CN105162759A - 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 - Google Patents

Abstract

本发明涉及一种SDN网络下根据网络层流量异常进行DDoS攻击检测及处理的基于网络层流量异常的SDN网络DDoS攻击检测方法。本发明包括：通过SDN网络控制器访问OpenFlow交换机流表信息项，获取到达交换机的通信流特征；利用引入的信息熵和单边连接密度，对获取的检测特征进行分析和处理，得到训练和检测用特征元组。在实施过程中发现，采用本发明所提供的基于网络层流量异常的SDN网络DDoS攻击检测及处理方法可以有效提高对SDN网络中发生的DDoS攻击的检测准确度，同时可根据检测结果对通信流做相应处理，并可较好的应对网络中可能遭受的饱和流攻击形式的DDoS攻击，发明有益效果十分之明显。

Description

一种基于网络层流量异常的SDN网络DDoS攻击检测方法

技术领域

本发明涉及一种SDN网络下根据网络层流量异常进行DDoS攻击检测及处理的基于网络层流量异常的SDN网络DDoS攻击检测方法。

技术背景

SDN以开放软件模式的控制层取代传统换联网中的封闭式的网络配置及管理层面，将控制功能从网络通信设备中分离，实现网络架构中的控制与转发功能分割的目的，OpenFlow是当前SDN通用的实现方式。SDN简化了网络管理，也引入了与自身特性相关的安全风险，如DDoS攻击。DDoS攻击可使SDN网络中被攻击主机的关键资源(如带宽、缓冲区、处理器资源等)迅速耗尽，使其崩溃或因需要花费大量时处理攻击包，导致网络服务不能正常提供，形成拒绝式服务攻击，给SDN网络中的网络设备和网络服务带来不容忽视的威胁，对SDN网络的安全造成较大的影响。

国内针对SDN网络DDoS攻击开展的研究工作较少，研究基于网络层流量异常的DDoS攻击检测及处理方法，对检测SDN网络中存在的DDoS攻击，对提高SDN网络的安全性，维护SDN网络中服务的稳定性具有十分重要的意义。

发明内容

本发明的目的在于提供一种利用SDN网络特性，对通信流进行特征提取及分析，形成训练和检测所用特征元组；对基于自组织映射算法的检测算法进行优化，引入核函数机制，提高检测精确度；对基于控制层的SDN网络分布式架构Onix进行改进，以较好的应对饱和流形式的DDoS攻击；对检测到的DDoS攻击流进行处理的基于网络层流量异常的SDN网络DDoS攻击检测方法。

本发明的目的是这样实现的：

(1)通过SDN网络控制器访问OpenFlow交换机流表信息项，获取到达交换机的通信流特征；

(2)利用引入的信息熵和单边连接密度，对获取的检测特征进行分析和处理，得到训练和检测用特征元组；

(3)利用检测用特征元组对引入核函数的自组织神经网络聚类算法模块进行训练，以得到具有检测效果的分类器；

(4)将分类器置于基于控制层的SDN网络分布式架构Onix改进的架构中的局部控制器，利用局部控制器对未知通信流进行检测和处理。

所述步骤(2)中利用引入的信息熵和单边连接密度，对获取的检测特征进行分析和处理是指利用SDN网络控制器定期请求所有管控的OpenFlow交换机流表项，流表项中包括检测所需的流量特征；OpenFlow交换机与SDN网络控制器通过OpenFlow协议中的安全通道进行通信。

所述SDN网络中，控制器向交换机下发对该通信流的处理策略；当检测到攻击流时，控制器通知所辖交换机对该通信流做丢弃处理；若为正常通信流，则正常下发转发规则，交换机按照该规则进行正常转发。

发明的有益效果：

在实施过程中发现，采用本发明所提供的基于网络层流量异常的SDN网络DDoS攻击检测及处理方法可以有效提高对SDN网络中发生的DDoS攻击的检测准确度，同时可根据检测结果对通信流做相应处理，并可较好的应对网络中可能遭受的饱和流攻击形式的DDoS攻击，发明有益效果十分之明显。

