武澤慧 魏 強 任開磊 王清賢

?

基于OpenFlow交換機洗牌的DDoS攻擊動態(tài)防御方法

武澤慧*魏 強 任開磊 王清賢

(解放軍信息工程大學網(wǎng)絡(luò)空間安全學院 鄭州 450001) (數(shù)學工程與先進計算國家重點實驗室 鄭州 450001)

網(wǎng)絡(luò)資源的有限性和網(wǎng)絡(luò)管理的分散性是傳統(tǒng)網(wǎng)絡(luò)難以解決分布式拒絕服務(wù)攻擊問題的重要原因。當前的防御方法存在靜態(tài)性、滯后性的不足，并且難以定位攻擊者。針對上述問題，該文提出一種動態(tài)防御的方法。利用軟件定義網(wǎng)絡(luò)(SDN)集中控制和動態(tài)管理的特性構(gòu)建OpenFlow交換機洗牌模型，使用貪心算法實現(xiàn)用戶-交換機連接的動態(tài)映射，通過多輪洗牌區(qū)分出用戶群中的攻擊者和合法用戶，對合法用戶提供低延遲不間斷服務(wù)。在開源SDN控制器Ryu上實現(xiàn)原型系統(tǒng)，并在SDN環(huán)境下進行測試。性能測試結(jié)果表明采用該方法可以通過有限次的洗牌篩選出攻擊者，降低DDoS攻擊對合法訪問的影響；能力測試結(jié)果則說明了在由一個控制器組成的環(huán)形拓撲結(jié)構(gòu)下該方法的防御效果與攻擊流的大小無關(guān)，而是僅與攻擊者的數(shù)目有關(guān)。

網(wǎng)絡(luò)安全；軟件定義網(wǎng)絡(luò)；分布式拒絕服務(wù)攻擊；動態(tài)防御

1 引言

分布式拒絕服務(wù)(Distributed Denial of Service, DDoS)攻擊是一種由拒絕服務(wù)(Denial of Service, DoS)攻擊衍生出的攻擊技術(shù)[1]。攻擊者借助大量受控主機向目標發(fā)起攻擊，將拒絕服務(wù)攻擊的一對一攻擊方式擴展為多對一，因此危害更大且更難防范[2]。2015年第1季度，全球范圍內(nèi)發(fā)生的DDoS攻擊比2014年同期增長了100%。游戲、軟件等行業(yè)被攻擊情況嚴重，平均每次攻擊會造成約50萬美元的損失，攻擊者甚至會要求受害者支付贖金以停止攻擊[3]。

傳統(tǒng)網(wǎng)絡(luò)中DDoS攻擊難以消除的根源在其設(shè)計缺陷[1,4]。網(wǎng)絡(luò)設(shè)計初衷是保證端到端的通信，關(guān)注的是通過發(fā)送端和接收端來實現(xiàn)QoS(Quality of Service)、穩(wěn)定傳輸、安全保證等，導(dǎo)致網(wǎng)絡(luò)兩端很復(fù)雜，而網(wǎng)絡(luò)本身相對簡單，僅僅負責數(shù)據(jù)轉(zhuǎn)發(fā)。因此，網(wǎng)絡(luò)兩端的任何一端出現(xiàn)惡意行為，都會給對方造成損害，網(wǎng)絡(luò)本身不具備流量管理的任務(wù)和能力。

