一种基于相似程度的慢速DoS攻击检测与缓解方法

一种基于相似程度的慢速dos攻击检测与缓解方法
技术领域
1.本发明属于计算机网络安全领域，具体涉及一种基于相似程度的慢速dos攻击检测与缓解方法。


背景技术：

2.软件定义网络(sdn)是一种主要利用软件应用程序实现集中控制网络的体系结构。在sdn中，工程师不必联系网络中的各种交换机，而是从中央控制台调整流量。无论服务器和设备之间的特定连接如何，集中式sdn控制器都会引导交换机在任何需要的地方提供网络服务。尽管sdn具有许多传统网络无法比拟的优势，如节省大量运营成本、增强灵活性和敏捷性、提高网络性能，但它仍然存在传统网络所存在的问题，如可扩展性、可靠性和安全性。
3.慢速拒绝服务(dos)攻击是一种具有周期性和隐蔽性的攻击。这种攻击利用了tcp拥塞控制机制的漏洞，仅使用少量的攻击数据对网络发起周期性攻击。它的平均攻击率通常远低于网络带宽。因此，慢速dos攻击具有很强的隐蔽性，使其检测和缓解成为一个挑战，而sdn也是慢速dos攻击的受害者。由于sdn的集中控制，一旦慢速dos攻击逐渐导致控制器过载和崩溃，整个网络都将受到影响。因此，在sdn中检测和缓解慢速dos攻击具有重要意义和挑战性。
4.本发明针对sdn中所面临的慢速dos攻击安全隐患，提出了一种基于相似程度的慢速dos攻击检测与缓解方法。该方法通过计算每个窗口内聚合流量序列的平均波动长度afl，来实时监控网络流量波动，并使用动态阈值来衡量网络异常。一旦超出阈值，则收集网络流量的六个特征，以检测两种类型(基于tcp和基于udp)的慢速dos攻击。一旦检测到攻击，则测量每个ip的流量序列与聚合流量之间的相似性，计算l1范数、l2范数和l∞范数，创建黑名单，并对可疑程度进行评分。当可疑程度超过预设阈值时，将丢弃来自攻击源的所有数据包，以达到缓解效果。实验证明，该方法能实际部署在sdn控制器中，在检测和缓解慢速dos攻击方面具有良好的性能，检测准确率较高，整体响应时间较快。因此该方法可普适于检测与缓解sdn中的慢速dos攻击。


