申请/专利权人：湖南大学

申请日：2022-10-25

公开（公告）日：2024-04-02

公开（公告）号：CN115580480B

主分类号：H04L9/40

分类号：H04L9/40;H04L45/00

优先权：

专利状态码：有效-授权

法律状态：2024.04.02#授权;2023.01.24#实质审查的生效;2023.01.06#公开

摘要：本发明公开了一种基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法，属于计算机网络安全领域。其中所述的方法包括：基于滑动窗口对OpenVSwitch软件交换机采集，获取交换机流表项数，并使用卡尔曼滤波预测下一时刻的流表项数，根据阈值判定是否进行攻击检测；提取交换机流表整体特征，输入攻击检测模型进行攻击检测判定；提取交换机单条流表项特征，输入攻击缓解模型进行判定，若判定为攻击流表项则加入驱逐列表进行删除；若流表项数仍超过设定的正常值，计算每条流表项的重要性得分，基于阈值驱逐重要性得分低的流表项。本发明提出的FTO攻击检测缓解方法具有较高的准确率和较低的误报、漏报率，能够实际部署在SDN交换机上，是一种有效的FTO攻击检测缓解方法。

主权项：1.基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法，其特征在于，FTO攻击即流表溢出攻击，是一种针对SDN交换机流表空间的拒绝服务攻击，所述攻击检测缓解方法包括以下几个步骤：步骤1、交换机流表项数获取：使用滑动窗口以相同的采样间隔对SDN交换机进行采集，实时获取其流表中流表项数目，交换机为软件交换机OpenVSwitch，采样间隔为预先设定的流表项软超时，滑动窗口长度为4，步长为1；步骤2、流表项数预测：将步骤1中得到的窗口序列输入卡尔曼滤波器，获取下一时刻流表项数目的预测值，若预测值大于预先设定的阈值，则判定需要检测该交换机是否受到流表溢出攻击，否则判定交换机流表负荷正常；步骤3、检测特征提取：若步骤2判定需要进行攻击检测，则获取交换机流表的整体特征，包括交换机匹配的总包数、总字节数、总规则数，并计算平均包大小和平均包数，构成攻击检测的五元特征组；步骤4、检测模型构建：利用随机森林算法构建流表溢出攻击检测模型，以步骤3中提取的攻击检测五元特征组作为训练数据进行构建，实现基于卡尔曼滤波和随机森林的FTO攻击检测；步骤5、攻击判定检测：根据建立的FTO攻击检测模型，对交换机流表进行判定检测，输入交换机流表的攻击检测五元特征组获得判定值，使用判定准则判断是否受到FTO攻击；步骤6、缓解特征提取：当步骤5判定交换机受到FTO攻击时，提取交换机流表的每条流表项特征，包括每条流表项的持续时长、匹配的包数、字节数、源目的端口号、源目的IP，并计算平均包到达间隔和平均包大小，构成单条流表项的九元特征组；步骤7、缓解模型构建：利用随机森林算法构建流表溢出攻击缓解模型，以步骤6中提取的单条流表项的九元特征组作为训练数据进行构建，得到FTO攻击缓解模型；步骤8、攻击缓解：遍历交换机流表中的每条流表项，将其对应的九元特征组输入步骤7构建的缓解模型获得判定值，利用判定准则判定当前流表项是否为攻击流表项，并将其驱逐；步骤9、流表空间管理：若交换机流表项数目超过步骤2设定的阈值，遍历当前交换机中的流表项，计算每条流表项的重要性得分，为得分低于阈值的流表项设置较短的硬超时，驱逐超过硬超时仍无数据包匹配的流表项；重要性得分依据字节数和包数计算，字节数和包数越大，重要性得分越高，流表项越不容易被删除。

全文数据：

权利要求：

百度查询： 湖南大学 基于卡尔曼滤波和随机森林的FTO攻击检测缓解方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD