葛菁　趙巍　徐亦丹

摘 ?要： 針對(duì)基于OpenFlow協(xié)議的云平臺(tái)的安全性問(wèn)題，文中對(duì)分布式拒絕服務(wù)攻擊（DDoS）檢測(cè)方法進(jìn)行研究。通過(guò)引入自組織映射（SOM）神經(jīng)網(wǎng)絡(luò)，利用網(wǎng)絡(luò)流量的包數(shù)、速率、生存周期等特征建立網(wǎng)絡(luò)的輸入特征向量對(duì)SOM中的輸入層、競(jìng)爭(zhēng)層進(jìn)行合理的優(yōu)化，借助Stacheldraht工具生成網(wǎng)絡(luò)的訓(xùn)練和測(cè)試數(shù)據(jù)。在實(shí)驗(yàn)時(shí)，文中基于不同的流量數(shù)據(jù)集訓(xùn)練得到3個(gè)不同的SOM網(wǎng)絡(luò)。測(cè)試結(jié)果表明，所提方法對(duì)于惡意流量的識(shí)別準(zhǔn)確率可達(dá)98%以上，誤判率可降低至0.5%以下，證明了神經(jīng)網(wǎng)絡(luò)在DDoS攻擊檢測(cè)中的可用性。

關(guān)鍵詞： 云平臺(tái); DDoS攻擊監(jiān)測(cè); 自組織映射; 神經(jīng)網(wǎng)絡(luò); 特征優(yōu)化; 流量檢測(cè); 實(shí)驗(yàn)測(cè)試

中圖分類(lèi)號(hào)： TN911.7?34; TP311 ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)： 1004?373X（2020）24?0102?03

Research on neural network based DDoS attack detection method for

big data cloud platform

GE Jing， ZHAO Wei， XU Yidan

（Institute of Technology， East China Jiaotong University， Nanchang 330100， China）

Abstract： In allusion to the security problem of cloud platform based on OpenFlow protocol， the detection method of distributed denial of service （DDoS） attack is researched. With the introduction of the self?organizing mapping （SOM） neural network， the input eigenvector of the network is established by means of the characteristics of the number of packet， rate and life cycle of network traffic to reasonably optimize the input layer and competition layer in the SOM neural network. The training and testing data of the network are generated with Stacheldraht. In the experiment， three different SOM networks were obtained on the basis of training of different traffic datasets. The testing results show that the recognition accuracy of this method for malicious traffic can reach more than 98%， and its misjudgment rate can reduce less than 0.5%， which proves the availability of neural network in DDoS attack detection.

Keywords： cloud platform; DDoS attack detection; SOM; neural network; characteristic optimization; traffic detection; experimental testing

隨著計(jì)算機(jī)技術(shù)的發(fā)展，大數(shù)據(jù)時(shí)代的來(lái)臨，對(duì)于數(shù)據(jù)中心云平臺(tái)的建設(shè)需求越來(lái)越大。為了提升數(shù)據(jù)中心的建設(shè)效率，降低維護(hù)難度，數(shù)據(jù)中心通常基于集中式的控制器和標(biāo)準(zhǔn)化接口對(duì)各種網(wǎng)絡(luò)設(shè)備進(jìn)行管理。這種架構(gòu)的云平臺(tái)需要借助負(fù)載均衡設(shè)備平衡各路流量，協(xié)調(diào)網(wǎng)絡(luò)服務(wù)。云平臺(tái)的網(wǎng)絡(luò)安全性是大數(shù)據(jù)平臺(tái)建設(shè)中需要面對(duì)的嚴(yán)峻挑戰(zhàn)之一。在上述的云平臺(tái)架構(gòu)中，會(huì)面臨分布式拒絕服務(wù)（DDoS）、Web、操作系統(tǒng)等攻擊。云平臺(tái)被攻擊會(huì)造成大量的隱私數(shù)據(jù)泄露，給用戶帶來(lái)嚴(yán)重的安全和財(cái)產(chǎn)損失[1?3]。

基于上述分析，本文對(duì)基于OpenFlow協(xié)議的數(shù)據(jù)云平臺(tái)的安全性進(jìn)行了研究。針對(duì)DDoS攻擊，建立流量檢測(cè)模型，可以及時(shí)發(fā)現(xiàn)惡意流量，從而保證云平臺(tái)的安全。

1 ?算法研究

1.1 ?DDoS攻擊

在大數(shù)據(jù)平臺(tái)的數(shù)據(jù)中心，其網(wǎng)絡(luò)結(jié)構(gòu)大多基于SDN（Software Defined Network），運(yùn)行OpenFlow協(xié)議。在該模式下，數(shù)據(jù)中心在邏輯上可以劃分為3個(gè)部分：端口、流表和安全通道。各主機(jī)通過(guò)端口和數(shù)據(jù)中心連接，安全通道和流表運(yùn)行在OpenFlow交換機(jī)上，OpenFlow交換機(jī)與控制器之間通過(guò)OpenFlow、TCP、SSL協(xié)議連接。圖1給出了這種結(jié)構(gòu)的拓?fù)鋱D[4?7]。

