鄒承明 劉攀文 唐星

摘 要：在軟件定義網(wǎng)絡(luò)（SDN）中，動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）泛洪攻擊報(bào)文通常能通過(guò)reactive方式主動(dòng)地進(jìn)入控制器，對(duì)SDN危害巨大。針對(duì)傳統(tǒng)的DHCP泛洪攻擊防御方法無(wú)法阻止SDN中該攻擊帶來(lái)的控制鏈路阻塞這一問(wèn)題，提出一種DHCP泛洪攻擊的動(dòng)態(tài)防御機(jī)制（DDM）。DDM包含檢測(cè)模型和緩解模型。在檢測(cè)模型中，不同于他人提出的靜態(tài)閾值檢測(cè)方法，采用DHCP流量均速和IP池余量?jī)蓚€(gè)關(guān)鍵參數(shù)建立動(dòng)態(tài)峰值估計(jì)模型來(lái)評(píng)估端口是否受到攻擊，若受到攻擊則交由緩解模型進(jìn)行防御。在緩解模型中，利用地址解析協(xié)議（ARP）的應(yīng)答特點(diǎn)進(jìn)行IP池清洗，并設(shè)計(jì)了周期內(nèi)分時(shí)段攔截機(jī)制對(duì)攻擊源進(jìn)行截流，在緩解阻塞的同時(shí)，最大限度減少攔截對(duì)用戶正常使用的影響。仿真實(shí)驗(yàn)結(jié)果表明，相對(duì)靜態(tài)閾值檢測(cè)，DDM檢測(cè)誤差平均降低18.75%。DDM緩解模型能高效地?cái)r截流量，同時(shí)將用戶在攔截期正常接入網(wǎng)絡(luò)的等待時(shí)間平均縮短81.45%。

關(guān)鍵詞：動(dòng)態(tài)主機(jī)配置協(xié)議;軟件定義網(wǎng)絡(luò);IP池;地址解析協(xié)議;異常流量

中圖分類號(hào)：TN915.08

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-9081（2019）04-1066-07

Abstract： In Software Defined Network （SDN）， Dynamic Host Configuration Protocol （DHCP） flood attack packets can actively enter the controller in reactive mode， which causes a huge hazard to SDN. Aiming at the promblem that the traditional defense method against DHCP flood attack cannot keep the SDN network from control link blocking caused by the attack， a Dynamic Defense Mechanism （DDM） against DHCP flood attacks was proposed. DDM is composed of a detection model and mitigation model. In the detection model， different from the static threshold detection method， a dynamic peak estimation model was constructed by two key parameters — DHCP average traffic seed and IP pool surplus to evaluate whether the ports were attacked. If the ports were attacked， the mitigation model would be informed. In the mitigation model， the IP pool cleaning was performed based on the response character of Address Resolution Protocol （ARP）， and an interval interception mechanism was designed to intercept the attack source， mitigating the congestion and minimizing the impact on users during interception. Simulation experimental results show that the detection error of DDM is averagely 18.75%， lower than that of the static threshold detection. The DDM mitigation model can effectively intercept traffic and reduce the waiting time for users to access the network during the interception by an average of 81.45%.

Key words： Dynamic Host Configuration Protocol （DHCP）; Software Defined Network （SDN）; IP pool; Address Resolution Protocol （ARP）; anomaly traffic

0?引言

軟件定義網(wǎng)絡(luò)（Software Defined Network， SDN）解耦了數(shù)據(jù)平面和控制平面，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)的中心控制，并提供了可編程的抽象接口，是一種非常具有前景的網(wǎng)絡(luò)架構(gòu)[1-5]。然而，正是由于這種結(jié)構(gòu)使得SDN容易遭到拒絕服務(wù)（Denial of Service， DoS）攻擊[6-8]。

動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol， DHCP）泛洪攻擊屬于DoS攻擊。該攻擊一方面能耗盡網(wǎng)絡(luò)IP資源，使得新接入網(wǎng)絡(luò)的主機(jī)無(wú)法被分配新的IP（Internet Protocol），造成DHCP饑餓現(xiàn)象;另一方面，該攻擊會(huì)加重服務(wù)器負(fù)擔(dān)，甚至使服務(wù)器癱瘓[9]。DHCP泛洪攻擊的場(chǎng)景移植到SDN中后，DHCP服務(wù)通常部署在SDN控制器中，控制器通過(guò)OpenFlow協(xié)議對(duì)DHCP數(shù)據(jù)包的控制，使得偽造DHCP服務(wù)器、DHCP協(xié)議廣播風(fēng)暴等問(wèn)題無(wú)法存在。但在面對(duì)DHCP泛洪攻擊時(shí)，SDN顯得脆弱得多。在SDN中，DHCP泛洪攻擊除了能夠消耗IP池外，當(dāng)攻擊流量足夠大時(shí)，大量DHCP協(xié)議報(bào)文通過(guò)控制鏈路涌入控制器，會(huì)嚴(yán)重阻塞控制鏈路，甚至使得交換機(jī)和控制器失去連接，從而使網(wǎng)絡(luò)局部癱瘓[10]。此外，由于協(xié)議的特殊性，在SDN中，DHCP報(bào)文通常會(huì)以reactive的方式進(jìn)入控制器，使得DHCP泛洪攻擊可以隨時(shí)由接入網(wǎng)絡(luò)的主機(jī)發(fā)起，對(duì)網(wǎng)絡(luò)安全性構(gòu)成威脅。因此在SDN中進(jìn)行DHCP泛洪攻擊的防御具有重要的意義。

