1、SDN 网络中基于流特征值的 DDoS 攻击检测方法 张雨龙 叶进 桂林电子科技大学信息与通信学院 广西大学计算机与电子信息学院 摘 要: DDo S 攻击对互联网信息安全构成严重威胁, 是网络空间安全领域研究的重要热点。通过对比传统网络环境及软件定义网络环境的攻击检测研究, 提出基于软件定义网络的流特征值的 DDo S 攻击检测判断研究。利用 SDN 控制器的集中控制特性, 提取流表中的与 DDo S 相关的六元组特征值信息, 进行 DDo S 攻击检测判断研究。关键词: 软件定义网络; 分布式拒绝服务攻击; 特征值; 攻击检测; 作者简介:叶进 (1970) , 女, 江苏泰兴人, 广西大
2、学教授, 博士生导师;E-mail:。收稿日期:2017-07-07基金:国家自然科学基金资助项目 (61462007) Research on DDo S attack detection and judgment based on stream eigenvalues of software defined networksZHANG Yu-long YE Jin School of Information and Communication Engineering, Guilin University of Electronic Technology; School of Compute
3、r, Electronics and Information, Guangxi University; Abstract: Distributed denial of service attack poses a serious threat to the security of Internet information, which is an important hotspot in the research of cyberspace security. By comparing the attack detection of the traditional network enviro
4、nment and the software defined network ( SDN) environment, the DDo S attack detection and judgment of the flow eigenvalues based on software defined network is proposed. Based on the centralized control characteristic of SDN controller, the ternary eigenvalue information related to DDo S in the flow
5、 table is extracted and the DDo S attack detection is studied.Keyword: software defined network; DDo S attack; eigenvalues; attack detection; Received: 2017-07-070 引言分布式拒绝服务 (distributed denial of service, DDo S) 攻击通过攻击网络带宽、攻击系统资源、攻击应用资源等攻击手段, 快速地耗尽网络带宽和目标服务器的系统资源, 使得网络通道堵塞, 对网络服务器无法正常访问, 造成大量用户的个人信
6、息泄露, 给许多单位带来巨额的经济损失。软件定义网络 (software defined network, SDN) 是一种将网络的数据平面和控制平面相分离的、解耦合的网络创新架构1, 其具有管理控制的集中化2、接口的开放化、网络的可编程化等特点。在传统网络架构下, DDo S 攻击检测技术主要有基于流量特征的攻击检测和基于流量异常的攻击检测。基于流量特征的攻击检测方法主要是先把已知的攻击相关的各种特征信息统一收集起来, 建立一个 DDo S 攻击数据特征库, 通过对比匹配分析当前网络的数据包和特征库的数据信息, 判断是否遭到 DDo S 攻击, 其主要实现方法有特征匹配、模型推理、状态转换和
7、专家系统。基于流量异常的攻击检测主要是通过建立流量模型, 分析流量的异常变化, 以此判断流量是否异常, 从而检测服务器是否被攻击。研究者针对传统网络架构, 提出了许多的 DDo S 攻击检测方法, 郑亚等3提出了通过提取分析网络流量的数据信息, 采用支持向量机 (SVM) 的分类方法, 建立一个 DDo S 攻击检测模型, 实现攻击检测。Saied 等4提出通过分析对比 TCP/UDP/ICMP 协议的不同, 通过训练 ANN算法对协议特定的特征分类判断检测 DDo S 攻击。杨君刚等5提出了一种结合流量信息和 IP 熵特性信息, 进行 DDo S 攻击的检测, 其检测效果明显更高、更准确。在
8、 SDN 创新网络架构中, 控制器是网络的核心, 主要负责全局网络拓扑的管理、流表的下发、链路状态的更新;交换机只负责数据的通信转发。支持具备全局网络视图的软件定义网络架构, 可进行深层次数据包分析, 具有强大的网络感知管控能力, 具备开放的智能调度部署能力。在网络规划时, 有利于优化网络资源, 加快网络创新, 在提升网络灵活性的同时, 提高网络的利用率;网络安全检测预防时, 有利于快速的检测感知网络的流量变化, 为攻击检测提供便利。文献6通过提取与 DDo S 攻击相关的流表统计信息, 再使用 SOM 算法进行 DDo S攻击的检测。这种方法具有消耗低, 检测率高的特点, 其关键点在于时间间
