姚琳元 董 平 張宏科

?

基于對(duì)象特征的軟件定義網(wǎng)絡(luò)分布式拒絕服務(wù)攻擊檢測(cè)方法

姚琳元 董 平*張宏科

(北京交通大學(xué)電子信息工程學(xué)院 北京 100044)

軟件定義網(wǎng)絡(luò)(SDN)受到分布式拒絕服務(wù)(DDoS)攻擊時(shí)，攻擊方會(huì)發(fā)送大量數(shù)據(jù)包，產(chǎn)生大量新的終端標(biāo)識(shí)占用網(wǎng)絡(luò)連接資源，影響網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。為準(zhǔn)確發(fā)現(xiàn)受攻擊對(duì)象，檢測(cè)被占用資源，利用GHSOM技術(shù)，該文提出基于對(duì)象特征的DDoS攻擊檢測(cè)方法。首先，結(jié)合SDN網(wǎng)絡(luò)及攻擊特點(diǎn)，提出基于目的地址的檢測(cè)7元組，并以此作為判斷目標(biāo)地址是否受到DDoS攻擊的檢測(cè)元素；然后，采用模塊化設(shè)計(jì)，將GHSOM算法應(yīng)用于SDN網(wǎng)絡(luò)DDoS攻擊的分析檢測(cè)中，并在OpenDayLight的仿真平臺(tái)上完成了仿真實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果顯示，該文提出的檢測(cè)7元組可有效檢測(cè)目標(biāo)對(duì)象是否受到DDoS攻擊。

軟件定義網(wǎng)絡(luò)；7元組；自組織映射；分布式拒絕服務(wù)

1 引言

互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)用戶規(guī)模的爆發(fā)式增長(zhǎng)，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)隨之面臨各種各樣的問題。為滿足時(shí)延、負(fù)載等網(wǎng)絡(luò)基本要求，許多網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)策略在設(shè)計(jì)之初被預(yù)先定義，造成傳統(tǒng)IP (Internet Protocol)網(wǎng)絡(luò)難于更新，網(wǎng)絡(luò)結(jié)構(gòu)越發(fā)復(fù)雜，網(wǎng)絡(luò)管理更加困難[1]。傳統(tǒng)網(wǎng)絡(luò)控制域與數(shù)據(jù)域相綁定，是造成網(wǎng)絡(luò)難以管理的主要因素[2]。為從根本上解決網(wǎng)絡(luò)痼疾，新型網(wǎng)絡(luò)架構(gòu)被相繼提出。其中控制域與轉(zhuǎn)發(fā)域相分離的思想受到業(yè)界的廣泛關(guān)注，具有代表性的網(wǎng)絡(luò)結(jié)構(gòu)之一是近年來不斷被寄予厚望的軟件定義網(wǎng)絡(luò)(Software Defined Networking, SDN)[3,4]。

傳統(tǒng)網(wǎng)絡(luò)中，控制邏輯分布在各個(gè)網(wǎng)絡(luò)設(shè)備。這種分布式的網(wǎng)絡(luò)結(jié)構(gòu)在一定程度上降低了網(wǎng)絡(luò)因遭受Distributed Denial of Service (DDoS) 攻擊全面癱瘓的風(fēng)險(xiǎn)。而在SDN網(wǎng)絡(luò)中，控制器集中管理網(wǎng)絡(luò)設(shè)備，增大了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[5]。當(dāng)SDN網(wǎng)絡(luò)受到DDoS(Distributed Denial of Service)攻擊時(shí)，攻擊方會(huì)發(fā)送大量數(shù)據(jù)包，這些數(shù)據(jù)包含有不同源地址、目的地址等信息。為獲取轉(zhuǎn)發(fā)規(guī)則，交換機(jī)需要不斷向控制器發(fā)送請(qǐng)求，以獲得新的轉(zhuǎn)發(fā)規(guī)則；控制器也需要不斷響應(yīng)交換機(jī)的請(qǐng)求，制定、下發(fā)相應(yīng)規(guī)則，以至于控制器的存儲(chǔ)資源、計(jì)算資源大量消耗，控制器與交換機(jī)的連接資源大量占用。文獻(xiàn)[5]將OpenFlow下的SDN網(wǎng)絡(luò)DDoS攻擊歸納為兩種，即控制域帶寬攻擊和交換機(jī)流表攻擊。文獻(xiàn)[6]也將控制域與數(shù)據(jù)域之間接口造成的固有通信瓶頸視為SDN網(wǎng)絡(luò)的主要安全挑戰(zhàn)之一。