本文中DHCP泛洪攻擊的防御可分為檢測(cè)和緩解兩個(gè)階段。傳統(tǒng)的防御方法在SDN中存在一定局限性，無(wú)法充分發(fā)揮SDN結(jié)構(gòu)的優(yōu)勢(shì)。在檢測(cè)階段，傳統(tǒng)的方法會(huì)根據(jù)DHCP報(bào)文速率劃定一條靜態(tài)的閾值來(lái)判斷攻擊行為，這種方式無(wú)法適應(yīng)SDN中流量實(shí)時(shí)變化，會(huì)產(chǎn)生很大的檢測(cè)誤差。在緩解階段，傳統(tǒng)方案采用部署密鑰分配和授權(quán)服務(wù)器來(lái)預(yù)防DHCP饑餓攻擊[11]，但是由于無(wú)法有效阻止DHCP泛洪流量進(jìn)入SDN控制器，仍然會(huì)造成網(wǎng)絡(luò)的癱瘓。而由于SDN在結(jié)構(gòu)上的巨大優(yōu)勢(shì)，網(wǎng)絡(luò)管理員可以利用OpenFlow流表對(duì)流量進(jìn)行控制[12-14]，靈活地應(yīng)對(duì)上述問(wèn)題。例如，當(dāng)控制鏈路受到威脅時(shí)，控制器通過(guò)下發(fā)流表阻止DHCP流量進(jìn)入控制器，這點(diǎn)傳統(tǒng)網(wǎng)絡(luò)無(wú)法做到。因此研究SDN的DHCP實(shí)時(shí)防御方法有重要意義。

根據(jù)上文的敘述，本文提出了一種動(dòng)態(tài)防御機(jī)制（Dynamic Defense Mechanism， DDM）。

DDM將DHCP泛洪攻擊在SDN下的防御分為兩個(gè)方面：攻擊檢測(cè)和攻擊緩解。針對(duì)攻擊檢測(cè)，本文提出了新的檢測(cè)機(jī)制，通過(guò)DHCP流量均速和IP池余量?jī)蓚€(gè)關(guān)鍵參數(shù)建立動(dòng)態(tài)的檢測(cè)模型：一方面監(jiān)測(cè)IP池余量防止饑餓攻擊，另一方面利用IP池余量和當(dāng)前DHCP流速預(yù)測(cè)下一時(shí)刻的峰值，對(duì)DHCP防洪攻擊進(jìn)行預(yù)警。針對(duì)攻擊緩解，本文將該問(wèn)題劃分為兩個(gè)方面：IP池消耗攻擊緩解和控制鏈路消耗攻擊緩解。當(dāng)SDN受到IP池消耗攻擊時(shí)，本文利用地址解析協(xié)議（Address Resolution Protocol， ARP）應(yīng)答的特點(diǎn)進(jìn)行無(wú)效IP地址的甄別，并采取實(shí)時(shí)清除無(wú)效IP的方案維持IP池余量的動(dòng)態(tài)平衡。當(dāng)SDN受到控制鏈路消耗攻擊時(shí)，除了采取實(shí)時(shí)清除無(wú)效IP的方案外，本文還設(shè)計(jì)了周期內(nèi)分時(shí)段攔截機(jī)制進(jìn)行流量攔截，攔截非法的DHCP流量的同時(shí)最大限度減小流量攔截對(duì)正常用戶的影響。本文主要做了以下工作：1）提出了一種SDN下DHCP泛洪攻擊的實(shí)時(shí)檢測(cè)機(jī)制;2）充分考慮到SDN架構(gòu)的特點(diǎn)，利用ARP對(duì)攻擊端口進(jìn)行無(wú)效IP的甄別，并設(shè)計(jì)了一種周期內(nèi)分時(shí)攔截機(jī)制，攔截非法DHCP流量。

