王宇， 李巍， 李舟軍

(北京航空航天大學(xué) 計(jì)算機(jī)學(xué)院，北京 100083)

軟件定義網(wǎng)絡(luò)(software defined network,SDN)是一種新型架構(gòu)，在這種網(wǎng)絡(luò)架構(gòu)中，路由器的控制功能被抽離出來(lái). 而路由器通信所需要的各種協(xié)議(比如ARP(address resolution protocol)協(xié)議中MAC(media access control)地址的學(xué)習(xí))，都在集中的控制器上進(jìn)行完成，稱之為SDN控制器.

這種新型架構(gòu)重新定義了網(wǎng)絡(luò)，也提高了網(wǎng)絡(luò)中的通信效率，目前這種SDN控制器和路由器之間的交互采用的是OpenFlow協(xié)議.

安全審計(jì)的意義在于對(duì)目前的系統(tǒng)做出評(píng)價(jià)、對(duì)存在的威脅進(jìn)行分析，最后進(jìn)行對(duì)整個(gè)系統(tǒng)的安全性進(jìn)行評(píng)估，在SDN架構(gòu)中，這種分析的結(jié)果可以放在SDN控制器上集中展示，并且在SDN控制器上進(jìn)行統(tǒng)一的控制.

在審計(jì)系統(tǒng)的標(biāo)準(zhǔn)上，在Zhang[1]運(yùn)用到了CC國(guó)標(biāo). 而在審計(jì)系統(tǒng)的層級(jí)上，Ma[2]分析了多級(jí)服務(wù)器的審計(jì)系統(tǒng)的實(shí)現(xiàn)，主要致力于研究多級(jí)系統(tǒng)的審計(jì)，并且加入了審計(jì)智能分析的功能，但SDN的主要架構(gòu)只有兩層.

在審計(jì)技術(shù)中，有系統(tǒng)從用戶的操作日志中進(jìn)行分析，對(duì)用戶的操作進(jìn)行總結(jié)性的審核[3]，這項(xiàng)技術(shù)在輕量級(jí)的路由器審計(jì)上并不適用，因?yàn)槁酚善魃喜]有太大的內(nèi)存提供給程序進(jìn)行分析. 同時(shí)，在這個(gè)基礎(chǔ)上，Lane等[4]也嘗試從系統(tǒng)調(diào)用級(jí)別上進(jìn)行操作的攔截，在內(nèi)核上建立一個(gè)審計(jì)系統(tǒng)，但是在家用路由器上，沒有這種權(quán)限.

在系統(tǒng)架構(gòu)和部署方式上，目前在系統(tǒng)架構(gòu)上，主要采用C/S[5]，服務(wù)器和客戶端模式的比較多，在SDN架構(gòu)下，控制器對(duì)應(yīng)了C/S架構(gòu)中的server，而在部署方式上，主要采用集中式的部署方式，例如Estrin等[6]實(shí)現(xiàn)的安全審計(jì)系統(tǒng)，實(shí)行了對(duì)于日志的統(tǒng)一處理，在此上面進(jìn)行審計(jì)系統(tǒng)的實(shí)施，但這種方式的缺點(diǎn)并沒有達(dá)到網(wǎng)絡(luò)與審計(jì)架構(gòu)的耦合.

在流量分析上，目前基于流量的分析研究有一種基于信息熵計(jì)算的分析方法. 比如在Song等[7]的工作中，就用信息熵檢測(cè)了網(wǎng)路流量中的異常，并最終結(jié)合了大數(shù)據(jù)的分析方法. 同時(shí)，信息熵也可以用來(lái)研究具體協(xié)議的異常之處，比如在Chen[8]的工作當(dāng)中，就將信息熵用來(lái)檢測(cè)DNS的攻擊.

在呂慧穎等[9]的工作中，提出了一種基于攻擊模擬的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法，這對(duì)于審計(jì)系統(tǒng)來(lái)說(shuō)應(yīng)該是個(gè)新思路，即從一個(gè)攻擊者的角度去模擬，然后提出分析方式，在審計(jì)中，也可以如此. 在李明等[10]的工作中，提出了一種基于AHP的網(wǎng)絡(luò)化彈藥攻擊決策攻擊方法，這些方法對(duì)審計(jì)工作有較大的啟示，能夠防御批量安全攻擊事件的審計(jì)系統(tǒng)更強(qiáng)大.

