式檢測與響應(yīng)系統(tǒng)��,其特征是����,包括: 控制器����,所述控制器與若干交換機連接,每個交換機均與若干主機連接����,所述交換機也 與其他交換機連接,所述控制器用于網(wǎng)絡(luò)拓撲管理����,制定數(shù)據(jù)轉(zhuǎn)發(fā)策略�,下發(fā)至交換機�����;所 述交換機用于數(shù)據(jù)轉(zhuǎn)發(fā)�;所述交換機包括邊界交換機和/或非邊界交換機;所述邊界交換 機運行攻擊檢測算法和攻擊響應(yīng)算法��,實現(xiàn)攻擊檢測與攻擊響應(yīng)�����;所述主機為用戶電腦�����,對 應(yīng)某IP地址����,由邊界交換機對主機進行控制。
2. 如權(quán)利要求1所述的基于信息熵的DDoS攻擊分布式檢測與響應(yīng)系統(tǒng)�����,其特征是,所 述邊界交換機為OpenFlow邊界交換機�。
3. 基于信息熵的DDoS攻擊分布式檢測與響應(yīng)方法,其特征是�,包括以下步驟: 步驟(1):本邊界交換機對到達的數(shù)據(jù)分組,進行分組頭解析�,匹配流表����,判定是否有 匹配流表項;如果有就進入步驟(3)���,否則進入步驟(2); 步驟(2):本邊界交換機對無法匹配的數(shù)據(jù)分組���,提取數(shù)據(jù)分組的特征,封裝��、發(fā)送至 控制器����;當控制器分析處理后下發(fā)流表規(guī)則到與傳輸相關(guān)的若干個邊界交換機上,并對通 信的雙方建立雙向流表項�;返回步驟(1); 步驟(3):在對匹配的數(shù)據(jù)報文進行操作之前,將該匹配的流表項中"接收數(shù)據(jù)分組數(shù) 目"計數(shù)器完成加1操作���;在每個單位監(jiān)測時間間隔△t后����,統(tǒng)一將流表項中"接收數(shù)據(jù)分 組數(shù)目"計數(shù)器的數(shù)值,復制到"接收數(shù)據(jù)分組數(shù)目拷貝"計數(shù)器中����; 步驟(4):本邊界交換機運行攻擊檢測算法,對At內(nèi)本地網(wǎng)絡(luò)中某IP的接收流量信 息進行周期性的統(tǒng)計�����,以△t內(nèi)該IP數(shù)據(jù)包出現(xiàn)的頻率近似為該IP的數(shù)據(jù)包出現(xiàn)的概率�; 步驟(5):根據(jù)步驟(4)得到的概率,計算本邊界交換機的歸一化信息熵值����; 步驟(6):根據(jù)步驟(5)得到的信息熵值,進行判定���,如果在最近的K個時間間隔中至 少有Num個時間間隔的熵值低于閾值���,則認為本地網(wǎng)絡(luò)中某IP地址對應(yīng)的主機受到了DDoS 攻擊,進入步驟(7)����,如果否就返回步驟(1); 步驟(7):確認受到攻擊后�����,本邊界交換機運行攻擊響應(yīng)算法���,檢測出本邊界交換機所 管理的OpenFlow子網(wǎng)中受到攻擊的IP地址,然后主動對以該IP地址為目的地址的流表項 的動作設(shè)置為概率性轉(zhuǎn)發(fā)��,進行流量過濾�,實現(xiàn)攻擊響應(yīng)�����; 步驟(8):本邊界交換機向控制器發(fā)布異步消息��,報告受到攻擊��,必要時并上傳流表����, 供控制器進行分析。
4. 如權(quán)利要求3所述的基于信息熵的DDoS攻擊分布式檢測與響應(yīng)方法�����,其特征是,所 述邊界交換機為OpenFlow邊界交換機�����。
5. 如權(quán)利要求3所述的基于信息熵的DDoS攻擊分布式檢測與響應(yīng)方法��,其特征是�����,所 述步驟(2)流表項的匹配字段為:以太網(wǎng)類型����、源IP地址、目的IP地址和IP協(xié)議字段四個 維度����,其余匹配字段設(shè)為通配符。
6. 如權(quán)利要求3所述的基于信息熵的DDoS攻擊分布式檢測與響應(yīng)方法���,其特征是��,所 述步驟(4)的本地網(wǎng)絡(luò)中某IP的數(shù)據(jù)包出現(xiàn)的概率的計算步驟為: 步驟(4-1):讀取本邊界交換機的流表��,獲取所有以本地IP地址為目的地址的流表項 目���,獲取流表項中"接收數(shù)據(jù)分組數(shù)目"計數(shù)器和"接收數(shù)據(jù)分組數(shù)目拷貝"計數(shù)器的數(shù)值����; 步驟(4-2):根據(jù)流表項目中"接收數(shù)據(jù)分組數(shù)目"計數(shù)器和"接收數(shù)據(jù)分組數(shù)目拷貝" 計數(shù)器的數(shù)值�,計算△t內(nèi)本地網(wǎng)絡(luò)中某IP接收流量增量;
由X=(Xpx2,……��,xm)構(gòu)成本邊界交換機的信源狀態(tài)空間�; 其中,Xi表示A t內(nèi)某IP地址的接收的數(shù)據(jù)分組數(shù)目�����,ReceivedPacketsj表示流表項 中"接收數(shù)據(jù)分組數(shù)目"計數(shù)器的數(shù)值���,ReceivedPackettCopy」表示"接收數(shù)據(jù)分組數(shù)目拷 貝"計數(shù)器的數(shù)值,j表示第j個本地IP地址��,n表示以本地某IP為目的地址的流表項在 本邊界交換機中共有n條;m表示本邊界交換機At內(nèi)出現(xiàn)不同本地IP地址總數(shù)����; 步驟(4-3):對接收流量�����,在At內(nèi)本邊界交換機上某本地IP數(shù)據(jù)包出現(xiàn)的概率近似 為:
