SDN中DDoS攻擊的高效聯(lián)合檢測(cè)和防御機(jī)制

曾榮飛， 高 原， 王興偉， 張 榜

(1. 東北大學(xué) 軟件學(xué)院, 遼寧 沈陽(yáng) 110169； 2. 東北大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院, 遼寧 沈陽(yáng) 110169)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，傳統(tǒng)的TCP/IP網(wǎng)絡(luò)在已有架構(gòu)的基礎(chǔ)上不斷引入新技術(shù)，傳統(tǒng)網(wǎng)絡(luò)已不能滿足當(dāng)今網(wǎng)絡(luò)需要，一種新型網(wǎng)絡(luò)架構(gòu)——SDN(software-defined networking)由此出現(xiàn).這種新型網(wǎng)絡(luò)架構(gòu)的最大特點(diǎn)是將數(shù)據(jù)平面與控制平面相分離，通過(guò)編程控制網(wǎng)絡(luò)[1].目前，一些企業(yè)已成功將SDN部署到真實(shí)的網(wǎng)絡(luò)環(huán)境.例如，谷歌的數(shù)據(jù)中心[2]、無(wú)線傳感器網(wǎng)絡(luò)[3]、NTT邊緣網(wǎng)關(guān)[4]等.由于SDN擁有在傳統(tǒng)網(wǎng)絡(luò)中無(wú)法獲得的靈活性、可編程性和可擴(kuò)展性，一提出就受到廣泛關(guān)注[5].

新型SDN網(wǎng)絡(luò)在具有諸多優(yōu)點(diǎn)的同時(shí)，還面臨著控制器DDoS攻擊等安全問(wèn)題.控制器是SDN的核心，攻擊者一旦接入控制器，就可以控制整個(gè)網(wǎng)絡(luò)，從而造成難以預(yù)料的危害.

針對(duì)上述問(wèn)題，本文設(shè)計(jì)了一種高效的聯(lián)合檢測(cè)和防御機(jī)制，利用改進(jìn)的SOM算法和多維條件熵算法分別對(duì)流表項(xiàng)和控制器進(jìn)行檢測(cè)，基于這兩種算法的檢測(cè)模塊互相為對(duì)方提供反饋信息.本文針對(duì)不同的聯(lián)合檢測(cè)結(jié)果采取不同的防御策略.該檢測(cè)和防御機(jī)制對(duì)攻擊流量更加敏感，從而能夠更好地對(duì)SDN控制器中的DDoS攻擊進(jìn)行檢測(cè)和防御.

1 相關(guān)工作

到目前為止，針對(duì)該工作使用的檢測(cè)方法主要包括統(tǒng)計(jì)學(xué)和人工智能兩大類(lèi).

Mousavi等[6]根據(jù)SDN控制器使用資源的情況，提出了一種基于目的IP地址熵變化的輕量級(jí)解決方案來(lái)檢測(cè)SDN中的DDoS攻擊.

Li等[7]、Jiang等[8]和Vokorokos等[9]均采用自組織映射(self-organizing mapping，SOM)算法對(duì)流量進(jìn)行聚類(lèi)，但是傳統(tǒng)的SOM算法其網(wǎng)絡(luò)結(jié)構(gòu)是固定的，網(wǎng)絡(luò)沒(méi)有很好的自適應(yīng)能力.本文針對(duì)以上局限性對(duì)傳統(tǒng)SOM算法進(jìn)行改進(jìn)，增加了生長(zhǎng)操作，增強(qiáng)了網(wǎng)絡(luò)的自適應(yīng)性.

2 架構(gòu)設(shè)計(jì)

本文將面向SDN控制器的DDoS攻擊分為兩個(gè)階段：第一個(gè)階段是針對(duì)SDN中交換機(jī)的流表項(xiàng)；第二個(gè)階段是針對(duì)大量被發(fā)送到控制器的數(shù)據(jù)包.結(jié)合兩個(gè)攻擊階段的特點(diǎn)和傳統(tǒng)網(wǎng)絡(luò)中的三種檢測(cè)方式(源端、中間網(wǎng)絡(luò)、目的端)，提出了以改進(jìn)SOM算法為主，多維條件熵算法為輔的聯(lián)合檢測(cè)機(jī)制.另外，本文還根據(jù)不同的檢測(cè)結(jié)果采取不同的防御策略，整體框架如圖1所示.