在Scott-Hayward等[11]的工作中，對(duì)目前的SDN安全性進(jìn)行了調(diào)查，并討論了使用SDN框架導(dǎo)出的安全性增強(qiáng)和框架引入的安全挑戰(zhàn). 在Shin等[12]的工作中，提出了一種新型的基于SDN的攻擊方式，在Kreutz等[13]的工作中，主要針對(duì)了SDN的可靠性和安全性進(jìn)行了研究，并且提出了幾種可能啟用SDN漏洞的威脅載體.

在Han[14]的工作中，提出了一種基于SDN架構(gòu)下，對(duì)SDN中的流量進(jìn)行分析的攻擊檢測(cè)方式，采用了基于信息熵的檢測(cè)方法，這種檢測(cè)方法主要是針對(duì)SDN控制器的，并提出了之后的基于SDN的攻擊檢測(cè)主體，將從SDN的單個(gè)控制器轉(zhuǎn)向SDN的一個(gè)子網(wǎng).

本文在傳統(tǒng)的C/S審計(jì)架構(gòu)下，提出了一種將審計(jì)融合到網(wǎng)絡(luò)環(huán)境中，運(yùn)用SDN特殊架構(gòu)的審計(jì)架構(gòu)，運(yùn)用家用路由器向SDN控制器發(fā)送的請(qǐng)求，進(jìn)行流量分析審計(jì). 基于上述架構(gòu)，實(shí)現(xiàn)了對(duì)于流量中(IP,端口)的信息熵計(jì)算，并在最終的展示模塊上，預(yù)留給了管理員控制和管理的接口，實(shí)現(xiàn)了管理和控制.

1 相關(guān)技術(shù)分析

1.1 網(wǎng)絡(luò)嗅探

1.1.1 Libpcap實(shí)現(xiàn)框架

為了實(shí)現(xiàn)在輕量級(jí)的路由器上進(jìn)行流量分析，本文將從底層的libpcap上進(jìn)行抓包.

在libpcap中，抓包框架主要通過幾個(gè)重要的模塊實(shí)現(xiàn)，包括設(shè)備查詢模塊、設(shè)備讀取模塊、數(shù)據(jù)包過濾模塊、數(shù)據(jù)包捕獲模塊、數(shù)據(jù)包處理模塊.

① 設(shè)備查詢模塊，其作用查詢目前設(shè)備中可以用來(lái)嗅探的設(shè)備. ② 設(shè)備讀取模塊，其作用是讀取上一步已經(jīng)獲得的設(shè)備名稱，并打開，返回一個(gè)后續(xù)模塊所需要的會(huì)話句柄. ③ 數(shù)據(jù)包過濾模塊，生成嗅探器能夠“讀懂”的BPF代碼，在生成在整個(gè)框架中，數(shù)據(jù)包過濾模塊主要作用在后續(xù)的數(shù)據(jù)包獲取模塊上. ④ 數(shù)據(jù)包獲取模塊，網(wǎng)卡的數(shù)據(jù)包進(jìn)行篩選和獲取. ⑤ 數(shù)據(jù)包處理模塊，數(shù)據(jù)包處理模塊是整個(gè)框架靈活性最高的模塊.

1.2 SDN架構(gòu)及南向協(xié)議

SDN的確切定義目前最具代表性的是ONF組織提出的基于OpenFlow的架構(gòu). ONF認(rèn)為SDN架構(gòu)分為3個(gè)層面：應(yīng)用層面、網(wǎng)絡(luò)控制層面、網(wǎng)絡(luò)架構(gòu)層，其中網(wǎng)絡(luò)架構(gòu)層的通信受到網(wǎng)絡(luò)控制層面的控制來(lái)進(jìn)行通信，具體架構(gòu)如圖 1所示.