正常狀態(tài)下，數(shù)百萬(wàn)的用戶共享了上述架構(gòu)的數(shù)據(jù)設(shè)施。但當(dāng)用戶中存在惡意主機(jī)，其向基礎(chǔ)數(shù)據(jù)設(shè)施不斷發(fā)送惡意流量。此時(shí)，控制器與交換機(jī)間就會(huì)存在大量的數(shù)據(jù)流量交互，影響其他合法用戶獲取數(shù)據(jù)服務(wù)。這種攻擊方式即為分布式拒絕服務(wù)攻擊（DDos）[8?10]。

DDoS攻擊會(huì)造成嚴(yán)重的后果：首先是數(shù)據(jù)中心計(jì)算資源的無(wú)端消耗，甚至耗盡計(jì)算資源;其次，惡意主機(jī)在攻擊過(guò)程中會(huì)偽裝成合法的Web流量，從而創(chuàng)建出更多代理，泄露數(shù)據(jù)隱私，給云平臺(tái)的正常用戶帶來(lái)不良影響[11?13]。

為了防止DDoS攻擊給云平臺(tái)帶來(lái)的傷害，需建立高效的DDoS攻擊檢測(cè)機(jī)制，因此需要快速的流量識(shí)別技術(shù)。本文使用自組織映射（Solf Orgnanizing Maps，SOM）神經(jīng)網(wǎng)絡(luò)進(jìn)行異常流量的識(shí)別。

1.2 ?SOM神經(jīng)網(wǎng)絡(luò)

圖2給出SOM神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，其包括輸入層x和競(jìng)爭(zhēng)層l。輸入層的n維向量通過(guò)競(jìng)爭(zhēng)層映射為一維向量，是一種無(wú)監(jiān)督的機(jī)器學(xué)習(xí)算法，其基本步驟如下：

1） 初始化。給網(wǎng)絡(luò)中所有的神經(jīng)元隨機(jī)賦予權(quán)值，維護(hù)輸入層的神經(jīng)元數(shù)和特征向量的維度相等。

2） 采樣。隨機(jī)選取入口模式空間內(nèi)的樣本，反饋至神經(jīng)網(wǎng)絡(luò)。

3） 依據(jù)歐幾里得距離，利用l個(gè)神經(jīng)元，篩選神經(jīng)元：

[i（x）=argminjx-wj] ?（1）

式中，j=1，2，…，l。

4） 調(diào)整權(quán)重。利用競(jìng)爭(zhēng)勝利的神經(jīng)元調(diào)整其載體的權(quán)重：

[wj（t+1）=wj（t）+η（t）θj（t）（x（t）-Wj（t））] （2）

5） 迭代。重復(fù)步驟2）～步驟4），直至網(wǎng)絡(luò)收斂。

SOM網(wǎng)絡(luò)只對(duì)入口模式進(jìn)行學(xué)習(xí)。根據(jù)訓(xùn)練樣本對(duì)自身進(jìn)行重新組織并調(diào)整權(quán)重，對(duì)于網(wǎng)絡(luò)流量的識(shí)別具有較好的甄別能力。

2 ?算法仿真

2.1 ?仿真實(shí)驗(yàn)設(shè)計(jì)

為了識(shí)別惡意流量，需要合理選擇流量的特征。本文選取的流量特征有：流的平均包數(shù)（Average of Packets per Flow，APF）、流的平均比特?cái)?shù)（Average of Bytes per Flow，ABF）、流的平均生存周期（Averge of Duration per Flow，ADF）、流內(nèi)的成對(duì)數(shù)據(jù)比例（Percentage of Pair?Flows，PPF）、流量增長(zhǎng)速率（Growth of Single?Flows，GSF）及偽造端口增長(zhǎng)率（Growth of Different Ports，GDP）。其中，GSF和GDP的定義如下：

[GSF=Num_Flows-（2×Num_PairFlows）interval ? ? ? ? ? ? ? ? ? ?GDP=Num_Portsinterval] （3）

SOM神經(jīng)網(wǎng)絡(luò)的相關(guān)參數(shù)設(shè)置如表1所示。

在訓(xùn)練數(shù)據(jù)的選擇上，本文使用的網(wǎng)絡(luò)流量組成如下：TCP流量占85%、UDP流量占10%、ICMP流量占5%。DDoS攻擊流量由Stacheldraht產(chǎn)生。攻擊流量和正常流量組成相同，如表2所示。

在訓(xùn)練數(shù)據(jù)和測(cè)試數(shù)據(jù)的生成上，按照上述比例與表2的數(shù)量生成3組不同的Swich，3組數(shù)據(jù)可以訓(xùn)練3個(gè)不同的SOM網(wǎng)絡(luò)。為了衡量測(cè)試、訓(xùn)練數(shù)據(jù)數(shù)量對(duì)模型性能的影響，Swich1與Swich2的數(shù)據(jù)量相等，Swich3的數(shù)量大于Swich1和Swich2。因此，訓(xùn)練數(shù)據(jù)與測(cè)試數(shù)據(jù)的比例為1∶10。