9、隔的提取, 不足之处在于检测具有一定的滞后性, 不够及时准确地发现攻击行为。文献7利用 SDN 的集中控制特性, 通过分类统计熵值的变化, 有效进行 DDo S攻击检测。文献8通过构造一个全网的流量矩阵, 得出样本熵矩阵, 并利用PCA (主成分分析) 算法检测异常流量, 进行 DDo S 攻击检测研究。1 相关技术及研究1.1 DDo S 攻击问题自 DDOS 攻击出现以来, 攻击技术手段和攻击防御检测措施方法都在不断变化, 但是 DDOS 攻击并未得到有效控制, 黑客控制的僵尸网络规模仍在全世界范围内不断扩张。近年来 DDo S 攻击呈现出攻击模式更加智能化、攻击规模不断扩大的特点。攻击检
10、测的难点在于不断变化的攻击工具、攻击持续时间短、响应时间有限、异常流量信息的识别。加强对 DDOS 攻击检测防御方法的研究, 对网络空间安全预防具有重要的价值。1.2 基于 Open Flow 的 SDN 技术作为 SDN 原型的 Open Flow 技术, 主要是由 Open Flow 交换机和控制器组成。数据转发平面的 Open Flow 交换机根据流表来转发数据包, 逻辑控制平面的控制器透过全网络视图实现其集中管控功能。Open Flow 协议是 ONF 定义的常见的南向接口通信协议。当有数据流到达时, Open Flow 交换机解析出数据包的包头信息, 与本地的流表项进行匹配, 并根据
11、匹配成功的流表项中的规则对数据流进行处理。若未匹配成功, 则交换机将数据包封装成 Packet_in 消息发送到控制器9, 控制器将处理规则下发到交换机的流表10。每个表项包括匹配域 (header field) , 计数器 (counters) , 动作 (actions) 三个域。图 1 给出了流表项结构。图 1 流表项结构 Fig.1 Flow table structure 下载原图在 SDN 环境下, 通过 Open Flow 协议记录收集流表的状态信息, 交换机可回复控制器, 定期发送相应的 ofp_flow_stats_request 报文。实验时在控制器及交换机上, 执行命令行
12、:sudo ovs-ofct1 dump-flows s1flow.txt;可以收集并保存流表状态信息, 如下给出了在交换机上收集提取的一条流表信息:1.3 流特征值提取当网络发生 DDo S 攻击时, 因为是程序控制, 网络中会随机伪造产生大量的源IP 地址发送大小一定的数据包对攻击目标进行攻击, 在网络中攻击流呈现出一定的相似性、规律性, 进而可以通过分析流表项特征值信息进行攻击检测, 在软件定义网络中控制器及交换机中可以获取相关的流表信息11。通过分析对比传统网络及关于 SDN 现有的一些研究, 并在以往的研究基础上, 文献12提取流表的 5 个关键特征可以有效的检测 DDo S 攻击,
13、 但未提到流表项速率变化, 攻击时一定时间内流表项请求数目会快速增加;而文献13在选取流量特征时进行攻击检测时未提及端口增速变化, 攻击过程会随机生成大量的新端口号。通过提取的流状态信息进行数据分析处理, 提取得到以下与 DDo S攻击相关的六元组特征值信息, 用于 DDo S 攻击检测。(1) 源 IP 地址增速 (growth speed of source IP, GSIP) , 即单位时间内源IP 地址的增加数量:其中, S IP-src为源 IP 数量, T 为采样的时间间隔。随机伪造产生的大量的攻击流发送数据包, 其源 IP 地址快速增加。(2) 流生存时间的变化 (average
14、 of duration per flow, ADF) , 即单位时间内流规格的生存持续时间相对变化程度:其中, T dur为流生存时间, T flow为流的总时间。在流表项中, 存在大量的异常流量, 其流生存持续时间会明显减少。(3) 端口的增速 (growth of port, GSP) , 即单位时间内攻击源端口数量的增长速度:其中, S port为攻击源端口的增加数量。攻击发生会随机生成大量的端口号。(4) 流表项速率 (the rate of flow entries, RFE) , 即单位时间流表项的增长速度:其中, S flow为流表项的总数, 攻击发生时控制器会快速产生大量的流
15、表信息。(5) 流表匹配成功率 (the rate of flow table matching, RFM) , 即流量中匹配成功的数据包流量占总数量的比例:其中, M packet为匹配成功的数据包数量, S packet为数据包总数。发生攻击时, 因为当有大量的新流产生存在, 其匹配成功率将急剧下降。(6) 对比流比例 (percentage of pair-flow, PPF) , 即流表对比流量占总流量的比例:其中, F pair为网络中交互流的数量, F sum为流的总数。攻击发生时网络中, 具有一定的交互性的对比流数量会减少。2 实验及分析2.1 实验环境图 2 网络拓扑图 Fig
16、.2 Network topology 下载原图通过部署软件定义网络实验环境来验证所提出的流表的六元组特征值信息的有效性。图 2 给出了网络拓扑图, 其由 1 个控制器 (Controller) 、3 台 Open Flow 交换机 (S 1、S 2、S 3) 、3 台主机 (H 1、H 2、H 3) 构成, 网络主机 H1、H 2报文发送, H 3是受攻击目标 (target) , 主机 H1、H 2可以发送正常报文、也可以发送 DDo S 攻击报文模拟攻击异常。其中, 正常网络流量由 H1主机进行模拟正常服务请求访问目标服务器 H3产生, 可以包括常见的 TCP 流量、UDP 流量、ICM