圖1 基于OpenFlow的SDN網(wǎng)絡(luò)架構(gòu)Fig.1 SDN network architecture based on OpenFlow

目前主流的通信協(xié)議是Openflow協(xié)議，本文也將針對(duì)OpenFlow協(xié)議進(jìn)行研究.

1.3 OpenFlow協(xié)議標(biāo)準(zhǔn)

1.3.1 OpenFlow協(xié)議

OpenFlow交換機(jī)與controller的連接建立和連接建立之后，OpenFlow交換機(jī)和controller都會(huì)進(jìn)行通信，相應(yīng)的通信是OpenFlow協(xié)議的主體，OpenFlow協(xié)議將消息類型劃分了3種，根據(jù)消息的發(fā)出者來(lái)進(jìn)行區(qū)分：controller-to-switch，由控制器controller發(fā)起，主要用來(lái)管理和獲取Switch的狀態(tài)；Asynchronous，由Switch發(fā)起，用來(lái)告知SDN控制器網(wǎng)絡(luò)事件和Switch內(nèi)部的配置變化；Symmetric，無(wú)需建立，主要是連接建立之前的Hello、Echo等.

連接建立的整個(gè)過程大致有3個(gè)階段：①Hello通信階段；②設(shè)備信息獲取階段；③通信階段.

通信流程的具體流程如圖2所示.

圖2 OpenFlow交換機(jī)與控制器通信流程Fig.2 OpenFlow switch and controller communication process

2 SABIE系統(tǒng)需求分析與設(shè)計(jì)

2.1 SABIE系統(tǒng)需求分析

整個(gè)工具需要的功能設(shè)計(jì)主要包括對(duì)于流量信息的獲取、對(duì)于流量信息的分析、對(duì)于流量分析結(jié)果的最終展示. 流量信息獲取的要求是占用內(nèi)存小，并且流量信息獲取的主要數(shù)據(jù)為IP地址和端口號(hào)，滿足最小的數(shù)據(jù)傳輸需求.

2.2 SABIE系統(tǒng)結(jié)構(gòu)

2.2.1 系統(tǒng)部署結(jié)構(gòu)

系統(tǒng)結(jié)構(gòu)主要分為3個(gè)部分，即客戶端和服務(wù)器和SDN控制器. 系統(tǒng)結(jié)構(gòu)部署圖如圖3.

圖3 系統(tǒng)結(jié)構(gòu)部署圖Fig.3 System structure deployment diagram

2.2.2 SABIE系統(tǒng)模塊功能

系統(tǒng)功能模塊圖如圖4.

圖4 SABIE系統(tǒng)功能模塊圖Fig.4 SABIE system function module diagram

2.2.3 SABIE系統(tǒng)功能時(shí)序圖

系統(tǒng)功能時(shí)序圖描述了整個(gè)系統(tǒng)工作的流程，如圖5所示.

圖5 SABIE系統(tǒng)結(jié)構(gòu)時(shí)序圖Fig.5 SABIE system structure timing diagram

2.3 主要工作過程描述

系統(tǒng)的工作前提是路由器需要加入到SDN架構(gòu)中，并且路由器是支持相應(yīng)的協(xié)議的.

在服務(wù)器上，需要對(duì)客戶端到來(lái)的信息進(jìn)行收集，并通過數(shù)據(jù)包封包分析技術(shù)進(jìn)行分析，獲取到所需要的信息，并且在服務(wù)器上進(jìn)行存儲(chǔ)和管理，通過數(shù)據(jù)庫(kù)技術(shù)來(lái)實(shí)現(xiàn)存儲(chǔ)和管理，并讀取數(shù)據(jù)庫(kù)進(jìn)行相關(guān)的計(jì)算，獲得最終的審計(jì)結(jié)果.

在SDN控制器上，需要對(duì)最終的審計(jì)信息進(jìn)行展示，這個(gè)展示需要運(yùn)用到web服務(wù)器的實(shí)現(xiàn)，通過查看web內(nèi)容，來(lái)判斷是否會(huì)存在異常的情況. 在發(fā)現(xiàn)異常之后，又會(huì)給控制器一個(gè)接口，來(lái)改變目前系統(tǒng)的運(yùn)行狀態(tài)，管理者可以通過這種改變來(lái)定位目前系統(tǒng)中存在的潛在威脅.