1?相關(guān)工作

文獻(xiàn)[11， 15-18]進(jìn)行了DHCP泛洪攻擊防御的研究。其中，文獻(xiàn)[11]采用部署密鑰分配和授權(quán)服務(wù)器的方案來(lái)預(yù)防DHCP饑餓攻擊。文獻(xiàn)[15]設(shè)計(jì)了一種單播的ARP改進(jìn)協(xié)議S-UARP（Secure Unicast ARP）來(lái)防止DHCP欺騙，但是這種改進(jìn)基礎(chǔ)協(xié)議的方式難以推廣。文獻(xiàn)[16]介紹了DHCP饑餓攻擊對(duì)無(wú)線網(wǎng)絡(luò)帶來(lái)的嚴(yán)重危害，并提出了一種公平的動(dòng)態(tài)IP地址分配機(jī)制來(lái)解決DHCP饑餓攻擊的問(wèn)題。文獻(xiàn)[17]結(jié)合NETCONF協(xié)議設(shè)計(jì)的DHCP Snooping系統(tǒng)來(lái)提高安全性，防止偽造DHCP服務(wù)器的威脅。文獻(xiàn)[11-17]的方法雖然能夠防御DHCP饑餓攻擊，但無(wú)法解決SDN鏈路阻塞的問(wèn)題。文獻(xiàn)[18]發(fā)現(xiàn)無(wú)線局域網(wǎng)下一種隱蔽的DHCP饑餓攻擊的方式，計(jì)算了訓(xùn)練和測(cè)試兩個(gè)階段的數(shù)據(jù)分布，并提出利用兩個(gè)階段數(shù)據(jù)分布的海林格距離來(lái)檢測(cè)這種饑餓攻擊，但是這種方式缺乏實(shí)時(shí)DHCP流量的敏感性。

本文主要針對(duì)SDN中的DHCP泛洪攻擊提出實(shí)時(shí)的防御方案，在防御DHCP饑餓攻擊的同時(shí)預(yù)防DHCP泛洪攻擊阻塞控制鏈路。

2?DDM防御模型

圖1為DDM模型防御的原理。DDM模型分為檢測(cè)和緩解兩部分。DHCP泛洪攻擊的檢測(cè)模塊采用OpenFlow協(xié)議中的Asynchronous消息類型。DHCP報(bào)文由Packet-in消息為載體被送入控制器，DDM中的檢測(cè)模塊對(duì)這些消息報(bào)文進(jìn)行檢測(cè)。DHCP泛洪攻擊的緩解模塊采用OpenFlow協(xié)議中的Controller-to-Switch消息類型。當(dāng)IP池受到惡意消耗后，該模塊利用ARP對(duì)已租賃的IP進(jìn)行比對(duì)，來(lái)達(dá)到清洗IP池的目的。ARP在控制器中進(jìn)行封裝通過(guò)Packet-out消息發(fā)送到交換機(jī)指定的端口，同時(shí)下發(fā)Flow-mod消息，指示交換機(jī)提交ARP應(yīng)答報(bào)文到控制器。當(dāng)DHCP泛洪流量開(kāi)始對(duì)控制鏈路造成影響時(shí)，控制器利用周期內(nèi)分時(shí)段攔截機(jī)制下發(fā)Flow-mod消息指示交換機(jī)丟棄DHCP報(bào)文。

2.1?DHCP泛洪攻擊的檢測(cè)

2.1.1?動(dòng)態(tài)峰值估計(jì)

在DHCP泛洪攻擊的檢測(cè)中，將時(shí)間進(jìn)行周期劃分，周期長(zhǎng)度為w。對(duì)單個(gè)端口進(jìn)行考慮，觀察最近的連續(xù)T個(gè)周期DHCP報(bào)文的統(tǒng)計(jì)數(shù)據(jù)，對(duì)這T個(gè)周期的數(shù)據(jù)以零開(kāi)始進(jìn)行編號(hào)，那么第t個(gè)周期的DHCP報(bào)文數(shù)量為nt，每周期平均DHCP報(bào)文數(shù)量a，表示為：

其中：網(wǎng)絡(luò)規(guī)模參數(shù)ε限定了γ的偏移率范圍，因此可以通過(guò)不同的網(wǎng)絡(luò)規(guī)模確定不同的偏移率范圍。

2.1.2?攻擊檢測(cè)

每周期結(jié)束時(shí)會(huì)更新估計(jì)峰值D，使其能適應(yīng)當(dāng)前網(wǎng)絡(luò)DHCP流量的變化，值得注意的是DHCP泛洪攻擊的判定在估計(jì)峰值更新之前。估計(jì)峰值的更新涉及到兩個(gè)變量a和sr，因此得到兩個(gè)變量的更新值后，利用上文建立的模型就能更新估計(jì)峰值D。數(shù)組K存放最近T個(gè)周期內(nèi)DHCP報(bào)文的數(shù)量。

Q為一個(gè)消息隊(duì)列，用于存儲(chǔ)受攻擊的端口編號(hào)以及攻擊類型。認(rèn)定受攻擊的端口號(hào)為r。IP池惡意消耗攻擊和控制鏈路消耗攻擊兩種攻擊類型分別標(biāo)記為0和1，則一個(gè)消息隊(duì)列的元組可以表示為（r|0）或者（r|1），所表達(dá)的含義為r端口受到0或者1類型的攻擊。算法1為每個(gè)周期結(jié)束后，執(zhí)行的DHCP攻擊檢測(cè)方法，用python風(fēng)格描述。

