• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      軟件定義網(wǎng)絡(luò)中基于貝葉斯ARTMAP的DDoS攻擊檢測模型

      2022-01-14 09:47:46劉振鵬張慶文李澤園劉嘉航董姝慧趙永剛
      關(guān)鍵詞:貝葉斯交換機控制器

      劉振鵬,張慶文,李澤園,劉嘉航,董姝慧,趙永剛

      (1.河北大學(xué) 電子信息工程學(xué)院,河北 保定 071002;2.河北工程大學(xué) 管理工程與商學(xué)院,河北 邯鄲 056038)

      DDoS (distributed denial of service,分布式拒絕服務(wù))[1]攻擊是SDN(software defined network,軟件定義網(wǎng)絡(luò))面臨的諸多威脅之一,會對控制器造成毀滅性打擊.攻擊者使用多個源向目標發(fā)送大量多余的網(wǎng)絡(luò)流量,使目標無法響應(yīng)真正有用的服務(wù)請求.SDN架構(gòu)在面臨DDoS攻擊時更加被動[2].交換機會將所有帶有未知流量的數(shù)據(jù)包發(fā)送到控制器,由于控制器的集中管理特性,當(dāng)控制器資源被耗盡時,整個網(wǎng)絡(luò)都會癱瘓,DDoS攻擊將造成災(zāi)難性后果.因此,實時精準識別DDoS攻擊流量[3],保護網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前研究的熱點.

      已經(jīng)有大量針對SDN下DDoS攻擊檢測方法的研究.劉俊杰等[4]提出了一種基于C4.5決策樹的檢測方法,通過提取交換機流表,使用C4.5決策樹算法訓(xùn)練數(shù)據(jù)集生成決策樹對流量進行分類,實現(xiàn)DDoS攻擊的檢測,但其對CPU開銷影響過大.張龍等[5]提出了基于信息熵的初檢模塊與基于深度神經(jīng)網(wǎng)絡(luò)DDN的DDoS流量檢測模型,該方法在一定程度上加快了檢測時間,提高了準確率,但是存在控制層CPU消耗和南向開銷太大的問題.曹永軼等[6]提出了一種SDN架構(gòu)下跨平面協(xié)作的DDoS檢測與防御方法,利用OpenFlow交換機的計算能力,將一部分檢測卸載到數(shù)據(jù)平面,進而通過數(shù)據(jù)平面輕量級算法和控制平面細粒度檢測方法配合協(xié)作完成整個檢測,此方法在數(shù)據(jù)平面篩選閾值定義太片面,并且需要6種指標都超出范圍才會觸發(fā)控制平面細粒度檢測.Xiao等[7]提出了使用特征模式圖模型(a feature-pattern graph model)的SDN中分布式拒絕服務(wù)攻擊行為的發(fā)現(xiàn)方法,此方法可以檢測到大多數(shù)典型DDoS攻擊,卻忽略了類似IP地址欺騙等類型的攻擊.

      針對以上不足,本文提出基于貝葉斯ARTMAP檢測模型,該模型利用貝葉斯ARTMAP神經(jīng)網(wǎng)絡(luò)在快速增量監(jiān)督學(xué)習(xí)方面的優(yōu)勢并且分類精度高的優(yōu)點[8],可快速檢測到SDN網(wǎng)絡(luò)中的異常流量,適合將其應(yīng)用到DDoS攻擊檢測中.

      1 基于貝葉斯ARTMAP的DDoS攻擊檢測模型

      基于貝葉斯ARTMAP[9]的DDoS攻擊檢測模型主要有3個模塊,分別為流量統(tǒng)計模塊,特征提取模塊和分類檢測模塊.

      圖1 DDoS攻擊檢測模型Fig.1 DDoS attack detection model

      流量統(tǒng)計模塊主要收集捕獲到的流量,通過向OpenFlow 交換機定期地發(fā)送流表請求得到 OpenFlow交換機返回的流表信息,得到流表信息后發(fā)往特征提取模塊.特征提取模塊提取流表中的關(guān)鍵信息并按照設(shè)定的方法求得參數(shù),這些參數(shù)最后都發(fā)往分類檢測模塊.分類檢測模塊包含貝葉斯ARTMAP神經(jīng)網(wǎng)絡(luò),這個模塊主要通過ARTMAP提取分類規(guī)則,對新的數(shù)據(jù)集進行分類.

      1.1 流量統(tǒng)計模塊

      流量統(tǒng)計模塊用于統(tǒng)計OpenFlow交換機發(fā)送給控制器的流表信息.控制器會定時給OpenFlow交換機發(fā)送ofp_flow_stats_request報文獲取流表信息.控制器發(fā)送報文的時間間隔應(yīng)該適中,不能太大也不能太小.時間間隔太大會導(dǎo)致DDoS攻擊在系統(tǒng)中存在時間過長,當(dāng)檢測到DDoS攻擊時系統(tǒng)已經(jīng)癱瘓.時間間隔太小會導(dǎo)致控制器消耗過高.通過多次實驗得出控制器發(fā)送報文的時間間隔在5 s時效果最好.

      1.2 特征提取模塊

      特征提取模塊用于提取DDoS攻擊發(fā)生時的關(guān)鍵特性.

      DDoS攻擊發(fā)生時,流表信息中某些特征會發(fā)生劇烈的變化.許多關(guān)于SDN下DDoS攻擊檢測文獻中提到在攻擊發(fā)生時picket_in數(shù)據(jù)包會發(fā)生顯著變化[10-12].在相關(guān)DDoS攻擊檢測文獻研究中,通過單位時間內(nèi)源地址、目的地址和數(shù)據(jù)包協(xié)議3個屬性的熵值[13]可以用來判斷是否有DDoS攻擊發(fā)生.因此,提取以下5個屬性作為關(guān)鍵特征.

      在SDN網(wǎng)絡(luò)中,正常情況下,主機a和主機b進行數(shù)據(jù)通信,網(wǎng)絡(luò)中包含源地址是a目的地址為b的數(shù)據(jù)流flow_dataab,以及源地址是b目的地址為a的數(shù)據(jù)流flow_databa,設(shè)定這2種數(shù)據(jù)流為一對匹配流flow_data_pair.相反如果在網(wǎng)絡(luò)只有1條流,找不到其匹配流,將其稱為單一流flow_data_soli.DDoS攻擊會產(chǎn)生許多虛假地址來引發(fā)攻擊,單一流迅速增長,因此當(dāng)DDoS攻擊發(fā)生時,匹配流占比會減少.

      同理,當(dāng)網(wǎng)絡(luò)中發(fā)生DDoS攻擊時,單一流數(shù)量會突然增加.

      正常情況下,端口變化會比較平穩(wěn),當(dāng)發(fā)生DDoS攻擊時,不僅會出現(xiàn)大量偽造源IP地址,并且還會隨機生成端口號進行掃描攻擊, 因此網(wǎng)絡(luò)中端口迅速增長也是DDoS攻擊的顯著特征.

      DDoS攻擊發(fā)生時網(wǎng)絡(luò)中對同一目的地址數(shù)據(jù)包數(shù)量和大小[14]都會顯著增加,其中,Num_port為Δt時間內(nèi)不同端口數(shù)量.Num_dataa表示以a為目的地址的數(shù)據(jù)包數(shù)量,P_dataa表示以a為目的地址的數(shù)據(jù)包大小.

      1.3 分類檢測模塊

      將提取的參數(shù)傳入分類檢測模塊中進行檢測,根據(jù)貝葉斯ARTMAP對流量進行分類,從而檢測出正常流量與DDoS攻擊流量.分類檢測流程如圖2所示.

      分類檢測模塊主要分為3個階段.

      第2階段,稱為匹配跟蹤,ARTb通過對所有數(shù)據(jù)流量的類別進行辨認和劃分,將驗證ARTa中流量分類的合理性.如果驗證ARTa中數(shù)據(jù)流量分類被確認,則根據(jù)此數(shù)據(jù)流量是正常流量還是攻擊流量將其和同類流量數(shù)據(jù)放到一起.否則,將ARTa分類的節(jié)點還原,并且降低警戒閾值在ARTa中重新分類,直到確定數(shù)據(jù)所屬類別.

      第3階段,采用粒子群算法[15]優(yōu)化獲勝節(jié)點參數(shù).當(dāng)流量被正確分類后,將此流量和同類流量放在一起,獲勝節(jié)點參數(shù)也會發(fā)生相應(yīng)變化.首先計算每條數(shù)據(jù)流量的適應(yīng)度,根據(jù)適應(yīng)度更新其個體、群體的歷史最優(yōu)位置,以及其相對位置和速度,直到找到全局最優(yōu)位置,完成優(yōu)化勝節(jié)點參數(shù).

      圖2 分類檢測模塊Fig.2 Classification detection module

      2 實驗結(jié)果與分析

      2.1 實驗環(huán)境及評估指標

      在Linux環(huán)境下使用mininet進行SDN仿真實驗.操作系統(tǒng)為Ubuntu16.0.4.在R7 CPU和8 GB RAM的計算機上完成.用floodlight控制器作為SDN的控制器,使用OpenvSwitch交換機作為SDN底層的交換機.首先使用mininet搭建一個由1臺控制器、3臺交換器、6臺主機組成的實驗環(huán)境,網(wǎng)絡(luò)拓撲如圖3所示.

      c0為floodlight控制器,s1、s2、s3為OpenvSwitch交換機,h1~h6為6臺客戶機,其中h1、h2客戶機與s1交換機相連,h3、h4客戶機與s2交換機相連,h5、h6客戶機與s3交換機相連.交換機s1、s3都和s2相連.實驗中各客戶機之間可以相互訪問.實驗利用netsniff-ng套件中的trafgen工具產(chǎn)生流量,trafgen 工具能夠動態(tài)生成攻擊IP和端口號,更好地模擬DDoS攻擊.選取客戶機h5作為DDoS攻擊源,向網(wǎng)絡(luò)中發(fā)起攻擊.網(wǎng)絡(luò)中共產(chǎn)生15萬條數(shù)據(jù),其中包含8萬條正常流量,7萬條DDoS攻擊流量,攻擊流量在包含50%的SYN_Flood、30%的ACK_Flood、20%的UDP_fragment 3種攻擊流量.