3 SABIE系統(tǒng)功能實(shí)現(xiàn)

3.1 數(shù)據(jù)包獲取模塊

數(shù)據(jù)包獲取模塊通過直接調(diào)用libpcap函數(shù)進(jìn)行設(shè)計(jì)和實(shí)現(xiàn).

數(shù)據(jù)包獲取模塊主要分為以下步驟.

① 設(shè)備查詢模塊. 設(shè)備查詢模塊通過調(diào)用libpcap中的pcap_lookupdev函數(shù)進(jìn)行實(shí)現(xiàn).

② 設(shè)備讀取模塊.

③ 過濾器設(shè)置和應(yīng)用模塊. 這個(gè)模塊主要是為了之后的結(jié)果更加簡(jiǎn)潔明了而設(shè)計(jì)的，過濾到那些無(wú)關(guān)緊要的數(shù)據(jù)包.

④ 數(shù)據(jù)包獲取模塊. 將截獲到的數(shù)據(jù)包通過回調(diào)函數(shù)的方式，進(jìn)一步的進(jìn)行操作.

其中，過濾器設(shè)置主要分為兩部分：首先通過過濾器進(jìn)行物理的篩選，在客戶端進(jìn)行. 邏輯篩選的主要邏輯是在服務(wù)器上對(duì)所需要的信息進(jìn)行裁剪，在服務(wù)器上，對(duì)于TCP(transfer control protocol)數(shù)據(jù)包，只需要IP地址、數(shù)據(jù)包長(zhǎng)度等信息，并需要對(duì)整個(gè)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容進(jìn)行邏輯篩選，篩選出服務(wù)器需要的信息，再通過socket進(jìn)行傳輸，以達(dá)到整個(gè)系統(tǒng)的實(shí)現(xiàn).

數(shù)據(jù)包信息傳輸?shù)牡讓訉?shí)現(xiàn)采用socket傳輸實(shí)現(xiàn).

3.2 數(shù)據(jù)包信息分析處理模塊

3.2.1 數(shù)據(jù)分析模塊

在整個(gè)系統(tǒng)中，審計(jì)服務(wù)器可以接收到來(lái)自于客戶端的數(shù)據(jù)包信息，而服務(wù)器上需要對(duì)數(shù)據(jù)包信息進(jìn)行分析，需要解決的是什么樣的信息才是整個(gè)審計(jì)系統(tǒng)需要的.

在TCP報(bào)文中，可以獲取到的信息主要有源端口、目的端口，對(duì)應(yīng)的是具體的進(jìn)程信息，這對(duì)之后的信息分析部分的設(shè)計(jì)會(huì)有幫助，主要通過IP地址和端口的序列進(jìn)行信息的整合.

OpenFlow協(xié)議數(shù)據(jù)報(bào)文格式如圖6所示.

圖6 OpenFlow數(shù)據(jù)報(bào)文格式Fig.6 OpenFlow data packet format

對(duì)應(yīng)結(jié)構(gòu)體設(shè)計(jì)見表1.

表1 Struct OFHeaderTab.1 Struct OFHeader

其中，8位版本號(hào)指的是OpenFLow協(xié)議版本號(hào)，類型指的是OpenFlow協(xié)議中的具體協(xié)議號(hào)，消息長(zhǎng)度指的是首部和后續(xù)載荷總共的長(zhǎng)度，Transaction ID是一個(gè)內(nèi)部的標(biāo)識(shí)，用來(lái)將request和reply進(jìn)行匹配而生成的一個(gè)字段.

關(guān)于類型中，具體指什么類型，如表2.