當(dāng)n≥D時(shí)，會(huì)以η的概率判定網(wǎng)絡(luò)受到DHCP攻擊，這樣做的目的是減少對(duì)短暫、突然的DHCP流量增大的誤判。λ為一個(gè)常量，用來(lái)根據(jù)需要調(diào)整η的大小。需要對(duì)n≥2D和n≥ε ln 2兩種情況作出說(shuō)明的是，當(dāng)n≥2D，此時(shí)η≤0，說(shuō)明網(wǎng)絡(luò)已經(jīng)超出了正常峰值的波動(dòng)范圍，誤判的概率為0，雖然不能非常確定受到控制鏈路消耗攻擊，但為了防止這種異常狀況帶來(lái)的未知的網(wǎng)絡(luò)威脅，認(rèn)定該情況網(wǎng)絡(luò)受到控制鏈路消耗攻擊;當(dāng)n≥ε ln 2時(shí)，此時(shí)γ≤0，說(shuō)明DHCP流量已經(jīng)超出網(wǎng)絡(luò)規(guī)模的正常限定，認(rèn)定網(wǎng)絡(luò)受到控制鏈路消耗攻擊。以周期為單位分析算法的性能開(kāi)銷(xiāo)，該算法時(shí)間復(fù)雜度在一個(gè)周期內(nèi)只與端口數(shù)有關(guān)，即為O（m）;而該算法需要用數(shù)組來(lái)存儲(chǔ)每個(gè)端口最近T個(gè)周期內(nèi)的數(shù)據(jù)，因此該算法空間復(fù)雜度為O（T * m）。

2.2?DHCP泛洪攻擊的緩解

在進(jìn)行DHCP泛洪攻擊檢測(cè)時(shí)，將檢測(cè)到的受到攻擊的端口以及攻擊類別作為一個(gè)元組放入消息隊(duì)列Q中，緩解模型以消息隊(duì)列中的元組信息為單位，進(jìn)行攻擊緩解。攻擊緩解通常分為兩部分：IP池惡意消耗攻擊和控制鏈路消耗攻擊。

IP池惡意消耗攻擊和控制鏈路消耗攻擊都會(huì)消耗IP池，即無(wú)論從消息隊(duì)列Q中取出的隊(duì)頭是（r|0）還是（r|1），緩解模塊都會(huì)對(duì)IP池進(jìn)行清洗。IP池清洗借助了ARP應(yīng)答特點(diǎn)來(lái)實(shí)現(xiàn)。r為受到攻擊的端口，對(duì)該端口所連接的主機(jī)的IP地址和物理地址（Media Access Control Address， MAC）進(jìn)行匹配確認(rèn)。IP池向連接r端口的主機(jī)提供的IP地址的集合為I，M為I集合中IP地址對(duì)應(yīng)的MAC地址的集合。集合M和I中的元素是一一對(duì)應(yīng)關(guān)系。

IPPoolClean（port）表示清洗指定端口port的IP池，handle_PacketIn（event）函數(shù)表示一個(gè)監(jiān)聽(tīng)器，用于監(jiān)聽(tīng)ARP回復(fù);LinkIntercept（port）表示攔截DHCP流量防止其通過(guò)控制鏈路進(jìn)入控制器;Controller（）為控制器，是進(jìn)行DHCP泛洪攻擊防御的大腦。分析對(duì)一個(gè)端口進(jìn)行攻擊緩解時(shí)算法的性能開(kāi)銷(xiāo)，無(wú)論是緩解IP池消耗攻擊還是控制鏈路消耗攻擊，算法的主要時(shí)間消耗在于對(duì)端口所對(duì)應(yīng)的IP池進(jìn)行掃描，IP池總量為分配IP數(shù)量即M集合長(zhǎng)度和IP池余量之和，時(shí)間復(fù)雜度為O（len（M）+sr）。該算法沒(méi)有采用輔助空間，因此空間復(fù)雜度為O（1）。

3?實(shí)驗(yàn)仿真

本章建立SDN模型，并模擬DHCP泛洪攻擊，以分析DDM在攻擊中的防御效果。首先，建立了峰值估計(jì)模型，分析其在具體網(wǎng)絡(luò)環(huán)境中的表現(xiàn);其次，模擬DHCP泛洪攻擊，觀測(cè)DDM模型在攻擊中的表現(xiàn)性能;最后，分析防御模塊對(duì)用戶的影響。利用mininet作為本次實(shí)驗(yàn)的實(shí)驗(yàn)平臺(tái)，并且利用pox控制器、OpenvSwitch交換機(jī)和傳統(tǒng)交換機(jī)建立SDN模型。