沖突檢測(cè)是一種有效探測(cè)DDoS攻擊的方法。文獻(xiàn)[7]對(duì)沖突探測(cè)進(jìn)行了說明，并總結(jié)為簽名探測(cè)技術(shù)和異常探測(cè)技術(shù)。統(tǒng)計(jì)分析和機(jī)器學(xué)習(xí)是兩種主要的異常探測(cè)技術(shù)。該文闡述了機(jī)器學(xué)習(xí)的6種方法，即Neural Networks, Support Vector Machine, Genetic Algorithms, Fuzzy Logic, Bayesian Networks, Decision Tree，并對(duì)6種方法的優(yōu)缺點(diǎn)進(jìn)行了總結(jié)。但是，文章缺乏與SDN的關(guān)聯(lián)，沒有給出解決SDN中控制器受到DDoS攻擊的具體方法。

作為機(jī)器學(xué)習(xí)中的一種，神經(jīng)網(wǎng)絡(luò)的無(wú)監(jiān)督學(xué)習(xí)可以在網(wǎng)絡(luò)目標(biāo)輸出未知的情況下，通過自訓(xùn)練，聚類分析輸入樣本[8]，達(dá)到自動(dòng)監(jiān)測(cè)的目的。文獻(xiàn)[9]利用神經(jīng)網(wǎng)絡(luò)中的自組織映射(Self-Organizing Map, SOM)技術(shù)實(shí)現(xiàn)對(duì)SDN網(wǎng)絡(luò)的數(shù)據(jù)檢測(cè)。該文提出了一種基于SOM技術(shù)的DDoS攻擊檢測(cè)方法，并在SDN網(wǎng)絡(luò)控制器中實(shí)現(xiàn)了此方法。作者采用模塊化的方法完成“數(shù)據(jù)流采集”、“特性提取”以及“攻擊探測(cè)(數(shù)據(jù)包分類)”等功能。然而，該文獻(xiàn)中的統(tǒng)計(jì)元素沿用傳統(tǒng)網(wǎng)絡(luò)的參考元素，并沒有對(duì)SDN網(wǎng)絡(luò)的數(shù)據(jù)特點(diǎn)進(jìn)行分析。另外，SOM要求預(yù)先確定神經(jīng)元的數(shù)量和排列，致使神經(jīng)元排列固定、單一，這在一定程度上限制了攻擊檢測(cè)的準(zhǔn)確性。

文獻(xiàn)[10]以目的IP地址作為參考要素，采用信息熵與閾值相結(jié)合的方法完成檢測(cè)。雖然信息熵較SOM靈活、方便，但在閾值確定和多元素權(quán)重分配等方面仍需與其他技術(shù)結(jié)合。文獻(xiàn)[11]提出了Openflow與sFlow相結(jié)合的數(shù)據(jù)采集方法，這在一定程度上提高了檢測(cè)帶寬。但文獻(xiàn)[11]同文獻(xiàn)[10]，使用了信息熵檢測(cè)方法。文獻(xiàn)[12]提出了FortNOX內(nèi)核，優(yōu)化了SDN網(wǎng)絡(luò)中NOX控制器的安全性能，但并沒有給出具體的DDoS攻擊檢測(cè)方法。文獻(xiàn)[13]利用基于神經(jīng)網(wǎng)絡(luò)和生物威脅理論的計(jì)算機(jī)防御系統(tǒng)完成風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)對(duì)DDoS攻擊的防御，但缺乏詳盡的實(shí)現(xiàn)方案和效果對(duì)比。

通過上述分析可知，面向SDN網(wǎng)絡(luò)的DDoS攻擊檢測(cè)方法主要包括SOM技術(shù)和信息熵。但是，SOM技術(shù)要求訓(xùn)練前完成神經(jīng)元數(shù)量和排列的預(yù)先確定，而信息熵通常與相應(yīng)參數(shù)的閾值共同使用，難以獨(dú)立完成對(duì)多維數(shù)據(jù)的分析與檢測(cè)。而一種基于SOM技術(shù)的GHSOM(Growing Hierarchical SOM)[14]技術(shù)更加靈活，且可以獨(dú)立完成對(duì)多維數(shù)據(jù)的分析與檢測(cè)。該技術(shù)已應(yīng)用于傳統(tǒng)網(wǎng)絡(luò)的攻擊檢測(cè)中，如文獻(xiàn)[8], 文獻(xiàn)[15]，但在SDN網(wǎng)絡(luò)上卻缺乏相應(yīng)的應(yīng)用研究。鑒于此，利用GHSOM技術(shù)，本文提出了基于對(duì)象特征的DDoS攻擊檢測(cè)方法。

本文的創(chuàng)新性在于：(1)結(jié)合SDN網(wǎng)絡(luò)及攻擊特點(diǎn)，提出了基于目的地址的檢測(cè)7元組，判斷目標(biāo)地址是否受到DDoS攻擊；(2)采用模塊化設(shè)計(jì)，將GHSOM應(yīng)用于SDN網(wǎng)絡(luò)DDoS攻擊的分析檢測(cè)中，并在OpenDayLight的仿真平臺(tái)上完成了仿真實(shí)驗(yàn)。

