基於軟體定義網絡的網絡異常流量檢測防禦系統的製作方法

2023-05-28 11:17:51

本發明主要涉及網絡異常流量的檢測與防禦，尤其涉及DoS/DDoS攻擊的檢測與防禦。
背景技術：
：針對傳統網絡架構，研究者截止目前已經提出了大量的DDoS攻擊檢測方法，而基於OpenFlow的SDN技術主要是基於流規則進行數據轉發，目前已有部分基於流的攻擊檢測方法。肖佩瑤,畢軍.基於OpenFlow架構的域內源地址驗證方法[J].小型微型計算機系統,2013,34(9):1999-2003提出基於路由的檢測算法，但當隨機流發出時，控制器為每個流做出轉發路徑分析，下發流表項，影響了控制器的性能。劉勇,香麗芸.基於網絡異常流量判斷DoS/DDoS攻擊的檢測算法[J].吉林大學學報(信息科學版),2008,03:313-319.通過對攻擊發生時網絡流量變化特性進行分析，提出基於流量波動的檢測算法。但在傳統網絡構架下，分散而封閉的控制平面並不能實時阻斷異常流量。左青雲,陳鳴,王秀磊,劉波.一種基於SDN的在線流量異常檢測方法[J].西安電子科技大學學報,2015,01:155-160.對LakhinaA,CrovellaM,DiotC.DiagnosingNetwork-wideTrafficAnomalies[C]ProceedingsoftheACMSIGCOMM.NewYork:ACM,2004:219-230.進行了改進，在主成分分析法分析時加入了異常流量特徵熵，大幅降低了誤報率。但目前沒有控制器提供IP對的查詢API，所以要大量查詢流表項，在檢驗算法中進行統計。IP數量非常多時，算法用時將不可容忍。技術實現要素：本發明的目的在於針對軟體定義網絡下檢測與防禦辦法不實用，無法產品化做出改進。為實現上述目的，本發明採用的技術方案為基於軟體定義網絡的網絡異常流量檢測防禦系統，該系統在控制器中內建源IP位址防偽模塊，通過源IP防偽模塊與DHCP模塊的實時交互實現IP位址的動態綁定，實現源IP防偽。利用控制器提供的API編寫接入層異常檢測與鏈路流量異常檢測，兩個算法通過對正常流量的學習建立正常模型。接入層異常檢測會通過算法判斷用戶是否發起泛洪攻擊，對異常交換機埠進行限制，阻斷異常流量。鏈路流量異常檢測主要在網絡的中間節點對網絡整體信息進行算法檢測，對出大範圍的分布式攻擊又良好的檢測效果。三方面整體實現異常流量的檢測與防禦。在傳統網絡中DDoS攻擊已經成為主要威脅之一，攻擊技術不斷發展，致使DDoS攻擊的防禦難度日益加大，國外商用防禦產品價格昂貴，且不是自主可控的。軟體定義網絡(software-definednetworking,SDN)體系架構的出現為DDoS攻擊的檢測和防禦方法提供了新的方向。SDN在減輕DDoS攻擊方面有巨大潛力，然而，SDN本身也存在安全問題。其本身也可能是DDoS攻擊的目標。因此本系統利用SDN架構的集中統一控制等特點，實現流量實時監控，採用定義差分方差為測度在接入層檢測異常流量，以及採用統計學多元統計分析算法在鏈路中發現接入層漏檢的異常流量，通過控制器和DHCP伺服器實時通信，下發策略到SDN交換機埠進行限速和阻止偽造源IP位址，實現了網絡層DDoS攻擊的檢測和防禦。具體內容如下：(1)基於差分方差的接入層流量異常檢測技術本系統採用基於差分方差為測度在接入層針對DDoS攻擊的異常流量進行檢測。此算法主要利用已知的正常歷史流量數據對某一時刻採集到的流量進行判斷是否屬於異常，這裡的歷史數據不是將流量數據全部都統計下來，而是通過該時刻之前的有限個流量數據進行判斷，再者，此處提到的有限個歷史數據也不同與一般的統計歷史數據，這裡的歷史數據僅僅通過一個變量來體現，這個變量即是該時刻之前有限個數據的均值，而這個均值每次都是迭代進行計算得到的，因此計算中僅僅用到一個均值變量。算法採用差分方差來判斷流量的變化趨勢，根據當前時刻之前的流量趨勢來判斷當前時刻的流量是否屬於異常，當在某時刻出現流量陡增時(儘管此時該流量沒有達到流量上限)屬於異常情況發出報警，若某時刻的流量變化趨勢和該時刻之前的流量變化趨勢不大則屬於正常流量。(2)基於統計學多元統計分析算法的鏈路流量異常檢測技術接入層流量監測有效的阻斷了單埠的流量驟然突變的攻擊，但是對於緩慢的平滑的增長而逐漸接近閾值的DDoS攻擊方法，差分方差算法有可能會出現漏報情況，因此在鏈路上採用基於統計學多元統計分析算法進行異常檢測，可以作為有效的補充。