[发明专利]一种基于排序学习的SDN数据平面低速率DDoS攻击缓解方法

说明书

本发明公开了一种基于排序学习的SDN数据平面低速率DDoS攻击缓解方法，属于网络安全领域。所述方法包括：基于OpenvSwitch交换机，轮询SDN交换机流表并提取流表项，形成原始数据；提取流表项的特征六元组和标识，结合源IP地址等信息，为流表项标记相关性标签和查询ID；采用集成学习XGBoost方法，基于Pairwise建立流表项排序学习模型，并部署在SDN交换机上；交换机上的攻击缓解系统实时监控是否发生了由DDoS攻击导致的流表溢出；若发生攻击，排序学习模型预测每条流表项的排序分数，并按排序分数降序重排流表、设定攻击检测阈值，最后自上而下遍历流表项，决定哪些流表项应被删除。本发明对数据平面低速率DDoS攻击检测率高，误报、漏报率低，自适应性强，缓解迅速、有效。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于排序学习的SDN数据平面低速率DDoS攻击缓解方法。

背景技术

SDN是一种集中控制的网络体系结构，传统网络层的数据平面和控制平面在SDN中分离解耦。SDN的逻辑控制位于控制平面上，通常由一台控制器执行网络控制、流量转发等逻辑，使网络能够被便捷地集中管理；此外，SDN的数据平面被简化，无需集成过多的网络逻辑，仅需根据控制平面下发的消息执行动作。SDN具有模块化、可编程性等优点，并能兼容可编程数据平面、包处理语言等最新技术，被广泛认为是未来网络的解决方案之一。

SDN中，简化的数据平面仅负责数据包的匹配与转发，而SDN交换机中的流表则是负责存放数据包转发规则的关键部件。数据包分组转发规则由控制器确定，并通过OpenFlow等南向接口协议下发、安装至交换机的流表中，每条规则被称为一个流表项。当一个数据包到达交换机时，交换机将解析数据包头部字段，并尝试与现有流表项进行字段匹配。匹配成功时，交换机对该数据包做出流表项指定的转发动作，否则交换机认为是一条新的流，此时交换机以Packet-In消息上报控制器，以安装新的流表项。

目前，三元可寻址地址存储器(TCAM)是主流的SDN流表的存储单元。TCAM器件具有高性能的特点，十分适合高速分组匹配、低延时网络传输的SDN场景；然而，受芯片物理条件限制，TCAM具有功耗大、内存有限等不足，导致流表的容量通常较低，难以应对海量流量的广域场景。

作为一种稀缺的网络资源，基于TCAM的流表可以成为恶意资源消耗型攻击的对象：攻击者使得流表被攻击流表项占满直到溢出，此时，流表不能够为正常流量提供转发服务。为了使得攻击更加隐蔽，攻击者安装流表项时，可以以流表的软超时时间段为周期，向目标交换机周期性地重发分组，以触发流表项匹配机制，防止攻击规则被删除。这种逃避流表项超时机制、攻击速率极低、试图占据流表的攻击，被称为数据平面低速率DDoS攻击。

本发明针对上述数据平面低速率DDoS攻击引发的安全问题，基于保护SDN安全性和可用性的目标，提出了一种基于排序学习的SDN数据平面低速率DDoS攻击缓解方法。该方法可被分布式地部署在SDN交换机上，首先轮询交换机流表，计算当前流表项数目，监控交换机流表状态，判断是否发生数据平面低速率DDoS攻击；若发生了此类攻击，则提取各条流表项的统计特征、源与目的地址等信息，依据流表项特征和攻击相关性标签，采用极端梯度提升(XGBoost)的集成学习算法，基于Pairwise排序机制，构建流表项的排序学习模型；然后，对于流表中的每个流表项，依据其统计特征，使用排序学习模型，为每条项预测一个“排序得分”，并按照排序得分从高到低，重新排序流表；最后，SDN交换机删除所有排序得分高于阈值的流表项，以及一定比例的排序得分较高的流表项，最终实现攻击缓解。该方法能够实际部署在SDN上，实现对数据平面低速率DDoS攻击的实时检测与缓解，误报率和漏报率低，能适应多种网络状态。因此该检测方法可用于SDN，以准确检测与缓解数据平面低速率DDoS攻击。

发明内容