[发明专利]SDN环境下针对Packet-In注入攻击的轻量级自适应检测方法及系统

摘要

本发明涉及SDN以及计算机网络领域，实现了一种SDN环境下针对Packet‑In注入攻击的轻量级自适应检测方法。其步骤包括：建立概率检测模型并设定阈值，控制器根据Packet‑In消息数目的历史样本，结合设定的参数进行建模；设置白名单过滤伪IP/MAC地址消息；基于检测模型对Packet‑In消息进行攻击检测；若检测结果为存在攻击，则使用统计排序方法来找出攻击源并进行防御；同时对白名单和阈值进行动态更新。本发明方法建立了概率模型对Packet‑In消息进行检测，能迅速识别出Packet‑In数据包注入攻击，并根据网络的实际状况对参数进行调整，具有轻量级、自适应等优点。

主权项

1.一种SDN环境下针对Packet‑In注入攻击的轻量级自适应检测方法，其特征在于，包括以下步骤：S1.建立概率检测模型：控制器中的模型建立模块根据该网络中Packet‑In消息的历史正常流量样本，通过矩估计法计算样本均值；再根据泊松分布的性质和正态分布的公式，建立正常情况下的对照检测模型并设置阈值α；S2.设置白名单并过滤伪IP/MAC消息：控制器中的消息过滤模块根据收到的Packet‑In消息和Port‑Status消息记录当前网络时段的过滤白名单，其处理步骤包括：步骤S201控制器监听并接收到Packet‑In消息或Port‑Status消息；步骤S202消息过滤模块判断收到的消息是否为Packet‑In消息；步骤S203若收到Port‑Status消息，检验该消息中的PORT‑DOWN字段是否置位；若PORT‑DOWN字段已置位，记录该消息的端口信息，转步骤S204；否则，转步骤S201，继续监听OpenFlow消息；步骤S204若收到攻击源的端口信息，则从白名单中删除相关条目；步骤S205若收到Packet‑In消息，检验该消息的合法性，构造并更新白名单：若该消息合法，则转步骤S301；若不合法，则该消息的源主机为被攻击主机，将该源主机的端口信息发送到防御模块，转步骤S402；S3.基于检测模型进行自适应攻击检测：其处理步骤如下：步骤S301控制器中的检测模块获取待检测窗口内的Packet‑In消息数目,计算其概率密度，并与阈值α比较；步骤S302与检测模型中的概率密度进行对比，若连续两个窗口比值均小于阈值α，则判定为发生攻击，启动防御模块，转步骤S401；若否，则运行正常，转步骤S303；步骤S303通知模型建立模块使用指数加权移动平均法，利用最新的正常窗口内的消息数来更新当前参数；S4.根据检测结果进行防御并自适应调整参数：其处理步骤如下：步骤S401控制器中的防御模块通过找出消息数目最大的端口来找出攻击源，记录其端口信息；步骤S402防御模块构造并下发Flow_Mod消息到交换机，丢弃与攻击源端口信息相匹配的数据包，并发送端口信息到消息过滤模块，令其更新白名单，以丢弃非法的数据包，转步骤S204。