表2 OpenFlow協(xié)議Type具體含義對(duì)照表

Tab.2 OpenFlow protocol Type specific meaning comparison table

0Hello1Error2Echo Request3Echo Reply4Vendor5Features Request6Features Reply7Get Config Request8Get Config Reply9Set Config10Packet Input Notification11Flow Removed Notification12Port Status Notification13Packet Output14Flow Modification15Port Modification16Stats Request17Stats Reply18Barrier Request19Barrier Reply

重點(diǎn)是packet-in報(bào)文類型，即報(bào)文類型type字段為10的報(bào)文，這個(gè)報(bào)文產(chǎn)生的緣由是在OpenFlow交換機(jī)在自己內(nèi)部的流表中找不到對(duì)應(yīng)的流表項(xiàng)則會(huì)向SDN控制器發(fā)出packet-in請(qǐng)求，請(qǐng)求SDN中央控制器的指示. 目前的一些DDoS攻擊，已經(jīng)可以通過這種方式，進(jìn)行針對(duì)SDN控制器的DDoS攻擊了，所以在之后的審計(jì)信息計(jì)算過程中，會(huì)加入對(duì)這一個(gè)分支的具體檢測(cè).

在處理和計(jì)算模塊當(dāng)中，需要對(duì)流量的異常與否進(jìn)行檢測(cè)，這個(gè)檢測(cè)的方法主要是通過計(jì)算信息熵來(lái)完成.

3.2.2 審計(jì)信息處理模塊

具體算法流程如下.

假設(shè)目前設(shè)定的抓包間隔為T，固定的抓包個(gè)數(shù)為W.

① 在獲取完W個(gè)數(shù)據(jù)包的信息之后，進(jìn)入步驟②.

② 記(目的IP，目的端口)為一組數(shù)據(jù)對(duì)，以這個(gè)數(shù)據(jù)對(duì)為標(biāo)準(zhǔn)來(lái)區(qū)分所有數(shù)據(jù)，記數(shù)據(jù)對(duì)的個(gè)數(shù)為N，每一組數(shù)據(jù)對(duì)的出現(xiàn)次數(shù)為

μi， 1≤i≤N.

③ 通過μi和W計(jì)算出關(guān)于(目的IP，目的端口)的信息熵Hα為

(2)

④ 記每個(gè)packet-in包中(目的IP)出現(xiàn)的個(gè)數(shù)為N2，每一組(目的IP)次數(shù)為θi，1≤i≤N2，通過θi和W計(jì)算出關(guān)于(目的IP，packet-in消息)的信息熵Hβ為

(3)

Hα和Hβ的主要不同點(diǎn)在于，Hα反映了通過路由器的流量不規(guī)律性是否出現(xiàn)了變化，即它可能會(huì)存在DDoS攻擊，而Hβ反映了這種變化的具體針對(duì)目標(biāo)是針對(duì)網(wǎng)絡(luò)中的主機(jī)還是針對(duì)的是SDN控制器本身.

信息熵計(jì)算完成后，將會(huì)運(yùn)用數(shù)據(jù)庫(kù)技術(shù)將相應(yīng)的信息熵和時(shí)間段記錄下來(lái)，將最終的結(jié)果交于SDN控制器，同時(shí)，信息熵的展示模塊也將會(huì)在SDN控制器上進(jìn)行，審計(jì)服務(wù)器端的工作就是獲取和分析信息，并計(jì)算出SDN控制器所需要的結(jié)果.

3.3 審計(jì)信息展示和控制管理模塊

3.3.1 審計(jì)信息展示模塊

在得到了信息熵的結(jié)果之后，將會(huì)通過echarts等開源的項(xiàng)目對(duì)最終的審計(jì)結(jié)果進(jìn)行展示，具體實(shí)現(xiàn)是在最終的web界面中展示目前最新的10個(gè)時(shí)間段的信息熵計(jì)算值，展示方式是通過在網(wǎng)頁(yè)中調(diào)用echarts API，在echarts中輸入目前的最新10個(gè)信息熵計(jì)算值，然后在進(jìn)行顯示，管理者可以從信息熵的變化中看出是否會(huì)存在異常.

