申请/专利权人：湖南大学

申请日：2022-10-18

公开（公告）日：2024-04-02

公开（公告）号：CN115589323B

主分类号：H04L9/40

分类号：H04L9/40;G06N3/048;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.04.02#授权;2023.01.31#实质审查的生效;2023.01.10#公开

摘要：本发明公开了一种数据平面中基于机器学习的DLDoS攻击检测与缓解方法，属于计算机网络安全领域。其中所述的方法包括：在数据平面使用P4语言编程数据包处理逻辑，获取软件定义网络中到达交换机的TCP与UDP流量数据并形成检测窗口；使用训练数据训练极限学习机构建DLDoS攻击检测模型，训练中使用鲸鱼优化算法确定参数；将检测模型部署于控制平面进行实时检测，判定网络中是否遭受了攻击；若判定网络遭受了攻击且未部署缓解策略，使用P4语言编程数据平面统计流量信息，以此为依据判定异常IP并上报控制器，控制器基于数据平面编写的数据包处理逻辑部署交换机规则进行攻击缓解。本发明提出的方法可以及时检测到DLDoS攻击并缓解，是一种有效的DLDoS攻击检测及缓解方法。

主权项：1.数据平面中基于机器学习的DLDoS攻击检测与缓解方法，其特征在于，DLDoS是DistributedLow-rateDenialofService，即分布式低速率拒绝服务，所述DLDoS攻击检测与缓解方法包括以下几个步骤：步骤1、网络数据采样：实时获取软件定义网络中到达交换机的TCP流量与UDP流量信息，以一定的时间间隔为单位时间对其进行采样，并使用滑动窗口的形式存储流量数据，形成检测窗口；步骤2、流量特征提取：对步骤1中各检测窗口的数据进行处理，计算获得TCP流量与UDP流量的特征数据；步骤3、构建检测模型：基于机器学习方法，使用训练数据构建DLDoS攻击检测模型，模型构建中以极限学习机为基础模型，并使用鲸鱼优化算法确定其权值和阈值；步骤4、攻击判定检测：将构建的DLDoS攻击检测模型部署于控制平面，利用其对网络状态进行实时检测，根据检测模型的输出结果判定当前网络中是否遭受了DLDoS攻击；步骤5、攻击缓解：根据检测结果，若判定网络中遭受了DLDoS攻击且未部署缓解策略，则部署攻击缓解策略对攻击进行实时响应；步骤1中利用P4语言，使用Counter和Hash算法，编程数据平面进行网络数据采样，得到单位时间到达交换机的TCP字节数、TCP包数和UDP包数，形成原始网络数据，并维持固定长度和步长的滑动窗口存储采集的数据，形成当前检测窗口；步骤2中根据步骤1获取的检测窗口，计算当前检测窗口中网络流量的平均TCP包数、平均TCP字节数、UDP包数标准差作为特征数据；步骤3中使用训练数据训练极限学习机，基于鲸鱼优化算法确定其输入层和隐含层的连接权值、隐含层的阈值，并训练得到其最优的隐含层和输出层间的权值矩阵β，从而构建DLDoS攻击检测模型，具体可以分为三个步骤：步骤3.1、基于步骤1中所述的网络数据采样方法采集网络流量，并使用步骤2中所述的流量特征提取方法计算检测窗口的特征数据；步骤3.2、对检测窗口进行打标签处理，其中标签0表示该窗口没有受到DLDoS攻击，标签1表示该窗口受到DLDoS攻击，将各检测窗口的特征数据与其对应的标签作为训练数据；步骤3.3、根据步骤3.2获得的训练数据，将训练数据中的特征数据作为输入层、标签作为输出层，使用Sigmoid函数作为激活函数，结合鲸鱼优化算法，训练极限学习机，构建攻击检测模型，训练过程中引入L2正则化项求解β，以避免过拟合；步骤4中使用构建的DLDoS攻击检测模型进行攻击检测，具体可以分为三个步骤：步骤4.1、基于步骤1中所述的网络数据采样方法采集网络流量，并使用步骤2中所述的流量特征提取方法计算检测窗口的特征数据；步骤4.2、将得到的特征数据输入检测模型，得到输出结果，如果结果为1，则判定对应的检测窗口存在DLDoS攻击，如果结果为0，则判定对应的检测窗口不存在DLDoS攻击；步骤4.3、记录检测窗口的判定结果，若相邻的k个检测窗口均被判定为攻击存在，则认为网络中遭受了DLDoS攻击，否则认为网络中没有遭受DLDoS攻击；步骤5中使用P4语言编程数据平面统计流量信息，定义交换机规则，对DLDoS攻击进行及时地缓解，具体可以分为三个步骤：步骤5.1、使用Register、Hash算法和时间戳在数据平面以极短的固定时间段s为单位，统计各源IP地址到目的IP地址的数据包数，若来自某源IP地址的数据包数超过阈值R的次数超过M，则判定该源IP为异常IP；步骤5.2、数据平面使用Digest操作将异常IP上报控制器，存入攻击源IP黑名单中；步骤5.3、控制器对交换机增加流表规则，使交换机对来自黑名单中IP的数据包执行相应的丢包操作，实现对DLDoS攻击的缓解，其中交换机增加的流表规则对应的操作通过P4语言编程数据平面实现，在满足条件时被匹配执行。

全文数据：

权利要求：

百度查询： 湖南大学 数据平面中基于机器学习的DLDoS攻击检测与缓解方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD