CN104580222B - 基于信息熵的DDoS攻击分布式检测与响应方法 - Google Patents

Abstract

本发明公开了基于信息熵的DDoS攻击分布式检测与响应系统及方法；所述系统包括：控制器，所述控制器与若干交换机连接，每个交换机均与若干主机连接，所述交换机也与其他交换机连接，所述控制器用于网络拓扑管理，制定数据转发策略，下发至交换机；所述交换机用于数据转发；所述交换机包括边界交换机和/或非边界交换机；所述边界交换机运行攻击检测算法和攻击响应算法，实现攻击检测与攻击响应；所述主机为用户电脑，对应某IP地址，由边界交换机对主机的数据进行转发。本发明具有检测速度快、检测准确率高、攻击响应迅速、资源负担小的优点。

Description

基于信息熵的DDoS攻击分布式检测与响应方法

技术领域

本发明涉及针对SDN网络的DDoS攻击，采取一种基于信息熵的DDoS攻击分布式检测与响应系统及方法。

背景技术

随着云计算、大数据等新兴技术的不断发展，数据中心集成各种应用以及数据服务，地位不断的提高，使其面临更高的网络带宽的需求，传统以IP为核心的网络架构难以满足数据中心网络扩展性、管理性、灵活性的需求。近年来，SDN网络架构为当前互联网提供了革命性的创新，为未来网络的发展提供了新的思路。

SDN网络源自于美国斯坦福大学的研究项目，SDN网络将原有封闭的体系解耦为数据平面、控制平面和应用平面，将网络控制逻辑从网络设备中剥离出来，通过应用层提供的可编程接口方便的进行网络管理与控制。数据中心通过采用SDN网络，可以更方捷的实现路径优化、提高网络设备利用效率、迅速实现数据交换功能。随着学术界不断的研究，SDN架构从实验室走向了产业界，得到国内外IT公司广泛认可

由开放网络基金会(Open Networking Foundation,ONF)主导的OpenFlow技术，是一种在SDN网络架构下基于“流”概念设计的控制平面与数据平面的通信接口。不同于传统网络设备将一次网络通信的数据分组独立处理，OpenFlow通过提取通信中数据分组的共同特征(如IP地址)抽象为一个“流”，使得网络设备统一看待这些数据分组。OpenFlow控制器制定转发策略，通过南向接口下发到OpenFlow交换机，并进行状态监控。转发策略在OpenFlow交换机上以一级或多级流表(Flow Table)的形式进行存储。每条流表项包含匹配字段、计数器和指令三部分。流表项可以根据网络分组的二层、三层、四层等网络报文的任意字段进行匹配。当数据分组到达流表之后，从流表0开始向后进行匹配，如果匹配到某个流表的某个流表项时则执行相应的指令，如果没有匹配则可以转发到控制器或丢弃。

SDN作为一种全新的网络架构摆脱了传统网络硬件设备的束缚，实现了底层网络设备的虚拟化，支持控制器的集中化配置和管理，网络应用提供丰富的API接口，推动了网络创新，在数据中心网络、企业网络、校园网络、运营商网络得到应用与推广。然而SDN/OpenFlow技术在给传统网络带来创新的同时，其逻辑集中化和开放性也带来相应的安全问题。攻击者利用安全漏洞控制SDN控制器，通过滥用其提供给应用层的编程接口，攻击者可以操作整个网络窃取信息、发动安全攻击。所以传统网络面临的威胁诸如DDoS攻击仍然存在于SDN网络中，甚至比传统网络更严重。

最近几年学术界对SDN网络研究逐渐增多，但是针对SDN安全方面研究相对较少，目前有对SDN在控制器安全防护、流表一致性、安全应用开发、网络攻击识别与防范等方面的研究。当前SDN网络所研究的DDoS攻击识别策略多依赖于控制器不断的获取交换机的流表项，然后进行攻击检测算法识别攻击，当网络规模较大时，没有考虑频繁获取流表项给控制器带来的通信和计算负担，由于依赖控制器周期性轮询交换机机制，交换机端只能被动地响应，无法满足实时检测的需求。因此如何在SDN网络架构下对网络攻击准确识别与快速响应是一个值得研究的重要问题。