軟件定義網(wǎng)絡(luò)(SDN)的控制與轉(zhuǎn)發(fā)分離，集中控制，動態(tài)可編程，細粒度流量審查，以及動態(tài)流規(guī)則更新的特征使其在分布式拒絕服務(wù)攻擊的檢測和防御上具備一定的優(yōu)勢?，F(xiàn)有關(guān)于SDN拒絕服務(wù)攻擊的研究多是將傳統(tǒng)流量審查、分析方法應(yīng)用到SDN中，或者利用SDN集中管理的特性提高流量審查的效率和準確度。Braga等人[5]于2010年率先在NOX控制器上實現(xiàn)檢測分布式拒絕服務(wù)攻擊的安全應(yīng)用程序。控制器從網(wǎng)絡(luò)流量中提取需要的信息，并從中提取DDoS特征。將提取到的特征輸入到自組織圖(Self-Organizing Map, SOM)中，使用SOM配合機器學習算法檢測DDoS攻擊的數(shù)據(jù)流。該方法具有較高的檢測能力和較低的誤報。但是受限于特征提取和機器學習算法的效率，在控制器上部署該系統(tǒng)后會降低控制器的處理效率。2012年Yeganeh等人[6]提出降低控制器負載的Kandoo框架，該框架不僅可以緩解DDoS攻擊，也有助于增強網(wǎng)絡(luò)的魯棒性。Kandoo采用兩層控制器結(jié)構(gòu)，包括底層控制器平面和頂層控制器平面，其中底層控制器平面負責單一區(qū)域內(nèi)高頻度的事件處理，頂層控制器平面負責管控整個SDN，處理底層控制器無法處理的事件。采用上述方法可以在一定程度上緩解控制器DDoS的攻擊流，但是該方法僅能降低負載，無法識別DDoS攻擊流，不能從根本上解決DDoS攻擊的問題。2013年11月， Shin等人[7]提出AVANT-GUARD技術(shù)。AVANT-GUARD通過包含Connection Migration和Actuating Triggers兩項技術(shù)對數(shù)據(jù)平面以及數(shù)據(jù)到控制平面的安全性能進行了強化，Connection Migration用以防止數(shù)據(jù)平面的飽和攻擊；Actuating Triggers通過給SDN交換機提供條件觸發(fā)器提高了交換機的響應(yīng)速度。AVANT-GUARD可以防御TCP-SYN洪泛攻擊，但是其代價是犧牲了很大的系統(tǒng)系能，并且無法抵御應(yīng)用程序?qū)拥腄oS攻擊，也無法防御應(yīng)用層使用UDP或者ICMP協(xié)議的攻擊。

針對DDoS利用僵尸網(wǎng)絡(luò)進行攻擊的問題，Lim等人[8]提出DBA(DDoS Blocking Application)的僵尸網(wǎng)絡(luò)阻斷方法。DBA作為SDN控制器應(yīng)用軟件安裝在控制器之上，負責監(jiān)控網(wǎng)絡(luò)中的每個流量。當檢測到DDoS攻擊時，合法流量會被重定向到另一個備用服務(wù)器上，而攻擊流則會被當前控制器阻斷。由于該方法需要對每個數(shù)據(jù)流都進行監(jiān)控，因此大規(guī)模應(yīng)用受限；其次SDN中流規(guī)則是主動式安裝，對控制器負載要求較高。

通過上述介紹可知，當前針利用SDN防御拒絕服務(wù)攻擊主要集中在流量遷移中，利用SDN路由動態(tài)更新的策略實現(xiàn)攻擊流的負載均衡，降低攻擊對網(wǎng)絡(luò)的影響。與當前研究不同，本文提出一種動態(tài)防御的方法，其核心是利用SDN的特性實現(xiàn)交換機洗牌，通過多輪洗牌區(qū)分出用戶群中的攻擊者和合法用戶定位出攻擊者，當攻擊者被隔離后，攻擊流也不會再對網(wǎng)絡(luò)造成影響。

具體來說本文的貢獻如下：

(1)提出一種OpenFlow交換機洗牌模型，可以實現(xiàn)DDoS攻擊的防御和定位。

當前DDoS防御方法負載過高，靈活性較差。對此，本文通過交換機輪換的方式實現(xiàn)對攻擊流的分向轉(zhuǎn)發(fā)，通過交換機洗牌的方法實現(xiàn)攻擊者的快速定位，靈活性高，負載增加有限。

(2)基于SDN集中控制和動態(tài)管理的特性提出一種服務(wù)不間斷的DDoS防御方法。

本文方法利用SDN集中控制和動態(tài)管理的特性，使用控制器控制交換機輪換提供不間斷服務(wù)，可以實現(xiàn)在DDoS攻擊環(huán)境下對從攻擊流中分離出的合法訪問者繼續(xù)提供服務(wù)。