3.1?網(wǎng)絡(luò)環(huán)境和峰值估計(jì)模型的建立

用SDN建立的網(wǎng)絡(luò)拓?fù)淙鐖D4所示。實(shí)驗(yàn)中使用兩種交換機(jī)的目的是為了用傳統(tǒng)交換機(jī)代替對(duì)Open vSwitch交換機(jī)端口的分組。結(jié)合網(wǎng)絡(luò)具體情況，IP池對(duì)不同的Open vSwitch交換機(jī)端口的分組都會(huì)有不同數(shù)量的IP地址的預(yù)留。實(shí)驗(yàn)中，一臺(tái)連接有多臺(tái)主機(jī)的傳統(tǒng)交換機(jī)連接Open vSwitch交換機(jī)的一個(gè)端口上，代替一組分組，能簡(jiǎn)化實(shí)驗(yàn)環(huán)境，突出實(shí)驗(yàn)效果。實(shí)驗(yàn)中，DHCP服務(wù)被部署到SDN控制器中，因此在控制器中建立峰值估計(jì)模型。根據(jù)上文建立的峰值估計(jì)模型，當(dāng)前DHCP流量a和當(dāng)前IP池余量sr被認(rèn)為是設(shè)定估計(jì)峰值D的兩個(gè)關(guān)鍵變量。ω， ε為模型中的常量。設(shè)定ω=10，ε=50，實(shí)驗(yàn)中消耗完一個(gè)擁有255個(gè)IP的IP池需要30s，因此模型更新周期為w=30s。估計(jì)峰值D隨a、sr的變化如圖5所示。

圖5表示一個(gè)周期內(nèi)，平均流速、IP池余量和峰值估計(jì)三者之間的關(guān)系。

結(jié)合圖5和式（9）能發(fā)現(xiàn)，當(dāng)DHCP流量速率加快時(shí)即a值變大，基準(zhǔn)值B會(huì)增大，反而偏移量F會(huì)減小。如果DHCP流量速率正常增大，DHCP泛洪攻擊變得不易被察覺(jué)，因此在B增大的情況下，模型會(huì)降低偏移量F的值來(lái)提高模型對(duì)攻擊的敏感度。如果DHCP流量速率非正常增大，即受到DHCP泛洪攻時(shí)：一方面IP池被消耗導(dǎo)致sr減小，這會(huì)使得估計(jì)峰值D變小;另一方面，當(dāng)流量平均速率a增大到ε ln 2（γ（a）=0時(shí)，a=ε ln 2）時(shí)，F(xiàn)會(huì)變?yōu)樨?fù)值，此時(shí)估計(jì)峰值D小于基準(zhǔn)值B，這會(huì)導(dǎo)致檢測(cè)模型對(duì)于DHCP流速變化非常敏感，進(jìn)而攔截異大部分的常流量。

此外，D的值隨sr的變大而變大，反映當(dāng)IP池有大量空余時(shí)，模型對(duì)DHCP泛洪攻擊敏感度降低;反之則升高。該曲面反映了動(dòng)態(tài)峰值估計(jì)模型對(duì)動(dòng)態(tài)變化網(wǎng)絡(luò)環(huán)境的適應(yīng)能力。

3.2?DHCP泛洪攻擊的檢測(cè)與緩解

在本文實(shí)驗(yàn)環(huán)境中，對(duì)DHCP泛洪攻擊進(jìn)行模擬，并對(duì)峰值估計(jì)模型進(jìn)行觀測(cè)。實(shí)驗(yàn)中T為整數(shù)，是計(jì)算均值的基數(shù)，T過(guò)大會(huì)使得網(wǎng)絡(luò)對(duì)實(shí)時(shí)DHCP流量不敏感， 過(guò)小又使的模型不穩(wěn)定不能反映真實(shí)的網(wǎng)絡(luò)環(huán)境，在下面實(shí)驗(yàn)中，取T=10。λ的值影響著誤判概率η的取值，如圖6（a）、（b）所示，λ值越大，DHCP流速超出估計(jì)峰值的時(shí)刻會(huì)有更大概率被認(rèn)定為攻擊時(shí)刻（兩圖中的圓圈表示檢測(cè)到的攻擊），這樣可能會(huì)加重緩解模塊負(fù)擔(dān)。ε表示網(wǎng)絡(luò)規(guī)模，如圖6（a）、（c）所示，網(wǎng)絡(luò)規(guī)模ε變大時(shí)，估計(jì)峰值D的波動(dòng)范圍也隨之?dāng)U大，是對(duì)網(wǎng)絡(luò)適應(yīng)現(xiàn)象的表現(xiàn)。ω與DHCP平均租期有關(guān)，如圖6（a）、（d）可看出，ω越小時(shí)，模型啟動(dòng)估計(jì)峰值的初始值也會(huì)越大。同時(shí)，通過(guò)對(duì)比可以明顯發(fā)現(xiàn)IP地址平均租期ω變小時(shí)，估計(jì)峰值和實(shí)時(shí)流量之間的空間（陰影部分）明顯拉大，因此可以借助ω來(lái)調(diào)整估計(jì)峰值的上浮空間。估計(jì)峰值的可波動(dòng)范圍會(huì)增大，波動(dòng)更加具有彈性，以適應(yīng)由于租期變短而導(dǎo)致的頻繁的DHCP請(qǐng)求。