本领域技术人员迫切需要解决的技术问题是：在SDN/OpenFlow架构的网络中，在某些主机受到高速DDoS攻击时，如何快速、准确检测与响应的问题。

发明内容

本发明的目的是为了解决上述问题，提出一种基于信息熵的DDoS攻击分布式检测与响应系统及方法。本发明通过扩展标准OpenFlow交换机，扩展相应统计字段，检测与响应算法以软件形式分布式运行在OpenFlow边界交换机上。利用扩展的流表字段，统计单位时间内经过该边界交换机发送到本地网络的流信息，根据信息熵理论，依据流量在目的IP地址特征分布的离散程度，实现异常行为检测。本发明所提出的算法运行在SDN网络的OpenFlow边界交换机中，利用了OpenFlow流表对“流”的记录特性，具有检测速度快、检测准确率高、攻击响应迅速、资源负担小的优点。

为了实现上述目的，本发明采用如下技术方案：

基于信息熵的DDoS攻击分布式检测与响应系统，包括：

控制器，所述控制器与若干交换机连接，每个交换机均与若干主机连接，所述交换机也与其他交换机连接，所述控制器用于网络拓扑管理，制定数据转发策略，下发至交换机；所述交换机用于数据转发；所述交换机包括边界交换机和/或非边界交换机；所述边界交换机运行攻击检测算法和攻击响应算法，实现攻击检测与攻击响应；所述主机为用户电脑，对应某IP地址，由边界交换机对主机的数据进行转发。

基于信息熵的DDoS攻击分布式检测与响应方法，包括以下步骤：

步骤(1)：本边界交换机对到达的数据分组，进行分组头解析，匹配流表，判定是否有匹配流表项；如果有就进入步骤(3)，否则进入步骤(2)；

步骤(2)：本边界交换机对无法匹配的数据分组，提取数据分组的特征，封装、发送至控制器；当控制器分析处理后下发流表规则到与传输相关的若干个交换机上，并对通信的双方建立双向流表项；返回步骤(1)；

步骤(3)：在对匹配的数据报文进行操作之前，对该匹配流表项中“接收数据分组数目”计数器完成加1操作；在每个单位监测时间间隔Δt后，统一将“接收数据分组数目”计数器的数值，复制到“接收数据分组数目拷贝”计数器中；

步骤(4)：本边界交换机运行攻击检测算法，对Δt内本地网络中某IP的接收流量信息进行周期性的统计，以Δt内该IP的数据包出现的频率近似为该IP的数据包出现的概率；

步骤(5)：根据步骤(4)得到的概率，计算本边界交换机的归一化信息熵值；

步骤(6)：根据步骤(5)得到的信息熵值，进行判定，如果在最近的K个时间间隔中至少有Num个时间间隔的熵值低于阈值，则认为本地网络中某IP地址对应的主机受到了DDoS攻击，进入步骤(7)，如果否就返回步骤(1)；

步骤(7)：确认受到攻击后，本边界交换机运行攻击响应算法，检测出本边界交换机所管理的OpenFlow子网中受到攻击的IP地址，然后主动对以该IP地址为目的地址的流表项的动作设置为概率性转发，进行流量过滤，实现攻击响应；

