基于雙向流量的軟件分布式拒絕服務(wù)攻擊檢測(cè)方法

基于雙向流量的軟件分布式拒絕服務(wù)攻擊檢測(cè)方法

0ddos攻擊檢測(cè)方案網(wǎng)絡(luò)定義技術(shù)（sdn）可以使網(wǎng)絡(luò)管理員根據(jù)網(wǎng)絡(luò)的實(shí)際情況動(dòng)態(tài)更新網(wǎng)絡(luò)流程規(guī)則，從而極大地簡(jiǎn)化管理方法。文獻(xiàn)Braga等人Mousavi等人姚琳元等人武澤慧等人通過(guò)上述描述分析可知，提出一種SDN下合理的DDoS攻擊檢測(cè)方案需要綜合考慮多方面因素，如DDoS攻擊檢測(cè)算法的分類精度與實(shí)時(shí)性、算法對(duì)于控制器和交換機(jī)資源的消耗，以及對(duì)于高速率突發(fā)流等特殊網(wǎng)絡(luò)狀況的處理策略等。本文受文獻(xiàn)本文特色在于:a)綜合考慮SDN架構(gòu)及DDoS攻擊特點(diǎn)，為準(zhǔn)確檢出DDoS攻擊，本文引入雙向流概念，提出了基于目的IP地址的DDoS檢測(cè)四元組特征;b)考慮到OpenFlow交換機(jī)流表空間大小的限制，本文提出了一種流表項(xiàng)監(jiān)控粒度自適應(yīng)調(diào)整的策略;c)利用GHSOM算法對(duì)SDN中提取到的四元組特征向量分析并分類，之后在基于Ope-nDayLight的SDN仿真平臺(tái)上分析了所提檢測(cè)算法的可行性及檢測(cè)性能。1網(wǎng)絡(luò)結(jié)構(gòu)訓(xùn)練和成長(zhǎng)階段近些年來(lái)SOM算法應(yīng)用廣泛a)初始化階段。第0層包含單個(gè)神經(jīng)元節(jié)點(diǎn)，其權(quán)值矢量m其中:x表示輸入向量;n表示輸入向量的個(gè)數(shù)。b)網(wǎng)絡(luò)結(jié)構(gòu)訓(xùn)練和成長(zhǎng)階段。在競(jìng)爭(zhēng)學(xué)習(xí)原則下，當(dāng)且僅當(dāng)mqec)展開(kāi)或終止分層階段。神經(jīng)網(wǎng)絡(luò)訓(xùn)練完成后，考察神經(jīng)元是否符合全局終止條件，即mqeCHSOM擴(kuò)展如圖1所示。2ddos分類檢測(cè)為了精確檢出DDoS攻擊，系統(tǒng)需要提取簡(jiǎn)單高效的網(wǎng)絡(luò)流量特征。在DDoS攻擊發(fā)生時(shí)，對(duì)于受害者而言，其接收的網(wǎng)絡(luò)數(shù)據(jù)包無(wú)論在大小上還是數(shù)量上均異常增長(zhǎng);與此同時(shí)，在DDoS攻擊發(fā)生時(shí)受害者端進(jìn)出雙向之間的數(shù)據(jù)包特征差異較明顯，因此本文引入了包括網(wǎng)絡(luò)流和雙向流兩類流量特征，如表1所示，網(wǎng)絡(luò)流特征包括D本文將周期性提取監(jiān)控流表項(xiàng)所審查IP網(wǎng)段的四元組網(wǎng)絡(luò)特征信息，而一旦系統(tǒng)檢出DDoS攻擊受害者，則可判定網(wǎng)絡(luò)正在遭受DDoS攻擊。假定現(xiàn)行SDN中存在網(wǎng)絡(luò)流f3ddos攻擊檢測(cè)算法SDN中受害目標(biāo)遭到DDoS攻擊時(shí)，其接收到的數(shù)據(jù)包目的地址單一，且數(shù)據(jù)包大小和數(shù)量會(huì)發(fā)生異常變化;與此同時(shí)，其進(jìn)出雙向數(shù)據(jù)包大小和數(shù)量差異也會(huì)越發(fā)明顯待全網(wǎng)網(wǎng)絡(luò)地址段劃分完成后，為了初始化監(jiān)控網(wǎng)段范圍，系統(tǒng)首先下發(fā)交換機(jī)初始監(jiān)控流表項(xiàng)，之后為更加精確檢出DDoS攻擊，系統(tǒng)通過(guò)周期性提取網(wǎng)絡(luò)流四元組特征，運(yùn)行DDoS攻擊檢測(cè)算法，逐次迭代更新監(jiān)控流表粒度，從而逐步縮小包含受害者的網(wǎng)段大小;一旦確定受害者，系統(tǒng)判定網(wǎng)絡(luò)正遭受DDoS攻擊，繼而下發(fā)命令阻斷發(fā)往受害者的流量。