2.1 聯(lián)合檢測(cè)機(jī)制

2.1.1 改進(jìn)自組織映射算法

本檢測(cè)是針對(duì)攻擊的第一階段.利用改進(jìn)的SOM算法對(duì)OpenFlow交換機(jī)中流表項(xiàng)信息進(jìn)行檢測(cè)分類(lèi).對(duì)判定為正常型的流表項(xiàng)直接放行，攻擊型的流表項(xiàng)傳入防御模塊，可疑型的流表項(xiàng)傳入多維條件熵檢測(cè)模塊.根據(jù)多維條件熵檢測(cè)模塊的反饋結(jié)果來(lái)決定是否新增聚類(lèi)中心.

傳統(tǒng)的SOM算法主要包括初始化、采樣、競(jìng)爭(zhēng)、突觸適應(yīng)這幾個(gè)步驟.該算法存在諸如網(wǎng)絡(luò)結(jié)構(gòu)不能動(dòng)態(tài)變化，網(wǎng)絡(luò)在沒(méi)有經(jīng)過(guò)完整的學(xué)習(xí)前，不能增加新類(lèi)別等不足.為此，本文提出改進(jìn)SOM網(wǎng)絡(luò)，此種網(wǎng)絡(luò)增加了動(dòng)態(tài)生長(zhǎng)操作，算法流程圖如圖2所示.

該算法首先為每一個(gè)輸入樣本x，找到其最佳匹配節(jié)點(diǎn)b及其鄰域.然后，調(diào)整與b相連以及b鄰域中各節(jié)點(diǎn)的權(quán)值.接著，計(jì)算x與b的累積誤差M，若M大于預(yù)先設(shè)定的生長(zhǎng)閾值GT(growth threshold)，則在b的鄰域中生成一個(gè)新節(jié)點(diǎn)，否則做權(quán)值調(diào)整操作，直到算法收斂.改進(jìn)的算法詳細(xì)步驟如下：

1) 為使輸入數(shù)據(jù)落在[0,1]區(qū)間，本文采用簡(jiǎn)單縮放中的min-max標(biāo)準(zhǔn)，公式為

(1)

2) 記第一個(gè)輸入的向量為第一個(gè)聚類(lèi)中心，根據(jù)需求計(jì)算生長(zhǎng)閾值GT，公式為

GT=D×(1-β)n

(2)

其中:D是節(jié)點(diǎn)權(quán)重向量的維數(shù);β為調(diào)節(jié)因子;n為聚類(lèi)次數(shù)，滿足0<β<1，n>1.

3) 找到最佳匹配節(jié)點(diǎn)b，并記錄當(dāng)前神經(jīng)元的最大差異(該神經(jīng)元與其他神經(jīng)元的最小距離)，記為dis，初始化為0.

4) 計(jì)算W的累積誤差，記為M，公式如下：

(3)

式中:v為節(jié)點(diǎn)權(quán)重向量;D為v的維數(shù).

5) 若M>GT，按式(4)做生長(zhǎng)操作，生成b的新的子節(jié)點(diǎn)c；

LR(i+1)=LR(i)×σ

(4)

其中:LR(i)為學(xué)習(xí)率;σ為調(diào)節(jié)因子，滿足0<σ<1.

6) 若M≤GT，按式(5)做權(quán)值調(diào)整操作；

(5)

式中:vj(i+1)為j調(diào)整后的權(quán)值；Ni+1為第i+1次訓(xùn)練時(shí)b的鄰域.

7) 當(dāng)有新聚類(lèi)中心生成時(shí)，計(jì)算該聚類(lèi)中心與其他聚類(lèi)中心的最小歐氏距離，記為S.若S>dis，則更新dis=S.

8) 重復(fù)以上操作，直到無(wú)節(jié)點(diǎn)生成.

9) 計(jì)算每一個(gè)生成的聚類(lèi)中心獲勝的次數(shù)，將獲勝次數(shù)過(guò)小的中心節(jié)點(diǎn)刪除，并重新訓(xùn)練，直到網(wǎng)絡(luò)不再有新節(jié)點(diǎn)生成.

2.1.2 多維條件熵算法

本檢測(cè)是針對(duì)攻擊的第二階段.利用該算法對(duì)已上傳到控制器中的數(shù)據(jù)包和從改進(jìn)SOM檢測(cè)模塊傳來(lái)的可疑型流表項(xiàng)檢測(cè)，將檢測(cè)結(jié)果反饋給改進(jìn)SOM檢測(cè)模塊，使改進(jìn)SOM檢測(cè)模塊可以根據(jù)反饋信息決定是否增加新的聚類(lèi)中心.

該算法首先是對(duì)控制器中的數(shù)據(jù)包進(jìn)行特征提取，包括源IP地址Sip、目的IP地址Dip和目的端口號(hào)Dport.由這三個(gè)特征可以得到H(Sip|Dip)，H(Dip|Sip)等6個(gè)條件熵.然后，由以上6個(gè)條件熵組成1個(gè)六維向量.計(jì)算該六維向量與正常情況下流表項(xiàng)的六維向量的歐氏距離，結(jié)果與閾值進(jìn)行比較，如果連續(xù)5次大于閾值，則認(rèn)為攻擊已經(jīng)發(fā)生.對(duì)正常情況下六維向量的值和閾值的選取可通過(guò)訓(xùn)練正常流量和攻擊流量的實(shí)驗(yàn)獲得.

此外，該檢測(cè)模塊需要將目的端檢測(cè)結(jié)果反饋給改進(jìn)SOM檢測(cè)模塊，并與改進(jìn)SOM檢測(cè)模塊相結(jié)合，具體結(jié)合如下：

在改進(jìn)SOM檢測(cè)模塊中，當(dāng)S>dis時(shí)，新增聚類(lèi)中心；當(dāng)GT

1) 當(dāng)改進(jìn)SOM檢測(cè)模塊新增聚類(lèi)中心時(shí)，若多維條件熵檢測(cè)模塊的檢測(cè)結(jié)果為正常，則將該聚類(lèi)中心標(biāo)記為正常；反之，標(biāo)記為攻擊.

2) 當(dāng)改進(jìn)SOM檢測(cè)模塊的聚類(lèi)中心設(shè)為待定聚類(lèi)中心時(shí)，由目的端檢測(cè)結(jié)果和距離此待定中心最近的聚類(lèi)中心標(biāo)簽的結(jié)果共同決定是否新增此聚類(lèi)中心.若二者檢測(cè)結(jié)果相同，則不增加此聚類(lèi)中心，并將離其最近的聚類(lèi)中心當(dāng)作生長(zhǎng)時(shí)期的獲勝節(jié)點(diǎn).若二者檢測(cè)結(jié)果不同，則新增此聚類(lèi)中心并將其標(biāo)記為目的端的檢測(cè)結(jié)果.

3) 當(dāng)無(wú)新增聚類(lèi)中心且多維條件熵檢測(cè)模塊檢測(cè)到攻擊時(shí)，對(duì)攻擊和可疑數(shù)據(jù)包對(duì)應(yīng)將要下發(fā)的流表項(xiàng)做新增聚類(lèi)節(jié)點(diǎn)操作，并做出標(biāo)記.

2.2 聯(lián)合防御機(jī)制

對(duì)于改進(jìn)SOM檢測(cè)模塊，采用限流的常規(guī)防御策略；對(duì)于多維條件熵檢測(cè)模塊，采用過(guò)濾的快速防御策略.該機(jī)制流程圖如圖3所示.

對(duì)于改進(jìn)SOM檢測(cè)模塊，將判定為攻擊型的流表項(xiàng)通過(guò)添加表1中的屬性到Floodlight控制器的ACL中進(jìn)行限流操作.