附图说明

图1为网络实验环境拓扑图；

图2为SDN网络DDoS攻击检测及处理方法过程图；

图3为攻击特征提过程图；

图4为K-SOM算法流程图；

图5为基于Onix改进的SDN网络分布式架构图。

具体实施方式

下面结合附图对本发明做进一步描述：

SDN作为一种全新的网络架构模型，通过开放化的软件可编程接口实现网络管理控制功能的开发与扩展，实现对整个网络的集中管理，提高了网络的灵活性和扩展性，但SDN网络的开放性与管控集中性使其易遭受DDoS攻击，为SDN网络研究一种分布式的DDoS攻击检测方法，对维护SDN网络安全意义重大。本发明正是针对这一问题，公开了一种基于网络层流量异常的SDN网络DDoS攻击检测技术方案。该技术方案在对基于网络层数据流量异常检测和SDN网络分布式架构研究的基础上，设计并实现了一种SDN网络分布式DDoS攻击检测方法。该技术解决方案的工作可以划分为以下六个步骤：

步骤1：利用SDN网络控制器与OpenFlow交换机通信，获取经过OpenFlow交换机的通信流特征信息，完成特征提取过程；

步骤2：在提取的特征基础上，引入信息熵和单边连接密度方法对提取的特征进行分析，完成DDoS攻击检测所需特征值元组；

步骤3：将引入核函数的自组织神经网络算法作为训练器，利用提取及分析后得到的特征值元组，对其进行训练，完成特征训练过程，得到分类器；

步骤4：在对SDN网络分布式架构Onix研究基础上，根据网络所处理事件的频率不同，将事件分为频率较大和其他事件，相应地，将SDN网络控制器从逻辑上分为局部控制器和全局控制器两层，分别处理频率较大和其他事件。完成对基于控制层的SDN网络分布式架构Onix进行改进；

步骤5：将分类器置于基于Onix改进的SDN网络分布式架构的局部控制器中，利用运行在局部控制器中的分类器可对未知类型的通信流进行类型区分，和网络架构分布式处理的特点，对经过步骤1和步骤2分析处理得到的未知通信流特征元组进行检测；

步骤6：检测到DDoS攻击流时，SDN网络控制器通知发来该通信流转发请求的OpenFlow交换机，并进行丢弃处理；否则下发正常转发规则给交换机，OpenFlow交换机收到转发规则并按其对通信流进行转发。

一种基于网络层流量异常的SDN网络DDoS攻击检测技术方案，该方案的实施主要包括以下内容：

实现了一种基于网络层流量异常的SDN网络DDoS攻击检测方法；

该方法的实现步骤如下：

步骤1：通过SDN网络控制器访问OpenFlow交换机流表信息项，获取到达交换机的通信流特征；

步骤2：利用引入的信息熵和单边连接密度原理，对获取的检测特征进行分析和处理，得到训练和检测用特征元组(训练用的是对已知类型通信流提取和分析后得到的特征元组；检测用的是对未知类型的通信流)；

步骤3：利用检测用特征元组对引入核函数的自组织神经网络聚类算法模块进行训练，以得到具有较好检测效果的分类器。

步骤4：将分类器置于基于控制层的SDN网络分布式架构Onix改进的架构中的局部控制器，利用局部控制器对未知通信流进行检测和处理。

网络层流量异常指对网络层通信流特征进行提取和分析，检测主要利用改进的SDN网络分布式架构和无监督学习聚类方法实现。所述内容2)中步骤1中利用SDN网络特点及组件实现对通信流特征的提取。利用SDN网络控制器定期请求所有管控的OpenFlow交换机流表项，流表项中包括检测所需的流量特征。OpenFlow交换机与SDN网络控制器通过OpenFlow协议中的安全通道进行通信。

所述内容2)中步骤2中利用信息熵和单边连接密度原理对提取的特征进行分析处理，得到训练和检测用的特征元组。信息熵可有效反应网络通信流数据量，单边连接密度指网络中不能正常建立连接的通信流数。利用网络中正常条件和遭受DDoS攻击时熵值和单边连接密度的不同，对提取的特征进行量化处理。