其整體流程如圖2所示。3.1監(jiān)控網(wǎng)絡(luò)的仿真通常DDoS攻擊對(duì)于實(shí)施平臺(tái)具有一定的依賴性，因此本文提出以下兩點(diǎn)合理假設(shè):a)SDN拓?fù)涫荘oP(point-of-presence)初始狀態(tài)下，檢測(cè)系統(tǒng)對(duì)于網(wǎng)絡(luò)是否發(fā)生DDoS攻擊是未知的，因此系統(tǒng)需要監(jiān)控網(wǎng)絡(luò)中盡可能多的IP地址，然而考慮到交換機(jī)流表空間的限制和檢測(cè)實(shí)時(shí)性要求，系統(tǒng)需要保證所監(jiān)控的IP網(wǎng)段的范圍及數(shù)量盡可能小。據(jù)OpenFlow協(xié)議和SDN流表規(guī)則定義3.2在交換機(jī)監(jiān)控流程中公布策略3.2.1．監(jiān)控規(guī)則生成策略在初始化階段IP地址段劃分完成后，為了精確檢出DDoS攻擊，系統(tǒng)需要初始化網(wǎng)絡(luò)中潛在受害者的IP網(wǎng)段范圍，同時(shí)下發(fā)對(duì)于網(wǎng)絡(luò)中每道流f的初始監(jiān)控流表項(xiàng)。一般而言，有兩種關(guān)于監(jiān)控流表項(xiàng)的生成策略。第一種策略是對(duì)于每一個(gè)潛在受害者IP網(wǎng)段均設(shè)置一條監(jiān)控流表項(xiàng)。假設(shè)現(xiàn)行網(wǎng)絡(luò)中存在兩道網(wǎng)絡(luò)流:A→B和B→A，因此系統(tǒng)會(huì)生成A→B和B→A兩條監(jiān)控規(guī)則;但若系統(tǒng)判定A、B間皆可能存在受害者進(jìn)而需要更細(xì)粒度生成監(jiān)控規(guī)則時(shí)，系統(tǒng)對(duì)于地址段A會(huì)產(chǎn)生A1→B,A2→B,B→A1和B→A2四條監(jiān)控策略;同時(shí)，對(duì)于地址段B會(huì)生成A→B1,A→B2,B1→A和B2→A四條監(jiān)控規(guī)則，故一共生成了8條監(jiān)控規(guī)則;而第二種生成策略是僅生成一條監(jiān)控條目同時(shí)負(fù)責(zé)監(jiān)控源和目的地址段，一旦源和目的地址段內(nèi)均被懷疑有受害者，則系統(tǒng)需要更細(xì)粒度的劃分源和目的地址段。例如，當(dāng)系統(tǒng)想利用第二種生成策略審查地址段A和B的流量，則會(huì)生成A1→B1,A2→B1,A1→B2,A2→B2,B1→A1,B2→A1,B1→A2和B2→A2八條監(jiān)控條目。由上述分析可知，若系統(tǒng)為細(xì)粒度監(jiān)控審查地址段A和B的流量，將其網(wǎng)絡(luò)范圍細(xì)分為k段，對(duì)于第一種監(jiān)控規(guī)則生成策略，針對(duì)地址段A和B總共會(huì)產(chǎn)生4k條監(jiān)控條目;而對(duì)于第二種生成策略，將總共會(huì)產(chǎn)生2k3.2.2更新流表的策略系統(tǒng)用算法1來(lái)迭代更新交換機(jī)監(jiān)控流表項(xiàng)。首先，系統(tǒng)會(huì)針對(duì){R算法1受害者檢測(cè)過(guò)程監(jiān)控流表項(xiàng)更新策略(D)3.2.3監(jiān)控流表項(xiàng)的生成對(duì)于3.2.2節(jié)監(jiān)控流表下發(fā)而言，最關(guān)鍵的是要考慮所生成的監(jiān)控流表項(xiàng)所需占用的交換機(jī)的空間大小{N模型由四種節(jié)點(diǎn)構(gòu)成，即start節(jié)點(diǎn)S、terminate節(jié)點(diǎn)T、網(wǎng)絡(luò)流節(jié)點(diǎn){f3.3監(jiān)控流表項(xiàng)自適應(yīng)算法為了精確檢出DDoS攻擊，本文檢測(cè)算法需要精確定位受害者位置。