2.2 ?仿真結(jié)果

為了合理評(píng)價(jià)本文模型的效果，在網(wǎng)絡(luò)性能指標(biāo)的評(píng)價(jià)上，選取檢測(cè)率（DR）和誤報(bào)率（FR）作為網(wǎng)絡(luò)指標(biāo)。測(cè)試結(jié)果如表3所示。

從表3中可以看出，本文建立的DDoS攻擊檢測(cè)模型有較高的識(shí)別準(zhǔn)確率。經(jīng)過(guò)3次訓(xùn)練后得到的模型，其識(shí)別準(zhǔn)確率均達(dá)到了98%以上;模型的誤報(bào)率也較小，均在0.5%以下。此外，模型的訓(xùn)練效果會(huì)受到數(shù)據(jù)流大小的影響，在數(shù)據(jù)流的大小上有：Swich1=Swich2

3 ?結(jié) ?語(yǔ)

針對(duì)OpenFlow協(xié)議下的云平臺(tái)安全問(wèn)題，本文設(shè)計(jì)了基于SOM神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測(cè)方法。本文方法從惡意主機(jī)中發(fā)送的流量入手，通過(guò)識(shí)別惡意流量，阻止DDoS攻擊的發(fā)生。實(shí)驗(yàn)結(jié)果表明，該方法具有較高的識(shí)別精度、極低的誤判率以及較強(qiáng)的實(shí)用價(jià)值。

參考文獻(xiàn)

[1] DANESHGADEH S， KEMMERICH T， AHMED T， et al. A hybrid approach to detect DDoS attacks using KOAD and the mahalanobis distance [C]// IEEE 17th International Symposium on Network Computing and Applications. Cheyenne： IEEE， 2018： 17?23.

[2] PRASAD K M， REDDY A R M， RAO K V. Ensemble classifiers with drift detection （ECDD） in traffic flow streams to detect DDoS attacks [J]. Wireless personal communications， 2018， 39（5）： 1?21.

[3] ZHANG J， LIU P， HE J B， et al. A hadoop based analysis and detection model for IP spoofing typed DDoS attack [C]// IEEE International Conference on Trust， Security and Privacy in Computing and Communications. Xian： IEEE， 2017： 231?236.

[4] REZAEI H， MOTLAGHA N G， FARJAMIB Y， et al. A novel framework for DDoS detection in huge scale networks， thanks to QoS features [J]. IEEE transactions on communications， 2018， 33（7）： 633?642.

[5] BREMLER?BARR A， BROSH E， SIDES M. DDoS attack on cloud auto?scaling mechanisms [C]// IEEE INFOCOM 2017?IEEE Conference on Computer Communications. Detroit： IEEE， 2017： 56?62.

[6] LIU J， LAI Y X， ZHANG S X. FL?GUARD： a detection and defense system for DDoS attack in SDN [C]// International Conference on Computer Science. Beijing： IEEE， 2017： 32?46.

[7] TORJESEN A， ISTFAN R， ROBLYER D. Ultrafast wavelength multiplexed broad bandwidth digital diffuse optical spectroscopy for in vivo extraction of tissue optical properties [J]. Journal of biomedical optics， 2017， 22（3）： 36?49.

[8] AGRAWAL N， TAPASWI S. A lightweight approach to detect the low/high rate IP spoofed cloud DDoS attacks [C]// 7th International Symposium on Cloud and Service Computing. Frankfort： IEEE， 2017： 106?115.

[9] REBECCHI F， BOITE J， NARDIN P A， et al. Traffic monitoring and DDoS detection using stateful SDN [C]// Conference on Network Softwarization. Harrisburg： IEEE， 2017： 421?426.

[10] LIU Z Y， YANG X， ZHANG Y L， et al. Application?layer DDoS defense model based on Web behavior trajectory [J]. Journal of computer applications， 2017， 38（4）： 233?239.

[11] YUAN X Y， LI C H， LI X L. Deep defense： identifying DDoS attack via deep learning [C]// 2017 IEEE International Conference on Smart Computing. Wuhan： IEEE， 2017： 101?106.

[12] KO I， CHAMBERS D， BARRETT E. Feature dynamic deep learning approach for DDoS mitigation within the ISP domain [J]. International journal of information security， 2019（7）： 79?83.

[13] LI C H， WU Y， YUAN X Y， et al. Detection and defense of DDoS attack?based on deep learning in OpenFlow?based SDN [J]. International journal of communication systems， 2018（11）： 3497?3508.

作者簡(jiǎn)介：葛 ?菁（1982—），女，江西南昌人，碩士，講師，研究方向?yàn)橛?jì)算機(jī)科學(xué)。