利用多元統計分析中的主成分分析法，設置確定的累積貢獻率，將鏈路上的流量分成不同的子空間。累積貢獻率在85％以上的前k個主成分特徵向量構成正常子空間，並將真實的流量映射到正常子空間，稱為正常模型流量。剩餘的主成分特徵向量構成異常子空間，將真實流量映射在異常子空間，稱為殘差流量模型。在殘差流量模型中設置閾值，當殘差值的變化量超過某個閾值時，認為存在流量異常。(3)基於SDN架構的源IP位址防偽技術源IP位址偽造會使多種DDoS攻擊成為可能，並有效的隱藏了攻擊者。是攻擊中最常用地手段。阻止偽造源地址：DHCP獲取IP的用戶與配置靜態IP的用戶通過控制器對接入層埠的監控，下發只允許其合法IP通過的流表項，當用戶發送偽造源IP位址的數據包時，會直接被交換機所丟棄。系統部署如下：Controller控制器，本系統中的控制器為FloodLight控制器。OFSwitch為支持OpenFlow協議的交換機。OpenFlow協議：是控制器Controller和交換機OFSwitch之間進行通信的規則。OFSwitch中存放流表項(FlowTable)，這些流表項用來實現網絡中設備的通信。本系統中應用層需要控制器Controller的幫助來實現對交換機OFSwitch信息採集，實現過程就是應用層通過Controller向上提供的API接口來操作控制器Controller告訴控制怎麼做，告訴控制器對交換機進行信息採集，信息採集主要是對交換機埠數據流量的採集。應用層採集到數據之後執行應用層的兩個模塊接入層檢測模塊和鏈路異常檢測模塊，這兩個模塊執行後判定網絡是否出現異常。當應用層的兩個檢測模塊判斷出現異常後，告訴控制器向交換機下發流表項阻斷異常埠的通信。應用層的兩個模塊通知控制器使用API完成，而控制器下發流表項到OpenFlow交換機OFSwitch也即是告訴OFSwitch把異常埠關閉不要讓它通信，控制器完成這個功能使用的是控制器和OFSwitch之間的通信協議OpenFlow協議來實現。與現有技術相比較，本發明具有如下有益效果。採用以上方案，可以做到軟體定義網絡構架下異常流量的檢測與防禦，並有良好的使用性，不會帶來可用性的問題。附圖說明圖1為本發明的設計框架圖。具體實施方式啟動控制器，此時IP防偽模塊即開始工作，為通過DHCP服務與配置靜態IP接入網絡的用戶進行IP綁定。打開接入層檢測與鏈路異常檢測模塊，此時兩個模塊會開始進行流量學習。計算正常的流量標準與流量變化閾值。算法會每過一段時間進行數據採集計算流量的變化，用變化值與相應算法的異常判斷標準做比較。顯示結果，便於管理員發現，並部分阻斷攻擊流量。1阻止源偽造IP位址1設計思想在DDoS攻擊中攻擊源地址有效性分為真實源地址和偽造源地址，偽造源IP位址會佔用伺服器不必要的連接帶寬，消耗伺服器的資源，在SDN構架下控制器對每臺交換機統一控制，可以利用此優勢，實現動態的接口與IP的綁定。2設計描述用戶獲取IP位址的途徑有兩種：一是使用DHCP服務，二是配置靜態IP。首先在控制器啟動時向交換機各埠插入一條將數據發往控制器的流表項,以保證接入網絡即對其監控,然後對兩種獲取IP方式分別處理。①DHCP：客戶端通過DHCPACK獲取到IP位址記為S，刪除發往控制器流表項，同時下發連接客戶端的交換機接入埠僅允許S源地址通過的流表項。②靜態IP：控制器中設置了兩個域，一個為埠控制域，存儲已經被管控的埠，另一個是交換機連接域，存儲交換機相連接的埠，不對這部分埠進行綁定，當數據包從某一接入埠發送到控制器進行解析時，分析源地址S，刪除發往控制器流表項，並下發此埠僅允許S源地址通過的流表項。當客戶端發送DHCPRelease或交換機埠失去連接時，刪除上述防偽流表項。重新插入此埠發往控制器的流表項，恢復到初始狀態。3重要原始碼分析流表操作：2接入層網絡異常流量檢測1設計思想當泛洪DoS/DDoS攻擊發生時，攻擊者發送大量連接導致拒絕正常服務，此時，到達主機的流量表現出與正常流量不同的統計特徵。正常情況下，流量波動較大，且流量均值小於飽和狀態；而受到DoS/DDoS攻擊時，流量出現兩個顯著特點：流量發生增大，然後在一段時間內趨於平穩，即呈現高平臺性。結合統計量描述，即流量測量值遠大於流量的整體平均值，且流量的方差在異常流量後的局部範圍內呈現減小的趨勢。因此，可以採用差分方差為測度在接入層檢測異常流量。2算法設計差分方差算法的計算說明：X(i)為i時刻流量實際值，為序列X(i)的期望值，令dx為序列X的差分序列，即對任意i>1，均有d(i)＝X(i)-X(i-1)。