本文內(nèi)容如下：第2節(jié)介紹了GHSOM算法的原理與使用方法；第3節(jié)詳細(xì)說明了基于對(duì)象特征的DDoS攻擊檢測(cè)方法；第4節(jié)完成檢測(cè)方法的可行性分析，并進(jìn)行了實(shí)驗(yàn)驗(yàn)證；第5節(jié)總結(jié)全文。

2 GHSOM介紹

本節(jié)對(duì)GHSOM算法進(jìn)行簡(jiǎn)單介紹。較SOM固定的神經(jīng)元結(jié)構(gòu)，GHSOM具有生長(zhǎng)、分層的特性，結(jié)構(gòu)更加靈活，數(shù)據(jù)處理效率更高。GHSOM算法總結(jié)如下[16]：

第1次映射：GHSOM映射過程從第1層開始，如圖1，首先從第0層的神經(jīng)元擴(kuò)展到第1層的4個(gè)神經(jīng)元,,,，然后從輸入數(shù)據(jù)中取樣執(zhí)行SOM過程，完成輸入數(shù)據(jù)的第1次映射。

圖1 GHSOM擴(kuò)展說明

3 基于對(duì)象特征的DDoS攻擊檢測(cè)方法

DDoS攻擊的目的主要在于資源占用和資源消耗[17]。對(duì)SDN網(wǎng)絡(luò)而言，DDoS攻擊主要包括控制域帶寬、流表?xiàng)l目?jī)蓚€(gè)方面[5]。當(dāng)網(wǎng)絡(luò)中的設(shè)備受到攻擊時(shí)，交換機(jī)會(huì)接收到大量不同包頭數(shù)據(jù)，流表?xiàng)l目會(huì)大幅增長(zhǎng)，數(shù)據(jù)帶寬會(huì)被大量消耗，嚴(yán)重時(shí)攻擊會(huì)直接造成網(wǎng)絡(luò)癱瘓。為準(zhǔn)確檢測(cè)網(wǎng)絡(luò)是否遭受攻擊，及時(shí)遏制攻擊規(guī)模。當(dāng)攻擊者通過DDoS方式攻擊網(wǎng)絡(luò)目標(biāo)時(shí)，其數(shù)據(jù)包目的地址、長(zhǎng)度變化幅度單一，源地址、源端口、目的端口變化多樣。根據(jù)這一特點(diǎn)，本文提出了基于對(duì)象特征的DDoS攻擊檢測(cè)方法。

該方法充分利用了SDN網(wǎng)絡(luò)的可編程性以及控制器對(duì)網(wǎng)絡(luò)的綜合管理性，包括流信息采集、7元組提取、數(shù)據(jù)訓(xùn)練與分析、命令下發(fā)4個(gè)部分，如圖2。

(1)流信息采集： 該部分負(fù)責(zé)向控制器數(shù)據(jù)庫(kù)周期性發(fā)送信息請(qǐng)求，獲取最新的網(wǎng)絡(luò)流表信息，請(qǐng)求周期為。

(2)7元組提取： SDN網(wǎng)絡(luò)遭受到DDoS攻擊主要包括流表溢出和控制器帶寬[5]。因此從層級(jí)角度分析，SDN網(wǎng)絡(luò)受到的網(wǎng)絡(luò)攻擊主要位于OSI (Open System Interconnection)參考模型中的網(wǎng)絡(luò)層和傳輸層。雖然SDN網(wǎng)絡(luò)改變了傳統(tǒng)網(wǎng)絡(luò)路由設(shè)備的轉(zhuǎn)發(fā)方式，但并沒有改變數(shù)據(jù)包的封裝結(jié)構(gòu)，因此，目的IP地址仍然是數(shù)據(jù)包到達(dá)目的地的最終依據(jù)。如文獻(xiàn)[11]中，作者便使用目的地址作為信息熵的參考對(duì)象。相對(duì)于受攻擊對(duì)象的目的IP地址唯一性，為躲避安全防護(hù)系統(tǒng)，DDoS攻擊方會(huì)制造大量不同的源IP地址、端口數(shù)據(jù)包。針對(duì)這一特性，我們提出了基于被攻擊對(duì)象目的地址的檢測(cè)7元組，如表1。接收到網(wǎng)絡(luò)流表信息后，通過對(duì)特別要素的提取與檢測(cè)，得到相應(yīng)流表數(shù)據(jù)。

