面向链路洪泛攻击的多维检测与动态防御方法

doi:10.11959/j.issn.2096-109x.2019040

网络与信息安全学报 ›› 2019, Vol. 5 ›› Issue (4): 80-90.doi: 10.11959/j.issn.2096-109x.2019040

面向链路洪泛攻击的多维检测与动态防御方法

王洋(),汤光明,雷程,韩冬

信息工程大学，河南郑州 450001

修回日期:2019-04-28 出版日期:2019-08-15 发布日期:2019-08-20
作者简介:王洋（1985- ），女，陕西西安人，信息工程大学博士生，主要研究方向为网络与信息安全。|汤光明（1963- ），女，湖南常德人，信息工程大学教授、博士生导师，主要研究方向为网络与信息安全、信息安全管理、信息隐藏。|雷程（1989- ），男，北京人，信息工程大学博士生，主要研究方向为移动目标防御、网络流安全交换。|韩冬（1983- ），男，陕西蒲城人，信息工程大学讲师，主要研究方向为网络与信息安全。
基金资助:
国家自然科学基金资助项目(61601517)

Multidimensional detection and dynamic defense method for link flooding attack

Yang WANG(),Guangming TANG,Cheng LEI,Dong HAN

Information Engineering University,Zhengzhou 450001,China

Revised:2019-04-28 Online:2019-08-15 Published:2019-08-20
Supported by:
The National Natural Science Foundation of China(61601517)

摘要/Abstract

摘要：

针对现有链路洪泛攻击检测存在的不足，提出了多维指标检测算法，通过会话连接时长、数据分组低速比例、数据分组距离均匀性、平均低速率数据分组占比、低速数据分组占比变化率5维要素对存在异常的转发链路进行多维检测，改善了现有方法误报率高的情况。进一步，提出基于染色理论的“控制器-交换机”动态部署方法，解决了现有防御缓解机制存在的“难以实际部署在交换机变体类型受限的实际环境中”问题。最后，实验验证所提方法的有效性。

关键词: 链路洪泛攻击, 多维检测, 动态部署, 软件定义网络

Abstract:

Aiming at the shortcomings of the existing link flooding attack defense methods,a multi-dimensional index detection algorithm is proposed,which performs multi-dimensional detection on the abnormal forwarding links through the five-dimensional elements of connection length,low-speed ratio of data packets,uniformity of data packet distance,average low-speed ratio of data packets,and change rate of low-speed ratio of data packets,thus effectively solving the problem of high false alarm rate of the existing detection methods.Furthermore,a controller switch dynamic deployment method based on coloring theory is proposed,which solves the problem of difficult to be actually deployed in the actual environment with limited switch variant types existing in the existing defense mitigation mechanisms.Experimental analysis show the feasibility of the proposed method.

Key words: link flood attack, multidimensional detection, dynamic deployment, software defined network

中图分类号:

TP393

王洋,汤光明,雷程,韩冬. 面向链路洪泛攻击的多维检测与动态防御方法[J]. 网络与信息安全学报, 2019, 5(4): 80-90.

Yang WANG,Guangming TANG,Cheng LEI,Dong HAN. Multidimensional detection and dynamic defense method for link flooding attack[J]. Chinese Journal of Network and Information Security, 2019, 5(4): 80-90.

图/表 8

图1

图2

图3

图4

表1

图5

图6

表2

参考文献 13

[1]	谭晶磊, 张红旗, 雷程 ,等. 面向SDN的移动目标防御技术研究进展[J]. 网络与信息安全学报, 2018,4(7): 5-16.
	TAN J L , ZHANG H Q , LEI C ,et al. Research progress on moving target defense or SDN[J]. Chinese journal of Network and Information Security, 2018,4(7): 5-16.
[2]	STUDER A , PERRIG A . The coremelt attack[C]// European Symposium on Research in Computer Security (ESORICS). 2009: 37-52.
[3]	KANG M S , LEE S B . The crossfire attack[C]// IEEE Security and Privacy symposium (SP). 2013: 127-141.
[4]	XUE L , LUO Z , CHAN W ,et al. Towards detecting target link flooding attack[C]// USENIX Conference. 2014: 81-96.
[5]	LEE S B , KANG M S , GLIGOR V D . CoDef:collaborative defense against large-scale link-flooding attacks[C]// ACM CoNEXT. 2013: 417-428.
[6]	KANG M S , GLIGOR V D , SEKAR V ,et al. SPIFFY:inducing cost-detectability tradeoffs for persistent link-flooding attacks[C]// Network and Distributed System Security Symposium. 2016.
[7]	KIM J , SHIN S . Software-defined honeynet:towards mitigating link flooding attacks[C]// IEEE/IFIP International Conference on Dependable Systems and Networks Workshop,IEEE Computer Society. 2017: 99-100.
[8]	刘世辉 . 基于SDN和NFV的链路洪泛攻击检测与防御[D]. 武汉:武汉大学, 2017.
	LIU S H . Detecting and mitigating target link-flooding attacks using SDN and NFV[D]. Wuhan:Wuhan University, 2017.
[9]	MISRA S , TAN M , REZAZAD M ,et al. Early detection of crossfire attacks using deep learning[C]// 2017 Deep Learning Security Workshop. 2017.
[10]	LIASKOS C , KOTRONIS V , DIMITROPOULOS X . A novel framework for modeling and mitigating distributed link flooding attacks[C]// IEEE International Conference on Computer Communications. 2016.
[11]	AYDEGER A , SAPUTRO N , AKKAYA K ,et al. Mitigating crossfire attacks using SDN-based moving target defense[C]// IEEE Local Computer Networks. 2016: 627-630.
[12]	LIASKOS C , IOANNIDIS S . Network topology effects on the detectability of crossfire attacks[J]. IEEE Transactions on Information Forensics ＆ Security, 2018,(99): 1-1.
[13]	蔡佳晔, 张红旗, 宋佳良 . 基于 Renyi 熵的 Openflow 信道链路洪泛攻击主动防御方法[J]. 计算机应用研究, 2019,36(6): 1767-1770.
	CAI J Y , ZHANG H Q , SONG J L . Active defense method of OpenFlow channel link flooding attack based on Renyi entropy[J]. Application Research of Computers, 2019,36(6): 1767-1770.