在下面的實(shí)驗(yàn)中所選取的相關(guān)參數(shù)值為λ=2， ε=50，ω=15。如圖7所示，實(shí)驗(yàn)抓取了校園網(wǎng)從9：00～15：00時(shí)段的DHCP流量數(shù)據(jù)，并將此數(shù)據(jù)為基礎(chǔ)模擬了SDN中的DHCP流量。 這段時(shí)間數(shù)據(jù)為工作高峰期內(nèi)的數(shù)據(jù)，圖7很好地反映了估計(jì)的峰值對(duì)高峰期實(shí)時(shí)DHCP流量的擬合。部分時(shí)刻DHCP流量遠(yuǎn)大于估計(jì)峰值，用圓圈標(biāo)記表示受到攻擊，少部分時(shí)刻DHCP流量稍大于估計(jì)峰值，以概率η認(rèn)定為誤判，因此不會(huì)判定為受到攻擊。橫軸481～561對(duì)應(yīng)的DHCP流量處于低峰期，此時(shí)IP池余量波動(dòng)幅度較小，估計(jì)峰值會(huì)穩(wěn)定在黑線附近，因此黑線可以作為低峰期的閾值，所以此時(shí)模型不會(huì)去動(dòng)態(tài)調(diào)整估計(jì)峰值。但是，一旦流量開(kāi)始增大且IP池余量發(fā)生大幅變化即橫軸刻度561之后的部分，模型開(kāi)始繼續(xù)調(diào)整估計(jì)峰值大小。

在現(xiàn)有的流量攻擊的檢測(cè)技術(shù)中，閾值是非常常用的方法，其中普通閾值檢測(cè)和熵閾值檢測(cè)應(yīng)用范圍非常廣泛[20-21]。為了評(píng)估峰值估計(jì)，實(shí)驗(yàn)將峰值估計(jì)的檢測(cè)結(jié)果和閾值檢測(cè)、熵閾值檢測(cè)結(jié)果進(jìn)行了對(duì)比。閾值檢測(cè)比較簡(jiǎn)單，直接設(shè)置DHCP流速的最大值，超過(guò)該值則視為攻擊。熵閾值檢測(cè)是利用DHCP數(shù)據(jù)包中的MAC地址計(jì)算熵閾值，然后劃定熵值的閾值，再對(duì)攻擊進(jìn)行判斷，若熵值大于熵閾值，則判定為攻擊。實(shí)驗(yàn)隨機(jī)選取了圖7所示的時(shí)序數(shù)據(jù)中的一段，進(jìn)行DHCP模擬攻擊結(jié)果如表1所示，其中模擬的攻擊方式有IP池消耗攻擊和鏈路消耗攻擊兩種。

閾值檢測(cè)和熵閾值檢測(cè)分別采用了一大一小兩組熵值來(lái)進(jìn)行對(duì)比。N、Y分別表示判定無(wú)攻擊和判定為攻擊，E表示為誤判。

從表1可看出，普通閾值無(wú)論大小產(chǎn)生的檢測(cè)誤差都非常大。而熵閾值考慮到了DHCP流量的MAC地址分布問(wèn)題，因而產(chǎn)生的誤差比普通閾值小，但仍然不令人滿意。這是由于固定的普通閾值和熵閾值均無(wú)法適應(yīng)網(wǎng)絡(luò)環(huán)境導(dǎo)致。無(wú)論是熵閾值還是普通閾值，它們對(duì)于高速率的流量攻擊，準(zhǔn)確率相對(duì)較高，但是對(duì)低速率的流量攻擊，即IP池惡意的低速消耗不敏感，這一點(diǎn)從編號(hào)4～6可看出。原因是它們沒(méi)有考慮到IP池的余量變化，當(dāng)IP池余量變小時(shí)，這種不正常的低速率的攻擊會(huì)耗盡IP池。而峰值估計(jì)檢測(cè)方法能綜合考慮IP池余量和當(dāng)前流量速率的變化，使得該方法對(duì)于高速和低速的流量攻擊均非常敏感。同時(shí)估計(jì)出的峰值會(huì)根據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)不斷去適應(yīng)網(wǎng)絡(luò)環(huán)境，因此相比單純固定的閾值和熵閾值準(zhǔn)確率高。從表1可得出如下結(jié)論：在DHCP泛洪攻擊的檢測(cè)中，準(zhǔn)確率的排序?yàn)槠胀ㄩ撝?熵閾值<峰值估計(jì)，且峰值估計(jì)相對(duì)其他兩種檢測(cè)方法誤差平均降低18.75%（（0.275-0.025）+（0.15-0.025））/2）。