      圖3 SDN網(wǎng)絡(luò)拓撲Fig.3 SDN network topology

      實驗通過檢測率DR(detection rate)、準確率AC(accuracy)和誤報率FPR(False positive rate)3個標準來評判該模型性能,計算公式如下:

      其中,TP表示DDoS攻擊流量被正確識別的流量;FP表示DDoS攻擊流量被錯誤識別的流量;TN表示正常流量被正確識別的流量;FN表示正常流量被錯誤識別的流量.

      2.2 實驗結(jié)果與分析

      實驗中,將基于貝葉斯ARTMAP檢測與基于K-means算法[16]檢測、基于C4.5決策樹[4]檢測以及特征模式圖模型[7]DDoS攻擊檢測進行比較分析.每種方式都對同樣的攻擊樣本、提取同樣的特征進行檢測,分別得到檢測率、準確率和誤報率.實驗結(jié)果如圖4所示.

      圖4 不同模型的評估標準對比Fig.4 Comparison of evaluation criteria for different models

      從圖4可以看出,本實驗使用的基于貝葉斯ARTMAP的檢測模型在檢測率、準確率和誤報率3個方面都要優(yōu)于基于C4.5決策樹, 特征模式圖模型和K-means算法模型.采用的模型檢測率高達97.32%,并且誤報率有顯著下降.經(jīng)數(shù)據(jù)分析,基于C4.5決策樹模型過擬合現(xiàn)象較嚴重,許多流量未正確分類,導(dǎo)致誤報率較高.

      為了驗證基于貝葉斯ARTMAP的DDoS攻擊檢測模型所提取關(guān)鍵特征的有效性,加入2組對比實驗.第1組實驗將選中的流量中不同參數(shù)的熵值和流量包數(shù)據(jù)等5元特征作為模型的輸入,第2組實驗直接在OpenFlow字段提取其包頭域所包含的12元特征作為模型輸入,其他實驗環(huán)境不變,同時計算2種不同情況下的DDoS攻擊檢測的準確率和耗時,結(jié)果如表1所示.

      表1 不同特征下模型檢測的準確率和時間對比

      由表1可知,直接提取OpenFlow字段包頭域所包含的12元特征作為模型輸入雖然比本文所構(gòu)建的5元特征準確率上升了0.06%,但耗時卻增加了14.25 s,由此可以證明本文構(gòu)建的5元特征的有效性.

      3 總結(jié)

      論文對SDN網(wǎng)絡(luò)下的DDoS攻擊檢測進行研究,提出了基于貝葉斯ARTMAP檢測模型.通過提取流量中匹配流等特征對數(shù)據(jù)集進行預(yù)處理,將處理之后的數(shù)據(jù)通過貝葉斯ARTMAP神經(jīng)網(wǎng)絡(luò)完成了對DDoS攻擊的檢測.通過對比實驗表明,本模型與K-means算法、C4.5決策樹和特征模式圖模型相比有較高的檢測率和準確率,較低的誤報率.同時本文還驗證了所選5元組特征的有效性.雖然本模型在一定程度上改善了檢測率和準確率,在DDoS攻擊發(fā)生初期能迅速檢測到攻擊流,但是當(dāng)DDoS攻擊持續(xù)時間較長時,模型檢測速度會變慢,下一步可對算法進行優(yōu)化從而進一步提高性能.

      猜你喜歡
      貝葉斯交換機控制器
      修復(fù)損壞的交換機NOS
      使用鏈路聚合進行交換機互聯(lián)
      貝葉斯公式及其應(yīng)用
      基于貝葉斯估計的軌道占用識別方法
      一種基于貝葉斯壓縮感知的說話人識別方法
      電子器件(2015年5期)2015-12-29 08:43:15
      PoE交換機雷擊浪涌防護設(shè)計
      IIRCT下負二項分布參數(shù)多變點的貝葉斯估計
      模糊PID控制器設(shè)計及MATLAB仿真
      MOXA RTU控制器ioPAC 5542系列
      自動化博覽(2014年9期)2014-02-28 22:33:17
      羅克韋爾自動化交換機Allen-Bradley ArmorStratix 5700
      自動化博覽(2014年9期)2014-02-28 22:33:16
      乌兰察布市| 汉中市| 荔浦县| 临洮县| 延庆县| 青川县| 灵山县| 辉南县| 淮北市| 孝昌县| 宁阳县| 伊金霍洛旗| 石渠县| 阜城县| 太白县| 东光县| 上栗县| 桂林市| 成武县| 海宁市| 朔州市| 呼图壁县| 澄迈县| 荃湾区| 和平区| 峨眉山市| 伊川县| 阿合奇县| 巴林左旗| 游戏| 石门县| 右玉县| 根河市| 鲜城| 黄浦区| 右玉县| 大洼县| 教育| 吕梁市| 阆中市| 济南市|