技术实现要素：

5.针对sdn中所面临的慢速dos攻击安全隐患，提出了一种基于相似程度的慢速dos攻击检测与缓解方法。该方法能够实际部署在控制器上，检测准确率高，且误报率和漏报率低，并能有效缓解慢速dos攻击。因此该检测方法可普适于检测与缓解sdn中的慢速dos攻击。
6.本发明为实现上述目标所采用的技术方案为：一种基于相似程度的慢速dos攻击检测与缓解方法主要包括三个步骤：网络状态监测、攻击检测判定、攻击缓解实施。
7.1.网络状态监测。利用软件定义网络的控制器进行数据采集，实时采集网络聚合流量，监控每个窗口内聚合流量的平均波动长度afl，并使用动态阈值th来判断网络是否异
常，afl和th的计算方式如下：thi＝β1*th
i-4
+β2*th
i-3
+β3*th
i-2
+β4*th
i-1
+β5*afli其中，t为聚合流量序列，n为序列大小，β
1-β5为权重因子，逐渐递增，且相加等于1，th
i-4-th
i-1
为过去四个窗口内的阈值，afli为现窗口内的afl。
8.2.攻击检测判定。实时采集流量序列数据，包含聚合流量数据、tcp流量数据和udp流量数据；实时统计每个窗口内流量序列的六个特征，包括聚合流量的峰群相似系数、平均流速、平均波动长度，tcp流量的内罗梅指数和平均包大小，以及udp流量的包数的renyi熵；最后将特征输入训练好的机器学习分类器，输出检测结果；其中峰群相似系数的计算需要统计每个窗口内峰的个数，计算每个峰的峰高、峰相似性和峰面积，计算每个窗口的峰高相似系数phsc、峰对称性相似系数pssc和峰面积相似系数pasc，最终计算psc；phsc、pssc、pasc和psc的计算方式如下：pasc和psc的计算方式如下：pasc和psc的计算方式如下：psc＝α*phsc+β*pssc+(1-α-β)*pasc其中，phi、psi、pai分别为一个窗口内第i个峰的峰高、峰对称性和峰面积，分别为一个窗口内所有峰的峰高、峰对称性和峰面积的平均值，n为峰的个数，m为计算步长，其值为2；α和β是平衡因子，充分考虑峰高、峰对称性和峰面积三者对峰相似性的影响。
9.3.攻击缓解实施。实时采集每个ip的流量序列和聚合流量序列，计算每条流量序列与聚合流量序列的l1范数、l2范数和l∞范数，衡量单条流量序列与聚合流量序列的相似性，然后对ip的可疑程度打分，若三个范数中有两个范数是最小的，则给该ip加0.5分，若三个范数全部是最小的，则给该ip加1分，并将该ip及其可疑得分加入黑名单，如黑名单中该ip已经存在，则累计可疑得分；当一个ip的可疑得分大于预定义的阈值时，则认定该ip为攻击源，控制器下发流规则对该攻击源进行阻断，并将该ip从黑名单中移除。有益效果
10.该sdn中的慢速dos攻击能够充分兼容sdn环境和openflow协议，并能够实际部署在sdn控制器上，且检测准确率高，误报率和漏报率低，并能有效缓解慢速dos攻击。因此该方法可普适于检测与缓解sdn中的慢速dos攻击。
附图说明
11.图1为慢速dos攻击示意图。该攻击模型包含三个参数：攻击周期(at)、攻击长度
(al)和攻击速率(ar)。at即每个突发脉冲的间隔。每个周期内通常只有一个突发脉冲，在其他时刻攻击保持静默。al即每个突发脉冲的持续时间。攻击长度不宜过长，否则其隐蔽性会严重损失。攻击长度也不宜过短，否则会难以触发tcp拥塞控制机制，导致攻击失效。ar即每次发送的突发脉冲的速率。al*ar代表攻击的强度，攻击的强度越大，攻击效果越显著，但隐蔽性也会有所损失。
12.图2为峰群示意图。其中，序列bac、ghf、fij、jmk可以看作四个峰，以序列bac为例，峰高为图中点a到点b的垂直高度ph，峰对称性由de/ec计算，峰面积为三角形abc的面积。
13.图3为正常网络和受到慢速dos攻击网络下六个特征的对比示意图，包括聚合流量的峰群相似系数、平均流速、平均波动长度，tcp流量的内罗梅指数和平均包大小，以及udp流量的包数的renyi熵。如图所示，正常网络可以通过这六个特征值与两种类型的慢速dos攻击区分。
14.图4为一种基于相似程度的慢速dos攻击检测与缓解方法的流程图。
具体实施方式
15.下面结合附图对本发明进一步说明。
16.如图4所示，该慢速dos攻击检测与缓解方法主要包括三个步骤：网络状态监控、攻击检测判定和攻击缓解实施。
17.1.网络状态监控。本方法基于sdn控制器ryu和网络模拟器mininet，利用软件定义网络的控制器进行数据采集，实时采集网络聚合流量。
18.由于不同网络环境的配置不同，我们在计算afl之前，使用最小最大归一化(min-max scaling)方法将原始序列数据映射到[0,1]，以实现原始数据的等比例缩放，消除差异性对特征反映序列波动趋势的准确性的负面影响，其计算方式如下：
[0019]
其中，t
mms
为经过归一化处理后的序列数据，t为原始流量序列。
[0020]
