买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:湖南大学
摘要:本发明属于计算机网络安全领域,公开了一种基于P4‑MSC的DRDoS攻击检测与缓解系统,包括反射特征提取模块、流量特征提取模块、攻击判定与缓解模块、P4近似除法工具模块。流量信息的捕获和特征提取的工作部署在数据平面,减轻了控制器的负担。反射端交换机利用“后窗协助前窗”的存储方式和P4近似除法工具模块收集计算一个窗口内的包负载最大反射倍数作为反射特征,受害端交换机统计一个窗口内流经该处的数据包的TCP总负载和UDP总负载作为流量特征。上述特征被上报至控制器后,若反射特征超过设定的阈值,并且最近一段时间的流量特征呈现UDP带宽大于TCP带宽的特点,控制器认定DRDoS攻击发生,下发一条带有攻击流身份信息的缓解表项,在网络瘫痪前实现有效的缓解。
主权项:1.一种基于P4-MSC的DRDoS攻击检测与缓解系统,其特征在于,P4为一门可编程协议无关包处理语言,MSC表示多台交换机合作,该系统包括以下几个模块:模块一反射特征提取模块:该模块部署在可编程数据平面的反射端交换机上,将连续进入交换机的一定数量的数据包划分为一个窗口,采用“后窗协助前窗”的存储方式,即设置两套用于记录双向流包负载的寄存器并交换使用,将前一个窗口的信息保留至后一个窗口中进行处理,并使用P4近似除法工具模块完成包负载反射倍数的计算,对每一个进入交换机的数据包,反射端交换机流水线的工作步骤包括:1确定流索引:提取包首部的源IP地址和目的IP地址作为散列函数的关键字,得到的散列值为该包所属双向流的流索引,也是其在包负载寄存器中的存储索引;2记录本窗口信息:提取包IP首部的总长度字段,确定该数据包属于前向流或后向流,并根据流索引定位本窗口包负载寄存器存储该双向流信息的寄存器单元,将总长度字段的数值累加至该寄存器单元;3协助处理前窗信息:以该数据包在窗口内的到达次序为索引处理上一个窗口对应位置的寄存器单元,即调用P4近似除法工具计算该索引处记录的双向流的包负载的反射倍数、清空该寄存器并更新当前反射倍数的最大值;4上报前窗最大反射倍数:若该数据包为本窗口内最后一个包,则上报前一个窗口的包负载反射最大倍数和该最大反射倍数对应的流索引;5决定转发动作:默认转发,若该数据包的流索引匹配到了控制器为之安装的缓解表项,则丢弃该数据包;模块二流量特征提取模块:该模块部署在可编程数据平面的受害端交换机上,设置两个寄存器TCP_payload和UDP_payload,记录一个窗口内流经该交换机处TCP数据包的总负载和UDP数据包的总负载并上报至控制器,对每一个进入交换机的数据包,受害端交换机流水线的工作步骤包括:1判断协议类型:提取IPv4首部,通过协议号字段判断其是TCP报文还是UDP报文;2更新相应寄存器:若为TCP报文,将首部总长度字段的值累加至寄存器TCP_payload,若为UDP报文,将首部总长度字段的值累加至寄存器UDP_payload;3上报流量特征:若该数据包为本窗口内最后一个包,则上报本窗口的TCP总负载和UDP总负载,并将寄存器的值更新为零;4决定转发动作:默认转发,若该数据包的流索引匹配到了控制器为之安装的缓解表项,则丢弃该数据包;模块三攻击判定与缓解模块:该模块部署在控制器上,接收数据平面中反射端交换机上报的反射特征和受害端交换机上报的流量特征,并缓存最近若干个窗口受害端交换机上报的流量特征,若反射端交换机上报的反射倍数高于阈值,且缓存的所有窗口的流量特征都满足UDP总负载大于TCP总负载时,判定DRDoS攻击发生,并为交换机安装一条缓解表项,该缓解表项以攻击窗口中反射端交换机上报的流索引作为匹配域,会使交换机丢弃所有匹配到该流索引的数据包,从而实现屏蔽攻击流的效果;模块四P4近似除法工具模块:该模块是为计算双向流的包负载反射倍数而设计的工具模块,借助移位运算得到两个数的近似除法结果m',假设a和b是两个无符号整型数且a≥b,用二分法求a和b的最高位1所在的位次,分别记为h1和h2,若h1=h2,即a和b最高位1的位置相同,直接令m'=1;若h1>h2,则其中,b'=2h2,ap为a的第p位。
全文数据:
权利要求:
百度查询: 湖南大学 一种基于P4-MSC的DRDoS攻击检测与缓解系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。