值，即认为排序得分超过TH时，被认为和攻击流相关；

步骤6、网络攻击缓解：将步骤4所得的流表项排序学习模型部署在SDN数据平面的交换机上；当SDN数据平面上的低速率DDoS攻击导致交换机流表溢出时，提取流表中的所有流表项，预测每一条流表项的排序得分，并依据排序得分降序排列流表项；最后，依据排序得分从高到低的顺序遍历流表，依次删除低速率DDoS攻击流，充分缓解SDN数据平面的低速率DDoS攻击。

2.根据权利要求1中所述的低速率DDoS攻击缓解方法，其特征在于，步骤1中的流表项轮询采样基于支持OpenFlow协议的软件交换机OpenvSwitch；执行流表项轮询采样时，SDN数据平面上的各台软件交换机分别在自身的命令控制行中执行数据采样命令，获取本交换机的流表项信息。

3.根据权利要求1中所述的低速率DDoS攻击缓解方法，其特征在于，步骤2中的“持续时间”、“累计匹配分组数”和“累计匹配字节数”三项基本特征应当从各条流表项的字段中分别提取，且三项组合特征“平均分组间隔”、“传输速度”和“平均分组大小”均由三项基本特征计算而来；其中，“平均分组间隔”被定义为“累计匹配分组数”和“持续时间”的比值，“传输速度”被定义为“累计匹配字节数”和“持续时间”的比值；“平均分组大小”被定义为“累计匹配字节数”和“累计匹配分组数”的比值。

4.根据权利要求1中所述的低速率DDoS攻击缓解方法，其特征在于，步骤2中所述的流表项“标识”信息，由“源、目的IP地址”、“源、目的端口号”四个部分组成，即“标识”字段包含三层转发信息；为有效记录符合三层转发粒度的流表项，要求在执行所述方法时，SDN控制器运行三层及三层以上的转发逻辑。

5.根据权利要求1中所述的低速率DDoS攻击缓解方法，其特征在于，步骤3中，流表项的“相关性标签”取值为“0”或“1”，代表该流表项与攻击流表项是否相关；来自于低速率DDoS攻击源IP地址的流表项被标记为1，即相关，其余流表项被标记为0，即不相关；全体流表项的“查询ID”被设置为任意一个int类型定值，代表在训练排序学习模型时，全体流表项均位于同一个针对“攻击流表项”的查询之下。