圖2 檢測(cè)方法說明圖

表1 檢測(cè)7元組

(3)數(shù)據(jù)訓(xùn)練與分析： 該部分采用GHSOM算法，對(duì)獲取到的元素進(jìn)行訓(xùn)練和檢測(cè)。

訓(xùn)練過程主要包括4個(gè)部分：(a)初始化：按照輸入數(shù)據(jù)，計(jì)算第0層神經(jīng)元權(quán)重向量，并計(jì)算出平均量化誤差；(b)第1次映射：將第0層的獨(dú)立神經(jīng)元擴(kuò)展為第1層的4個(gè)神經(jīng)元，執(zhí)行SOM過程，完成數(shù)據(jù)的第1次映射；(c)橫向拓展：計(jì)算最新層獲勝神經(jīng)元的平均量化誤差，并將其與第0層神經(jīng)元的平均量化誤差進(jìn)行比較，確定是否進(jìn)行橫向拓展；如果滿足橫向拓展條件，在映射神經(jīng)元中尋找最大量化誤差的神經(jīng)元以及與該神經(jīng)元臨近的最不同神經(jīng)元，在二者間增加新列或行，繼續(xù)SOM過程，并繼續(xù)判定是否滿足橫向拓展條件；(d)縱向拓展：完成橫向拓展后，判斷映射神經(jīng)元是否滿足縱向拓展條件，如果需要縱向拓展，產(chǎn)生新的映射層，對(duì)新映射層重新進(jìn)行SOM過程、橫向拓展和縱向拓展。

檢測(cè)過程將采樣數(shù)據(jù)放入訓(xùn)練結(jié)果中進(jìn)行比對(duì)，判斷目標(biāo)對(duì)象是否遭受到DDoS攻擊。

(4)命令下發(fā)： 對(duì)發(fā)現(xiàn)異常目的地址，該部分負(fù)責(zé)向控制器數(shù)據(jù)庫(kù)發(fā)送安全指令，修改流表內(nèi)容，使交換機(jī)停止接收發(fā)向受攻擊目的地址的數(shù)據(jù)包。

4 可行性分析與仿真驗(yàn)證

本節(jié)包括可行性分析與仿真驗(yàn)證兩個(gè)部分。在可行性分析中，本文對(duì)SOM與信息熵的特點(diǎn)進(jìn)行了總結(jié)，并對(duì)選取的GHSOM算法是否適合于SDN網(wǎng)絡(luò)下的DDoS攻擊進(jìn)行了說明；另外，對(duì)本文提出的7元組是否可以充分體現(xiàn)SDN網(wǎng)絡(luò)下的DDoS攻擊數(shù)據(jù)特點(diǎn)進(jìn)行了實(shí)驗(yàn)驗(yàn)證。在仿真驗(yàn)證中，本文搭建了網(wǎng)絡(luò)環(huán)境，在OpenDayLight控制器下完成了檢測(cè)方法，通過模擬實(shí)際數(shù)據(jù)，對(duì)所提方法的效果進(jìn)行了分析。

4.1 可行性分析

(1)GHSOM可行性分析： 針對(duì)SDN網(wǎng)絡(luò)的DDoS攻擊，信息熵和SOM是兩種主要的探測(cè)方法。信息熵通常與相應(yīng)參數(shù)的閾值共同使用，如文獻(xiàn)[10]。該方法較SOM更加方便、靈活，對(duì)系統(tǒng)資源的占用更少。但是，閾值的設(shè)定過程會(huì)消耗一定的計(jì)算資源，而且，當(dāng)需要分別計(jì)算并考慮多個(gè)參數(shù)的信息熵時(shí)，衡量各參數(shù)的權(quán)值也需要額外的算法實(shí)現(xiàn)。因此，信息熵靈活、方便的特點(diǎn)并不適用于對(duì)多維數(shù)據(jù)的分析與檢測(cè)。

使用SOM，首先對(duì)數(shù)據(jù)完成訓(xùn)練，得到合法數(shù)據(jù)與攻擊數(shù)據(jù)的排列規(guī)律，依此規(guī)律完成對(duì)錄入數(shù)據(jù)的檢測(cè)。然而，SOM要求在訓(xùn)練前完成神經(jīng)元數(shù)量和排列的預(yù)先確定，相對(duì)DDoS攻擊數(shù)據(jù)量大且多變、數(shù)據(jù)特征不明等特點(diǎn)，SOM難以準(zhǔn)確完成SOM神經(jīng)元的數(shù)量和排列。此外，SOM中神經(jīng)元分布在同一映射層，而類型繁多的DDoS攻擊數(shù)據(jù)加重了數(shù)據(jù)映射后的處理難度。

GHSOM算法具有生長(zhǎng)、分層的特性，可根據(jù)處理數(shù)據(jù)的復(fù)雜程度自動(dòng)調(diào)整神經(jīng)元層級(jí)和數(shù)量。其更加靈活的結(jié)構(gòu)、更高的數(shù)據(jù)處理效率，更適用于DDoS攻擊的數(shù)據(jù)檢測(cè)。在傳統(tǒng)的無(wú)中心網(wǎng)絡(luò)中，GHSOM算法已被廣泛使用，如文獻(xiàn)[8]，文獻(xiàn)[15]。在SDN網(wǎng)絡(luò)環(huán)境下，控制與數(shù)據(jù)相分離，控制器可以掌控全網(wǎng)數(shù)據(jù)，更有利于GHSOM算法的實(shí)現(xiàn)。因此，從算法的靈活性、完整度，以及自身的可實(shí)現(xiàn)性等角度考慮，GHSOM算法較SOM算法和信息熵具有明顯優(yōu)勢(shì)。

