(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111323738.8 (22)申请日 2021.11.10 (71)申请人 湖南大学 地址 410082 湖南省长 沙市岳麓区麓山 南 路1号湖南大 学 (72)发明人 汤澹　严裕东　张冬朔　王思苑　 王小彩　李诗宇　 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 20/00(2019.01) (54)发明名称 一种基于机器学习的SDN流表溢出攻击检测 与缓解方法 (57)摘要 本发明公开了一种基于机器学习的SDN流表 溢出攻击检测与缓解方法， 属于网络安全领域。 所述方法包括： 基于OpenFlow协议， 轮询 OpenvSwit ch流表项， 形 成原始数据； 解析流表项 的各字段， 分为 “特征”和“标识”两组， 结合网络 测量准则， 计算流表项的五种特征及其属于 “大 象流”、“小鼠流”和“攻击流”的标签， 作为原始数 据集； 采用监督学习训练流表项分类模型， 并部 署在OpenvSwitch中； OpenvSwitch中的实时攻击 缓解系统监控流表占用率， 若超过阈值， 则判定 发生流表溢出攻击， 系统利用模 型预测流表项的 驱逐得分并排序， 按顺序删除一定数量的流表项 以释放流表空间。 本发明中的流表溢出攻击检测 与缓解方法检测率高， 系统开销低， 兼容SDN环 境， 能实现对流表溢出攻击的精 准检测和实时缓 解。 权利要求书2页 说明书6页 附图3页 CN 114050928 A 2022.02.15 CN 114050928 A 1.一种基于机器学习的SDN流表溢出攻击检测与缓解方法， 其特征在于， 所述流表溢出 攻击检测与缓解方法， 包括以下几个步骤： 步骤1、 流表数据采样： 以SDN配置的软超时为采样周期， 实时获取SDN交换机中的流表 信息， 记录流表中存 储的每个流表项， 形成流表溢出攻击检测的原 始数据； 步骤2、 流表字段划分： 解析SDN流表数据中的各字段， 并将所有的字段分为 “特征”与 “标记”两类， 其中， “特征”类字段反映流表的常用程度和活跃水平， 具体包括流表持续时 间、 流表匹配包数以及流表累计匹配字节数三个字段； “标记”类字段则是流表项的唯一标 识， 用作识别特定的流表项， 具体包括流表中的匹配域， 即流表项的IP源地址、 IP目的地址、 源MAC地址、 目的MAC地址和网络协议类型五个字段； 步骤3、 流量类型标记： 将SDN流表中的流表项划分为三类， 用于训练流表溢出攻击检测 与缓解模型， 具体是： 将所有的正常流表项， 依据其数据传输的紧急程度， 分为 “大象流”和 “小鼠流”， 标签分别为0和1； 将对应攻击的流表项标记为 “攻击流”类， 标签为2； 步骤4、 分类模型训练： 基于步骤2中所提取的流表项三个 “特征”字段， 提取流表项的五 个特征值， 联合步骤3中流表项的三种不同标签， 采用机器学习中的监督学习算法， 训练一 个流表项三分类模型； 步骤5、 攻击判定检测： 控制器每秒获取SDN交换机中的流表项数量， 若某一时刻流表项 的数量超过了预设的阈值， 则判定发生了流表溢出攻击； 步骤6、 流表溢出缓解： 当步骤5判定发生了流表溢出攻击时， 利用步骤4中获取的流表 项三分类模型， 预测当前交换机中所有流表项的标签及其属于各标签的概率向量， 基于该 标签向量的加权计算， 得到每个流表项的驱逐得分， 并从 高到低排序， 最 终删除所有判定为 “攻击流”的流表项和一定比例的其 他流表项， 以腾出流表空间， 缓解 流表溢出攻击 。 2.根据权利要求1中所述的流表溢出攻击检测与缓解方法， 其特征在于， 步骤1中的流 表数据采样 基于软件交换机OpenvSwitch， 软件交换机以预先配置的软超时时间为间隔， 采 用OpenvSw itch命令行脚本程序， 提取流表中的所有流表项记录， 形成原 始流表数据。 