淺談SDN環(huán)境下基于BP神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測方法

蘇禮

摘要：軟件定義網(wǎng)絡(luò)能夠?qū)崿F(xiàn)集中控制的功能，這種網(wǎng)絡(luò)架構(gòu)具有全新的特點，當(dāng)遇到DDoS的情況下，使得信息無法傳達(dá)，同時，單點也容易失去效果。當(dāng)DDoS發(fā)生攻擊時，我們要及時識別出來，現(xiàn)行的方法在SDN氛圍下，憑借BP神經(jīng)網(wǎng)絡(luò)，對DDoS攻擊進(jìn)行檢測，通過使用這種方法，能夠取得關(guān)于OpenFlow交換機的流表項，用于分析DDoS攻擊的特點，即在SDN環(huán)境下，進(jìn)而得到流表匹配的成功率、流表項的速率等特征，即與攻擊有聯(lián)系的；當(dāng)對這些特征值的變化分析之后，借助BP神經(jīng)網(wǎng)絡(luò)來劃分訓(xùn)練樣本，完成對DDoS攻擊的檢查。根據(jù)實驗數(shù)據(jù)可知，通過這種方法，提高了識別率、檢測時間大大縮短。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；分布式拒絕服務(wù)攻擊；反向傳播神經(jīng)網(wǎng)絡(luò)；特征值；攻擊檢測

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）33-0077-02

SDN作為網(wǎng)絡(luò)體系結(jié)構(gòu)，具有典型的特點，基于此，網(wǎng)絡(luò)控制平面分離與數(shù)據(jù)平面。比較與以往的網(wǎng)絡(luò)體系架構(gòu)，SDN的優(yōu)勢之處有以下幾點：可編程、硬件通用、管理控制等。大部分控制器組成了一個控制平面，而控制器的作用，即底層的交換設(shè)備融合與上層的應(yīng)用；交換機組成了數(shù)據(jù)平面，其功能是傳遞數(shù)據(jù)。在積極使用SDN的同時，引發(fā)了很多SDN的安全問題需要大家關(guān)注，作為SDN體系結(jié)構(gòu)，其包括控制平面、數(shù)據(jù)平面等，而交換機與控制器緊密融合在一起，反之，這個網(wǎng)絡(luò)無法控制，因此，只有控制器到達(dá)安全的狀態(tài)，SDN網(wǎng)絡(luò)才能安全。當(dāng)分布式拒絕服務(wù)攻擊DDoS的時候，能夠影響控制器的安全，對于DDoS攻擊，主要是攻擊者借助傀儡主機，對計算資源進(jìn)行攻擊，避免目標(biāo)主機把服務(wù)給予合法的用戶。當(dāng)DDoS進(jìn)行攻擊的時候，攻擊者先進(jìn)入部分主機，即SDN網(wǎng)絡(luò)當(dāng)中的，把大量的虛假的、沒有效果的網(wǎng)絡(luò)流量輸進(jìn)網(wǎng)絡(luò)中，使得控制器資源全部消耗完畢，使得數(shù)據(jù)包轉(zhuǎn)發(fā)不成功。目前，人們針對SDN安全領(lǐng)域進(jìn)行研究，涉及以下方面：如何預(yù)防攻擊者以非授權(quán)方式來訪問交換機；如何預(yù)防攻擊者非法控制控制器，以及DDoS攻擊如何被快速檢測到。當(dāng)今，互聯(lián)網(wǎng)經(jīng)常受到DDoS的攻擊[1]。

研究者針對以前的網(wǎng)絡(luò)架構(gòu)，使用很多方法來檢測DDoS的攻擊，SDN網(wǎng)絡(luò)不同于以往的網(wǎng)絡(luò)構(gòu)架，其作為一種典型的網(wǎng)絡(luò)，通過這個網(wǎng)絡(luò)完成一定的工作，使用的原理與以往的網(wǎng)絡(luò)不一樣，在使用SDN網(wǎng)絡(luò)的時候，也引發(fā)很多網(wǎng)絡(luò)安全方面的問題，值得人們進(jìn)一步研究。下面具體分析如下。

1 SDN環(huán)境下的DDoS攻擊

基于SDN網(wǎng)絡(luò)，使得控制平面、數(shù)據(jù)平面相互獨立，比如，數(shù)據(jù)平面在接收網(wǎng)絡(luò)數(shù)據(jù)包的時候，需要控制平面提供其流規(guī)則，以流規(guī)則為核心，對數(shù)據(jù)包進(jìn)行梳理。對于網(wǎng)絡(luò)運營商，基于這種非主動的控制模式對網(wǎng)絡(luò)實現(xiàn)了控制，同時，安全問題也出現(xiàn)了。當(dāng)進(jìn)行匹配時，其若與流表項不匹配，則控制器會收到其傳遞的請求。流程圖如圖1所示。