dmean=1t-1Σi=2td(i)=1t-1Σi=2t(X(i)-X(i-1))=1t-1Σi=2t(X(2)-X(1)+X(3)-X(2).....X(t)-X(t-1)=1t-1(X(t)-X(1))]]>t→∞,dmean→0為簡便計算dmean看作為0。t時刻的差分方差：dvar(t)=1t-1Σi=2t(d(i)-dmean)2=1t-1Σi=2td(i)2=1t-1Σi=2t(X(i)-X(i-1))2]]>統計量說明：由於對算法實時性的要求，各項統計量均採用遞推方式完成。假設在t時刻，原始流量為C(t)，整體均值(所有i≤t時刻c(i)的均值)為cmean(t)。則cmean(t)=1t((t-1)cmean(t-1)+C(t))]]>t時刻的差分方差：z(t)為t時刻的差分。dvar(t)=11-1((t-2)dvar(t-1)+z(t)2)]]>為了衡量流量大小借鑑模糊數學中的「隸屬函數」概念，u(t)來衡量t時刻流量的大小。u(t)=0(C(t)<lcmean(t))C(t)(h-l)cmean(t)-lh-l(C(t)lcmean(t),hcmean(t)1(C(t)>hcmean(t)]]>其中，lcmean(t)表示流量「大」的下限，當流量小於平均流量的l倍時，流量不大，即流量隸屬於「大」的程度為0，區間[lcmean(t),hcmean(t)]的意義是當流量C(t)屬於這個區間時，認為流量「大」的程度，由函數倍時，流量很大，即流量隸屬於「大」的程度為1。在應用中，參數l和h應該根據實際網絡情況定義，如根據長期網絡流量的採集數據而定。3攻擊判斷根據u(t)的定義，認為當u(t)＝0時沒有攻擊發生，如果t時刻u(t)>0，可能是攻擊的開始，此時啟動攻擊判定過程，以確認攻擊的發生。算法描述如下，有兩個預定義的變量：(1)c代表主機能承受的流量上限，如緩衝區的大小；i表示檢測周期；對檢測周期中的每個時間段t，A(t)代表該時間段的攻擊強度；參數a和s配合決定何時報警。(2)令s為小於ic/C(t)的最大整數。判定過程啟動後，a按下面的規則計算：(3)如果攻擊強度增加(A(t)≥A(t一1))，a自增1，否則自減1；如果a的值達到或超過s，則報警。把小於等於ic/C(t)的最大整數賦值給s，如果發生大流量的脈衝攻擊或閃電擁塞，C(t)會極大(超過ic)，導致s為0，立即報警。(4)當u(t)>0時，流量隸屬於「大」，說明發生了流量突增，可能是攻擊的開始，i增加1。如果it時刻差分方差相對t-1時刻變大或不變，則說明流量波動程度沒有降低，有兩種可能引起流量波動：流量增大時,u(t)≥u(t-1)，攻擊的可能性增大，u(t)取值較大者，即u(t)；流量減小時，u(t)<u(t-1)，攻擊的可能性減小，u(t)取值較小者，也為u(t)；如果差分方差變小，說明流量趨於平穩，攻擊的可能性增大，因此A(t)取值較大者。如果流量不隸屬於「大」，將a賦值為0，程序進入下個檢測周期。(5)當a≥s和A(t)≥A(t一1)同時發生時，說明攻擊的可能性在s個周期內持續增加或保持不變，而且這種可能仍有增加趨勢，所以發出報警；(6)如果a≥s，而A(t)在對某個周期獲取到的數據向量x進行處理後，若這個測量周期發生了網絡異常，則殘差流量x」中的值與未發生網絡異常的測量周期的殘差流量值有所區別。這是因為殘差流量主要是由各種異常行為引起的。通過當前周期計算閾值，在下一個周期中殘差值的變化量大於此閾值是，發出報警。3分步驟描述1、對於t×p維流量矩陣X應用主成分分析方法計算特徵值與特徵向量，使前k個主成分特徵值和達到所有主成分特徵值和的85％2、前k個主成分特徵向量構成正常子空間s，剩餘的p-k個主成分特徵向量則構成異常子空間s』3、將流量矩陣X向這兩個子空間進行投影。正常子空間s中的k個特徵向量組成的矩陣記為P，矩陣各列的平均值組成向量記為x4、設x在正常子空間的投影為模型流量x′＝PPTx設x在異常子空間的投影為殘差流量x″＝(E-PPT)x5、剩餘的p-k個主成分特徵值計算動態閾值Qα=θ1cα(2θ2h02)1/2θ1+1+θ2h0(h0-1)θ121/h0]]>6、殘差值變化量Δd＝(||x″t-1||-||x″t||)7、當Δd2＞Qα時，報警4重要原始碼分析當前第1頁1&nbsp2&nbsp3&nbsp