步骤(8)：本边界交换机向控制器发布异步消息，报告受到攻击，必要时并上传流表，供控制器进行分析。

所述攻击检测算法即步骤(4)、步骤(5)和步骤(6)。

所述攻击响应算法即步骤(7)和步骤(8)。

所述边界交换机为OpenFlow边界交换机。

所述步骤(2)流表项的匹配字段为：

以太网类型(Ether type)、源IP地址(IP src)、目的IP地址(IP dst)、IP协议字段(IP proto)四个维度，其余匹配字段设为通配符。

所述步骤(4)的本地网络中某IP的数据包出现的概率的计算步骤为：

步骤(4-1)：读取本边界交换机的流表，获取所有以本地IP地址为目的地址的流表项目，获取流表项中“接收数据分组数目”计数器和“接收数据分组数目拷贝”计数器的数值；

步骤(4-2)：根据流表项目中“接收数据分组数目”计数器和“接收数据分组数目拷贝”计数器的数值，计算Δt内本地网络中某IP接收流量增量；

由X＝(X₁,X₂,.....,X_m)构成本边界交换机的信源状态空间。

其中，X_i表示Δt内某IP地址的接收的数据分组数目，ReceivedPackets_j表示流表项中“接收数据分组数目”计数器的数值，ReceivedPackets_Copy_j表示“接收数据分组数目拷贝”计数器，j表示第j个本地IP地址，n表示以本地某IP为目的地址的流表项在本边界交换机中共有n条；m表示本边界交换机Δt内出现不同本地IP地址总数；

步骤(4-3)：对接收流量，在Δt内本边界交换机上某本地IP的数据包出现的概率近似为：

其中，p_i表示某本地IP的数据包出现的概率。

由此可得信源空间X的对应的概率为P(X)＝(p₁,p₂,.....,p_m)，其中，P(X)＝(p₁,p₂,.....,p_m)表示信源空间X的对应的概率空间。

所述步骤(5)的本边界交换机的归一化信息熵值的计算步骤为：

其中，H(X)表示本边界交换机的输入流量的归一化熵。

所述步骤(6)低于阈值的判断步骤为：

步骤(6-1)：建立大小为K的滑动窗口，保存最近K个Δt时间间隔内的X、H(X)信息；

步骤(6-2)：l时刻，如果H_n(X)-H_l(X)≥α*ΔD，说明此时本边界交换机的熵值低于阈值；其中H_n(X)为本边界交换机正常运行时测得的归一化熵值的均值，ΔD为本边界交换机正常运行时刻测得熵值与H_n(X)的最大绝对差值，α为差值比例系数；

步骤(6-3)：如果每K个活动窗口结束时，没有发生低于阈值的状况，则对H_n(X)进行自适应更新：

其中H′_n(X)为临时变量，H_k(X)为实际运行中对K个活动窗口测得熵值的加权平均值，μ、β_i为加权系数。

所述步骤(7)的攻击响应算法的步骤为：

步骤(7-1)：将本边界交换机将本地IP按当前接收流量大小X＝(X₁,X₂,.....,X_m)降序排列，取前H％流量比重对应的本地IP地址，按照步骤(4)中(4-1)(4-2)的方法，通过读取流表中所有以源IP地址为其中本地IP的流表项，计算本地IP的发送流量大小X′＝(X′₁,X′₂,.....,X′_mh)，

其中mh表示所取前H％位对应的本地IP个数。

步骤(7-2)：对前H％流量比重对应的本地IP，计算每个本地IP的经过本边界交换机的当前出入流量比:

其中，rate_i表示某本地IP的经过本边界交换机Δt内出入流量比，X′_i表示本地IPΔt内的发送流量，X_i表示该本地IPΔt内的接收流量，默认大小为1。

对于前H％流量比重对应的中每个本地IP地址，在最近K个时间监测间隔内，计算其接收流量的增长倍数；

其中，C_i表示最近K个监测间隔某本地IP地址接收流量增长倍数，X_{i_l}表示该本地IP地址当前接收流量大小，X_{i_min}表示最近K个监测间隔该本地IP地址接收流量最小值，默认大小为1；

