CN108289104A - 一种工业SDN网络DDoS攻击检测与缓解方法 - Google Patents

Abstract

本发明涉及一种工业SDN网络DDoS攻击检测与缓解方法，属于网络安全领域。该方法利用工业回程网络中SDN控制器的东西向接口与工业接入网络的系统管理器的协同作用，结合工业回程网络及工业接入网络数据包特征，扩展OpenFlow交换机流表项匹配域，设定流表0为“缓解DDoS攻击专用流表”及时抵御攻击数据流。利用工业回程网络的SDN控制器及DDoS攻击检测与缓解系统，识别出攻击数据流并发现DDoS攻击源，通过调度工业接入网络系统管理器实施缓解DDoS攻击的策略。本发明保证了工业回程网和工业接入网络的正常流量，克服了DDoS攻击对工业网络安全造成的威胁。

Description

一种工业SDN网络DDoS攻击检测与缓解方法

技术领域

本发明属于网络安全领域，涉及一种工业SDN网络DDoS攻击检测与缓解方法。

背景技术

软件定义网络(Software Defined Network,SDN)技术的关注度日趋明显，越来越多的研究也逐渐地将SDN引入到工业网络环境中，SDN的特点是将网络的数据转发平面和控制平面分离，从而通过控制器中的软件平台去实现可编程化控制底层硬件，实现对网络资源灵活的按需调配。SDN控制器通过利用OpenFlow协议向OpenFlow交换机(以下简称OF交换机)主动或被动下发流表，数据包通过匹配流表得到转发。利用SDN集中控制及可编程性的优点，可使得庞大的工业网络系统流量管控更灵活，减少底层重复的人工配置等问题。

工业回程网络，是广域网络(Internet网络)和接入网络(如无线WirelessHART、WIA-PA、ISA100.11a)之间的传输网络，覆盖范围为几平方公里到几十平方公里，属于中等规模网络，解决工业无线网络接入广域网“最后几公里”的传输问题。目前，针对工业接入网络和工业回程网络的资源调度问题，主要是利用SDN控制器和工业接入网络系统控制器进行合作联合调度有效实现资源的有效配置。

网络安全方面，目前针对工业SDN网络的DDoS攻击主要以下两种形态存在：

(1)攻击者针对工业回程网络OF交换机进行DDoS攻击：利用OF交换机产生大量无法匹配的packet-in信息对SDN控制器进行攻击，造成SDN控制器因大量packet-in信息汇入而宕机，导致正常数据包请求不能及时得到处理。

(2)攻击者针对工业接入网络(工业有线网络、工业无线网络如WirelessHART、WIA-PA、ISA100.11a)路由节点等关键网络设备进行DDoS攻击，造成工业接入网络和工业回程网络汇入大量无效的数据包，影响网络正常工作。

目前，对普通SDN网络DDoS攻击检测方法有很多，包括基于流量的时间特征方法、基于信息熵值方法、基于KNN算法等方法。然而，由于工业回程网络和工业控制网络自身特征，其工业网络的网络特性、实时性要求、可靠性要求等并没有被考虑，且普通SDN网络的OpenFlow协议也未针对工业网络进行特殊匹配和改进，既有研究成果很难直接应用到工业SDN网络。特别是一些在不支持IP的工业接入网络(如WIA-PA网络、WirelessHART网络等)爆发DDoS攻击，利用传统OpenFlow流表模式匹配方法、信息熵值方法等，均很难对攻击的实际发生位置进行溯源和定位。

发明内容

有鉴于此，本发明的目的在于提供一种工业SDN网络DDoS攻击检测与缓解方法，利用工业SDN网络中的SDN控制器及工业接入网络系统管理器，扩展工业回程网络中的OF交换机流表项的匹配域，使其能够更精确的匹配来自工业接入网络的数据包，SDN控制器与DDoS攻击与检测服务器通过交互，实现对工业回程网络和工业接入网络中DDoS攻击的检测和缓解。

为达到上述目的，本发明提供如下技术方案：

一种工业SDN网络DDoS攻击检测与缓解方法，包括以下步骤：

S1：建立基于SDN的联合调度架构下工业网络DDoS检测与缓解系统架构；

S2：网络正常工作，工业接入网络转交工业回程网络数据报文；

S3：改进并扩展OpenFlow流表项；

S4：数据经过OF交换机时，进行流表匹配；

S5：SDN控制器查询OF交换机的匹配情况并标记可疑流表项，并报告Packet-in消息；

S6：DDoS攻击检测与缓解系统对可疑流表项进行处理或对Packet-in进行识别处理。

进一步，在步骤S1中，所述基于SDN的联合调度架构下工业网络DDoS检测系统架构包括应用平面、控制平面和转发平面；

所述应用平面包括SDN控制器控制软件和防DDoS攻击应用管理软件；

其中，SDN控制器控制软件用于用户配置SDN控制器；

防DDoS攻击应用管理软件用于支持安全人员根据网络DDoS攻击特点，制定相应的防御策略，保证网络安全运行；

所述控制平面包括SDN控制器、工业接入网络系统管理器和工业SDN网络DDoS攻击检测与缓解系统；

其中，SDN控制器负责工业回程网络的资源控制与调度，负责网络的链路发现拓扑管理、状态监测和策略制定并下发流表，并将监测到的信息供DDoS攻击检测与缓解系统查询；SDN控制器上运行联合调度器负责工业接入网络系统管理器进行交互，负责工业接入网络的数据传输路径和资源信息的计算和决策；