(2)檢測(cè)7元組的可行性： 本文首次提出了基于目的地址的檢測(cè)7元組，并以此作為判定SDN網(wǎng)絡(luò)下DDoS攻擊的參考要素。為驗(yàn)證所提7元組的可行性，本節(jié)對(duì)7元組進(jìn)行了數(shù)據(jù)分析與說明。

網(wǎng)絡(luò)拓?fù)淙鐖D3所示，控制器為OpenDayLight (ODL)，連接3個(gè)Openflow交換機(jī)。Openflow交換機(jī)1，交換機(jī)3與普通交換機(jī)相連，主要為模擬數(shù)據(jù)的接入口；同時(shí)，與未被攻擊的虛擬主機(jī)相連，虛擬主機(jī)用來模擬真實(shí)網(wǎng)絡(luò)中的各種設(shè)備。3臺(tái)目標(biāo)主機(jī)目標(biāo)1，目標(biāo)2，目標(biāo)3作為被攻擊對(duì)象，與Openflow交換機(jī)2連接。依據(jù)文獻(xiàn)[18]中3種常見協(xié)議ICMP, TCP, UDP數(shù)據(jù)包的比例(5:85:10)，仿照WIDE項(xiàng)目[19]的數(shù)據(jù)流量，本文模擬了常規(guī)通信的數(shù)據(jù)流量，同時(shí)通過tfn2k攻擊軟件獲得了攻擊數(shù)據(jù)。

在數(shù)據(jù)采集中，為了能夠保證每次取樣的數(shù)據(jù)是在該時(shí)間間隔內(nèi)正在通信的條目，取樣周期為5 s，并在每次取樣后清空控制器流表，重新計(jì)時(shí)，重新取樣。在取樣過程中，我們選取了時(shí)長(zhǎng)為16連續(xù)合法數(shù)據(jù)，4攻擊數(shù)據(jù)，攻擊數(shù)據(jù)發(fā)生時(shí)間在合法數(shù)據(jù)的T8~T11之間(如圖4所示)，攻擊對(duì)象為圖3中目標(biāo)1，目標(biāo)2，目標(biāo)3。通過對(duì)數(shù)據(jù)的采集分析，我們得到了圖4，圖5，圖6的對(duì)比圖。

圖4中橫坐標(biāo)表示16個(gè)不同時(shí)段的目的IP地址，縱坐標(biāo)分別表示不同時(shí)段不同目的IP對(duì)應(yīng)的源IP數(shù)量(圖4(a))、源端口數(shù)量(圖4(b))和目的端口數(shù)量(圖4(c))。從3個(gè)子圖中可以看出，每個(gè)圖可分上下兩部分。上半部分包括3條折線，對(duì)應(yīng)的是圖3中3個(gè)受攻擊目標(biāo)1，目標(biāo)2，目標(biāo)3在遭受DDoS攻擊時(shí)對(duì)應(yīng)的源IP、源端口和目的端口數(shù)量；下半部分表示未遭受到攻擊的目的IP地址對(duì)應(yīng)的縱坐標(biāo)數(shù)量。

圖3 網(wǎng)絡(luò)拓?fù)鋱D

圖4 IP與端口數(shù)量對(duì)比圖

圖5 變化速率對(duì)比圖

圖5(a)，圖5(c)，圖5(e)橫坐標(biāo)分別表示正常通信中源IP、源端口、目的端口的變化率，縱坐標(biāo)表示不同變化率對(duì)應(yīng)的目的IP地址數(shù)量?？梢钥闯?，源IP和目的端口的變化范圍為(-100,100)，源端口的變化范圍為(-50,50)，而且分布呈拋物線形式，越靠近中心點(diǎn)(橫坐標(biāo)為0，即相鄰變化速率為0)，目的IP地址越多。

圖5(b)，圖5(d)，圖5(f)橫坐標(biāo)表示抽樣時(shí)間，縱坐標(biāo)表示圖3中3個(gè)受攻擊目標(biāo)1，目標(biāo)2，目標(biāo)3在遭受DDoS攻擊時(shí)對(duì)應(yīng)的源IP、源端口和目的端口變化速率。在T8時(shí)刻，3個(gè)目標(biāo)受到攻擊，可以看到其對(duì)應(yīng)的變化速率迅速升高，當(dāng)攻擊結(jié)束時(shí)(T12時(shí)刻)，變化速率迅速降低，在攻擊過程中，各變化速率也在不停抖動(dòng)。通過左右對(duì)比可以看出，合法數(shù)據(jù)的變化速率遠(yuǎn)遠(yuǎn)低于受到攻擊時(shí)的速率。