表1 ACL控制列表中的屬性Table 1 Attributes in ACL control list

對(duì)于多維條件熵檢測(cè)模塊，結(jié)合該模塊對(duì)目的端和改進(jìn)SOM檢測(cè)模塊傳入的可疑流表項(xiàng)的檢測(cè)結(jié)果來(lái)調(diào)整各流表項(xiàng)在Floodlight控制器中防火墻的優(yōu)先級(jí)，優(yōu)先級(jí)高的流表項(xiàng)采用過(guò)濾操作.優(yōu)先級(jí)達(dá)到10時(shí)，認(rèn)為此節(jié)點(diǎn)無(wú)限接近正常節(jié)點(diǎn)；達(dá)到0時(shí)，認(rèn)為無(wú)限接近攻擊節(jié)點(diǎn).首先，將可疑節(jié)點(diǎn)的相關(guān)信息添加至防火墻條目中，優(yōu)先級(jí)統(tǒng)一設(shè)置為5.然后，根據(jù)聯(lián)合檢測(cè)結(jié)果的四種情況提出如下四類(lèi)防御策略.

一是目的端未檢測(cè)到攻擊且可疑節(jié)點(diǎn)的熵值正常，此時(shí)認(rèn)為可疑節(jié)點(diǎn)是正常節(jié)點(diǎn)，提高此節(jié)點(diǎn)在防火墻中的優(yōu)先級(jí)；二是目的端未檢測(cè)到攻擊但可疑節(jié)點(diǎn)的熵值異常，此時(shí)不能確定可疑節(jié)點(diǎn)類(lèi)型，不調(diào)整該節(jié)點(diǎn)在防火墻中的優(yōu)先級(jí)；三是目的端檢測(cè)到攻擊但可疑節(jié)點(diǎn)的熵值正常，此時(shí)攻擊已經(jīng)發(fā)生，不能排除此節(jié)點(diǎn)是潛在的攻擊節(jié)點(diǎn)，先降低此節(jié)點(diǎn)在防火墻中的優(yōu)先級(jí)，并將此節(jié)點(diǎn)的分類(lèi)標(biāo)簽修改為攻擊.另外，由于此時(shí)目的端檢測(cè)到攻擊，所以需要將熵值異常的節(jié)點(diǎn)信息反饋給改進(jìn)SOM檢測(cè)模塊，并將此節(jié)點(diǎn)的分類(lèi)標(biāo)簽標(biāo)記為可疑，同時(shí)添加到防火墻中，設(shè)置優(yōu)先級(jí)為5；四是目的端檢測(cè)到攻擊且可疑節(jié)點(diǎn)的熵值異常，此時(shí)認(rèn)為此節(jié)點(diǎn)無(wú)限趨近于攻擊節(jié)點(diǎn)，將此節(jié)點(diǎn)的優(yōu)先級(jí)降為0，把信息反饋給改進(jìn)SOM檢測(cè)模塊，并將此節(jié)點(diǎn)的分類(lèi)標(biāo)簽設(shè)置為攻擊.另外，還需將其他熵值異常節(jié)點(diǎn)的相關(guān)信息反饋給改進(jìn)SOM檢測(cè)模塊，并將分類(lèi)標(biāo)簽設(shè)為可疑，同時(shí)將這些節(jié)點(diǎn)添加至防火墻中，將優(yōu)先級(jí)設(shè)置為5.

3 性能評(píng)價(jià)

3.1 仿真環(huán)境

本實(shí)驗(yàn)的拓?fù)鋮⒖紒?lái)自Topology Zoo中的一個(gè)拓?fù)浒咐?共有4臺(tái)交換機(jī)，每個(gè)交換機(jī)下面依次有6，7，9，2臺(tái)主機(jī)，如圖4所示.

3.2 評(píng)價(jià)指標(biāo)

1) 檢測(cè)準(zhǔn)確率.針對(duì)分類(lèi)算法的準(zhǔn)確性，統(tǒng)一采用F1-Score進(jìn)行評(píng)價(jià)[10]，計(jì)算公式如下:

(6)

(7)

(8)

(9)

其中：precision為精確率；recall為召回率；F1k為每個(gè)類(lèi)別下的F1-Score；TruePositive為預(yù)測(cè)答案正確的標(biāo)簽數(shù)；FalsePositive為錯(cuò)將其他類(lèi)預(yù)測(cè)為本類(lèi)的標(biāo)簽數(shù)；FalseNegative為將本類(lèi)預(yù)測(cè)為其他類(lèi)的標(biāo)簽數(shù).