3.3.2 控制管理模塊

在控制管理模塊中，通過數(shù)據(jù)庫(kù)腳本對(duì)整個(gè)系統(tǒng)的運(yùn)行進(jìn)行配置，主要是包括數(shù)據(jù)庫(kù)中計(jì)算信息熵的時(shí)間間隔和路由器上的抓包間隔時(shí)間的配置.

SDN控制器的南向協(xié)議中，有比如OpenFlow協(xié)議中的Set Config和ovsdb協(xié)議等功能可以實(shí)現(xiàn)SDN控制器對(duì)于OpenFlow交換機(jī)的配置管理，但是在配置的同時(shí)，還需要對(duì)OpenFlow交換機(jī)中的邏輯結(jié)構(gòu)進(jìn)行控制，雖然在OpenFlow協(xié)議中有配置，ovsdb協(xié)議可以對(duì)Openvswitch中的數(shù)據(jù)庫(kù)進(jìn)行管理，但是在對(duì)于OpenFlow交換機(jī)上的具體程序的控制是沒有的. 基于這個(gè)情況，采用的是OpenFlow交換機(jī)主動(dòng)地去詢問SDN控制器目前的控制邏輯結(jié)構(gòu).

控制管理模塊是保證了SDN控制器能夠和OpenFlow交換機(jī)進(jìn)行通信的一個(gè)模塊，這也體現(xiàn)了整個(gè)系統(tǒng)架構(gòu)的靈活性. 這部分的具體實(shí)現(xiàn)是通過更改數(shù)據(jù)庫(kù)中event的時(shí)間間隔和抓包參數(shù)配置進(jìn)行管理，管理者在發(fā)現(xiàn)目前的流量中存在異常后，可以通過更改數(shù)據(jù)庫(kù)中的event時(shí)間間隔更改信息熵計(jì)算時(shí)間差，通過抓包參數(shù)配置來(lái)更改抓包間隔和個(gè)數(shù)，來(lái)實(shí)現(xiàn)最后的管理模塊.

4 系統(tǒng)測(cè)試

4.1 實(shí)驗(yàn)環(huán)境

路由器：NETGEAR4300，系統(tǒng)版本：OpenWrt Chaos Calmer 15.05，安裝Openvswitch[2.3.90].

服務(wù)器：Ubuntu17.04，安裝mysql[5.7.18].

SDN控制器：與服務(wù)器位于同一臺(tái)機(jī)器，安裝opendaylight，apache，php.

4.2 功能測(cè)試

功能測(cè)試中將測(cè)試每個(gè)模塊的功能實(shí)現(xiàn)，下面將分模塊進(jìn)行測(cè)試.

由于路由器上部署程序?qū)⑸婕暗角度胧皆O(shè)備的編譯，需要搭建交叉編譯環(huán)境，技術(shù)實(shí)現(xiàn)難度太大，將采用監(jiān)聽路由器輸出端口的方式進(jìn)行測(cè)試.

首先是在路由器上，對(duì)端口的監(jiān)聽進(jìn)行配置.

監(jiān)聽端口配置完畢后，進(jìn)入服務(wù)器，打開監(jiān)聽模塊，運(yùn)行. 在監(jiān)聽PC上運(yùn)行，分別運(yùn)行catchpacket和checkchange程序：進(jìn)入opendaylight，運(yùn)行控制器，在控制器的node下可以看到OpenFlow交換機(jī)，目前的配置是每隔10 min抓取一次數(shù)據(jù)包，所以等待大約2 h，就可以獲得10次信息熵的計(jì)算值.

如圖7，查看web界面：可以看到，管理員已經(jīng)可以查看目前的網(wǎng)絡(luò)狀態(tài)的信息熵計(jì)算.

圖7 查看web界面Fig.7 View web

通過控制功能測(cè)試，通過改寫腳本envent.sql中的兩個(gè)時(shí)間，如圖8，改為10 s.