使用滑动窗口来建立检测窗口，滑动窗口通过每次向后滑动1个采样间隔，使其包含最近10个采样间隔的聚合流量数据。计算每个窗口内聚合流量的平均波动长度afl，其计算方式如下：
[0021]
其中，t为聚合流量序列，n为序列大小。
[0022]
计算平均波动长度后，计算动态阈值，即：thi＝β1*th
i-4
+β2*th
i-3
+β3*th
i-2
+β4*th
i-1
+β5*afli[0023]
其中，β
1-β5为权重因子，逐渐递增，且相加等于1，th
i-4-th
i-1
为过去四个窗口内的阈值，afli为现窗口内的afl。
[0024]
若现窗口的afl值超过了此时动态阈值，则进行攻击检测判定的步骤。
[0025]
2.攻击检测判定。攻击检测的判定包括以下三个步骤：
[0026]
a.实时采集流量序列数据，包含聚合流量数据、tcp流量数据和udp流量数据；
[0027]
b.实时统计每个窗口内流量序列的六个特征，包括聚合流量的峰群相似系数、平均流速、平均波动长度，tcp流量的内罗梅指数和平均包大小，以及udp流量的包数的renyi熵，图3展示了正常网络和受到慢速dos攻击网络下六个特征的对比示意图，具体如下：
[0028]
峰群相似系数(psc)：表示每个窗口内所有峰的相似程度。其计算方式具体包含以下四个步骤：
[0029]
a.计算一个窗口内峰的个数。如图2所示，峰为三个连续采样点内的流量序列，呈峰状。以序列bac为例，a为峰尖，b和c为峰底，并将a、b、c三点的高度称为ha、hb、hc，若ha》hb，ha》hc，且ha-min(hb,hc)》bd*10％(bandwidth为带宽)，则称该序列为一个峰；
[0030]
b.计算每个峰的峰高、峰对称性和峰面积；峰高为峰尖到较小的峰底的垂直距离，峰对称性为序列ba与bc关于点b的对称性，峰面积为三角形abc的面积；
[0031]
c.计算一个窗口内所有峰的峰高相似系数phsc，峰对称性相似系数pssc和峰面积相似系数pasc，其计算方式如下：相似系数pasc，其计算方式如下：相似系数pasc，其计算方式如下：
[0032]
其中，phi、psi、pai分别为一个窗口内第i个峰的峰高、峰对称性和峰面积，分别为一个窗口内第i个峰的峰高、峰对称性和峰面积，分别为一个窗口内所有峰的峰高、峰对称性和峰面积的平均值，n为峰的个数，m为计算步长，其值为2；
[0033]
d.计算一个窗口内的峰群相似系数psc，其计算方式如下：psc＝α*phsc+β*pssc+(1-α-β)*pasc
[0034]
其中，α和β是平衡因子，充分考虑峰高、峰对称性和峰面积三者对峰相似性的影响。
[0035]
平均流速(ats)：聚合流量速率的平均值。慢速dos攻击会导致聚合流量的剧烈波动。因此，攻击下的聚合流量速度的平均值将低于正常状态下的平均值。
[0036]
平均波动长度(afl)：聚合流量的平均波动长度。已在步骤1中讨论，在此不赘述。
[0037]
内罗梅指数(ni)：一个考虑tcp流量的平均值和最大值的指数。在基于udp的慢速dos攻击下，tcp流量将逐渐降低到非常低的水平，而在基于tcp的慢速dos攻击下，tcp流量将剧烈波动。因此，与正常状态下相比，在攻击下tcp流量的分布是不同的。因此，我们可以使用tcp流量的ni来区分攻击状态和正常状态。其计算如下：
[0038]
其中，为tcp流量的均值，max(t
tcp
)为tcp流量的最大值。
[0039]
平均包大小(aps)：tcp流量的平均数据包大小。在两种类型的慢速dos攻击下，tcp流量的平均速度和包数都会降低。因此，tcp流量的aps也是一个有效的特性。其计算方式如下：
[0040]
renyi熵(re)：udp数据包的有序程度。攻击会导致序列变得无序，因此使用renyi熵作为一个特征。其计算方式如下：
[0041]
其中，α设置为2，p为udp数据包数序列。
[0042]
c.将以上六个特征输入训练好的机器学习分类器，输出检测结果，若检测为攻击，则进行攻击缓解实施的步骤。
[0043]
3.攻击缓解实施。攻击缓解的实施包括以下三个步骤：
[0044]
a.实时采集每个ip的流量序列和聚合流量序列，计算每条流量序列与聚合流量序列的l1范数、l2范数和l∞范数，衡量单条流量序列与聚合流量序列的相似性。其计算方式如下：
[0045]
其中，n和n设置为1、2、∞即可得到l1范数、l2范数和l∞范数，m为序列长度，k代表为序列中的第k个数据。
[0046]
b.对每个ip的可疑程度打分，若三个范数中有两个范数是最小的，则给该ip加0.5分，若三个范数全部是最小的，则给该ip加1分，并将该ip及其可疑得分加入黑名单，如黑名单中该ip已经存在，则累计可疑得分。
[0047]
当一个ip的可疑得分大于预定义的阈值时，则认定该ip为攻击源，控制器下发流规则对该攻击源进行阻断，并将该ip从黑名单中移除。