當(dāng)網(wǎng)絡(luò)受到IP池消耗攻擊時(shí)，IP池余量會(huì)迅速下降。峰值估計(jì)模型檢測(cè)到攻擊來(lái)臨后，對(duì)IP池進(jìn)行清洗。如圖8所示，網(wǎng)絡(luò)受到持續(xù)的IP池消耗攻擊，在清洗機(jī)制的作用下，攻擊會(huì)被及時(shí)緩解，使得IP池余量穩(wěn)定在一定范圍內(nèi)。該穩(wěn)定的范圍相較攻擊前IP池余量，有一定差距，因?yàn)镈HCP流量未達(dá)到ε ln 2或者2D，沒(méi)有觸發(fā)流量攔截機(jī)制，所以清洗過(guò)程中，攻擊仍繼續(xù)，最后IP池余量在這種條件下達(dá)到動(dòng)態(tài)平衡狀態(tài)使得攻擊被緩解。攻擊停止時(shí)，IP池余量迅速還原。圖9為沒(méi)有對(duì)攻擊進(jìn)行緩解時(shí)，IP池余量會(huì)劇烈下降，最后IP池被完全消耗。

當(dāng)DHCP流量達(dá)到ε ln 2或者2D時(shí)，網(wǎng)絡(luò)受到控制鏈路消耗攻擊，此時(shí)控制器在對(duì)IP池進(jìn)行清洗的同時(shí)會(huì)攔截DHCP流量。如表2所示，不同的攔截參數(shù)會(huì)影響接入網(wǎng)絡(luò)平均等待時(shí)間。模型更新周期為w=30s，對(duì)p和q參數(shù)大小的選擇既要保證周期內(nèi)攔截時(shí)長(zhǎng)l足夠大，又要求接入網(wǎng)絡(luò)平均等待時(shí)間足夠小，折中之下，實(shí)驗(yàn)選取表中第二種參數(shù)設(shè)置方案。

如圖10所示，當(dāng)網(wǎng)絡(luò)受到控制鏈路消耗攻擊時(shí)，在緩解機(jī)制的作用下，IP池余量劇烈波動(dòng)，但I(xiàn)P池余量始終被限定在一定范圍內(nèi)。經(jīng)過(guò)攔截后，大部分DHCP流量在到達(dá)交換機(jī)時(shí)被丟棄，無(wú)法進(jìn)入達(dá)到控制鏈路和控制器，從而達(dá)到了緩解攻擊的目的。攻擊結(jié)束后，IP池回復(fù)原樣。攔截時(shí)期，正常用戶的DHCP請(qǐng)求會(huì)被交換機(jī)丟棄后，在攔截間隙間以平均等待1.3s的代價(jià)連入網(wǎng)絡(luò)。等待時(shí)間平均縮短81.45%（（7.17-1.33）/7.17）。

4?結(jié)語(yǔ)

針對(duì)DHCP泛洪攻擊對(duì)SDN的影響，本文提出了DDM機(jī)制，來(lái)防御DHCP泛洪攻擊。DDM機(jī)制包括DHCP泛洪攻擊的檢測(cè)模塊和DHCP泛洪攻擊的緩解模塊兩個(gè)部分。檢測(cè)模塊利用DHCP平均速率和IP池余量?jī)蓚€(gè)參數(shù)，建立了動(dòng)態(tài)峰值估計(jì)模型。在峰值估計(jì)的更新中，加入誤判概率參量，增強(qiáng)模型對(duì)網(wǎng)絡(luò)的適應(yīng)性。在緩解模塊中，利用ARP的應(yīng)答機(jī)制識(shí)別非法主機(jī)并清理其所占用的合法IP地址。同時(shí)，利用OpenFlow協(xié)議進(jìn)行DHCP流量的攔截，并設(shè)計(jì)了一種周期內(nèi)分時(shí)攔截的攔截方案，最大限度減小攔截非法DHCP流量時(shí)對(duì)合法的主機(jī)接入網(wǎng)絡(luò)造成影響。本文中常量ε和常量ω分別反映了網(wǎng)絡(luò)規(guī)模和平均租期的大小，下一步的工作要找出網(wǎng)絡(luò)規(guī)模ε與平均租期ω，兩組常量中各自的對(duì)應(yīng)關(guān)系式。

參考文獻(xiàn)（References）

[1] SCOTT-HAYWARD S， CALLAGHAN G O， SEZER S， et al. SDN security： a survey[C]// Proceedings of the 2013 IEEE SDN for Future Networks and Services. Piscataway， NJ： IEEE， 2013： 1-7.

[2] KARAKUS M， DURRESI A. A survey： control plane scalability issues and approaches in Software-Defined Networking （SDN） [J]. Computer Networks， 2017， 112： 279-293.