圖6為數(shù)據(jù)包長(zhǎng)度標(biāo)準(zhǔn)差對(duì)比圖，橫坐標(biāo)表示目標(biāo)IP，縱坐標(biāo)表示目標(biāo)IP對(duì)應(yīng)的數(shù)據(jù)包長(zhǎng)度標(biāo)準(zhǔn)差。上半部分3個(gè)點(diǎn)表示3個(gè)受攻擊目標(biāo)1，目標(biāo)2，目標(biāo)3在遭受DDoS攻擊時(shí)的數(shù)據(jù)包長(zhǎng)度標(biāo)準(zhǔn)差；下半部分為未受攻擊下的標(biāo)準(zhǔn)差。從圖中可以看出，雖然合法數(shù)據(jù)包的不同目的IP地址對(duì)應(yīng)的數(shù)據(jù)包長(zhǎng)度標(biāo)準(zhǔn)差大小不一，但攻擊者發(fā)送的攻擊數(shù)據(jù)包其數(shù)據(jù)包長(zhǎng)度的標(biāo)準(zhǔn)差明顯大于合法數(shù)據(jù)包長(zhǎng)度的標(biāo)準(zhǔn)差。充分體現(xiàn)了被攻擊對(duì)象受到攻擊前后的差異性。

圖6 數(shù)據(jù)包長(zhǎng)度標(biāo)準(zhǔn)差對(duì)比圖

通過實(shí)際拓?fù)涞拇罱ā?shù)據(jù)的模擬，圖4，圖5，圖6有力證明了文中所提出基于對(duì)象特征的7元組可以檢測(cè)SDN網(wǎng)絡(luò)是否遭受DDoS攻擊的可行性。

4.2 仿真驗(yàn)證與結(jié)果分析

在OpenDayLight控制器(Helium版本)上結(jié)合Openflow1.0完成了上文所提方法，并利用圖3所示拓?fù)渫瓿闪藬?shù)據(jù)的模擬、采集、訓(xùn)練和檢測(cè)。與可行性檢測(cè)類似，常規(guī)通信中訓(xùn)練、檢測(cè)所用數(shù)據(jù)完全由ICMP, TCP, UDP 3種協(xié)議，按5:85:10比例構(gòu)成，數(shù)據(jù)流量仿照WIDE項(xiàng)目；攻擊數(shù)據(jù)通過tfn2k攻擊軟件獲得；取樣周期為5 s。參數(shù)設(shè)置：,，學(xué)習(xí)速率。

作為對(duì)比，我們使用相同采樣數(shù)據(jù)，從中提取了文獻(xiàn)[9]中引用的6個(gè)參考元素(平均每個(gè)流的包數(shù)(APf)、平均每個(gè)流的比特?cái)?shù)(ABf)、平均每個(gè)流的持續(xù)時(shí)間、對(duì)稱流比例、獨(dú)立流增長(zhǎng)速度和不同端口增長(zhǎng)速度)(后文簡(jiǎn)稱6元組)，并進(jìn)行了基于GHSOM算法的實(shí)驗(yàn)。實(shí)驗(yàn)中，我們對(duì)合法數(shù)據(jù)和攻擊數(shù)據(jù)分別進(jìn)行了3600次和2160次訓(xùn)練，并將攻擊數(shù)據(jù)包速率與合法數(shù)據(jù)包速率之比(后文簡(jiǎn)稱為速率比)設(shè)定為1:6，對(duì)攻擊數(shù)據(jù)和合法數(shù)進(jìn)行了1400次和1800次的檢測(cè)。

在實(shí)際檢測(cè)中，本文將攻擊方式分為3種，方式1受攻擊對(duì)象包括目標(biāo)1，目標(biāo)2，目標(biāo)3；方式2受攻擊對(duì)象包括目標(biāo)2，目標(biāo)3；方式3受攻擊對(duì)象包括目標(biāo)1。表2給出了速率比為1:6時(shí)兩種檢測(cè)方法對(duì)應(yīng)的檢測(cè)率，其中3種攻擊方式的總攻擊次數(shù)為1440次。從表2可以看出，本文所提出的7元組的檢測(cè)率要高于6元組對(duì)應(yīng)的檢測(cè)率。這是因?yàn)?元組檢測(cè)項(xiàng)以流為分析對(duì)象，而每個(gè)流表?xiàng)l目可能會(huì)對(duì)應(yīng)諸多信息，比如目的地址、源地址、Vlan等，提高了檢測(cè)受攻擊目的地址的難度，犧牲了檢測(cè)率。而本文提出的7元組，以目的地址為分析對(duì)象，從數(shù)目、變化速率等多個(gè)角度對(duì)同一目標(biāo)進(jìn)行分析，提高了檢測(cè)率。