其中��,Pi表示某本地IP數(shù)據(jù)包出現(xiàn)的概率���; 由此可得信源空間X的對應(yīng)的概率為P(X) = (Pl,p2,……����,Pm),其中�,P⑴= (p1;P2,……�����,Pm)表示信源空間X的對應(yīng)的概率空間����。
7. 如權(quán)利要求3所述的基于信息熵的DDoS攻擊分布式檢測與響應(yīng)方法,其特征是���,所 述步驟(5)的本邊界交換機的歸一化信息熵值的計算步驟為:
其中����,H(X)表示本邊界交換機的輸入流量的歸一化熵。
8. 如權(quán)利要求3所述的基于信息熵的DDoS攻擊分布式檢測與響應(yīng)方法����,其特征是,所 述步驟(6)低于閾值的判斷步驟為: 步驟(6-1):建立大小為K的滑動窗口��,保存最近K個At時間間隔內(nèi)的X����、H(X)信息; 步驟(6-2) :1時刻���,如果Hn(S)-Hi(S)彡a*AD����,說明此時本邊界交換機的熵值低于閾 值����;其中Hn(X)為本邊界交換機正常運行時測得的歸一化熵值的均值����,AD為本邊界交換機 正常運行時刻測得熵值與Hn(X)的最大絕對差值���,a為差值比例系數(shù); 步驟(6-3):如果每K個活動窗口結(jié)束時���,沒有發(fā)生低于閾值的狀況����,則對Hn(X)進行自 適應(yīng)更新: Hn(X) =Hn(X) +y[Hk(X)-Hn(X)]��,0 彡y彡 1 ;
其中Hk(X)為實際運行中對K個活動窗口測得熵值的加權(quán)平均值�����,y��、0i為加權(quán)系數(shù)��。
9. 如權(quán)利要求3所述的基于信息熵的DDoS攻擊分布式檢測與響應(yīng)方法����,其特征是,所 述步驟(7)的攻擊響應(yīng)算法的步驟為: 步驟(7-1):將本邊界交換機將本地IP按當前接收流量大小X= (Xi����,X2,……���,Xm)降 序排列,取前位本地IP地址����,按照步驟(4)的方法,通過讀取流表中所有以源IP地址 為其中本地IP的流表項��,計算本地IP的發(fā)送流量大小X' = (X'i����,X' 2,……,X' mh)���,其 中���,mh表示所取前位對應(yīng)的本地IP個數(shù); 步驟(7-2):對前位本地IP���,計算每個本地IP的經(jīng)過本邊界交換機的當前出入流 量比:
其中�����,ratei表示某本地IP的經(jīng)過本邊界交換機At內(nèi)出入流量比��,X' 1表示本地IPAt內(nèi)的發(fā)送流量����,Xi表示該本地IPAt內(nèi)的接收流量���; 對于前位中每個本地IP地址��,在最近K個時間監(jiān)測間隔內(nèi)�,計算其接收流量的增長 倍數(shù)���;
其中����,(^表示最近K個監(jiān)測間隔某本地IP地址接收流量增長倍數(shù)�,Xu表示該本地IP地址當前接收流量大小,Ximin最近K個監(jiān)測間隔該本地IP地址接收流量最小值��; 步驟(7-3):如果
就進入步驟(7-4)�,如果否就進入步驟(8); 其中P為攻擊比例閾值,通過實際網(wǎng)絡(luò)流量數(shù)據(jù)模擬攻擊訓練得到��; 步驟(7-4):認為滿足條件的本地IP地址主機受到了DDoS攻擊; 步驟(7-5):流表項插入過濾規(guī)則:本邊界交換機將以該受攻擊本地IP地址的為目的 地址的流表項中轉(zhuǎn)發(fā)動作為隨機轉(zhuǎn)發(fā)�����,實現(xiàn)主動過濾���,轉(zhuǎn)發(fā)概率為T=Y&�����, 其中y為指數(shù)參數(shù)�����,I為調(diào)節(jié)參數(shù)��,r為通過步驟(7-1) (7-2)方式計算得到的該受攻 擊本地IP與該流表項中源IP地址的出入流量比���。
【專利摘要】本發(fā)明公開了基于信息熵的DDoS攻擊分布式檢測與響應(yīng)系統(tǒng)及方法;所述系統(tǒng)包括:控制器��,所述控制器與若干交換機連接�,每個交換機均與若干主機連接,所述交換機也與其他交換機連接����,所述控制器用于網(wǎng)絡(luò)拓撲管理,制定數(shù)據(jù)轉(zhuǎn)發(fā)策略��,下發(fā)至交換機����;所述交換機用于數(shù)據(jù)轉(zhuǎn)發(fā);所述交換機包括邊界交換機和/或非邊界交換機��;所述邊界交換機運行攻擊檢測算法和攻擊響應(yīng)算法��,實現(xiàn)攻擊檢測與攻擊響應(yīng)�;所述主機為用戶電腦,對應(yīng)某IP地址�����,由邊界交換機對主機的數(shù)據(jù)進行轉(zhuǎn)發(fā)��。本發(fā)明具有檢測速度快��、檢測準確率高�、攻擊響應(yīng)迅速、資源負擔小的優(yōu)點��。
【IPC分類】H04L29-06
【公開號】CN104580222
【申請?zhí)枴緾N201510014419
【發(fā)明人】王睿, 賈智平, 鞠雷, 蔡曉軍
【申請人】山東大學
【公開日】2015年4月29日
【申請日】2015年1月12日