步骤(7-3)：如果就进入步骤(7-4)，如果否就进入步骤(8)；

其中为攻击比例阈值，通过实际网络流量数据模拟攻击训练得到；

步骤(7-4)：认为满足条件的本地IP地址主机受到了DDoS攻击；

步骤(7-5)：流表项插入过滤规则：本边界交换机将筛选目的地址为受攻击本地IP地址的流表项，将流表项中转发动作改为随机转发，实现主动过滤，转发概率为T＝γ^ξr，

其中γ为指数参数，ξ为调节参数，r为通过步骤(7-1)(7-2)方式计算得到的该受攻击本地IP与该流表项中源IP地址的出入流量比。

本发明的有益效果：

1降低了控制器监测负担；

2靠近受攻击目的端的监测的位置提高了检测准确率；

3在交换机端提供有效的主动过滤措施；

4提高了交换机端DDoS攻击响应速度。

附图说明

图1本发明采用的SDN/OpenFlow网络架构及攻击举例；

图2本发明所用OpenFlow流表项匹配字段，斜体为添加的字段--“接收数据分组数目拷贝”计数器，基于OpenFlow Switch Specification Version 1.3.2标准；

图3本发明总体运行过程流程图；

图4本发明攻击检测流程图；

图5本发明攻击响应流程图。

具体实施方式

下面结合附图与实施例对本发明作进一步说明。

针对SDN/OpenFlow网络架构，本发明采用的SDN/OpenFlow架构如附图1所示，图中攻击者及攻击路线为本发明所应对的DDoS攻击举例。本发明提出了DDoS攻击检测算法与攻击响应算法2种算法。

目前SDN网络中检测DDoS攻击，多数需要控制器不断地轮询获取交换机中的当前流表信息，然后分析流表信息检测有无DDoS攻击，这种措施在小规模的SDN网络中具有优势。然而当交换机增多时，控制器端获取、分析的流表规模呈几何增长，并且过多获取流表影响其对整个网络的控制能力。对于交换机无法主动识别攻击的存在，只有被动等待控制器检测攻击及处理措施，响应速度有限。

本发明所提出的算法，避免交换机频繁上传流表到控制器，使得控制器对网络监控负担降低，交换机可以主动应对针对本地网络的DDoS攻击，提高了响应速度。

OpenFlow边界交换机(下简称为边界交换机)对到达的数据分组，进行分组头解析，匹配流表，判定是否有匹配流表项，如果没有匹配成功，边界交换机将对无法匹配的数据分组，提取数据分组的特征，封装、发送至控制器。控制器分析处理后下发流表规则到一系列与该数据传输相关交换机，并对通信的双方建立双向流表项，如图2匹配字段所示，匹配字段包含以太网类型(Ether type)、源IP地址(IP src)、目的IP地址(IP dst)、IP协议字段(IP proto)四个维度，其余匹配字段设为通配符。

如果匹配成功，在对匹配的数据报文进行进一步操作之前，对该条匹配流表项计数器中如图2所示的“接收数据分组”计数器完成加1操作。并在每个单位监测时间间隔后，边界交换机统一将流表中该类计数器的数值，复制到“接收数据分组拷贝”计数器中。