4.3 算法開銷討論

本文方法的開銷主要包括訓(xùn)練過程和檢測(cè)過程兩部分。

訓(xùn)練過程是線下過程，可以在其他網(wǎng)絡(luò)設(shè)備中進(jìn)行。因此，訓(xùn)練過程對(duì)控制器的影響可以忽略。檢測(cè)過程的計(jì)算復(fù)雜度主要受檢測(cè)目標(biāo)數(shù)量和單次檢測(cè)目標(biāo)所需計(jì)算次數(shù)決定。其中檢測(cè)目標(biāo)數(shù)量由目的IP地址的數(shù)量決定，在實(shí)驗(yàn)過程中以千為單位。單次檢測(cè)目標(biāo)所需計(jì)算次數(shù)受到7元組提取和GHSOM算法匹配時(shí)間影響。7元組提取主要包括前后兩次數(shù)據(jù)的比較，因此，如果每個(gè)周期提取的數(shù)據(jù)包數(shù)目為，那么在完成一次7元組提取時(shí)，數(shù)據(jù)包處理總量應(yīng)為2。GHSOM算法匹配時(shí)間，主要受到神經(jīng)元匹配過程影響，單位應(yīng)小于受檢測(cè)目標(biāo)數(shù)量。

表2 攻擊與檢測(cè)

圖7 不同速率比檢測(cè)率

5 總結(jié)

在基于Openflow協(xié)議的SDN網(wǎng)絡(luò)環(huán)境中，控制器利用傳輸層協(xié)議與交換機(jī)建立連接，傳輸指令，交換信息。當(dāng)網(wǎng)絡(luò)受到DDoS攻擊時(shí)，攻擊方會(huì)發(fā)送大量數(shù)據(jù)包，產(chǎn)生大量新的終端標(biāo)識(shí)，造成控制器的存儲(chǔ)資源、計(jì)算資源大量消耗，并大量占用控制器與交換機(jī)的連接資源，影響網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。為便捷準(zhǔn)確地發(fā)現(xiàn)受攻擊對(duì)象，最大限度釋放攻擊數(shù)據(jù)占用的網(wǎng)絡(luò)資源，利用GHSOM技術(shù)，本文提出了基于對(duì)象特征的DDoS攻擊檢測(cè)方法。

首先，結(jié)合SDN網(wǎng)絡(luò)及攻擊特點(diǎn)，提出了基于目的地址的檢測(cè)7元組，并以此作為判斷目標(biāo)地址是否受到DDoS攻擊的檢測(cè)元素；然后，采用模塊化設(shè)計(jì)，將GHSOM算法應(yīng)用于SDN網(wǎng)絡(luò)DDoS攻擊的分析檢測(cè)中，并在OpenDayLight的仿真平臺(tái)上完成了仿真實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果表明，本文提出的檢測(cè)7元組可以有效檢測(cè)目的地址是否受到攻擊。

[1] BENSON T, AKELLA A, and MALTZ D A. Unraveling the Complexity of Network Management[C]. 6th USENIX Symposium on Networked Systems Design and Implementation, Boston, MA, USA, 2009: 335-348.

[2] KREUTZ D, RAMOS F M V, ESTEVES VERISSIMO P,. Software-defined networking: A comprehensive survey[J]., 2015, 103(1): 14-76. doi: 10.1109/ jproc.2014.2371999.

[3] MCKEOWN N. How SDN will shape networking[C]. Open Networking Summit, Palo Alto, CA, USA, 2011: 56-61.

[4] SHENKER S, CASADO M, KOPONEN T,The future of networking, and the past of protocols[C]. Open Networking Summit, Palo Alto, CA, USA, 2011: 24-29.

[5] KANDOI R and ANTIKAINEN M. Denial-of-service attacks in OpenFlow SDN networks[C]. 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM), Ottawa, BC, Canada, 2015: 1322-1326. doi: 10.1109/inm.2015.7140489.

[6] SHIN S, YEGNESWARAN V, PORRAS P,Avant- guard: Scalable and vigilant switch flow management in software-defined networks[C]. Proceedings of the 2013 ACM SIGSAC Conference on Computer & Communications Security, Berlin, Germany, 2013: 413-424. doi: 10.1145/ 2508859.2516684.

[7] ASHRAF J and LATIF S. Handling intrusion and DDoS attacks in software defined networks using machine learning techniques[C]. IEEE 2014 National Software Engineering Conference (NSEC), Event-Karachi, Pakistan, 2014: 55-60. doi: 10. 1109/nsec.2014.6998241.

[8] 楊雅輝, 姜電波, 沈晴霓, 等. 基于改進(jìn)的GHSOM的入侵檢測(cè)研究[J]. 通信學(xué)報(bào), 2011, 32(1): 121-126.doi: 10.3969/j. issn.1000-436X.2011.01.016.

YANG Yahui, JIANG Dianbo, SHEN Qingni,Research on intrusion detection based on an improved GHSOM[J]., 2011, 32(1): 121-126. doi: 10. 3969/j.issn.1000-436X.2011.01.016.

[9] BRAGA R, MOTA E, and PASSITO A. Lightweight DDoS flooding attack detection using NOX/OpenFlow[C]. IEEE 2010 35th Conference on Local Computer Networks (LCN), Denver, Colorado, USA, 2010: 408-415. doi: 10.1109/lcn. 2010.5735752.

