一种sdn异常检测与阻截方法及系统的利记博彩app
【技术领域】
[0001] 本发明涉及网络安全技术领域,更具体地,涉及一种SDN异常检测与阻截方法及 系统。
【背景技术】
[0002] 互联网成为我们生活中不可或缺的一部分,但网络攻击正严重影响着我们的上网 体验和网上信息的安全,DDoS、蠕虫、扫描等分布式网络攻击猖獗,传统网络攻击影响着现 代互联网以及未来互联网的安全。分布式协同攻击具有范围广、隐蔽性、同步性的特征。以 往的单点IDS (入侵检测系统)观测的流量有限,很难从中检测到分散、隐蔽的攻击流量。
[0003] 采用分布式数据采集的方法来获得更多数据,从全局视觉来检测隐蔽攻击,能够 提高检测率。然而,分布式数据采集获得的数据量一般非常大,需要计算能力强的服务器对 其进行处理。大规模、高速的网络中,分布式采集数据会耗费大量带宽,大量数据涌向中央 服务器也容易让其瘫痪。
【发明内容】
[0004] 本发明旨在至少在一定程度上解决上述技术问题。
[0005] 本发明的首要目的是克服现有技术异常攻击检测率低、数据处理量大的缺陷,提 供一种检测率高、数据处理量小的SDN异常检测与阻截方法。
[0006] 本发明的进一步目的是提供一种检测率高、数据处理量小的SDN异常检测与阻截 系统。
[0007] 为解决上述技术问题,本发明的技术方案如下:
[0008] -种SDN异常检测与阻截方法,所述方法应用于SDN(软件定义网络)网络,所述 方法包括以下步骤:
[0009] Sl :在交换机的端口对数据流进行随机采样,得到采样数据包;
[0010] S2 :将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特 征字段对应的可计数哈希表,可计数哈希表的值是各个特征字段的具体值在当前统计周期 内已经出现的次数;
[0011] S3 :在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈 希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数 器计数加1 ;如果异常计数器的值达到预设的计数阈值则判定为异常攻击,否则不进行处 理;
[0012] S4 :根据预设的阻截机制对异常攻击进行阻截。
[0013] 在一种优选的方案中,步骤Sl中,采用sFlow数据流随机采样技术对数据流进行 随机采样,对OpenFlow交换机的单个或多个端口上的流量进行抽样或轮询,采样数据被封 装为sFlow数据包,然后加上UDP包头和IP包头进行传输。
[0014] 在一种优选的方案中,步骤S2中,将采样数据包中的样本数据取出的具体方法 为:对采样数据包进行解析,首先去除IP包头,得到其中的UDP包,再去除UDP包头,得到 sFlow数据包,采样数据封装在sFlow数据包的Sample Data中。
[0015] 在一种优选的方案中,所述特征字段包括目的IP地址、源IP地址、目的端口和源 端口。
[0016] 在一种优选的方案中,步骤S2中,更新各个特征字段对应的可计数哈希表的具体 方法为:SDN控制器提取样本数据的目的IP地址、源IP地址、目的端口和源端口四个字段 的具体值,判断是否存在于各个字段的可计数哈希表中,如果存在,则对应可计数哈希表中 的表项计数值加1,否则在可计数哈希表中添加新的条目,可计数哈希表的每一个键是目的 IP地址、源IP地址、目的端口或源端口的具体值的哈希值,可计数哈希表的值是对应字段 具体值在当前统计周期内已经出现的次数。
[0017] 在一种优选的方案中,步骤S3中,计算所述熵值的方法如下:
[0018] 计算第j个字段的可计数哈希表中的第i个表项出现的次数所占的比重:
[0019]
【主权项】
1. 一种SDN异常检测与阻截方法,所述方法应用于SDN网络,其特征在于,所述方法包 括以下步骤: 51 :在交换机的端口对数据流进行随机采样,得到采样数据包; 52 :将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特征字 段对应的可计数哈希表,可计数哈希表的值是各个特征字段的具体值在当前统计周期内已 经出现的次数; 53 :在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈希表 的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数器计 数加1 ;如果异常计数器的值达到预设的计数阈值则判定为异常攻击,否则不进行处理; 54 :根据预设的阻截机制对异常攻击进行阻截。