3.根据权利要求1中所述的流表溢出攻击检测与缓解方法， 其特征在于， 步骤3中区分 “大象流”和“小鼠流”两种正常流量的 “数据传输紧急程度 ”的定义是流表项的平均数据传 输速度， 具体为： 基于流表项 “特征”字段， 计算流表累计匹配字节数与流表持续时间两个字 段的比值， 得到流表项的平均数据传输速度， 再基于网络测量指标， 将具有最高20％的平均 数据传输 速度的流表项划分为 “大象流”， 其余80％的流表项则为 “小鼠流”。 4.根据权利要求1中所述的流表溢出攻击检测与缓解方法， 其特征在于， 步骤4中的流 表项分类模型的训练， 包 含两个步骤： 步骤4.1： 基于步骤2中所提取的流表项三个 “特征”字段， 提取流表项的五个特征值， 分 别是： 流持续时间、 流匹配包数、 流匹配字节数、 平均包大小以及平均包到 达间隔； 步骤4.2： 基于流表项在步骤4.1中所提取的五个特征值及其在步骤3中获取的标签， 采 用监督学习算法， 训练一个流表项三分类模型， 具体是： 采用集成学习方法GBDT， 设定特征 个数等于所提取的特 征值数量， 进行多分类 器的训练。 5.根据权利要求1中所述的流表溢出攻击检测与缓解方法， 其特征在于， 步骤5 中， 流表 溢出攻击检测的阈值是90％， 即当前流表项数量达到或超过交换机流表最大容量的90％ 时， 判定流表剩余空间不足， 可能受到流表溢出攻击， 需要 进一步的攻击缓解措施。权　利　要　求　书 1/2 页 2 CN 114050928 A 26.根据权利要求1中所述的流表溢出攻击检测与缓解方法， 其特征在于， 步骤6 中， 在检 测到流表溢出攻击后， 进行的攻击缓解主 要包含以下几个步骤： 步骤6.1： 使用步骤4中训练得到的流表项三分类模型， 首先预测当前交换机中的所有 流表项的标签， 以检测哪些流表项 可能属于“攻击流”； 然后计算所有流表项的概率向量， 即 一个三元组， 分别表示该流表项可能属于 “大象流”、“小鼠流”和“攻击流”的概率； 步骤6.2： 使用每个流表项 的概率向量进行加权计算， 其中， 概率向量中的 “攻击流”概 率具有最高的权重， “小鼠流”权重次之， “大象流”的权重最低， 将该流表项分别属于各类的 概率与设定的权 重相乘后累加， 得到该流表项的驱逐 得分； 步骤6.3： 将交换机中所有的流表项， 依据各自的驱逐得分从高到低排序， 排名越靠前， 流表项的驱逐优 先级越高， 此时， “攻击流”具有最高的驱逐优先级， 属于正常流量但数据传 输效率较低的 “小鼠流”次之， 而数据传输紧急程度高的 “大象流”最不可能被驱逐； 步骤6.4： 使用OpenvSwitch命令行删除被预测为 “攻击流”的流表项， 并强制删除具有 最高一定比例的驱逐分数的流表项， 以释放 流表空间。 7.根据权利要求6中所述的流表溢出攻击检测与缓解方法， 其特征在于， 步骤6.2中的 流表项驱逐得分的计算方式为： ‑P(e)+P(m)+2P(a)， 其中， P(e),P(m),P(a)分别为流表项分 别属于“大象流”、“小鼠流”和“攻击流”的概率， 即 “大象流”、“小鼠流”和“攻击流”的权重分 别为‑1， 1和2。 8.根据权利要求6中所述的流表溢出攻击检测与缓解方法， 其特征在于， 步骤6.4中， 缓 解流表溢出攻击时， 若被预测为 “攻击流”的流表项数量不足， 该方法将强制删除具有最高 一定比例驱逐得分的流表项， 该比例的设定区间适中， 为10％ ‑30％， 一方面保证释放充足 的流表空间， 以缓解 流表溢出攻击， 另一方面， 可以避免原有正常流表项被大量删除。 9.根据权利要求6中所述的流表溢出攻击检测与缓解方法， 其特征在于， 步骤6.4中， 流 表项的驱逐基于流表项的唯一标识， 即使用 “标记”字段定位所需驱逐的流表项， 并执行删 除动作。权　利　要　求　书 2/2 页 3 CN 114050928 A 3