17、P 流量等, 网络的攻击异常流量通过 Hping3 工具进行模拟 DDo S 攻击产生, 对目标服务器 H3进行模拟攻击, 实验通过模拟正常服务访问请求及攻击发生两种情况, 收集获取相关打的流表信息分析处理。在 VMware Workstation Pro 虚拟机中的运行 mininet 网络仿真平台环境, 图 3给出了组建网络拓扑的 Python 代码。图 3 拓扑构建代码 Fig.3 Topology build code 下载原图提取流表中相关的字段信息:流时间生存 (duration_sec) 、源 IP 地址 (nw_src) 、目的 IP 地址 (nw_dst) 、源端口号 (tp
18、_src) 、目的端口号 (tp_ds) 、入端口 (in_port) 、匹配成功数 (n_packets) , 并统计出其出现的次数信息, 转化为与 DDo S 攻击相关的一维特征信息。2.2 实验结果分析说明基于实验结果分析六元组特征值中的时间生存持续时间及端口分布变化, 图 4给出了流表中时间流持续变化;图 5 给出了端口分布变化。图 4 正常及攻击时流的生存持续时间 Fig.4 Survival of the stream duration in normal and attack 下载原图正常流的存在持续时间, 其保持相对稳定数值且幅度变化较少;攻击流的存在持续时间比正常的数值要小很
19、多, 且其变化幅度频率明显。图 5 正常及攻击的端口分布 Fig.5 Port distribution of normal and attack 下载原图正常服务访问时, 其源端口数与目的端口数分布相对一致, 而攻击发生时, 会随机生成大量的源端口, 其短时间内数量也会明显增加。使用 Rstudio 工具对图 5 的源端口数据进行绘图处理, 得到图 6 所示的源端口分布情况。图 6 源端口分布 Fig.6 Source port distribution 下载原图由图 6 可知, 网络正常流的源端口分布相对稳定, 攻击流的源端口因为随机生成大量的源端口号, 其分布变化比较离散。3 结语通过控
20、制器的全网视图集中管控特性, 收集、分析、提取网络中与 DDo S 攻击相关的流表特征值信息, 通过构建 SDN 网络环境, 对比验证了所提取的特征值信息的有效性, 有助于进行 DDo S 攻击检测判断。参考文献1左青云, 陈鸣, 赵广松, 等.基于 Open Flow 的 SDN 技术研究J.软件学报, 2013, 24 (5) :1078-1097. 2MCKEOWN N, ANDERSON T, BALAKRISHNAN H, et al.Open Flow:enabling innovation in campus networksJ.Acm Sigcomm Computer Comm
21、unication Review, 2008, 38 (2) :69-74. 3郑亚, 陈兴蜀, 尹学渊.基于 PCC 时间序列的 DDo S 检测算法J.四川大学学报 (工程科学版) , 2015, 47 (S2) :142-148. 4SAIED A, OVERILL R E, RADZIK T.Detection of known and unknown DDo S attacks using Artificial Neural NetworksJ.Neurocomputing, 2016, 172 (C) :385-393. 5杨君刚, 王新桐, 刘故箐.基于流量和 IP 熵特性的 D
22、Do S 攻击检测方法J.计算机应用研究, 2016, 33 (4) :1145-1149. 6BRAGA R, MOTA E, PASSITO A.Lightweight DDo S flooding attack detection using NOX/Open FlowC/IEEE, 35th Conference on Local Computer Networks.Denver, Colorado, USA:IEEE Computer Society, 2010:408-415. 7MOUSAVI S M, STHILAIRE M.Early detection of DDo S a
23、ttacks against SDN controllersC/International Conference on Computing, Networking and Communications.Anaheim, California, USA:IEEE, 2015:77-81. 8左青云, 陈鸣, 王秀磊, 等.一种基于 SDN 的在线流量异常检测方法J.西安电子科技大学学报, 2015, 42 (1) :155-160. 9武泽慧, 魏强, 王清贤.基于 Open Flow 的 SDN 网络攻防方法综述J.计算机科学, 2017, 44 (6) :121-132. 10张朝昆, 崔勇
24、, 唐翯祎, 等软件定义网络 (SDN) 研究进展J.软件学报, 2015, 26 (1) :62-81. 11韩子铮.SDN 中一种基于熵值检测 DDo S 攻击的方法J.信息技术, 2017 (1) :63-66. 12肖甫, 马俊青, 黄洵松, 等.SDN 环境下基于 KNN 的 DDo S 攻击检测方法J.南京邮电大学学报 (自然科学版) , 2015, 35 (1) :84-88. 13HUANG X L, DU X J, SONG B.An effective DDo S defense scheme for SDNC/IEEE International Conference on Communications.Paris, France:2017 IEEE International Conference, 2017.