2. 根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S1中,采用 sFlow数据流随机采样技术对数据流进行随机采样,对OpenFlow交换机的单个或多个端口 上的流量进行抽样或轮询,采样数据被封装为sFlow数据包,然后加上UDP包头和IP包头 进行传输。
3. 根据权利要求2所述的SDN异常检测与阻截方法,其特征在于,步骤S2中,将采样数 据包中的样本数据取出的具体方法为:对采样数据包进行解析,首先去除IP包头,得到其 中的UDP包,再去除UDP包头,得到sFlow数据包,采样数据封装在sFlow数据包的Sample Data中。
4. 根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S2中,所述特征 字段包括目的IP地址、源IP地址、目的端口和源端口,更新各个特征字段对应的可计数哈 希表的具体方法为:SDN控制器提取样本数据的目的IP地址、源IP地址、目的端口或源端 口四个字段的具体值,判断是否存在于各个字段的可计数哈希表中,如果存在,则对应可计 数哈希表中的表项计数值加1,否则在可计数哈希表中添加新的条目,可计数哈希表的每一 个键是目的IP地址、源IP地址、目的端口或源端口的具体值的哈希值,可计数哈希表的值 是对应字段具体值在当前统计周期内已经出现的次数。
5. 根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S3中,计算所述 熵值的方法如下: 计算第j个字段的可计数哈希表中的第i个表项出现的次数所占的比重:
计算第j个字段可计数哈希表的的熵值:
其中m为样本数,Xu为第j个字段的第i个表项在当前统计周期内已经出现的次数,ej为第j个字段可计数哈希表的的熵值,令k=l/lnm,0 <e」< 1。
6. 根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S3中,异常判定 阈值的设置方法为:分别计算不同阈值下的检测率和虚警率,得到R0C曲线,根据R0C曲线 选择合适的阈值,其中检测率和虚警率的定义如下:
7. 根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S3中,发现异常 攻击后,依据四个字段对应熵值图的异常情况,得到异常熵值对应的字段组合,再结合攻击 的先验知识来判定异常所属类别。
8. 根据权利要求1所述的SDN异常检测与阻截方法,其特征在于,步骤S4中,对异常攻 击进行阻截的机制为以下机制中的一种或多种: (1) 白名单机制:检测异常相关的IP地址是否在白名单中,是则不对该IP进行阻截, 否则进行后续的阻截、告警记录操作; (2) 阻截流表项生成和下发机制:对不同类型的异常或攻击提取相应字段项组合,根 据异常表项组合动态生成阻截流表项; (3) 异常告警记录机制。
9. 一种SDN异常检测与阻截系统,所述系统应用于SDN网络,其特征在于,所属系统包 括: 数据采集模块:用于在交换机的端口对数据流进行随机采样,得到采样数据包; 数据预处理模块:用于将采样数据包中的样本数据取出,得到样本数据的多个特征字 段,更新各个特征字段对应的可计数哈希表,可计数哈希表的值是各个特征字段的具体值 在当前统计周期内已经出现的次数; 异常检测模块:用于在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应 的可计数哈希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否 则异常计数器计数加1 ;如果异常计数器的值达到计数阈值则判定为异常攻击,否则不进 行处理; 异常阻截模块:用于根据预设的阻截机制对异常攻击进行阻截。
10. 根据权利要求9所述的SDN异常检测与阻截系统,其特征在于,所述阻截机制为白 名单机制、阻截流表项生成和下发机制、异常告警记录机制中的一种或多种。
【专利摘要】本发明提供一种SDN异常检测与阻截方法及系统,所述方法应用于SDN网络,所述方法包括以下步骤:对数据流进行随机采样,得到采样数据包;将采样数据包中的样本数据取出,得到样本数据的多个特征字段,更新各个特征字段对应的可计数哈希表;在预设的时间窗口的间隔处,计算时间窗口内各个特征字段对应的可计数哈希表的熵值;如果熵值大于或等于预设的异常判定阈值,则清空异常计数器,否则异常计数器计数加1;如果异常计数器的值达到预设的计数阈值则判定为异常攻击,否则不进行处理;根据预设的阻截机制对异常攻击进行阻截。本发明具有检测率高、数据处理量小的优点。
【IPC分类】H04L29-06
【公开号】CN104580173
【申请号】CN201410827207
【发明人】陈晓帆, 黎志勇, 吴广锐, 余顺争
【申请人】广东顺德中山大学卡内基梅隆大学国际联合研究院
【公开日】2015年4月29日
【申请日】2014年12月25日