(3)在開源SDN控制器Ryu上實現(xiàn)原型系統(tǒng)，并在具體SDN環(huán)境下進行測試。

論文組織結(jié)構(gòu)：第2節(jié)概述本文DDoS攻擊動態(tài)防御的原理和過程；第3節(jié)結(jié)合OpenFlow協(xié)議，提出交換機洗牌方法，并對該方法的復(fù)雜度、準確性進行分析介紹；第4節(jié)對方法進行仿真實驗，通過多個對比結(jié)果闡述本文方法的可行性，并對性能進行測試評估；第5節(jié)對全文進行總結(jié)。

2 DDoS動態(tài)防御系統(tǒng)

DDoS動態(tài)防御方法使用SDN實現(xiàn)動態(tài)防御，通過控制器動態(tài)管理配置OpenFlow[1]交換機(以下簡稱交換機)，使用交換機洗牌方法完成攻擊流的分離與攻擊者的定位，下面對動態(tài)防御方法的體系結(jié)構(gòu)進行概述。

圖1所示為DDoS動態(tài)防御方法的框架圖，用戶的網(wǎng)絡(luò)流量通過SDN轉(zhuǎn)發(fā)至被保護的Web Server中。正常狀態(tài)下，用戶通過Web Server的DNS域名對其進行訪問，SDN控制器通過安全通道對交換機進行配置，確定一條轉(zhuǎn)發(fā)路由，由交換機負責數(shù)據(jù)包的轉(zhuǎn)發(fā)。本文在交換機上部署流量吞吐率檢測器，吞吐率的閾值由控制器設(shè)定。由于在用戶群中潛藏攻擊者，攻擊者發(fā)動DDoS攻擊會導(dǎo)致交換機的吞吐率劇增，交換機一旦檢測到吞吐率大于閾值，即認為攻擊者發(fā)動了DDoS攻擊，SDN進入被攻擊狀態(tài)。SDN控制器啟用交換機洗牌算法對交換機進行動態(tài)調(diào)度，該算法從所有用戶中分離出合法用戶，并調(diào)度交換機繼續(xù)為其提供不間斷服務(wù)，同時分離出攻擊者并對其進行隔離定位。本文方法適用于使用SDN防御傳統(tǒng)網(wǎng)絡(luò)的DDoS攻擊的場景，而針對SDN的DDoS攻擊，除了傳統(tǒng)的流量攻擊，也存在如拓撲欺騙攻擊等方式，本文方法如果應(yīng)用在該場景中，則僅能防御基于流量的DDoS攻擊，對于拓撲欺騙類型的攻擊無效。

圖1 DDoS動態(tài)防御方法框架圖

2.1 交換機分層

DDoS動態(tài)防御方法使用交換機對DDoS流量進行分離，并通過交換機的洗牌算法實現(xiàn)攻擊定位。為實現(xiàn)上述目標，并提高系統(tǒng)效率，首先需要對交換機進行分層處理。本文將交換機分為兩層：代理層交換機(proxy switches)和隱藏層交換機(hidden switches)，如圖2所示。

圖2 交換機分層模型圖

其中代理層的交換機是直接面向用戶端的，負責對來自用戶的網(wǎng)絡(luò)流量進行轉(zhuǎn)發(fā)的第1層交換機。隱藏層交換機負責篩選后的流量轉(zhuǎn)發(fā)。

2.2 交換機洗牌

本文利用SDN集中控制和動態(tài)管理的特性實現(xiàn)交換機洗牌算法。其實現(xiàn)原理如圖3所示。圖中7個用戶(用戶1至用戶7，用戶3和用戶5是潛藏的攻擊者)分別通過3個代理層交換機(S1, S2, S3)完成數(shù)據(jù)轉(zhuǎn)發(fā)，其中，用戶1, 2, 3由S1轉(zhuǎn)發(fā)，用戶4, 5由S2轉(zhuǎn)發(fā)，用戶6, 7由S3轉(zhuǎn)發(fā)。

