一種SDN網(wǎng)絡(luò)DDoS和DLDoS分布式時(shí)空檢測(cè)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域�,更具體地,設(shè)及一種SDN網(wǎng)絡(luò)孤OS和DLDoS分布 式時(shí)空檢測(cè)系統(tǒng)�。
【背景技術(shù)】
[0002] 傳統(tǒng)的孤OS和DLDoS在新興的SDN網(wǎng)絡(luò)下,也出現(xiàn)了新的攻擊方式:
[0003] (1)針對(duì)SDN控制器的孤oS���。SDN交換機(jī)對(duì)于無(wú)法在流表中找到匹配項(xiàng)的數(shù)據(jù)包����, 會(huì)形成包含運(yùn)些數(shù)據(jù)包的packet-in信息到SDN控制器����。攻擊者通過(guò)對(duì)多個(gè)交換機(jī)持續(xù)不 斷地發(fā)送精屯、設(shè)計(jì)的數(shù)據(jù)包�����,如數(shù)據(jù)包的源IP地址����、目的IP地址�����、源端口、目的端口隨機(jī) 生成�����,造成交換機(jī)收到大量無(wú)法在流表匹配的數(shù)據(jù)包��。多個(gè)交換機(jī)同時(shí)向單個(gè)控制器發(fā)送 packet-in信息�,容易導(dǎo)致控制器或控制器的對(duì)外鏈路過(guò)載,導(dǎo)致控制器無(wú)法響應(yīng)正常數(shù)據(jù) 包的packet-in消息�����。
[0004] (2)針對(duì)SDN交換機(jī)的DLDoS���。SDN里�����,每個(gè)數(shù)據(jù)包都屬于一個(gè)流(flow)��,每個(gè)流 的組成/粒度可粗可細(xì)����,如IPA到IPB可W使一個(gè)流,IPA的TCP到IPB的TCP可W是 一個(gè)流�����。對(duì)于某個(gè)流���,SDN交換機(jī)在流表里有一個(gè)流表項(xiàng)與之對(duì)應(yīng)���,用于告訴交換機(jī)對(duì)運(yùn)個(gè) 流的數(shù)據(jù)包如何轉(zhuǎn)發(fā)/處理。SDN交換機(jī)對(duì)于無(wú)法在流表中找到匹配項(xiàng)的數(shù)據(jù)包����,會(huì)形成包 含運(yùn)些數(shù)據(jù)包的packet-in信息到SDN控制器,依據(jù)返回的流信息�,在流表中插入新的流表 項(xiàng),用W轉(zhuǎn)發(fā)運(yùn)個(gè)數(shù)據(jù)包及運(yùn)個(gè)流的后續(xù)數(shù)據(jù)包�����。當(dāng)多個(gè)攻擊者對(duì)一臺(tái)SDN交換機(jī)發(fā)送精 屯�����、設(shè)計(jì)的數(shù)據(jù)包,如數(shù)據(jù)包的源IP地址�����、目的IP地址��、源端口����、目的端口隨機(jī)生成��,造成交 換機(jī)收到大量無(wú)法在流表匹配的數(shù)據(jù)包����,之后交換機(jī)會(huì)依據(jù)返回的信息建立大量的新流表 項(xiàng)。流表項(xiàng)需要在一定時(shí)間之后才會(huì)過(guò)期��,而交換機(jī)的流表大小有限��,在運(yùn)段時(shí)間內(nèi)���,交換 機(jī)的流表被大量無(wú)用的項(xiàng)占據(jù)���,正常網(wǎng)絡(luò)流無(wú)法建立或只有部分能新流表項(xiàng),從而流經(jīng)交 換機(jī)的網(wǎng)絡(luò)通信被阻塞���。
[00化]DDoS中的攻擊針對(duì)的是SDN控制器�����,控制器一般是性能較好的服務(wù)器�,攻擊需要 持續(xù)不斷的進(jìn)行,達(dá)到的效果是控制器無(wú)法響應(yīng)正常的packet-in消息�,類似DDoS攻倒服 務(wù)器的效果。DLDoS中的攻擊針對(duì)的是SDN交換機(jī)�����,達(dá)到的效果是交換機(jī)無(wú)法為正常流建立 新流表項(xiàng)�����。由于流表項(xiàng)有過(guò)期時(shí)間����,攻擊只需周期性進(jìn)行,相較于DDoS,DLDoS在時(shí)間平均 數(shù)是低速率的����,運(yùn)類似于DLDoS攻倒使用TCP的服務(wù)器的效果。
[0006] 針對(duì)孤oS、DLDoS�,傳統(tǒng)的檢測(cè)方法效果不佳。孤OS和DLDoS在傳統(tǒng)網(wǎng)絡(luò)中為多個(gè) 攻擊源針對(duì)單個(gè)受害端的協(xié)同攻擊�,網(wǎng)絡(luò)中出現(xiàn)大量目的IP相同、端口相同或協(xié)議相同的 數(shù)據(jù)包�����,傳統(tǒng)的檢測(cè)方法大多利用運(yùn)些特征進(jìn)行檢測(cè)����。但DDoS��、DLDoS隨機(jī)偽造數(shù)據(jù)包字段 的數(shù)值�,不會(huì)出現(xiàn)上述特征,在傳統(tǒng)檢測(cè)方法看來(lái)��,孤〇S�、DLDoS更類似于突發(fā)的正常的大流 量。因此針對(duì)SDN下的新型DDoS和DLDoS,需要采用新的檢測(cè)指標(biāo)和檢測(cè)方法���,才能更有效 發(fā)現(xiàn)攻擊�。同時(shí)�,分布式協(xié)同攻擊具有范圍廣、隱蔽性強(qiáng)、同步性差的特征�����。W往的單點(diǎn)IDS 觀測(cè)的流量有限����,很難從中檢測(cè)到分散、隱蔽的攻擊流量��。因此��,需要分布式數(shù)據(jù)采集的方 法來(lái)獲得更多數(shù)據(jù)����,從全局視覺(jué)來(lái)檢測(cè)隱蔽攻擊,提高檢測(cè)率�����。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明為解決W上現(xiàn)有技術(shù)的缺陷���,提供了一種SDN網(wǎng)絡(luò)DDoS和DLDoS分布式時(shí) 空檢測(cè)系統(tǒng)���,該系統(tǒng)針對(duì)DDoS�����、DLDoS的特征����,采用適合于SDN網(wǎng)絡(luò)的網(wǎng)絡(luò)特性指標(biāo)���,從網(wǎng)絡(luò) 流量空間域和時(shí)間域來(lái)檢測(cè)����、辨別DDoS��、DLDoS,運(yùn)用分布式的虛擬Ar^N覆蓋網(wǎng)實(shí)現(xiàn)異常檢 測(cè)時(shí)的全局視覺(jué)�����,并避免單點(diǎn)失效��。
[000引為實(shí)現(xiàn)W上發(fā)明目的����,采用的技術(shù)方案是:
[0009] 一種SDN網(wǎng)絡(luò)孤OS和DLDoS分布式時(shí)空檢測(cè)系統(tǒng)��,包括設(shè)置在各個(gè)SDN交換機(jī)內(nèi) 部的檢測(cè)節(jié)點(diǎn),其中檢測(cè)節(jié)點(diǎn)包括數(shù)據(jù)采集模塊�、時(shí)空異常檢測(cè)模塊和輸出模塊;
[0010] 其中數(shù)據(jù)采集模塊用于采集經(jīng)過(guò)SDN交換機(jī)的網(wǎng)絡(luò)流量�;
[0011] 時(shí)空異常檢測(cè)模塊用于對(duì)數(shù)據(jù)采集模塊采集的網(wǎng)絡(luò)流量在空間域上進(jìn)行檢測(cè),確 定是否存在可疑流量�����,并基于空間域的檢測(cè)結(jié)果�����,再?gòu)臅r(shí)間域上確認(rèn)是否存在著DDoS或 DLDoS;
[0012] 輸出模塊用于將檢測(cè)結(jié)果按照既定格式進(jìn)行數(shù)據(jù)及存儲(chǔ)�����。
[0013] 優(yōu)選地����,所述時(shí)空異常檢測(cè)模塊由兩個(gè)級(jí)聯(lián)的Ar^N構(gòu)成,其中第一級(jí)Ar^N用于從空 間域?qū)W(wǎng)絡(luò)流量進(jìn)行檢測(cè)��,確定是否存在著可疑攻擊�;第二級(jí)ANN基于第一級(jí)ANN的檢測(cè)結(jié) 果,從時(shí)間域?qū)W(wǎng)絡(luò)流量進(jìn)行檢測(cè)����,并根據(jù)檢測(cè)結(jié)果確認(rèn)是否存在著DDoS或DLDoS���。ANN是 一張覆蓋在物理網(wǎng)絡(luò)之上的虛擬MN網(wǎng)絡(luò)。網(wǎng)絡(luò)中每臺(tái)SDN交換機(jī)提供少量部分的計(jì)算和 存儲(chǔ)能力���,虛擬出一個(gè)或多個(gè)神經(jīng)元���,不同交換機(jī)間的神經(jīng)元通過(guò)在物理鏈路上建立虛擬 連接,在虛擬連接間傳遞Ar^N的內(nèi)部信息����,W此形成虛擬神經(jīng)網(wǎng)絡(luò)。
