端口扫描攻击属于网络攻击的前奏,能够为其他入侵行为提供目标网络的漏洞信息。低速端口扫描攻击具有更高的隐蔽性,容易规避检测系统,增加了受保护网络遭受网络攻击的风险。一方面,低速扫描攻击流量占比小,采集所有网络流量将造成不必要的系统开销。另一方面,基于固定时间窗口机制的检测算法动态性差,难以预先设置时间窗口大小以检测不同速率的扫描攻击。本文首先分析了扫描攻击受害者响应消息特征,提出了一种SDN环境中的可疑流数据采集方法,更加精准地采集扫描攻击相关的网络数据。其次,提取了扫描攻击的速率特征,实现了时间窗口动态调整策略。最后,将扫描攻击检测问题规划为序贯概率比检验(Sequential Probability Ratio Test,SPRT)问题,准确检测低速端口扫描攻击的同时降低了检测延迟。本文主要工作如下:(1)提出了一种SDN环境中的可疑流数据采集方法。基于TCP扫描和UDP扫描的特征提出了2种可疑流数据标记规则,将其转换为采集流表项,避免采集大量正常网络流量;利用控制器全局视野,选取边缘交换机中与网络主机直连的端口作为采集节点,降低采集数据冗余度;使用多级流表技术在OpenFlow交换机中配置采集流表,减少交换机资源占用。仿真实验结果表明,可疑流数据采集方法从所有网络数据中采集了1.07%的数据,其中81.93%与扫描攻击相关。(2)提出了一种基于动态时间窗口的端口扫描攻击检测算法。通过指数加权移动平均法(Exponentially Weighted Moving-Average,EWMA)从采集数据中提取扫描速率特征;应用时间窗口动态调整策略,为不同速率的扫描攻击设置合适的时间窗口值,降低检测延迟;在每个时间窗口内建立连接事件,将扫描攻击检测问题规划为序贯概率比检验问题,提高检测算法准确率。仿真实验结果表明,扫描攻击检测算法提供了98.46%的准确率以及0.17%的误报率,检测延迟相比固定时间窗口机制至少降低了7.61%。
暂无评论