1、基于信息熵的DDoS攻击分布式检测算法

(1-1)读取本边界交换机的流表，获取所有以本地IP地址为目的地址的流表项目，获取其“接收数据分组”，“接收数据分组拷贝”两个计数器数值；

根据流表项中“接收数据分组”，“接收数据分组拷贝”两个计数器的数值，在设定时间间隔内，计算Δt内本地某IP接收流量增量，符号及其描述见表1内容；

由X＝(X₁,X₂,.....,X_m)构成本边界交换机的信源状态空间。

表1.基于信息熵的DDoS攻击分布式检测算法中各符号及描述

(1-2)对接收流量，以Δt内相关该IP的数据包出现的频率近似为该IP的数据包出现的

概率,所以在Δt内本边界交换机上某本地IP的数据包出现的概率近似为：

由此可得信源空间X的对应的概率空间为P(X)＝{p₁,p₂,.....,p_m}，

根据信息熵理论，本边界交换机的归一化信息熵值为：

(1-3)建立大小为K的滑动窗口，保存最近K个Δt时间间隔内的X、H(X)信息。

当前l时刻，如果H_n(X)-H_l(X)≥α*ΔD，说明此时本边界交换机的熵值低于阈值。

判定如果在最近的K个时间间隔中至少有Num个时间间隔的熵值低于阈值，则认为本地网络中某IP地址对应的主机受到了DDoS攻击，进入攻击响应阶段。

如果每K个活动窗口结束时，没有发生低于阈值的状况，则对H_n(X)进行自适应更新:

H_n(X)＝H_n(X)+μ[H_k(X)-H_n(X)],0≤μ≤1；

其中

2、DDoS攻击响应算法

当检测到攻击之后，受攻击的IP地址所占整体流量比重大，且最近几个周期中流量增幅较大，而且由于DDoS攻击多采用伪造源IP地址或伪造垃圾数据包方式，导致受攻击的IP主机无法响应通信信息，单向数据流较多。

基于以上分析，为识别受害者IP地址，边界交换机运行攻击响应算法：

(2-1)：本边界交换机将本地IP按当前接收流量大小X＝(X₁,X₂,.....,X_m)降序排列，取前H％位。对这前H％位的每个本地IP地址，按照DDoS攻击分布式检测算法步骤(1-1)的方法，通过读取流表中所有以源IP地址为其中本地IP的流表项，计算本地IP的发送流量大小X′＝(X′₁,X′₂,.....,X′_mh)，符号及其描述见表2内容；

(2-2)：对前H％位本地IP，计算每个本地IP的经过本边界交换机的当前出入流量比:

对于前H％位中每个本地IP地址，在最近K个时间监测间隔内，计算其接收流量的增长倍数；

(2-3)：如果认为满足条件的本地IP地址主机受到了DDoS攻击。流表项插入过滤规则:本边界交换机将以该受攻击本地IP地址的为目的地址的流表项中转发动作为随机转发，转发概率为T＝γ^ξr。其中r为通过步骤(2-1)(2-2)方式计算得到的该受攻击本地IP与该流表项中源IP地址的出入流量比。由此进行流量过滤，主动实现攻击响应；

(2-4)边界交换机向控制器发布异步消息，报告受到DDoS攻击，必要时并上传流表，供控制器进行分析。

表2.DDoS攻击响应算法中各符号及描述

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (5)

1.基于信息熵的DDoS攻击分布式检测与响应方法，其特征是，包括以下步骤：

步骤(1)：本边界交换机对到达的数据分组，进行分组头解析，匹配流表，判定是否有匹配流表项；如果有就进入步骤(3)，否则进入步骤(2)；

步骤(2)：本边界交换机对无法匹配的数据分组，提取数据分组的特征，封装、发送至控制器；当控制器分析处理后下发流表规则到与传输相关的若干个边界交换机上，并对通信的双方建立双向流表项；返回步骤(1)；

步骤(3)：在对匹配的数据报文进行操作之前，将该匹配的流表项中“接收数据分组数目”计数器完成加1操作；在每个单位监测时间间隔Δt后，统一将流表项中“接收数据分组数目”计数器的数值，复制到“接收数据分组数目拷贝”计数器中；

步骤(4)：本边界交换机运行攻击检测算法，对Δt内本地网络中某IP的接收流量信息进行周期性的统计，以Δt内该IP的数据包出现的频率为该IP的数据包出现的概率；

步骤(5)：根据步骤(4)得到的概率，计算本边界交换机的归一化信息熵值；

步骤(6)：根据步骤(5)得到的信息熵值，进行判定，如果在最近的K个时间间隔中至少有Num个时间间隔的熵值低于阈值，则认为本地网络中某IP地址对应的主机受到了DDoS攻击，进入步骤(7)，否则，就返回步骤(1)；