然而若受害者網(wǎng)絡(luò)范圍較大，則隨著網(wǎng)絡(luò)通信的推進(jìn)，交換機(jī)流表空間逐漸減小，不利于細(xì)粒度監(jiān)控表項(xiàng)的下發(fā)。因此本文引入了一種監(jiān)控流表項(xiàng)自適應(yīng)合并或分裂的思想，如算法2所示。其基本思路為:逐次迭代所產(chǎn)生的監(jiān)控流表項(xiàng)下發(fā)完成后，系統(tǒng)便會(huì)周期性提取流表項(xiàng)所審查的IP地址段的四元網(wǎng)絡(luò)特征，并用GHSOM算法對(duì)其分析分類以檢出含有潛在DDoS攻擊受害者的IP地址段。若GHSOM判定該地址段內(nèi)沒(méi)有DDoS攻擊受害者，系統(tǒng)便會(huì)用粗粒度的監(jiān)控流表項(xiàng)代替之前細(xì)粒度的監(jiān)控流表項(xiàng)，而對(duì)于那些有較高可能性出現(xiàn)受害者的地址段，系統(tǒng)則會(huì)建立更加細(xì)粒度的監(jiān)控流表項(xiàng)。算法2受害者檢測(cè)過(guò)程監(jiān)控流表項(xiàng)自適應(yīng)算法(D)在算法2中，本文用迭代的方式逐步縮小潛在受害IP的地址段范圍。本文利用Trie樹(shù)存儲(chǔ)網(wǎng)絡(luò)監(jiān)控節(jié)點(diǎn)信息，樹(shù)中每一個(gè)節(jié)點(diǎn)代表每一個(gè)監(jiān)控流表項(xiàng)中的目的IP網(wǎng)段d。系統(tǒng)提取d的四元流量特征并利用GHSOM算法對(duì)四元流量特征分析并分類，即計(jì)算C4ddos攻擊檢測(cè)實(shí)驗(yàn)本章主要從檢測(cè)算法中監(jiān)控粒度自適應(yīng)變化的合理性、四元組網(wǎng)絡(luò)流特征的可行性、DDoS攻擊檢測(cè)實(shí)驗(yàn)結(jié)果以及檢測(cè)算法對(duì)于控制器的開(kāi)銷四個(gè)方面進(jìn)行分析。實(shí)驗(yàn)中，本文通過(guò)OpenDayLight(Helium)控制器結(jié)合OpenFlow1.3開(kāi)發(fā)了DDoS攻擊檢測(cè)模塊，攻擊者與被攻擊者網(wǎng)絡(luò)均由實(shí)際主機(jī)組成，且用圖4所示的網(wǎng)絡(luò)拓?fù)渫瓿闪藢?shí)驗(yàn)的通信數(shù)據(jù)交互、采集和DDoS攻擊檢測(cè)過(guò)程。為了驗(yàn)證本文檢測(cè)方案在真實(shí)網(wǎng)絡(luò)場(chǎng)景中的DDoS攻擊檢測(cè)效果，在部分攻擊者主機(jī)中安裝LOIC攻擊軟件，通過(guò)精心構(gòu)造數(shù)據(jù)包實(shí)際產(chǎn)生了Α、Ν4.1監(jiān)控網(wǎng)絡(luò)范圍為分析本文四元組網(wǎng)絡(luò)流特征的可行性，本節(jié)以攻擊方式一為例，對(duì)檢測(cè)過(guò)程作了詳細(xì)分析。方式一中，本文選取目標(biāo)1為DDoS攻擊受害者，從攻擊者網(wǎng)絡(luò)Network1中隨機(jī)選取100個(gè)IP地址作為攻擊者。假定包含受害者的IP網(wǎng)段為IP，其網(wǎng)絡(luò)前綴長(zhǎng)度是a，則受害者監(jiān)控網(wǎng)段可描述為:IP/a。在實(shí)驗(yàn)中，本文對(duì)比分析了兩種不同的特征組合的檢測(cè)效果，即:{D不同網(wǎng)絡(luò)前綴下結(jié)合上述兩種不同特征組合，并利用GH-SOM算法檢測(cè)受害者的實(shí)驗(yàn)結(jié)果如圖6所示。