算法	正确率	漏报率	误报率
现有检测算法	94.75%	3.43%	7.19%
多维指标检测算法	98.58%	0.69%	1.31%

方法	控制器CPU平均开销	控制器内存平均开销	交换机CPU平均开销	交换机内存平均开销	网络建立平均时长/s	网络平均延迟/ms	故障恢复平均时长/s
使用本文方法	29.9%	38.2%	38.2%	40.3%	131	754	247
未使用本文方法	25.3%	30.7%	22.7%	31.6%	9	681	169

[1]	王泽南, 李佳浩, 檀朝红, 皮德常. 面向网络安全资源池的智能服务链系统设计与分析[J]. 网络与信息安全学报, 2022, 8(4): 175-181.
[2]	王洋, 汤光明, 王硕, 楚江. 基于API调用管理的SDN应用层DDoS攻击防御机制[J]. 网络与信息安全学报, 2022, 8(2): 73-87.
[3]	何威振, 陈福才, 牛杰, 谭晶磊, 霍树民, 程国振. 面向网络层的动态跳变技术研究进展[J]. 网络与信息安全学报, 2021, 7(6): 44-55.
[4]	陈浩宇, 邹德清, 金海. 面向SDN/NFV环境的网络功能策略验证[J]. 网络与信息安全学报, 2021, 7(3): 59-71.
[5]	王涛, 陈鸿昶. 考虑拜占庭属性的SDN安全控制器多目标优化部署方案[J]. 网络与信息安全学报, 2021, 7(3): 72-84.
[6]	赵普, 赵文涛, 付章杰, 刘强. 基于Renyi熵的SDN自主防护系统[J]. 网络与信息安全学报, 2021, 7(3): 85-94.
[7]	吴奇,陈鸿昶. 低故障恢复开销的软件定义网络控制器布局算法[J]. 网络与信息安全学报, 2020, 6(6): 97-104.
[8]	李国春,马睿,马季春,李伯中,刘惠明,张桂玉. 广域网出口流量调度SDN部署研究[J]. 网络与信息安全学报, 2020, 6(5): 148-157.
[9]	黄伟, 路冉, 刘存才, 祁思博. 基于SDN分级分域架构的QoS约束路由算法[J]. 网络与信息安全学报, 2019, 5(5): 21-31.
[10]	谭晶磊, 张红旗, 雷程, 刘小虎, 王硕. 面向SDN的移动目标防御技术研究进展[J]. 网络与信息安全学报, 2018, 4(7): 1-12.
[11]	郭中孚, 张兴明, 赵博, 王苏南. 软件定义网络数据平面安全综述[J]. 网络与信息安全学报, 2018, 4(11): 1-12.
[12]	吴奇,陈鸿昶,陈福才. 异构容错控制平面的安全性分析[J]. 网络与信息安全学报, 2018, 4(11): 32-39.
[13]	卢振平,陈福才,程国振. 软件定义网络中控制器调度时间机制设计与实现[J]. 网络与信息安全学报, 2018, 4(1): 36-44.
[14]	施江勇,杨岳湘,李文华,王森. 基于SDN的云安全应用研究综述[J]. 网络与信息安全学报, 2017, 3(5): 10-25.
[15]	卢振平,陈福才,程国振. 基于贝叶斯−斯坦科尔伯格博弈的SDN安全控制平面模型[J]. 网络与信息安全学报, 2017, 3(11): 40-49.

面向链路洪泛攻击的多维检测与动态防御方法

Multidimensional detection and dynamic defense method for link flooding attack

在线阅读

pdf下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 8

参考文献 13

相关文章 15

Metrics

推荐阅读 0