步骤(7)：确认受到攻击后，本边界交换机运行攻击响应算法，检测出本边界交换机所管理的OpenFlow子网中受到攻击的IP地址，然后主动对以该IP地址为目的地址的流表项的动作设置为概率性转发，进行流量过滤，实现攻击响应；

步骤(8)：本边界交换机向控制器发布异步消息，报告受到攻击，并上传流表，供控制器进行分析。

2.如权利要求1所述的基于信息熵的DDoS攻击分布式检测与响应方法，其特征是，所述边界交换机为OpenFlow边界交换机。

3.如权利要求1所述的基于信息熵的DDoS攻击分布式检测与响应方法，其特征是，所述步骤(2)流表项的匹配字段为：以太网类型、源IP地址、目的IP地址和IP协议字段四个维度，其余匹配字段设为通配符。

4.如权利要求1所述的基于信息熵的DDoS攻击分布式检测与响应方法，其特征是，所述步骤(4)的本地网络中某IP的数据包出现的概率的计算步骤为：

步骤(4-1)：读取本边界交换机的流表，获取所有以本地IP地址为目的地址的流表项，获取流表项中“接收数据分组数目”计数器和”接收数据分组数目拷贝”计数器的数值；

步骤(4-2)：根据流表项中“接收数据分组数目”计数器和“接收数据分组数目拷贝”计数器的数值，计算Δt内本地网络中某IP接收流量增量；

<mrow> <msub> <mi>X</mi> <mi>i</mi> </msub> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <mrow> <mo>(</mo> <msub> <mi>ReceivedPackets</mi> <mi>j</mi> </msub> <mo>-</mo> <mi>Re</mi> <mi>c</mi> <mi>e</mi> <mi>i</mi> <mi>v</mi> <mi>e</mi> <mi>d</mi> <mi>P</mi> <mi>a</mi> <mi>c</mi> <mi>k</mi> <mi>e</mi> <mi>t</mi> <mi>s</mi> <mo>_</mo> <msub> <mi>Copy</mi> <mi>j</mi> </msub> <mo>)</mo> </mrow> </mrow>

由X＝(X₁,X₂,.....,X_m)构成本边界交换机的信源状态空间；

其中，X_i表示Δt内某IP地址的接收的数据分组数目，ReceivedPackets_j表示流表项中“接收数据分组数目”计数器的数值，ReceivedPackets_Copy_j表示“接收数据分组数目拷贝”计数器的数值，j表示第j个本地IP地址，n表示以本地某IP为目的地址的流表项在本边界交换机中共有n条；m表示本边界交换机Δt内出现不同本地IP地址总数；

步骤(4-3)：对接收流量，在Δt内本边界交换机上某本地IP的数据包出现的概率为：

<mrow> <msub> <mi>p</mi> <mi>i</mi> </msub> <mo>=</mo> <mfrac> <msub> <mi>X</mi> <mi>i</mi> </msub> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msub> <mi>X</mi> <mi>i</mi> </msub> </mrow> </mfrac> </mrow>

其中，p_i表示某本地IP的数据包出现的概率；

由此可得信源状态空间X的对应的概率空间为P(X)＝(p₁,p₂,.....,p_m)。

5.如权利要求4所述的基于信息熵的DDoS攻击分布式检测与响应方法，其特征是，所述步骤(5)的本边界交换机的输入流量的归一化信息熵H(X)的计算步骤为：

<mrow> <mi>H</mi> <mrow> <mo>(</mo> <mi>X</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mrow> <mo>-</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <mrow> <msub> <mi>p</mi> <mi>i</mi> </msub> <mi>log</mi> <mi> </mi> <msub> <mi>p</mi> <mi>i</mi> </msub> </mrow> </mrow> <mrow> <mi>log</mi> <mi> </mi> <mi>m</mi> </mrow> </mfrac> <mo>.</mo> </mrow>