淺談SDN環(huán)境下基于BP神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測(cè)方法

1、    淺談sdn環(huán)境下基于bp神經(jīng)網(wǎng)絡(luò)的ddos攻擊檢測(cè)方法    蘇禮摘要：軟件定義網(wǎng)絡(luò)能夠?qū)崿F(xiàn)集中控制的功能，這種網(wǎng)絡(luò)架構(gòu)具有全新的特點(diǎn)，當(dāng)遇到ddos的情況下，使得信息無法傳達(dá)，同時(shí)，單點(diǎn)也容易失去效果。當(dāng)ddos發(fā)生攻擊時(shí)，我們要及時(shí)識(shí)別出來，現(xiàn)行的方法在sdn氛圍下，憑借bp神經(jīng)網(wǎng)絡(luò)，對(duì)ddos攻擊進(jìn)行檢測(cè)，通過使用這種方法，能夠取得關(guān)于openflow交換機(jī)的流表項(xiàng)，用于分析ddos攻擊的特點(diǎn)，即在sdn環(huán)境下，進(jìn)而得到流表匹配的成功率、流表項(xiàng)的速率等特征，即與攻擊有聯(lián)系的；當(dāng)對(duì)這些特征值的變化分析之后，借助bp神經(jīng)網(wǎng)絡(luò)來劃分訓(xùn)練樣本，完成

2、對(duì)ddos攻擊的檢查。根據(jù)實(shí)驗(yàn)數(shù)據(jù)可知，通過這種方法，提高了識(shí)別率、檢測(cè)時(shí)間大大縮短。關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；分布式拒絕服務(wù)攻擊；反向傳播神經(jīng)網(wǎng)絡(luò)；特征值；攻擊檢測(cè)：tp311 ：a ：1009-3044（2017）33-0077-02sdn作為網(wǎng)絡(luò)體系結(jié)構(gòu)，具有典型的特點(diǎn)，基于此，網(wǎng)絡(luò)控制平面分離與數(shù)據(jù)平面。比較與以往的網(wǎng)絡(luò)體系架構(gòu)，sdn的優(yōu)勢(shì)之處有以下幾點(diǎn)：可編程、硬件通用、管理控制等。大部分控制器組成了一個(gè)控制平面，而控制器的作用，即底層的交換設(shè)備融合與上層的應(yīng)用；交換機(jī)組成了數(shù)據(jù)平面，其功能是傳遞數(shù)據(jù)。在積極使用sdn的同時(shí)，引發(fā)了很多sdn的安全問題需要大家關(guān)注，作為sdn體系結(jié)構(gòu)，

3、其包括控制平面、數(shù)據(jù)平面等，而交換機(jī)與控制器緊密融合在一起，反之，這個(gè)網(wǎng)絡(luò)無法控制，因此，只有控制器到達(dá)安全的狀態(tài)，sdn網(wǎng)絡(luò)才能安全。當(dāng)分布式拒絕服務(wù)攻擊ddos的時(shí)候，能夠影響控制器的安全，對(duì)于ddos攻擊，主要是攻擊者借助傀儡主機(jī)，對(duì)計(jì)算資源進(jìn)行攻擊，避免目標(biāo)主機(jī)把服務(wù)給予合法的用戶。當(dāng)ddos進(jìn)行攻擊的時(shí)候，攻擊者先進(jìn)入部分主機(jī)，即sdn網(wǎng)絡(luò)當(dāng)中的，把大量的虛假的、沒有效果的網(wǎng)絡(luò)流量輸進(jìn)網(wǎng)絡(luò)中，使得控制器資源全部消耗完畢，使得數(shù)據(jù)包轉(zhuǎn)發(fā)不成功。目前，人們針對(duì)sdn安全領(lǐng)域進(jìn)行研究，涉及以下方面：如何預(yù)防攻擊者以非授權(quán)方式來訪問交換機(jī)；如何預(yù)防攻擊者非法控制控制器，以及ddos攻擊如何被

4、快速檢測(cè)到。當(dāng)今，互聯(lián)網(wǎng)經(jīng)常受到ddos的攻擊1。研究者針對(duì)以前的網(wǎng)絡(luò)架構(gòu)，使用很多方法來檢測(cè)ddos的攻擊，sdn網(wǎng)絡(luò)不同于以往的網(wǎng)絡(luò)構(gòu)架，其作為一種典型的網(wǎng)絡(luò)，通過這個(gè)網(wǎng)絡(luò)完成一定的工作，使用的原理與以往的網(wǎng)絡(luò)不一樣，在使用sdn網(wǎng)絡(luò)的時(shí)候，也引發(fā)很多網(wǎng)絡(luò)安全方面的問題，值得人們進(jìn)一步研究。下面具體分析如下。1 sdn環(huán)境下的ddos攻擊基于sdn網(wǎng)絡(luò)，使得控制平面、數(shù)據(jù)平面相互獨(dú)立，比如，數(shù)據(jù)平面在接收網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)候，需要控制平面提供其流規(guī)則，以流規(guī)則為核心，對(duì)數(shù)據(jù)包進(jìn)行梳理。對(duì)于網(wǎng)絡(luò)運(yùn)營商，基于這種非主動(dòng)的控制模式對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)了控制，同時(shí)，安全問題也出現(xiàn)了。當(dāng)進(jìn)行匹配時(shí)，其若與流表項(xiàng)不

5、匹配，則控制器會(huì)收到其傳遞的請(qǐng)求。流程圖如圖1所示。2 基于bpnn的ddos攻擊檢測(cè)方法針對(duì)bpnn攻擊，使用的檢測(cè)方法具體5大模塊，其模塊包括：流表收集的、特征提取的、數(shù)據(jù)訓(xùn)練的、攻擊檢測(cè)的、攻擊處理的等，如圖2所示。其中，流表收集模塊的功能即按照規(guī)定把流表請(qǐng)求傳遞給openflow交換機(jī)，而交換機(jī)反饋給流表的信息，則借助加密的信道傳送到流表收集模塊當(dāng)中。第二個(gè)是特征提取模塊，其功能是取出與ddos攻擊有關(guān)的特征值，即由流表收集模塊所收集的流表中，第三個(gè)是數(shù)據(jù)訓(xùn)練模塊，其采取bpnn方法，把提取的特征值、信息進(jìn)行練習(xí)。最后是攻擊檢測(cè)模塊，需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)包、訓(xùn)練結(jié)論進(jìn)行評(píng)價(jià)，目前的網(wǎng)絡(luò)是不是

6、被攻擊。如果檢測(cè)到有攻擊的跡象，其受到控制器的管理，而這些跡象由攻擊處理模塊傳達(dá)2。2.1 流表收集通過open flow協(xié)議，得到收集流表的信息，如圖3所示。對(duì)于ofp_flow stats_request報(bào)文通過交換機(jī)回復(fù)控制器按照計(jì)劃來傳送，同時(shí)取得流表的時(shí)間，其間隔要適宜，進(jìn)一步設(shè)計(jì)流表周期，以及ovs控制器的時(shí)間。先實(shí)施sudo ovs-ofctl dump-flows s1>a.txt，接著實(shí)施cata.txt2.2對(duì)重定向文件進(jìn)行讀取的 同時(shí)，實(shí)現(xiàn)流表收取。2.2 流特征提取作為ddos攻擊者，在實(shí)施攻擊的時(shí)候采取多種方法，而其攻擊流量以一定的規(guī)律執(zhí)行。因此，結(jié)合流表項(xiàng)信息

7、對(duì)網(wǎng)絡(luò)流量的分布特點(diǎn)以及改變進(jìn)行分析，最終實(shí)現(xiàn)對(duì)攻擊情況進(jìn)行檢測(cè)。以openflow協(xié)議為依據(jù)，數(shù)據(jù)包所轉(zhuǎn)發(fā)的信息以交換機(jī)的流表為依據(jù)，通過多個(gè)流表項(xiàng)構(gòu)成一個(gè)流表。流表項(xiàng)作為一個(gè)規(guī)則促進(jìn)數(shù)據(jù)進(jìn)行傳遞，其結(jié)構(gòu)如圖4所示。在流表項(xiàng)當(dāng)中有一個(gè)是計(jì)數(shù)器，主要對(duì)數(shù)據(jù)流的信息進(jìn)行記錄，當(dāng)ddos進(jìn)行攻擊時(shí)，能夠控制與攻擊大部分傀儡機(jī)，作為攻擊者在任何時(shí)刻都有可能造假對(duì)數(shù)據(jù)包源的ip地址進(jìn)行攻擊，使得源ip地址不集中，且數(shù)量增加；對(duì)于網(wǎng)絡(luò)數(shù)據(jù)包而言，一起流到受害機(jī)當(dāng)中，對(duì)一些端口進(jìn)行攻擊阻礙其提供服務(wù)，所以，在網(wǎng)絡(luò)數(shù)據(jù)包當(dāng)中，有很多方面是集中的3，包括：目的ip地址、目的端口地址等，當(dāng)ddos實(shí)施攻擊的時(shí)候

8、，流量特征也隨之而改變，大部分攻擊流量形成一定的規(guī)則，因此，基于獲取流表項(xiàng)信息，對(duì)網(wǎng)絡(luò)流量的分布特點(diǎn)進(jìn)行分析，進(jìn)而對(duì)攻擊流進(jìn)行檢測(cè)。2.3 分類算法不論是常態(tài)，還是發(fā)生攻擊的時(shí)候，具有不同的流量特征，所以，攻擊檢測(cè)的問題與分類問題類似，結(jié)合特征值對(duì)網(wǎng)絡(luò)的情況進(jìn)行判斷，看其正常與否，最終把常態(tài)、攻擊態(tài)區(qū)別開。在進(jìn)行攻擊檢測(cè)的時(shí)候，需要找到一個(gè)適宜的網(wǎng)絡(luò)流特征，即流包數(shù)的內(nèi)容，包括：均值、對(duì)流比、端口的增速、源ip的增速等；還包括流表項(xiàng)的內(nèi)容，即速率、流表匹配的成功率，再有，構(gòu)成六元組樣本的特征序列等，對(duì)于樣本的序列，包括：常態(tài)、非常態(tài)。檢測(cè)模型主要以bp神經(jīng)網(wǎng)絡(luò)是算法來建構(gòu)的，通過模型主要?jiǎng)澐帜?/p>

