本發明涉及SDN以及計算機網絡領域，實現了一種SDN環境下針對Packet?In注入攻擊的輕量級自適應檢測方法。其步驟包括：建立概率檢測模型并設定閾值，控制器根據Packet?In消息數目的歷史樣本，結合設定的參數進行建模；設置白名單過濾偽IP/MAC地址消息；基于檢測模型對Packet?In消息進行攻擊檢測；若檢測結果為存在攻擊，則使用統計排序方法來找出攻擊源并進行防御；同時對白名單和閾值進行動態更新。本發明方法建立了概率模型對Packet?In消息進行檢測，能迅速識別出Packet?In數據包注入攻擊，并根據網絡的實際狀況對參數進行調整，具有輕量級、自適應等優點。

技術領域

本發明涉及SDN以及計算機網絡技術領域，尤其涉及一種SDN環境下針對Packet-In注入攻擊的輕量級自適應檢測方法及系統。

背景技術

軟件定義網絡SDN(Software-DefinedNetworking)是一種新型的網絡架構，該架構通過OpenFlow技術將數據平面與控制平面分離開來，其中控制平面能夠對傳統分布式的網絡狀態進行集中管理，為網絡管理、QoS、核心網絡及應用的創新提供了良好的平臺。然而其自身的安全問題也日益顯露，如數據層面臨的DDoS攻擊、南向接口SSL協議的不安全性、控制器的單點故障、應用層的惡意應用程序攻擊等等。其中控制器的單點故障將導致控制器、交換機、被攻擊主機及整個網絡不同程度的癱瘓。由于控制器的集中特性，每當網絡出現新流時控制器便需要處理交換機發來的Packet-In消息，此時若攻擊者大量注入偽造數據包，便會觸發Packet-In注入攻擊，導致DDoS攻擊、泛洪攻擊、拓撲欺騙等，使控制器無法處理正常消息，造成單點故障，甚至上層應用的癱瘓。

在針對控制器的安全防御研究中，提出了TopoGuard、PacketChecker等防御工具，以及一些針對控制器攻擊提出的使用閾值檢測、統計檢測和機器學習等方法的防御機制。其中TopoGuard是一種針對拓撲欺騙攻擊的工具。通過驗證Port Down信號是否出現等方法，達到核實主機遷移真實性的效果。但該方法未考慮大量Packet-In消息注入的情況。PacketChecker提出了一種基于Packet-In合法性檢測的防御策略，通過驗證Packet-In消息是否合法，來決定該消息是否應該被轉發給控制器處理。該方法未考慮攻擊者偽造MAC地址的情況。閾值檢測方法是通過判斷網絡中的流量是否超過規定的閾值來判斷是否發生了DDoS等流量攻擊。該方法不能及時區別突發流和攻擊，容易造成誤報。統計檢測和機器學習方法是通過對網絡中一些固定特征的數據，流量進行建模，用模型來預測并判斷網絡中的數據，流量是否異常。該方法通常需要進行大量計算。這些方法為SDN的安全防御機制提供了很多解決思路。

在此基礎上中，申請人發現《基于混合制排隊模型的SDN控制器性能評估研究》中提到，Packet-In消息的到達率滿足泊松分布，故選擇該統計模型結合閾值檢測方法進行對Packet-In注入攻擊的檢測。為了滿足實際網絡的需要，加入了使參數能自行學習的自適應機制。能夠達到及時檢測攻擊，自適應更新及開銷小的效果。

目前在SDN網絡環境下，經過對多種檢測方法的調研，針對該種攻擊提出了一種輕量且綜合的新技術，使其在檢測和防御方面都有較好的表現。

發明內容

本發明克服了現有技術的局限性，提出了一種SDN環境下針對Packet-In注入攻擊的輕量級自適應檢測方法。本發明應用在SDN環境中，將利用控制器的集中控制特性，基于概率模型對Packet-In注入攻擊進行檢測，還能夠根據實際網絡的情況對參數進行自適應的動態更新。

本發明包括以下步驟：

S1.建立概率檢測模型：控制器中的模型建立模塊根據該網絡中Packet-In消息的歷史正常流量樣本，通過矩估計法計算樣本均值；再根據泊松分布的性質和正態分布的公式，建立正常情況下的對照檢測模型并設置閾值α；