所述内容2)中步骤3中的优化的自组织神经网络算法。自组织映射算法是一种无监督学习式的聚类算法，在对高度线性不可分的网络流数据集进行分类时，出现较差的鲁棒性和可靠性。因此，采用核函数，将非线性问题转化为线性问题进行处理，使算法具有较好的分类精度。

所述内容2)中步骤4中基于Onix改进的SDN网络分布式架构。Onix为一种多控制器多交换机的架构，SDN网络中，交换机遇到未知通信流时，需向控制器传输该通信流，并请求转发规则，控制器完成转发规则下发，该过程使得控制器与交换机负载严重，在遭受饱和流形式的DDoS攻击时，可能发生SDN网络控制器和交换机瘫痪，因此，根据网络中控制器处理事件频率不同，将事件分为频率较大事件与其他事件，同时将控制器从逻辑上分为两层，分别为局部控制器与全局控制器，对应频率较大事件与其他事件。以较好的应对饱和流形式的DDoS攻击。

所述内容2)中步骤4中的处理方法采用控制器向交换机下发转发规则实现。SDN网络中，控制器向交换机下发对该通信流的处理策略。当检测到攻击流时，控制器通知所辖交换机对该通信流做丢弃处理；若为正常通信流，则正常下发转发规则，交换机按照该规则进行正常转发。

在本发明中所涉及的基于网络层流量异常的SDN网络DDoS攻击检测及处理方法主要功能为：

下面介绍基于网络层流量异常的SDN网络DDoS攻击检测方法的整个过程，描述如下：

步骤一：利用SDN网络控制器与交换机通信机制，从通信流中进行特征提取。通过结合可扩展的SDN网络分布式架构，利用架构中各局部控制器对自身所辖OpenFlow交换机进行控制和管理。具体就是各域内局部控制器通过监控域内网络中所辖OpenFlow交换机，请求交换机流表项，从流表表项中提取DDoS攻击检测所需的特征，其中流表项承载着达到该交换机的通信流特征信息，如源IP、目的IP、源端口、目的端口和通信类型等。

步骤二：对提取的特征，利用信息熵和单边连接密度原理进行分析，形成训练和检测用的特征元组。具体就是采用基于异常的通信流特征提取与检测方法，利用信息熵理论与单边连接密度原理，通过对网络中通信流数据包IP提取IP信息，将利用信息熵理论得到的检测特征四元特征组，即数据包源IP地址熵，目的IP地址熵、源端口号熵、目的端口熵值，然后和单边连接密度原理的OWCD值，构成DDoS攻击特征五元组，该五元组即为DDoS攻击检测方法所采用的DDoS攻击检测特征。该特征组如下：

F＝(源IP熵DstIP、目的IP熵SrcIP,源端口熵SrcPrt,目的端口熵DstPrt,OWCD)

步骤三：对基于自组织映射算法的检测算法进行优化，构成检测过程所需训练器，并利用训练用特征元组对训练器进行训练，形成分类器。优化的自组织映射算法K-SOM如下:

(1)初始化。对出入层与竞争层之间权值输出层与竞争层间权值进行初始化。同时，初始化学习半径及竞争层边长数。

(2)选择输入样本。从输入样本中选择输入样本X_i＝(x₁,x₁,...,x_n)。

(3)寻找获胜神经元c。D_j为输入样本X_i与竞争层神经元j间引入核函数后的距离，用公式 $d\left(w_j\right)=\min \underset{j\∈\{1,2,\mathrm{...},m\}}{\min }\left(K\right(X,X)+K(w_j,w_j)-2K(X,w_j\left)\right)$ 找出输入样本与竞争层神经元间最小距离D_g，其中m表示竞争层神经元数。

(4)调整权值。计算输入层神经元与输出层神经元之间连接权值矩阵需调整的值大小值，对输入层与输出层神经元之间的连接权值矩阵按照公式 $w_j(t+1)=w_j\left(t\right)+{\mathrm{\η}}^{\′}\left(t\right)\frac{-2}{{\mathrm{\σ}}^2{(1+||X-w_j|{|}^2/{\mathrm{\σ}}^2)}^2}(X-w_j)$ 进行调整。