從圖中可知，隨著監(jiān)控網(wǎng)絡(luò)范圍的逐步縮小，受害者檢出率也在逐步提高。這是因?yàn)橐坏┒嗟谰W(wǎng)絡(luò)流被單一的監(jiān)控流表項(xiàng)監(jiān)控，則系統(tǒng)會(huì)很難分辨出攻擊流Α和正常非對(duì)稱小流量Ν4.2監(jiān)控介質(zhì)空間的改進(jìn)對(duì)于本文DDoS檢測(cè)算法而言，一旦檢出受害者，則系統(tǒng)判定此刻網(wǎng)絡(luò)正遭受DDoS攻擊，因此受害者的檢測(cè)準(zhǔn)確性十分關(guān)鍵。本節(jié)主要分析檢測(cè)算法對(duì)于三種攻擊方式的檢測(cè)性能，并與文獻(xiàn)由表3結(jié)果可知，本文DDoS檢測(cè)方案在整體檢測(cè)率上稍優(yōu)于文獻(xiàn)圖7(a)顯示了本文檢測(cè)方法和文獻(xiàn)為了盡可能減小誤報(bào)率，本文的檢測(cè)方法在逐次迭代過(guò)程中將會(huì)消耗一定的交換機(jī)流表空間用于更細(xì)粒度的監(jiān)控網(wǎng)絡(luò)資源。在逐次迭代調(diào)整過(guò)程中，以1bit為單位來(lái)調(diào)整監(jiān)控粒度。圖7(b)清晰可見(jiàn)，本文的檢測(cè)算法對(duì)于受害者的檢測(cè)最終總是可以定位在一臺(tái)或幾臺(tái)主機(jī)之間，檢出率較高，且隨著算法迭代過(guò)程的推進(jìn)，TCAM流表空間剩余空間逐漸減小，監(jiān)控網(wǎng)段的細(xì)化也導(dǎo)致后續(xù)尋找潛在受害者的迭代次數(shù)逐漸減小。綜上所述，本文所提出的DDoS攻擊檢測(cè)算法在仿真場(chǎng)景中能夠以接近96%的檢測(cè)率檢出DDoS攻擊，且對(duì)于交換機(jī)TCAM表項(xiàng)的消耗是可接受的。4.3ddos檢測(cè)算法匹配時(shí)間本文DDoS攻擊檢測(cè)算法的開(kāi)銷主要包括訓(xùn)練和檢測(cè)兩個(gè)階段。訓(xùn)練階段可在線下完成，因此訓(xùn)練過(guò)程對(duì)于控制器的性能開(kāi)銷可以忽略。檢測(cè)階段復(fù)雜度主要受待檢測(cè)目標(biāo)IP地址數(shù)量影響，在本實(shí)驗(yàn)中以監(jiān)控網(wǎng)段中具體的主機(jī)數(shù)量而定。對(duì)于每一次檢測(cè)過(guò)程而言，其時(shí)間開(kāi)銷受到四元組特征提取和GHSOM算法匹配時(shí)間影響。四元組特征提取過(guò)程涉及前后兩次特征數(shù)據(jù)的比較，若每個(gè)周期提取N個(gè)數(shù)據(jù)包，則最終處理的數(shù)據(jù)包共為2N;而GHSOM算法的匹配主要受神經(jīng)元匹配過(guò)程影響，其數(shù)量遠(yuǎn)少于受檢測(cè)目標(biāo)IP數(shù)量。對(duì)于本文DDoS檢測(cè)算法對(duì)于控制器的CPU消耗如圖8所示。經(jīng)過(guò)多次測(cè)試，本文檢測(cè)算法對(duì)于控制器的CPU帶來(lái)的額外開(kāi)銷并不大，在5%～9%，為了保證SDN的安全性，屬于可接受的開(kāi)銷范圍。5仿真實(shí)驗(yàn)與未來(lái)研究方向在基于OpenFlow的SDN中，本文研究了如何利用SDN控制器集中控制、可編程的優(yōu)勢(shì)檢出DDoS攻擊。本文引入了雙向流速率特征，能更有效地區(qū)分大速率正常突發(fā)流和DDoS攻擊流。同時(shí)，本文研究了如何通過(guò)自適應(yīng)改變交換機(jī)監(jiān)控流表項(xiàng)粒度以節(jié)省OpenFlow交換機(jī)寶貴的流表空間。仿真實(shí)驗(yàn)結(jié)果表明，本文的四元組特征及檢測(cè)方案以接近96%的DDoS高