2 基于BPNN的DDoS攻擊檢測方法

針對BPNN攻擊，使用的檢測方法具體5大模塊，其模塊包括：流表收集的、特征提取的、數(shù)據(jù)訓(xùn)練的、攻擊檢測的、攻擊處理的等，如圖2所示。其中，流表收集模塊的功能即按照規(guī)定把流表請求傳遞給Openflow交換機，而交換機反饋給流表的信息，則借助加密的信道傳送到流表收集模塊當(dāng)中。第二個是特征提取模塊，其功能是取出與DDoS攻擊有關(guān)的特征值，即由流表收集模塊所收集的流表中，第三個是數(shù)據(jù)訓(xùn)練模塊，其采取BPNN方法，把提取的特征值、信息進(jìn)行練習(xí)。最后是攻擊檢測模塊，需要對網(wǎng)絡(luò)數(shù)據(jù)包、訓(xùn)練結(jié)論進(jìn)行評價，目前的網(wǎng)絡(luò)是不是被攻擊。如果檢測到有攻擊的跡象，其受到控制器的管理，而這些跡象由攻擊處理模塊傳達(dá)[2]。

2.1 流表收集

通過Open flow協(xié)議，得到收集流表的信息，如圖3所示。對于ofp_flow stats_request報文通過交換機回復(fù)控制器按照計劃來傳送，同時取得流表的時間，其間隔要適宜，進(jìn)一步設(shè)計流表周期，以及OVS控制器的時間。先實施sudo ovs-ofctl dump-flows s1>a.txt，接著實施cata.txt2.2對重定向文件進(jìn)行讀取的 同時，實現(xiàn)流表收取。

2.2 流特征提取

作為DDoS攻擊者，在實施攻擊的時候采取多種方法，而其攻擊流量以一定的規(guī)律執(zhí)行。因此，結(jié)合流表項信息對網(wǎng)絡(luò)流量的分布特點以及改變進(jìn)行分析，最終實現(xiàn)對攻擊情況進(jìn)行檢測。以O(shè)penFlow協(xié)議為依據(jù)，數(shù)據(jù)包所轉(zhuǎn)發(fā)的信息以交換機的流表為依據(jù)，通過多個流表項構(gòu)成一個流表。流表項作為一個規(guī)則促進(jìn)數(shù)據(jù)進(jìn)行傳遞，其結(jié)構(gòu)如圖4所示。

在流表項當(dāng)中有一個是計數(shù)器，主要對數(shù)據(jù)流的信息進(jìn)行記錄，當(dāng)DDoS進(jìn)行攻擊時，能夠控制與攻擊大部分傀儡機，作為攻擊者在任何時刻都有可能造假對數(shù)據(jù)包源的IP地址進(jìn)行攻擊，使得源IP地址不集中，且數(shù)量增加；對于網(wǎng)絡(luò)數(shù)據(jù)包而言，一起流到受害機當(dāng)中，對一些端口進(jìn)行攻擊阻礙其提供服務(wù)，所以，在網(wǎng)絡(luò)數(shù)據(jù)包當(dāng)中，有很多方面是集中的[3]，包括：目的IP地址、目的端口地址等，當(dāng)DDoS實施攻擊的時候，流量特征也隨之而改變，大部分攻擊流量形成一定的規(guī)則，因此，基于獲取流表項信息，對網(wǎng)絡(luò)流量的分布特點進(jìn)行分析，進(jìn)而對攻擊流進(jìn)行檢測。

2.3 分類算法

不論是常態(tài)，還是發(fā)生攻擊的時候，具有不同的流量特征，所以，攻擊檢測的問題與分類問題類似，結(jié)合特征值對網(wǎng)絡(luò)的情況進(jìn)行判斷，看其正常與否，最終把常態(tài)、攻擊態(tài)區(qū)別開。在進(jìn)行攻擊檢測的時候，需要找到一個適宜的網(wǎng)絡(luò)流特征，即流包數(shù)的內(nèi)容，包括：均值、對流比、端口的增速、源IP的增速等；還包括流表項的內(nèi)容，即速率、流表匹配的成功率，再有，構(gòu)成六元組樣本的特征序列等，對于樣本的序列，包括：常態(tài)、非常態(tài)。檢測模型主要以BP神經(jīng)網(wǎng)絡(luò)是算法來建構(gòu)的，通過模型主要劃分那些沒有標(biāo)記的特征樣本序列，BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)如圖5所示。endprint