攻擊產(chǎn)生時交換機S1和S2處于被攻擊狀態(tài)，控制器啟用洗牌算法調(diào)度其它代理交換機為用戶1, 2, 3, 4, 5提供服務(wù)，進入第1輪洗牌，用戶1, 3, 5由S4轉(zhuǎn)發(fā)，用戶2, 4由S5負責轉(zhuǎn)發(fā)。此時由于S5連接用戶2, 4，并且S5未處于被攻擊狀態(tài)，因此可以判定用戶2, 4不是攻擊者，S4仍然處于被攻擊狀態(tài)，因此用戶1, 3, 5均有可能是攻擊者。經(jīng)過下一輪的洗牌，用戶2, 5即可被識別處理。從中可以看出在洗牌過程中，代理層交換機存在4種狀態(tài)：Normal(N), Attacked(A), Suspected(Su), Saved (Sa)。正常狀態(tài)下，當攻擊產(chǎn)生時，狀態(tài)遷移到Suspected，通過洗牌后，得到兩種狀態(tài)：Saved和Attacked，其中Saved狀態(tài)經(jīng)過路由重定向后進入Normal狀態(tài)，Normal狀態(tài)的交換機負責數(shù)據(jù)包的轉(zhuǎn)發(fā)直至完成所有轉(zhuǎn)發(fā)任務(wù)，Attacked狀態(tài)的交換機將待轉(zhuǎn)發(fā)的數(shù)據(jù)包丟棄，完成對DDoS攻擊數(shù)據(jù)包的處理。

圖3 交換機洗牌示例圖

3 交換機洗牌模型

3.1 問題定義

為保證每輪洗牌中更快速地分離出攻擊者和合法用戶，需要實現(xiàn)一個高效的洗牌算法，本節(jié)對算法描述中需要的符號和問題進行定義，如表1所示。

表1 符號描述

易得

(2)

3.2 攻擊者數(shù)目似然估計

(4)

3.3 交換機貪心洗牌算法

顯然，當代理層每個交換機連接較少的用戶時，代理層交換機被攻擊的概率會降低，但是此時每輪洗牌后，被Saved的用戶數(shù)目也會降低，因此需要選擇一種提高每輪被Saved用戶的算法，即滿足

算法1描述了使用貪心算法實現(xiàn)的交換機洗牌過程。算法在以下3種情況下退出：(1)代理層交換機比用戶多，每個用戶可以分配一個代理層的交換機，二者之間可以實現(xiàn)一一對應(yīng)，無需洗牌即可實現(xiàn)定位；(2)僅剩一個代理層交換機，剩下所有的用戶均被分到該代理層交換機；(3)攻擊者的值為0，此時無需進行洗牌。

表2的GreedyShuffle算法是一個遞歸算法，調(diào)用MS()函數(shù)得到滿足式(5)的分配方案，表示一個代理層交換機連接的用戶數(shù)目。表示按照值進行分配時需要的代理層交換機的數(shù)目。,,均表示剩余的代理層交換機數(shù)目。算法1是一個遞歸算法，并且容易得到其時間復(fù)雜度，當和較大時，復(fù)雜度太高，計算量太大。對此，本文使用Eger[10]提出的Stirling近似等式，化簡后可得。因此算法1的MS函數(shù)中的循環(huán)可以省去，該函數(shù)復(fù)雜度將為1，算法1的時間復(fù)雜度降低為。

表2 GreedyShuffle算法

4 仿真測試

本節(jié)對上述基于OpenFlow交換機洗牌算法的性能以及使用該方法進行DDoS防御的能力進行測試。前者使用MATLAB對算法進行模擬，在算法中模擬了一定數(shù)目的用戶、攻擊者、代理層交換機，為方便比較，在模擬中將上述變量設(shè)置為固定值；后者在開源SDN控制器Ryu和開源OpenFlow交換機Open vSwitch上實現(xiàn)DDoS動態(tài)防御模塊，作為Ryu控制器的一個模塊加載啟動。

4.1 算法性能測試

在模擬中用戶和攻擊者的選取根據(jù)Matsumoto[11]提出的Mersenne-Twiste模型隨機產(chǎn)生。攻擊者攻擊所有與之相連接的代理層交換機，并且假設(shè)攻擊者具有足夠的帶寬和資源來進行攻擊。