圖8 修改腳本Fig.8 Modify script

在數(shù)據(jù)庫(kù)中查看HaInformation表的計(jì)算結(jié)果，發(fā)現(xiàn)現(xiàn)在的計(jì)算結(jié)果間隔為10 s，還需要進(jìn)行的測(cè)試是，信息熵的計(jì)算能否真正地反應(yīng)出網(wǎng)絡(luò)流量中的異常. 這個(gè)測(cè)試主要分為兩個(gè)小實(shí)驗(yàn)：用Nmap(the network mapper)進(jìn)行端口掃描；查看信息熵計(jì)算結(jié)果. 結(jié)果如圖9～11所示.

在Nmap掃描實(shí)驗(yàn)中，前9個(gè)正常網(wǎng)絡(luò)數(shù)據(jù)都在2～4波動(dòng)，而第10個(gè)數(shù)據(jù)是Nmap掃描時(shí)間段的信息熵值，Nmap對(duì)每個(gè)端口進(jìn)行掃描時(shí)候，會(huì)截到大量端口不一樣的包表現(xiàn)在信息熵上，是信息熵的突然增大，如圖9.

圖9 Nmap掃描結(jié)果Fig.9 Nmap scan results

圖10 LOIC-DDoS攻擊結(jié)果Fig.10 LOIC-DDoS attack results

圖11 程序消耗的字節(jié)數(shù)Fig.11 The number of bytes consumed by the program

在LOIC-DDoS攻擊實(shí)驗(yàn)中，前5個(gè)數(shù)據(jù)是正常網(wǎng)絡(luò)數(shù)據(jù). 而在LOIC軟件中進(jìn)行DDoS攻擊，截獲的數(shù)據(jù)包的目的端口幾乎一樣，只有源端口在不停變化. 表現(xiàn)在信息熵上，是信息熵從第6組數(shù)據(jù)信息熵開始迅速變小，7、8、9、10組數(shù)據(jù)由于只能截到一樣的(目的IP，目的端口)，所以計(jì)算值為0.

這兩個(gè)小實(shí)驗(yàn)說(shuō)明信息熵的計(jì)算在表現(xiàn)異常上很明顯.

4.3 性能測(cè)試

性能測(cè)試主要分為兩方面，所占帶寬和程序運(yùn)行所占內(nèi)存.

所占帶寬分析：在程序中，每個(gè)報(bào)文所截取的字節(jié)是14+20+20=54 B，在客戶端沒有對(duì)TCP和IP的報(bào)文分支進(jìn)行分析，所以選擇了最長(zhǎng)的TCP報(bào)文頭部，加上ethernet和IP報(bào)文頭部，總共是54 B.

在數(shù)據(jù)庫(kù)中，查詢?cè)谶\(yùn)行階段所有到來(lái)的報(bào)文的總報(bào)文數(shù)和總長(zhǎng)度如表3，可以得到總共長(zhǎng)度，計(jì)算總報(bào)文數(shù)×54，得到程序消耗字節(jié)數(shù).

表3 程序消耗字節(jié)分析Tab.3 Program consumption byte analysis

可以看出，程序所占帶寬的比例不大. 內(nèi)存查看，通過ps指令分析，可以查看到程序運(yùn)行的內(nèi)存在8 MB左右.

目前Openwrt嵌入式設(shè)備的內(nèi)存大約在16 MB，所以程序理論上是可以運(yùn)作的.

5 結(jié) 論

從傳統(tǒng)C/S架構(gòu)出發(fā)，提出了一種基于SDN架構(gòu)的審計(jì)系統(tǒng)設(shè)計(jì)思路. 在這個(gè)架構(gòu)下，保證了路由器的正常運(yùn)行，審計(jì)系統(tǒng)的正常工作，達(dá)到了審計(jì)路由器中是否存在DDoS攻擊的目的，并且在SDN控制器上加入了可以控制和展示的模塊，使得整個(gè)系統(tǒng)可以完整地運(yùn)行. 并且整個(gè)系統(tǒng)對(duì)于路由器內(nèi)存的使用僅有8 MB，所用網(wǎng)絡(luò)負(fù)載2.67%，達(dá)到了輕量級(jí)的目的. 未來(lái)的工作主要有：①研究基于SDN中Flow的檢測(cè)和分析方法;②研究基于OpenFlow協(xié)議的控制模塊.