申请/专利权人：湖南大学

申请日：2022-10-19

公开（公告）日：2024-04-19

公开（公告）号：CN115664752B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.04.19#授权;2023.02.17#实质审查的生效;2023.01.31#公开

摘要：本发明针对SDN中数据层交换机所面临的慢速流表溢出攻击安全隐患，公开了一种基于ARIMAGini‑DT的慢速流表溢出攻击检测与缓解方法，属于计算机网络安全领域。本发明所述的方法通过使用ARIMA将时间序列预测中的学习和预测思想引入到对SDN交换机流表检测中，并结合Gini反映混乱度的能力对SDN交换机流表的状态进行衡量，再利用不同级的DT对流表中的流规则进行识别分类并移除属于慢速流表溢出攻击类型的恶意流规则，在缩短识别分类时间的同时也提高了其识别的精度，达到保护交换机有限流表空间的目的。该方法能够在慢速流表溢出攻击还在发起阶段，交换机流表还未饱和时就能将其检测，同时采取缓解策略，持续性地对流表进行监控与保护。

主权项：1.基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法，该方法基于OpenFlow协议和OVS命令语句获取OpenvSwitch类型的SDN交换机信息并对流规则进行移除，其检测对象为SDN中的慢速流表溢出攻击，其中ARIMA是指差分整合移动平均自回归模型，Gini是指基尼系数，DT是指决策树分类，方法包括交换机流表空间监控过程、慢速流表溢出攻击检测过程和慢速流表溢出攻击缓解过程，具体包括如下步骤：交换机流表空间监控过程：S1.监控模块按照设置的时间间隔周期性地读取SDN交换机当前流表空间的占用率，如果占用率超过了设置的占用率阈值，则发送正信号到检测模块进行慢速流表溢出攻击检测，否则发送负信号并持续轮询监控；慢速流表溢出攻击检测过程：S2.接收到步骤S1发送的正信号后，检测模块通过使用SDN交换机的读取命令获得其流表，将流表划分为多个检测片并对每一个检测片进行检测，提取每一条流规则的持续时间、包数目、包字节数，并计算每一条流规则的平均包字节数和平均包间隔时间作为其对应的一个五元原始特征：持续时间，包数目，包字节数，平均包字节数，平均包间隔时间；S3.基于由步骤S2得到的五元原始特征，对检测片内的所有流规则计算包字节数的平均值、平均包字节的标准差值和平均包间隔时间的变异系数值，得到一个三元特征；S4.基于由步骤S2得到的五元原始特征，提取检测片内的每一条流规则的平均包字节数和平均包间隔时间，得到两个一元特征组；S5.使用ARIMA对由步骤S3得到的一个三元特征进行计算得到一个预测值，计算公式为：其中，是以10为底由步骤S3得到的三元特征的乘积的对数，是白噪声，和是权重，是常量；S6.使用Gini对由步骤S4得到的两个一元特征组进行计算得到一个基尼系数值，计算公式为：其中，是检测片内流规则总条数，是特征数，表示检测片内第条流规则的第个特征，表示检测片内所有特征之和；S7.把预测值和基尼系数值与设置的对应阈值进行比较，判断是否发生攻击，具体为：如果预测值小于设置的预测值阈值，并且基尼系数值大于设置的基尼系数值阈值，则认为当前检测片内已经含有了慢速流表溢出攻击类型的流规则，此时SDN交换机内已经发生了慢速流表溢出攻击；S8.如果步骤S7检测到SDN交换机内慢速流表溢出攻击已经发生，则发送正信号到缓解模块，缓解模块开始工作，否则发送负信号到缓解模块，缓解模块保持静默；慢速流表溢出攻击缓解过程：S9.接收到步骤S8发送的正信号后，缓解模块开始对当前检测片内的每一条流规则进行识别，调取由步骤S2得到的当前检测片内的每一条流规则对应的五元原始特征，选择其中的包数目、包字节数和平均包字节数，作为缓解模块采用的对每一条流规则进行识别的一个三元特征；S10.根据每一条流规则的持续时间，使用对应的训练好的DT对其三元特征进行分类识别，输出识别结果；S11.如果步骤S10中输出的识别结果为正，即认为此条流规则为慢速流表溢出攻击类型的流规则，则缓解模块通过SDN交换机的删除命令将此条流规则移除，识别完当前检测片内的所有流规则并进行移除慢速流表溢出攻击类型的流规则后，缓解模块进入静默，并监听检测模块下一次发送的信号。

全文数据：

权利要求：

百度查询： 湖南大学 基于ARIMAGini-DT的慢速流表溢出攻击检测与缓解方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD