SDN环境下的LDoS攻击检测与防御技术
1. 引言
tcp的拥塞控制:
参考博客1
参考博客2
针对TCP的拥塞控制的LDoS攻击介绍:
主要利用 了TCP 拥塞控制算法中的超时重传和加增减乘两种自适应机制,利用具有 周期性短时高速脉冲特点的攻击流量造成正常TCP 流量的周期性丢包,制造不同程度的网络拥塞状况, 从而不断触发TCP的超时重传和加增减乘两种自适 应机制,使得正常TCP发送端的拥塞控制窗口一直 处于很小的状态。
2. 流量信息采集
SDN网络中,控制器通过周期性轮询获取交换机统计信息,利用统计信息计算出每个流或每个端口的实时速率等信息。
例如利用统计信息计算单条流的速率信息:
bn 为第 n 次轮询时flow_stats_reply消息中byte_ count字段的值,表示到目前为止,该条流表已经处理过的字节数, tn 为第 n 次轮询时,根据 flow_stats_ reply消息中Duration_sec和Duration_nsec字段的值 计算出的时间,代表当前流表已经存在的时间。
LDOS持续时间短,如果保持高轮询频率压力大,所以提出基于端口流量异常的自适应轮询机制
当检测到端口流量异常,加快轮询频率。
LDOS是短时高速脉冲,发生攻击时,瓶颈链路上的交换机或者路由器的端口流量会出现流入和流出不平衡现象
正常情况下,△p很小,如果收到攻击,△p的值会瞬间增大,根据△p的值可以调整自适应轮询机制。
3. 双滑动窗口攻击检测过程
利用SDN网络可以对单条流进行统计的优势, 将混合流分解成多个单条流进行分析,从而将攻击 流与正常流区分开。这样,LDoS攻击的检测问题就 变为周期性脉冲流量的检测问题。双滑动窗口检测法主要用于 突发信号检测。
设计两个相邻的长度都为L的 窗口,假设两个窗口分别为 A 和 B ,当两个窗口在接 收到的信号上进行滑动时,落入到两个窗口内的信号 能量分别为 EA 和 EB .
当两个窗口内都只包含白噪 声时,两个窗口能量的比值 m(n)接近于1。当突发信 号进入窗口 B 时,m(n)的值随之增大,当突发信号正好完全进入窗口 B 中时,m(n) 的值达到最大值 Max 。
4. 双滑动窗口检测攻击脉冲
在两个 窗口内对采样值进行平滑处理,减小单个突发采样 点对判决结果的影响,只有连续多个高速率的采样 值才会被判定为攻击脉冲流量
1 设定参数。设定采样时间为 t,滑动窗 口 A 和滑动窗口 B 的长度皆为 N,若采样的时间间隔为 τ, L 为攻击脉冲的长度,则滑动窗口的长度 N 可以设定 为 L/τ 。
2 对每条流的速率进行单独采样,利用如下公式计 算每条流的速率。
- 窗口随着采样值的不断增加而滑动,当 n≥ 2N 时,分别计算两个滑动窗口内所有采样值的和,计算采样和比值,若 Ai(n)为0,为了保证 mi(n) 存在,令 mi(n)=Bi(n)。
4 若 mi(n)>mi(n-1),则说明此时还有较大的采 样值进入窗口 B,此时继续滑动窗口。若 mi(n)≤ mi(n-1),则此时的 mi(n-1)即为的 Max 值, 接下来对 mi(n-1)进行判断。
5 若 mi(n-1)大于设定的阈值 λ,则此时有连 续多个较大的采样值出现,即可认为此时出现一个 异常脉冲。
6 若在设定的采样时间 t 内,异常脉冲的数量 超过设定的阈值 k,则可判定该条流 i 为攻击流
检测过程如下图:
参考文献
[1]颜通,白志华,高镇,等.SDN环境下的LDoS攻击检测与防御技术[J].计算机科学与探索,2020(4):566-577.