[0014] 優(yōu)選地���,所述第一級(jí)Ar^N和第二級(jí)Ar^N均包括有一個(gè)輸入層、一個(gè)或多個(gè)隱藏層和 一個(gè)輸出層��,第一級(jí)Ar^N和第二級(jí)Ar^N之間�、輸入層、隱藏層和輸出層=者兩兩之間�����、同級(jí)的 隱藏層與相鄰隱藏層之間通過(guò)通信模塊進(jìn)行信息的傳遞,其中輸入層的神經(jīng)元用于接收輸 入并對(duì)輸入的數(shù)據(jù)進(jìn)行預(yù)處理����,隱藏層的神經(jīng)元用于接收輸入層或上一層隱藏層的神經(jīng)元 傳輸來(lái)的數(shù)據(jù)后對(duì)數(shù)據(jù)進(jìn)行數(shù)學(xué)運(yùn)算,并將結(jié)果輸送到下一個(gè)隱藏層或輸出層的神經(jīng)元���; 輸出層用于對(duì)接收到的數(shù)據(jù)進(jìn)行處理��,并輸出該級(jí)Ar^N的最終結(jié)果���。
[0015] 優(yōu)選地,第二級(jí)AAN的輸入層接收第一級(jí)AAN輸出層輸出的數(shù)據(jù)后����,采用自相關(guān)函 數(shù)對(duì)接收的數(shù)據(jù)進(jìn)行預(yù)處理。
[0016] 優(yōu)選地����,所述自相關(guān)函數(shù)表示如下:
[001引Ru(Hi)表示自相關(guān)函數(shù)的值,XX為進(jìn)行相關(guān)運(yùn)算的兩序列的標(biāo)號(hào)�����,N為檢測(cè)時(shí)時(shí)間 序列的長(zhǎng)度��,m為運(yùn)算的兩列序列錯(cuò)開的時(shí)間間隔,x(n)表示某個(gè)時(shí)間段內(nèi)第一級(jí)ANN的輸 出���,X(n+m)表示與X(n)時(shí)間間隔為m的某個(gè)時(shí)間段內(nèi)第一級(jí)ANN的輸出��,X(n+m)��、X(n)的 取值為0~1����。數(shù)值越大���,表示對(duì)應(yīng)時(shí)段越可能存在攻擊流量����。對(duì)于不同的流量和攻擊����,自 相關(guān)函數(shù)值有不同的特性:
[0019] (1)正常平緩的網(wǎng)絡(luò)流量,x(n)為0,對(duì)于所有m值�����,自相關(guān)函數(shù)值為0����。
[0020] 似正常的突發(fā)流量具有隨機(jī)性,多余多個(gè)m值��,其自相關(guān)函數(shù)值較小����。
[0021] (3)DDoS攻擊具有持續(xù)性,對(duì)于多個(gè)m值����,其自相關(guān)函數(shù)值較大。
[0022] (4)DLDoS攻擊具有周期性���,對(duì)于某些特定m值��,其自相關(guān)函數(shù)較大����。
[0023] 每個(gè)輸入層神經(jīng)元采用一個(gè)不同的m值��,從而�����,運(yùn)一級(jí)MN能從時(shí)間域?qū)W(wǎng)絡(luò)流量 進(jìn)行檢測(cè),W更好地辨別攻擊是否為存在及攻擊類型���。
[0024] 優(yōu)選地���,所述通信模塊內(nèi)包含有Ar^N的拓?fù)湫畔ⅲ負(fù)湫畔⒋鎯?chǔ)在通信模塊內(nèi)部 的神經(jīng)網(wǎng)絡(luò)轉(zhuǎn)發(fā)表中����。收到神經(jīng)元發(fā)來(lái)的信息時(shí),通信模塊判斷目的神經(jīng)元是否為本機(jī)的 神經(jīng)元�,是則調(diào)用對(duì)應(yīng)神經(jīng)元來(lái)處理信息,否則根據(jù)神經(jīng)網(wǎng)絡(luò)轉(zhuǎn)發(fā)表將信息轉(zhuǎn)發(fā)到其他交 換機(jī)上���。發(fā)送神經(jīng)元信息時(shí)�,通信模塊對(duì)信息進(jìn)行封裝���,根據(jù)神經(jīng)網(wǎng)絡(luò)轉(zhuǎn)發(fā)表將信息發(fā)送出 去���。
[00巧]優(yōu)選地,所述神經(jīng)網(wǎng)絡(luò)轉(zhuǎn)發(fā)表包含有若干個(gè)條目����,每個(gè)條目由目的端交換機(jī)的DPID和本機(jī)的端口POd組成,具體表示為化PIP:port}���。SDN控制器具有整個(gè)網(wǎng)絡(luò)的拓?fù)?信息���,SDN控制器協(xié)助構(gòu)建虛擬ANN,具有MN的拓?fù)湫畔?��。SDN控制器形成神經(jīng)網(wǎng)絡(luò)轉(zhuǎn)發(fā) 表并下發(fā)到交換機(jī)的通信模塊上���。
[00%