9、些沒有標(biāo)記的特征樣本序列，bp神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)如圖5所示。endprint作為bp神經(jīng)網(wǎng)絡(luò)，其理論、體系、學(xué)習(xí)的機(jī)制均比較全面。在計(jì)算過程中，實(shí)現(xiàn)正向的傳遞，以及非正向的調(diào)整，使得神經(jīng)元之間的權(quán)值及時(shí)糾正，對(duì)于誤差在精度范圍之內(nèi)時(shí)，不需要繼續(xù)學(xué)習(xí)。3 實(shí)驗(yàn)及分析3.1 實(shí)現(xiàn)環(huán)境為了檢驗(yàn)ddos攻擊檢測(cè)方法是否有效，需要在部署軟件定義網(wǎng)絡(luò)的環(huán)境下來完成。而ubuntu環(huán)境下，往往安裝openflow交換機(jī)，數(shù)量為3臺(tái)。終端主機(jī)以內(nèi)核級(jí)虛擬化為主。在實(shí)驗(yàn)當(dāng)中，主要使用odl控制器、ovs交換機(jī)等。對(duì)于網(wǎng)絡(luò)拓?fù)鋱D，即圖6所示。network1與受害者網(wǎng)絡(luò)統(tǒng)一，通過odl控制器對(duì)三個(gè)openflow的交

10、換機(jī)進(jìn)行把控。network2作為一種僵尸網(wǎng)絡(luò)，通過ddos洪水流量形成的。而在network2、network3主機(jī)之間，存放了反向散射通信、ip欺騙流向等。當(dāng)訓(xùn)練樣本形成過程中，在networkl中的主機(jī)實(shí)施正常訪問之后形成正常流量，涉及流量有tcp的、udp的、icmp的等。非正常流量即caidaddos 2007數(shù)據(jù)集。針對(duì)網(wǎng)絡(luò)流量來說，其攻擊種類有：tcp syn flood、 udp flood、 icmpflood等。在查看流表的時(shí)候，憑借代碼sudo ovs-ofctl dump-flows s1來執(zhí)行，基于ovs交換機(jī)，這些流量最終形成對(duì)應(yīng)的流表，把其流表接收在一起，進(jìn)行訓(xùn)練

11、樣本的劃分，即正常的、ddos攻擊流量的，把其進(jìn)行轉(zhuǎn)換，作為攻擊檢測(cè)的特征值。3.2 結(jié)果分析通過這種算法對(duì)一些實(shí)驗(yàn)進(jìn)行檢驗(yàn)，借助python達(dá)成的。其中，以sigmoid為激活函數(shù)。先把二次代價(jià)函數(shù)當(dāng)作損失函數(shù)，再把交叉嫡函數(shù)當(dāng)作代價(jià)函數(shù)，把其比較與二次代價(jià)函數(shù)。在輸出層、輸入層當(dāng)中，其單元數(shù)取決于問題自身，而本文的輸入單元數(shù)，以六特征維數(shù)為準(zhǔn)，而輸出單元，即0常態(tài)與1，處于攻擊的狀態(tài)。在中間不明顯的層次，其單元數(shù)取決于誰，還沒有對(duì)應(yīng)的方法來解決。這就說明，問題的性質(zhì)越惡劣，所需的隱層單元數(shù)越多；但隨著隱層單元數(shù)的增多，使得計(jì)算量越來越多，最終形成“過擬合”的問題?？偠灾趕dn架構(gòu)的基礎(chǔ)上對(duì)ddos攻擊進(jìn)行檢測(cè)，本文先對(duì)ddos的攻擊進(jìn)行介紹，而在sdn網(wǎng)絡(luò)中，控制器能夠集中進(jìn)行控制，及時(shí)取得openflow交換機(jī)的信息，并收集到六元組，即與ddos密切有關(guān)的，為了更好地檢測(cè)ddos攻擊情況，以bpnn算法處理流量的關(guān)鍵特征值為依據(jù)，使其能夠?qū)dn架構(gòu)下的流量關(guān)鍵屬性進(jìn)行收集與分析，基于軟件定義網(wǎng)絡(luò)環(huán)境，使得這種方法的實(shí)效性得以驗(yàn)證。參考文獻(xiàn)：1 左青云，陳鳴，趙廣松，等. 基于openflow的sd