(5)将输入向量的下一组学习样本输入SOM网络，返回步骤(2)。如果输入向量对应的获胜神经元不随学习变化，并重复步骤(3)-(8)，至SOM网络完成收敛为止，则停止学习。

步骤四：对基于控制层的SDN网络分布式架构Onix进行优化，将分类器置于该架构的局部控制器上，并向SDN网络发送未知通信流，利用从未知通信流中提取和分析后的特征元组，采用步骤三得到的分类器进行检测及处理。利用SDN网络控制器对交换机的数据转发进行控制，运行在局部控制器的分类模块检测到到达交换机的为DDoS攻击流时，由控制器通知该交换机做丢弃处理，否则正常下发转发规则并由交换机按照该规则进行转发。

在步骤一中，传统方法是通过原始套接字和利用Winpcap等工具进行捕获数据包信息。在该步骤中所采用的特征提取方法是直接利用SDN网络中OpenFlow交换机的流表对网络通信流进行基础信息进行收集的特点，与传统网络体系结构中对通信流特征提取方式相比，本方法既直接利用SDN网络体系结构的特征，同时，因所有对特征信息的提取以高效的方式访问SDN网络控制器的形式实现，并采用分布式处理方法，一方面可避免传统网络体系结构中需要对通信流进行大量的处理时，由于需要进行流量分析提取所需的特征信息所付出的较大开销，另一方面，对SDN网络中可能发生的饱和攻击具有较好的处理能力。因此，采用的方法具有轻量级的特点。

在步骤二中，本发明将传统网络中DDoS攻击检测所用的信息熵原理与单边连接密度原理相结合，将两种原理的优点同时应用到特征数据的分析和处理上，这样能得到更好且能体现出通信流为DDoS攻击流的特征元组。

在步骤三中，传统的检测方法通常采用一种无监督学习式的神经网络算法，即自组织映射(SOM)算法，但该算法对高度线性不可分的网络流数据集进行分类时出现较差的鲁棒性和可靠性。本发明对该算法进行了改进，引入了核函数，对自组织映射算法中获胜神经元查找过程进行优化，并进而修改权值调整与学习速率调整过程，通过将高度线性不可分的网络流数据集这一非线性问题转换为线性问题，提高检测的准确度。

在步骤四中，本发明对基于Onix的SDN网络分布式架构上的控制框架进行了改进。具体就是将Onix控制器从逻辑上进行分层，对应处理网络中出现的频率不同的事件，其中，对未知通信流到达OpenFlow交换机时所发生的向控制器转发该数据流和下发规则请求事件是网络中发生频率较大事件，在遭受饱和流攻击形式的DDoS攻击时，可能由于控制器频繁与交换机之间进行通信，造成控制器与交换机阻塞问题，因此，采用分治法思想，按照事件频率对控制器进行分层处理，以更好的应对饱和流DDoS攻击。

本实施所基于的实验网络环境采用经过修改过的Mininet网络仿真软件在主机上进行搭建，主机CPU配置为四核处理器Intel至强E5-2600，主频3.2Ghz，内存为16GB使用多层虚拟交换机OpenVSwitch1.4作为软交换机，采用FloodLight作为控制器，并采用基于Onix改进的SDN网络分布式控制器部署方案进行部署。实验网络拓扑如图1所示。

图1中，网络1对应着受害主机所在网络，分为两个域，每个域内包含三个交换机和一个对交换机管控的局部控制器，网络1中还包含一个全局网络控制器。网络2为向网络1发动攻击的僵尸网络(Botnets)，用DDoS攻击的不同方式产生DDoS攻击流量。网络1与网络2之间的通信链路带设置为1GBps，信道时延为10ms，其他通信链路的网络带宽为100MBps。

(1)本实施开展的实验中，训练和检测样本组成如下：

训练过程中的正常通信流协议分布为：85％采用TCP协议，10％采用UDP协议，剩下的5％采用ICMP协议。上述协议分布比例基于七年内从美国到日本的特定通信链路内所收集的网络流量进行分析得出。