技术特征：
1.一种基于相似程度的慢速dos攻击检测与缓解方法，所述方法包括以下几个步骤：步骤1、网络状态监测：利用软件定义网络的控制器进行数据采集，实时采集网络聚合流量，监控每个窗口内聚合流量的平均波动长度afl，并将其归一化，然后使用动态阈值th来判断网络是否异常；步骤2、攻击检测判定：攻击检测的判定包括以下三个步骤：步骤2.1、实时采集流量序列数据，包含聚合流量数据、tcp流量数据和udp流量数据；步骤2.2、实时统计每个窗口内流量序列的六个特征，包括聚合流量的峰群相似系数、平均流速和平均波动长度，tcp流量的内罗梅指数和平均包大小，以及udp流量的包数的renyi熵；步骤2.3、将特征输入训练好的机器学习分类器，输出检测结果；步骤3、攻击缓解实施：攻击缓解的实施包括以下三个步骤：步骤3.1、实时采集每个ip的流量序列和聚合流量序列，计算每条流量序列与聚合流量序列的l1范数、l2范数和l∞范数，衡量单条流量序列与聚合流量序列的相似性；步骤3.2、对每个ip的可疑程度打分，若三个范数中有两个范数是最小的，则给该ip加0.5分，若三个范数全部是最小的，则给该ip加1分，并将该ip及其可疑得分加入黑名单，如黑名单中该ip已经存在，则累计可疑得分；步骤3.3、当一个ip的可疑得分大于预定义的阈值时，则认定该ip为攻击源，控制器下发流规则对该攻击源进行阻断，并将该ip从黑名单中移除。2.根据权利要求1中所述的慢速dos攻击检测与缓解方法，其特征在于，步骤1中的窗口为滑动窗口，滑动窗口通过每次向后滑动1个采样间隔，使其包含最近10个采样间隔的聚合流量数据，为了适应各种网络配置，在计算平均波动长度前，使用最大-最小归一化方法将流量序列归一化，最大-最小归一化max-min scaling、平均波动长度afl与动态阈值th的计算方式如下：算方式如下：th
i
＝β1*th
i-4
+β2*th
i-3
+β3*th
i-2
+β4*th
i-1
+β5*afl
i
其中，t
mms
为经过归一化后的序列，t为聚合流量序列，n为序列大小，β
1-β5为权重因子，逐渐递增，且相加等于1，th
i-4-th
i-1
为过去四个窗口内的阈值，afl
i
为现窗口内的afl。3.根据权利要求1中所述的慢速dos攻击检测与缓解方法，其特征在于，步骤2.2中的峰群相似系数psc的计算，包括四个步骤：步骤a、计算一个窗口内峰的个数，峰为三个连续采样点a、b、c内的流量序列，呈峰状，a为峰尖，b和c为峰底，并将a、b、c三点的高度称为ha、hb、hc，若ha>hb，ha>hc，且ha-min(hb,hc)>bd*10％，bd为带宽，则称该序列为一个峰；步骤b、计算每个峰的峰高、峰对称性和峰面积；峰高为峰尖到较小的峰底的垂直距离，峰对称性为序列ba与bc关于点b的对称性，峰面积为三角形abc的面积；步骤c、计算一个窗口内所有峰的峰高相似系数phsc，峰对称性相似系数pssc和峰面积
相似系数pasc，其计算方式如下：相似系数pasc，其计算方式如下：相似系数pasc，其计算方式如下：其中，ph
i
、ps
i
、pa
i
分别为一个窗口内第i个峰的峰高、峰对称性和峰面积，分别为一个窗口内第i个峰的峰高、峰对称性和峰面积，分别为一个窗口内所有峰的峰高、峰对称性和峰面积的平均值，n为峰的个数，m为计算步长，其值为2；步骤d、计算一个窗口内的峰群相似系数psc，其计算方式如下：psc＝α*phsc+β*pssc+(1-α-β)*pasc其中，α和β是平衡因子，充分考虑峰高、峰对称性和峰面积三者对峰相似性的影响。4.根据权利要求1中所述的慢速流dos攻击检测与缓解方法，其特征在于，步骤3.1中，l1范数、l2范数和l∞范数的计算方式如下：其中，n和n设置为1、2、∞，即可得到l1范数、l2范数和l∞范数，m为序列长度，k代表为序列中的第k个数据。

技术总结
本发明公开了一种基于相似程度的慢速DoS攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：该方法通过控制器采集聚合流量数据，结合动态阈值判断网络状态是否异常；若网络状态异常，则收集流量的六个特征，将其输入机器学习分类器，从而判断是否发生慢速DoS攻击；若发生了攻击，则实时计算每条流量序列与聚合流量序列的三个范数，并对每个IP的可疑程度打分，若某个IP的可疑得分超过了预设阈值，则判定其为攻击源，予以阻断。该方法能够实际部署在SDN控制器上，实现对慢速DoS攻击的实时检测与缓解，检测准确率较高，且误报率和漏报率低，因此该方法可普适于检测与缓解SDN中的慢速DoS攻击。的慢速DoS攻击。的慢速DoS攻击。


技术研发人员：汤澹 王小彩 高辰郡 秦拯 曹泓波 陶然
受保护的技术使用者：湖南大学
技术研发日：2023.06.01
技术公布日：2023/8/9