作為BP神經(jīng)網(wǎng)絡(luò)，其理論、體系、學(xué)習(xí)的機制均比較全面。在計算過程中，實現(xiàn)正向的傳遞，以及非正向的調(diào)整，使得神經(jīng)元之間的權(quán)值及時糾正，對于誤差在精度范圍之內(nèi)時，不需要繼續(xù)學(xué)習(xí)。

3 實驗及分析

3.1 實現(xiàn)環(huán)境

為了檢驗DDoS攻擊檢測方法是否有效，需要在部署軟件定義網(wǎng)絡(luò)的環(huán)境下來完成。而Ubuntu環(huán)境下，往往安裝Openflow交換機，數(shù)量為3臺。終端主機以內(nèi)核級虛擬化為主。在實驗當(dāng)中，主要使用ODL控制器、OvS交換機等。對于網(wǎng)絡(luò)拓?fù)鋱D，即圖6所示。

Network1與受害者網(wǎng)絡(luò)統(tǒng)一，通過ODL控制器對三個OpenFlow的交換機進(jìn)行把控。Network2作為一種僵尸網(wǎng)絡(luò)，通過DDoS洪水流量形成的。而在Network2、Network3主機之間，存放了反向散射通信、IP欺騙流向等。當(dāng)訓(xùn)練樣本形成過程中，在Networkl中的主機實施正常訪問之后形成正常流量，涉及流量有TCP的、UDP的、ICMP的等。非正常流量即CAIDADDoS 2007數(shù)據(jù)集。針對網(wǎng)絡(luò)流量來說，其攻擊種類有：TCP SYN flood、 UDP flood、 ICMPflood等。在查看流表的時候，憑借代碼sudo ovs-ofctl dump-flows s1來執(zhí)行，基于OVS交換機，這些流量最終形成對應(yīng)的流表，把其流表接收在一起，進(jìn)行訓(xùn)練樣本的劃分，即正常的、DDoS攻擊流量的，把其進(jìn)行轉(zhuǎn)換，作為攻擊檢測的特征值。

3.2 結(jié)果分析

通過這種算法對一些實驗進(jìn)行檢驗，借助Python達(dá)成的。其中，以sigmoid為激活函數(shù)。先把二次代價函數(shù)當(dāng)作損失函數(shù)，再把交叉嫡函數(shù)當(dāng)作代價函數(shù)，把其比較與二次代價函數(shù)。

在輸出層、輸入層當(dāng)中，其單元數(shù)取決于問題自身，而本文的輸入單元數(shù)，以六特征維數(shù)為準(zhǔn)，而輸出單元，即0常態(tài)與1，處于攻擊的狀態(tài)。在中間不明顯的層次，其單元數(shù)取決于誰，還沒有對應(yīng)的方法來解決。這就說明，問題的性質(zhì)越惡劣，所需的隱層單元數(shù)越多；但隨著隱層單元數(shù)的增多，使得計算量越來越多，最終形成“過擬合”的問題。

總而言之，在SDN架構(gòu)的基礎(chǔ)上對DDoS攻擊進(jìn)行檢測，本文先對DDoS的攻擊進(jìn)行介紹，而在SDN網(wǎng)絡(luò)中，控制器能夠集中進(jìn)行控制，及時取得OpenFlow交換機的信息，并收集到六元組，即與DDoS密切有關(guān)的，為了更好地檢測DDoS攻擊情況，以BPNN算法處理流量的關(guān)鍵特征值為依據(jù)，使其能夠?qū)DN架構(gòu)下的流量關(guān)鍵屬性進(jìn)行收集與分析，基于軟件定義網(wǎng)絡(luò)環(huán)境，使得這種方法的實效性得以驗證。

參考文獻(xiàn)：

[1] 左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術(shù)研究[J].軟件學(xué)報，2013（5）：1078-1097.

[2] 鄭亞，陳興蜀，尹學(xué)淵. 基于PCC時間序列的DDoS檢測算法[J].四川大學(xué)學(xué)報：工程科學(xué)版，2015（12）：142-148.

[3] 楊君剛，王新桐，劉故，等. 基于流量和IP墑特性的DDoS攻擊檢測方法[J]. 計算機應(yīng)用研究，2016，33（04）：1145-1149.endprint