利用Stacheldraht产生的用于训练和检测的DDoS攻击类型及对应的流量值如表1所示。表1中，括号内数字表示攻击时发送的数据包大小。

表1训练数据攻击流样本表

(2)利用改进的SOM聚类算法K-SOM对提取的特征五元组进行聚类分析，为使改进的SOM聚类算法能有效区分正常通信流还是DDoS攻击流，分类模块利用训练样本进行训练。改进的SOM算法网络拓扑包括一个包含40*40的神经元矩阵，表2表示改进的SOM算法在训练阶段的参数和对应值。

表2K-SOM算法参数表

本方案在实施过程表现出了较好优化效果，下面是基于网络层流量异常的SDN网络DDoS攻击检测及处理的测试结果展示：

本发明中所采用的测试采用优化的K-SOM检测算法及基于Oinx改进的SDN网络分布式架构，利用SDN网络特有的特征提取方法，对提取的特征进行分析并得到特征元组(分为训练用特征元组和检测用特征元组)，利用该特征元组对K-SOM聚类模块进行训练，得到K-SOM分类器对未知通信流特征提取和分析得到的特征元组进行聚类分析，并利用基于Onix改进的SDN网络分布式架构，以能更好的应对饱和流攻击形式的DDoS攻击。

(3)本方法可分为特征提取过程、特征分析过程、分类过程和处理过程四个模块。本方法过程如图2所示。本方法采用SDN网络控制器与OpenFlow交换机通信机制，控制器通过安全通道请求获取OpenFlow交换机流表项信息，而流表项记录着达到该交换机的通信流特征信息，OpenFlow交换机响应控制器发出的数据请求并予以应答。本方法中特征提取过程如图3。

(4)本方法提出引入核函数的K-SOM算法，本检测算法过程如图4。

(5)本方法提出基于Onix改进的SDN网络分布式架构。该架构如图5。

(1)测试结果：本方法得出的对于经过每个控制器域内的通信流进行的检测率和误报率的统计结果如表3。本方法中，对发起的DDoS攻击检测模型对控制器的负载方面，本方法将网络中DDoS攻击流的处理交给不同域内控制器处理。本文方法控制器层面处理的通信流的事件数目数如表4。

(2)结果分析：为验证本方法对不同类型的DDoS攻击类型的检测效果，对目标主机分别发动TCP/SYNflood、UDPflood、ICMPflood和不同比例的攻击混合流类型，对构建的DDoS攻击检测模型进行检测。经试验论证，本文提出的基于网络层流量异常的DDoS攻击检测方法，在未知通信录到达事件的处理上，能较好的减小控制器负载，对不同类型DDoS攻击流检测效果较好，具有较高的检测率和较低的误报率，并能较好的应对饱和流形式的DDoS攻击。

Claims (3)

1.一种基于网络层流量异常的SDN网络DDoS攻击检测方法，其特征在于，包括如下步骤：

(1)通过SDN网络控制器访问OpenFlow交换机流表信息项，获取到达交换机的通信流特征；

(2)利用引入的信息熵和单边连接密度，对获取的检测特征进行分析和处理，得到训练和检测用特征元组；

(3)利用检测用特征元组对引入核函数的自组织神经网络聚类算法模块进行训练，以得到具有检测效果的分类器；

(4)将分类器置于基于控制层的SDN网络分布式架构Onix改进的架构中的局部控制器，利用局部控制器对未知通信流进行检测和处理。

2.根据权利要求1所述的一种基于网络层流量异常的SDN网络DDoS攻击检测方法，其特征在于：所述步骤(2)中利用引入的信息熵和单边连接密度，对获取的检测特征进行分析和处理是指利用SDN网络控制器定期请求所有管控的OpenFlow交换机流表项，流表项中包括检测所需的流量特征；OpenFlow交换机与SDN网络控制器通过OpenFlow协议中的安全通道进行通信。

3.根据权利要求1所述的一种基于网络层流量异常的SDN网络DDoS攻击检测方法，其特征在于：所述SDN网络中，控制器向交换机下发对该通信流的处理策略；当检测到攻击流时，控制器通知所辖交换机对该通信流做丢弃处理；若为正常通信流，则正常下发转发规则，交换机按照该规则进行正常转发。