圖4描述了洗牌輪數(shù)、攻擊者數(shù)目、代理交換機數(shù)目三者之間的關(guān)系。其中實線代表的是使用算法1隔離80%和95%的攻擊者時，洗牌輪數(shù)、攻擊者數(shù)目，以及代理交換機數(shù)目三者之間的變化關(guān)系；虛線代表的是隔離80%和95%的攻擊者時的理論上界(根據(jù)式(5)計算得到)。與預(yù)期結(jié)果相似，當隔離攻擊者的百分比恒定時，攻擊者數(shù)目越多，需要洗牌的輪數(shù)也越多，代理交換機的數(shù)目也越多。圖4(a)和圖4(b)中，用戶數(shù)目和代理交換機的值是固定的，攻擊者的數(shù)目從10遞增至500。圖4(c)和圖4(d)中用戶數(shù)目與圖4(a)和圖4(b)相同，攻擊者的數(shù)目固定為100，代理交換機的數(shù)據(jù)從40遞增至500。每輪模擬執(zhí)行10次，取其均值。根據(jù)圖4可知，算法1的執(zhí)行結(jié)果接近理論上界，可以認為是近似最優(yōu)的。從圖4(a)和圖4(b)也可以看出當隔離攻擊者的比例確定時，需要洗牌的輪數(shù)與攻擊者數(shù)目之間呈現(xiàn)近似線性增長的關(guān)系。圖4(c)和圖4(d)則說明當代理層交換機數(shù)目增加時，需要洗牌的輪數(shù)會減少，并且當代理交換機數(shù)目小于攻擊者數(shù)目時，變化極為明顯，而當代理交換機數(shù)目大于攻擊者數(shù)目時，變化趨向平緩。

4.2 DDoS動態(tài)防御能力測試

本文對基于交換機洗牌的DDoS動態(tài)防御方法進行了原型系統(tǒng)實現(xiàn)，使用Python語言開發(fā)，作為開源控制器Ryu v3.6的應(yīng)用軟件隨Ryu控制器同時啟動。使用的OpenFlow協(xié)議版本為1.1.0，代理交換機使用虛擬交換機Open vSwitch v2.3.1(拓撲圖中簡稱OVS)完成。原型系統(tǒng)實現(xiàn)共計約3000行Python代碼。

使用圖5所示的拓撲結(jié)構(gòu)進行測試，其中OVS- 1至OVS-5表示代理層交換機，其余表示轉(zhuǎn)發(fā)層交換機；使用Ryu對交換機進行管理和配置，Ryu安裝在Intel Xeon CPU、主頻2.13 GHz和64 GB內(nèi)存的物理主機上，并在Ryu上部署流量監(jiān)測程序定時獲取網(wǎng)絡(luò)中的流量分布情況；使用5個Kali虛擬機模擬3種類型的流量，其中Agg1至Agg4表示合法流量，Agg5表示攻擊流量，攻擊流使用TCP SYN方式實現(xiàn)。

(1)抗DDoS攻擊能力： 圖6描述了不使用本文方法(圖6(a))和使用本文方法(圖6(b))時流量的帶寬占用率和數(shù)據(jù)包丟失率的分布情況。數(shù)據(jù)流發(fā)送速率從時開始增加，到時開始下降。從圖6(a1)可以看出，在不使用本文方法時，高帶寬的數(shù)據(jù)流會耗盡幾乎所有的網(wǎng)絡(luò)帶寬。圖6(a2)代表了正常通信的數(shù)據(jù)包的丟失率，當Agg5的速率增大時，正常網(wǎng)絡(luò)數(shù)據(jù)包的丟失率也開始增大。圖6(b1)和圖6(b2)展示了在使用本文方法后的模擬結(jié)果。當Agg5的速率開始增大時，丟包率也開始增大，但是當丟包率增大到設(shè)定的閾值10%時，本文方法檢測到Agg5的異常，啟動交換機洗牌方法對Agg5進行流量控制重定向，篩選攻擊者，轉(zhuǎn)發(fā)正常網(wǎng)絡(luò)數(shù)據(jù)包。從圖6(b1)和(b2)可以看出，部署本文方法后，攻擊流量的持續(xù)時間顯著變短，對帶寬的占用率和丟包率均減小。