2) 響應(yīng)時(shí)間.針對(duì)檢測(cè)和防御算法，用響應(yīng)時(shí)間作為評(píng)價(jià)指標(biāo).本文對(duì)每十次消耗的時(shí)間做累積加和操作，對(duì)十次響應(yīng)時(shí)間取平均值，得到平均響應(yīng)時(shí)間.

3.3 攻擊檢測(cè)與防御機(jī)制性能評(píng)價(jià)

本文使用三種攻擊速率(fast，faster，flood)以及三種流量(攻擊、正常、混合)進(jìn)行仿真實(shí)驗(yàn)，得到檢測(cè)準(zhǔn)確率和響應(yīng)時(shí)間.其中，fast，faster，flood分別代表每秒發(fā)送10個(gè)，100個(gè)和盡最快速度發(fā)送數(shù)據(jù)包且攻擊流量占全部流量的比重低于50%.

1) 檢測(cè)準(zhǔn)確率.改進(jìn)SOM算法中的流量收集時(shí)間窗口大小設(shè)為5s，特征提取模塊提取每個(gè)數(shù)據(jù)流的數(shù)據(jù)包數(shù)、字節(jié)數(shù)，持續(xù)匹配的時(shí)間以及端口的變化率，涉及的參數(shù)設(shè)置如表2所示.訓(xùn)練時(shí)期，采用TCP，UDP，ICMP協(xié)議進(jìn)行訓(xùn)練，具體比重參考文獻(xiàn)[11].訓(xùn)練數(shù)據(jù)如表3所示，每個(gè)OpenFlow交換機(jī)的訓(xùn)練數(shù)據(jù)如表4所示.

表2 檢測(cè)模塊參數(shù)設(shè)置Table 2 Parameter setting of detection module

表3 訓(xùn)練數(shù)據(jù)Table 3 Training data

表4 各個(gè)OpenFlow交換機(jī)的訓(xùn)練數(shù)據(jù)Table 4 Training data for each OpenFlow switch

多維條件熵算法中的流量收集時(shí)間窗口大小同設(shè)5 s，選擇不同的攻擊速率，依次變換源IP，目的IP和目的端口號(hào).使用正常流量和不同的攻擊速率各訓(xùn)練100次，找到正常情況下六維向量的值(設(shè)為2)和不同攻擊速率下六維向量的值(閾值2.2).然后，在已設(shè)定的網(wǎng)絡(luò)拓?fù)湎逻M(jìn)行測(cè)試，每五次檢測(cè)結(jié)果取一次平均值，得出的F1-Score如圖5、圖6所示，訓(xùn)練時(shí)期的檢測(cè)準(zhǔn)確率可達(dá)94.9%.最后，將其接入仿真環(huán)境中，取值方法同上，結(jié)果如圖7、圖8所示，聯(lián)合檢測(cè)機(jī)制的準(zhǔn)確率可達(dá)95.2%.

2) 響應(yīng)時(shí)間.依次使用三種攻擊速率對(duì)常規(guī)、快速和聯(lián)合防御模塊各訓(xùn)練100次，得到結(jié)果如圖9～11所示.計(jì)算可知，與單獨(dú)的常規(guī)防御機(jī)制和快速防御機(jī)制相比，本文設(shè)計(jì)的聯(lián)合防御機(jī)制的控制器響應(yīng)時(shí)間可分別減少0.1,0.12 s.

4 結(jié) 語(yǔ)

本文以SDN架構(gòu)為基礎(chǔ)，對(duì)SOM算法進(jìn)行改進(jìn)，結(jié)合多維條件熵算法建立聯(lián)合檢測(cè)機(jī)制，將常規(guī)防御與快速防御相結(jié)合，建立聯(lián)合防御機(jī)制.改進(jìn)的SOM算法增加了生長(zhǎng)操作，并且能夠從多維條件熵檢測(cè)模塊得到信息反饋，從而使得該聯(lián)合檢測(cè)機(jī)制能夠達(dá)到95.2%的準(zhǔn)確率.另外，該機(jī)制與單獨(dú)防御機(jī)制相比，控制器的響應(yīng)時(shí)間能平均降低0.11 s.由于本文的仿真實(shí)驗(yàn)所設(shè)節(jié)點(diǎn)數(shù)目有限，今后會(huì)在更大規(guī)模上進(jìn)行測(cè)試.