[3] TROIS C， FABRO M D D， BONA L C E D， et al. A survey on SDN programming languages： toward a taxonomy[J]. IEEE Communications Surveys & Tutorials， 2016， 18（4）： 2687-2712.

[4] FEAMSTER N， REXFORD J， ZEGURA E. The road to SDN： an intellectual history of programmable networks[J]. Computer Communication Review， 2014， 44（2）： 87-98.

[5] 孫鵬浩， 蘭巨龍， 胡宇翔， 等. 一種解析與執(zhí)行聯(lián)動(dòng)的SDN可編程數(shù)據(jù)平面[J]. 電子學(xué)報(bào)， 2017， 45（5）： 1103-1108. （SUN P H， LAN J L， HU Y X， et al. A Configurable SDN dataplane based on linkage between parsing and executing[J]. Acta Electronica Sinica， 2017， 45（5）： 1103-1108.）

[6] DAYAL N， SRIVASTAVA S. Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN[C]// Proceedings of the 2017 9th International Conference on Communication Systems and Networks. Piscataway， NJ： IEEE， 2017： 274-281.

[7] MIRKOVIC J， REIHER P. A taxonomy of DDoS attack and DDoS defense mechanisms[J]. ACM SIGCOMM Computer Communication Review， 2004， 34（2）： 39-53.

[8] 黃建洋， 蘭巨龍， 胡宇翔， 等. 一種SDN中基于SR的多故障恢復(fù)與規(guī)避機(jī)制[J]. 電子學(xué)報(bào)， 2017， 45（11）： 2761-2768. （HUANG J Y， LAN J L， HU Y X， et al. A multi-fault recovery and avoidance mechanixm of software-defined network based on segment routing[J]. Acta Electronica Sinica， 2017， 45（11）： 2761-2768.）

[9] 劉陽(yáng). DHCP集群化服務(wù)的研究與實(shí)現(xiàn)[D]. 北京： 北京郵電大學(xué)， 2016： 12. （LIU Y. Research and implementation of DHCP clustered services[D]. Beijing： Beijing University of Posts and Telecommunications， 2016： 12.）

[10] XU T， GAO D， DONG P， et al. Defending against new-flow attack in SDN-based Internet of Things[J]. IEEE Access， 2017， 5（99）： 3431-3443.

[11] YOUNES O S. Securing ARP and DHCP for mitigating link layer attacks[J]. Sādhanā， 2017， 42（12）： 2041-2053.

[12] ERICKSON D. The beacon OpenFlow controller[C]// HotSDN 2013： Proceedings of the 2nd ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. New York： ACM， 2013： 13-18.

[13] MCKEOWN N， ANDERSON T， BALAKRISHNAN H， et al. OpenFlow： enabling innovation in campus networks[J]. Computer Communication Review， 2008， 38（2）： 69-74.

[14] 張棟， 郭俊杰， 吳春明. 層次型多中心的SDN控制器部署[J]. 電子學(xué)報(bào)， 2017， 45（3）： 680-686. （ZHANG D， GUO J J， WU C M. Controller placement based on hierarchical multi-center SDN[J]. Acta Electronica Sinica， 2017， 45（3）： 680-686.）

[15] ISSAC B. Secure ARP and secure DHCP protocols to mitigate security attacks[J]. International Journal of Network Security， 2009， 8（2）： 107-118.

[16] MUKHTAR H， SALAH K， IRAQI Y. Mitigation of nDHCP starvation attack[J]. Computers & Electrical Engineering， 2012， 38（5）： 1115-1128.

[17] 王偉. NETCONF下DHCP Snooping的設(shè)計(jì)與實(shí)現(xiàn)[D]. 北京： 北京交通大學(xué)， 2015： 7. （WANG W. Design and implementation of DHCP snooping based on NETCONF[D]. Beijing： Beijing Jiaotong University， 2015： 7.）

[18] HUBBALLI N， TRIPATHI N. A closer look into DHCP starvation attack in wireless networks[J]. Computers & Security， 2017， 65： 387-404.

[19] LI F， WANG X， CAO J， et al. How DHCP leases meet smart terminals： emulation and modeling[J]. IEEE Internet of Things Journal， 2018， 5（1）： 56-68.

[20] 楊君剛， 王新桐， 劉故箐. 基于流量和IP熵特性的DDoS攻擊檢測(cè)方法[J]. 計(jì)算機(jī)應(yīng)用研究， 2016， 33（4）： 1145-1149. （YANG J G， WANG X T， LIU G J. DDoS attack detection method based on network traffic and IP entropy[J]. Application Research of Computers， 2016， 33（4）： 1145-1149.）

[21] 申皓. SDN中基于熵的DDoS放大攻擊檢測(cè)與防御方法研究[D]. 重慶： 重慶大學(xué)， 2017： 20. （SHEN H. Research on entropy-based detection and defense methods against DDo S amplification attack in SDN[D]. Chongqing： Chongqing University， 2017： 20.）