圖4 攻擊者、洗牌輪數(shù)和代理交換機之間的變化關(guān)系圖

圖5 能力測試拓撲結(jié)構(gòu)圖

圖6 動態(tài)防御方法使用前、后的網(wǎng)絡(luò)流量分布圖

圖7(a)所示是在上述測試拓撲結(jié)構(gòu)下，攻擊流大小與動態(tài)防御方法恢復(fù)網(wǎng)絡(luò)正常所需時間的關(guān)系。測試中使用多個攻擊者構(gòu)造不同大小的攻擊流對拓撲結(jié)構(gòu)中的代理交換機進行攻擊。從中可以看出二者近似呈現(xiàn)對數(shù)關(guān)系，當攻擊者被隔離后，攻擊者實施攻擊時產(chǎn)生攻擊流的大小對防御的影響不大，根據(jù)圖7(a)可推斷在1200 s時，攻擊者幾乎被全部隔離出，后續(xù)盡管攻擊流繼續(xù)增大，但對網(wǎng)絡(luò)幾乎不造成影響。

(2)與已有工具的對比測試： 與傳統(tǒng)網(wǎng)絡(luò)中DDoS防御工具Ice-Shield防火墻(試用版)、開源防御工具DDoS Deflate進行對比測試。其中防火墻和開源防御工具部署在Server中，采用圖5所示拓撲進行測試。測試結(jié)果如圖7(b)所示，橫坐標是時間軸，縱坐標表示網(wǎng)絡(luò)中總流量的變化，分別在20 s和200 s時啟動攻擊腳本。從圖7(b)中可得到：(1)在80 s時，黑線即開始下降，表示本文方法的攻擊流篩選能力相較其他兩種工具較強；(2)在200~250 s之間，其余兩條曲線的最低點比黑線低，并且低于0 s時刻的值，說明另外兩種工具存在一定的誤報，且比本文方法要高；(3)在200 s后，黑線基本保持不變，說明攻擊者隔離后，再次啟動攻擊，對網(wǎng)絡(luò)不會造成影響，而其它兩個工具由于無法隔離攻擊者，在攻擊再次發(fā)生時，無法產(chǎn)生該防御效果。

(3)對網(wǎng)絡(luò)負載的影響： 在控制器和交換機上實現(xiàn)該動態(tài)防御方法會增加數(shù)據(jù)包轉(zhuǎn)發(fā)的時延，下面對其時延開銷進行測試。通過測試數(shù)據(jù)包由用戶發(fā)送到Web服務(wù)器的往返時間測試系統(tǒng)的負載開銷。選擇10個地理位置相距較遠的用戶節(jié)點組成5對測試對象。RTT根據(jù)5對節(jié)點的TCP消息往返時間確定，取100次結(jié)果的均值。吞吐率測試中的數(shù)據(jù)由10個Iperf會話組成。從表3和表4可以看出，引入采用本文方法后，節(jié)點之間的通信時延通常低于30%，而對吞吐率的影響較大。吞吐率的變化主要是由于控制器動態(tài)更新交換機流表所致，而不是算法本身的問題，建立控制器與代理層交換機之間的專用通道可提高吞吐率。

表3 代理交換機的引入對網(wǎng)絡(luò)負載的影響

表4 代理交換機的引入對吞吐率的影響(MB/s)

圖7 壓力測試及對比測試的結(jié)果圖

5 結(jié)束語

DDoS攻擊始終是網(wǎng)絡(luò)安全中懸而未決的難題，許多網(wǎng)站運行商選擇內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)，或者部署在云環(huán)境中來緩解DDoS攻擊。但是這種防御方法是攻防雙方資源的對抗，不能有效解決DDoS攻擊問題。本文提出的DDoS動態(tài)防御方法利用SDN集中控制和動態(tài)管理的特性，通過交換機洗牌的方法，不僅可以有效防御DDoS攻擊，同時能夠?qū)粽哌M行篩選定位。但是隨著DDoS攻擊技術(shù)的發(fā)展，動態(tài)防御的方法也要隨之改進，未來可以考慮將利用SDN實現(xiàn)的動態(tài)防御方法與云環(huán)境配合使用，實現(xiàn)多維立體的攻擊防護。

[1] PRAS A, SANTANNA J, and STEINBERGER J. DDoS 3.0-How Terrorists Bring Down the Internet[M]. New York: Springer, 2016: 1-4. doi: 10.1007/978-3-319-31559-1_1.

[2] YADAV V K, TRIVEDI C, and MEHTRE M. DDA: an approach to handle DDoS (Ping Flood) attack[C]. International Conference on ICT for Sustainable Development, Singapore, 2016: 11-23. doi: rg/10.1007/978- 981-10-0129-1_2.