[10] MOUSAVI S M and ST-HILAIRE M. Early detection of DDoS attacks against SDN controllers[C]. IEEE 2015 International Conference on Computing, Networking and Communications (ICNC), Anaheim, California, USA, 2015: 77-81. doi: 10.1109/iccnc.2015.7069319.

[11] GIOTIS K, ARGYROPOULOS C, ANDROULIDAKIS G,. Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments[J]., 2014, 6(2): 122-136. doi: 10.1016/j.bjp.2013.10.014.

[12] PORRAS P, SHIN S, YEGNESWARAN V,A security enforcement kernel for OpenFlow networks[C]. Proceedings of the First Workshop on Hot Topics in Software Defined Networks, Helsinki, Finland, 2012: 121-126. doi: 10.1145/ 2342441.2342466.

[13] MIHAI-GABRIEL I and VICTOR-VALERIU P. Achieving DDoS resiliency in a software defined network by intelligent risk assessment based on neural networks and danger theory[C]. IEEE 2014 15th International Symposium on Computational Intelligence and Informatics (CINTI), Budapest, Hungary, 2014: 319-324. doi: 10.1109/CINTI. 2014.7028696.

[14] RAUBER A, MERKL D, and DITTENBACH M. The growing hierarchical self-organizing map: exploratory analysis of high-dimensional data[J]., 2002, 13(6): 1331-1341. doi: 10.1109/tnn. 2002.804221.

[15] HUANG S Y and HUANG Y. Network forensic analysis using growing hierarchical SOM[C]. IEEE 2013 13th International Conference on Data Mining Workshops (ICDMW), Brisbane, Australia, 2013: 536-543. doi: 10.1109/icdmw.2013.66.

[16] RAUBER. The GHSOM Architecture and Training Process [OL]. http://www.ifs.tuwien.ac.at/~andi/ghsom/description. html, 2016.

[17] 鮑旭華, 洪海, 曹志華. 破壞之王: DDoS攻擊與防范深度剖析[M]. 北京: 機(jī)械工業(yè)出版社, 2014: 20-76.

BAO Xuhua, HONG Hai, AND CAO Zhihua. The King of Destruction: DDoS Attact and Defense Depth Analysis[M]. Beijing: China Machine Press, 2014: 20-76.

[18] BORGNAT P, DEWAELE G, FUKUDA K,Seven years and one day: Sketching the evolution of internet traffic[C]. IEEE 2009 INFOCOM, Rio de Janeiro, Brazil, 2009: 711-719. doi: 10.1109/infcom.2009.5061979.

[19] KENJIRO Cho. MAWI working group traffic archive[OL]. http://mawi.wide.ad.jp/mawi/, 2016.

Distributed Denial of Service Attack Detection Based on Object Character in Software Defined Network

YAO Linyuan DONG Ping ZHANG Hongke

(,,100044,)

During the Distributed Denial of Service (DDoS) attack happening in Software Defined Network (SDN) network, the attackers send a large number of data packets. Large quantities of new terminal identifiers are generated. Accordingly, the network connection resources are occupied, obstructing the normal operation of the network. To detect the attacked target accurately, and release the occupied resources, a DDoS attack detection method based on object features with the GHSOM technology is provided. First, the seven-tuple is proposed for detection to determine whether the target address is under attack by DDoS. Then, a simulation platform is built, which is based on the OpenDayLight controller. GHSOM algorithm is applied to the network. Simulation experiments are performed to validate the feasibility of the detection method. The results show that the seven-tuple for detection can effectively confirm whether the target object is under a DDoS attack.

Software Defined Network (SDN); Seven-tuple; Self-organization mapping; Distributed Denial of Service (DDoS)

TP393

A

1009-5896(2017)02-0381-08

10.11999/JEIT160370

2016-04-18；改回日期：2016-10-19；

2016-12-20

董平 pdong@bjtu.edu.cn

國(guó)家973重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃(2013CB329100)，國(guó)家863高技術(shù)研究發(fā)展計(jì)劃(2015AA016103)，國(guó)家自然科學(xué)基金(61301081)，國(guó)家電網(wǎng)公司科技項(xiàng)目([2016]377)

The National Key Basic Research Program of China (2013CB329100), The National High Technology Research and Development Program 863 (2015AA016103), The National Natural Science Foundation of China (61301081), SGRIXTJSFW ([2016]377)

姚琳元： 男，1988年生，博士生，研究方向?yàn)橄乱淮ヂ?lián)網(wǎng)網(wǎng)絡(luò)層關(guān)鍵技術(shù).

董 平： 男，1979年生，副教授，研究方向?yàn)樾乱淮ヂ?lián)網(wǎng)、移動(dòng)、安全.

張宏科： 男，1957年生，教授，博士生導(dǎo)師，研究方向?yàn)橄乱淮ヂ?lián)網(wǎng)架構(gòu)、協(xié)議理論與技術(shù)、移動(dòng)互聯(lián)網(wǎng)絡(luò)路由、傳感器網(wǎng)絡(luò)技術(shù)等.