技术特征:
1.一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,包括以下步骤:(1)软件定义网络中的控制器实时监听统计各交换机端口所占用的流表信息,包括每一条流规则的加入、删除、以及超时事件等;对交换机每个端口接收到的流量的流表占用情况进行及时更新;统计网络中各个流因table
‑
miss而触发packet
‑
in报文的次数。(2)根据步骤(1)中统计的每个端口流表占用情况,计算得出每个端口占用流规则数量的偏移度d,每当产生流规则超时事件、流表溢出事件、新规则添加事件时,更新基础信息,重新计算d,并对每个端口的偏移度进行排序。(3)当流表容量被用尽时,取出偏移度的排序结果,判断是否有端口的偏移度大于判断阈值。如果是,则说明攻击流量集中于特定的端口,整个交换机面对攻击流量的压力适中。此时对与之对应的端口流量进行流规则删除,使之所占据的流规则数量减少到平均端口流规则占用数量。(4)对于步骤(3)中的判断结果,如果没有端口的偏移度超出判断阈值,说明交换机多数端口面临较大的流量压力,此时对于偏移度大于等于0的端口进行流规则的删除,使这些端口每个占据的流规则数量等同于端口平均流规则占用数量。2.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,步骤(2)中,计算偏移度d具体为:对每个端口p
i
,统计从该端口接收到的流所占用的流规则的数量f
pi
,计算交换机平均每端口占用流规则数量f
ave
:依据f
ave
计算出每个端口流规则占用数量的的偏移度d
pi
:。3.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,当步骤(3)(4)中判断端口偏移度是否超出阈值时:。4.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,步骤(3)和(4)中,在对超负荷的流表删除流规则时,选择端口偏移大于等于1的端口进行对应流规则的删除,若不存在端口偏移度大于阈值的端口,则对所有偏移度大于0的端口进行流规则的删除。在具体的端口删除流规则时,根据步骤(1)中统计的每条流所触发的packet
‑
in报文次数,优先删除触发packet
‑
in次数最少的流对应的流规则。5.根据权利要求1所述基于端口相似性的双阶段软件定义网络流表溢出防御方法,其特征在于,每个端口的偏移度从大到小排序。
技术总结
本发明公开了一种基于端口相似性的双阶段软件定义网络流表溢出防御方法,属于网络安全技术领域。该关联方法利用交换机端口的相似性判断流表溢出攻击,并依据流量拥塞程度采取双阶段的方式过滤恶意流规则,控制流表容量。本发明首先将流表溢出攻击检测的问题建模为交换机端口相似性判断的问题。处于同一隔离域的交换机端口连接同种类型的网络设备,因此各个端口在网络流量、流规则数量上处于同一量级。通过计算每个端口占据流表容量的偏移度来判断攻击的发生。之后基于攻击的严重程度,分阶段地限制可疑流规则数量、过滤删除恶意流规则。与已有的防御相比,本关联方法可以防御更隐蔽的溢出攻击,实现更有效的防御。实现更有效的防御。实现更有效的防御。
技术研发人员:吴春明 孔德章 吴坚平 程秋美 沈毅
受保护的技术使用者:浙江大学
技术研发日:2021.08.31
技术公布日:2021/12/21