[3] NAGPAL B, SHARMA P, and CHAUHAN N. DDoS tools: classification, analysis and comparison[C]. IEEE International Conference on Computing for Sustainable Global Development, New Delhi, India, 2015: 342-346.

[4] LIU Xia, YANG Xin, and XIA Yu. Netfence: preventing internet denial of service from inside out[C]. ACM Sigcomm Computer Communication Review, New York, NY, USA, 2010: 255-266. doi: 10.1145/1851182.1851214.

[5] BRAGA R, MOTA E, and PASSITO A. Lightweight DDoS flooding attack detection using NOX/OpenFlow[C]. International Conference on Local Computer Networks, Washington, DC, USA, 2010: 408-415.doi: 10.1109/lcn. 2010.5735752.

[6] YEGANEH S and CANJALI Y. Kandoo: a framework for efficient and scalable offloading of control applications[C]. ACM Workshop on Hot Topics in Software Defined Networks, Helsinki, Finland, 2012: 19-24.doi: 10.1145/ 2342441. 2342446.

[7] SHIN S and PORRAS P. AVANT-GUARD: scalable and vigilant switch flow management in software-defined networks[C]. International Conference on Computer and Communications Security. Berlin, Germany, 2013: 413-424. doi: 10.1145 /2508859.2516684.

[8] LIM S, HA J, KIM H,. A SDN-oriented DDoS blocking scheme for botnet-based attacks[C]. International Conference on Ubiquitous and Future Networks, Shanghai, China, 2014: 63-68. doi: 10.1109/icufn.2014.6876752.

[9] JOHNSON N and KOTZ S. Urn models and their applications: an approach to modern discrete probability theory[J]., 1978, 20(4): 104-119. doi:10.2307/3617688.

[10] EGER S. Stirling’s approximation for central extended binomial coefficients[J]., 2014, 121(4): 344-349. doi: 10.4169/amer.math.monthly.121. 04.344.

[11] MATSUMOTO M and NISHIMURA T. Mersenne twister: a 623-dimensionally equidistributed uniform pseudo-random number generator[J],, 1998, 8(1): 3-30. doi: 10.1145/272991.272995.

Dynamic Defense for DDoS Attack Using OpenFlow-based Switch Shuffling Approach

WU Zehui WEI Qiang REN Kailei WANG Qingxian

(,,450001,) (,450001,)

The limitations of network resource and the dispersion of network management are the two major difficulties for traditional networks to address the Distributed Denial of Service (DDoS) attacks. However, current defense methods are static and hysteresis, which are unable to locate the attackers accurately. Therefore, a dynamic defense using the two pivotal features, centralized control and dynamic management, of Software Defined Networks (SDN) is proposed. An OpenFlow-based switch shuffling model is built which employs greedy algorithm to remap user-switch link dynamically. After several shuffling, attacker could be differentiated from legitimate users and provide the latter with low latency uninterrupted services. The proposed approach is implemented in Ryu, the open source SDN controller, and the prototype is tested in a real SDN. The results of performance test show that with this approach attackers in limited times of shuffling can be isolated and the effects of DDoS attacks on legal flows can be reduced. The outcomes of defense ability test demonstrate that the efficiency of the proposed dynamic approach has nothing to do with the size of attack flow, but is only related to the number of attackers in the ring topology structure which is composed of a single controller.

Cyber security; Software Defined Networks (SDN); Distributed Denial of Service (DDoS); Dynamic defense

TP393.08

A

1009-5896(2017)02-0397-08

10.11999/JEIT160449

2016-05-03；改回日期：2016-09-27；

2016-11-14

武澤慧 wuzehui2010@foxmail.com

國家863計劃項目(2012AA012902)，國家杰出青年科學基金(61402526)

The National 863 Program of China (2012AA012902), The National Science Fund for Distinguished Young Scholars (61402526)

武澤慧： 男，1988年生，博士，研究方向為網(wǎng)絡(luò)安全.

魏 強： 男，1979年生，副教授，碩士生導(dǎo)師，研究方向為工控網(wǎng)絡(luò)安全.

任開磊： 男，1992年生，碩士，研究方向為SDN安全.

王清賢： 男，1960年生，教授，博士生導(dǎo)師，研究方向為網(wǎng)絡(luò)與信息安全.