工业接入网络系统管理器负责配置工业接入网网络属性、管理路由表、调度设备间的通信、监视网络性能和安全管理；负责管理网络中设备的运行以及整个无线网络的通信，包括设备入网和离网、网络故障的监控与报告和通信配置管理；

工业SDN网络DDoS攻击检测与缓解系统包括检测和缓解两个模块：检测模块根据SDN控制器状态监测信息，分析工业网络发给OpenFlow交换机的实时数据并提取相应数据特征，判断是否受到DDoS攻击，并将判断结果报告给DDoS攻击缓解系统；缓解模块负责快速响应网络中的DDoS攻击情况，通过SDN控制器对工业网络中的流量进行调度；

所述转发平面包括工业回程网络OF交换机和工业接入网网络设备；

其中，OF交换机位于工业回程网中，依靠SDN控制器的全局视图功能，用于实现灵活、高效的配置工业回程网；

工业接入网络网络设备是工业接入网络的网络传输物理实体，提供工业接入网络系统管理器进行管理和配置，从而达到工业接入网络系统管理器所需要的网络功能；包括工业接入网络边界路由器，负责将报文处理后，转发给工业回程网络。

进一步，所述步骤S2具体为：当接入网络路由设备向边界路由发送数据包时，网关支持工业有线和工业无线协议转换为IPv4或IPv6协议，保留原始数据的以下特征：接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID。

进一步，所述步骤S3具体为：扩展OpenFlow交换机流表项匹配域，增加扩展域实现OpenFlow交换机能够更精确的匹配来自工业接入网络的数据包；扩展域包括：

接入网络类型：用于标记工业接入网络是有线网络还是无线网络；

网络协议：用于标记工业接入网络的网络协议；

PAN_ID：用于标记个域网的ID；

工作信道：用于标记数据来自于无线接入网络时候的该数据传输所涉及的信道；

无线网络源MAC地址：标记数据来源的MAC地址；

无线网络目的MAC地址：标记数据目的地的MAC地址；

源设备ID：标记数据来源的ID。

OF交换机入网后，控制器获取链路状态，主动地向交换机下发扩展后的流表。

进一步，所述步骤S4具体为：

当数据流与流表中的匹配域匹配时，流表项每匹配一次则流表项中计数器计数一次；

当数据流与流表中的匹配域不匹配时，OF交换机则先将其缓存在缓冲区，再提取其包头封装成packet-in消息，若缓冲区已满则直接将整个数据包封装成packet-in消息，发给SDN控制器并由SDN控制器分析及决策，然后通过下发flow-mod或packet-out消息进行处理。

进一步，所述步骤S5具体为：

S501：SDN控制器查询单位时间内每个流表项的匹配数据流个数M，控制器根据经验值设定单位时间内每个流表项的正常数据流匹配个数为M*，计算M-M*＝ΔM；

S502：SDN控制器查询单位时间内Packet-in消息数量N，以及单位时间内flow-mod与packet-out消息数量之和N*，计算N-N*＝ΔN；

S503：若某一流表项的ΔM超过阈值，则该流表项被SDN控制器标记为可疑流表项；

S504：若当前OF交换机发给SDN控制器的ΔN超过阈值，则SDN控制器判断出现数据流异常；

S505：工业回程网OF交换机流表不匹配偏差容忍度ΔM和ΔN，由用户通过防DDoS攻击应用管理软件进行设定；

S506：SDN控制器将可疑流表项报告给DDoS攻击检测与缓解系统；

S507：SDN控制器将携带接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID信息的Packet-in消息报告给DDoS攻击检测与缓解系统；由DDoS攻击检测与缓解系统判断该Packet-in是正常流量、正常爆发流量、DDoS攻击流量还是L-DDoS攻击流量引起的。

进一步，在步骤S6中，所述DDoS攻击检测与缓解系统对可疑流表项进行处理具体为：DDoS攻击检测与缓解系统将可疑流表项信息通知工业接入网络系统管理器，工业接入网络系统管理器将重新分配网络资源，并制定相应的缓解攻击策略，阻断工业接入网络内部DDoS攻击源设备的继续通信。

进一步，在步骤S6中，所述DDoS攻击检测与缓解系统对Packet-in进行识别处理具体为：

S601：数据样本训练建模：DDoS攻击检测与缓解系统对工业接入网络和工业回程网络的正常数据进行训练建模，引入工业网络特征后，对网络中的包含正常流量、正常爆发流量、DDoS攻击流量及L-DDoS攻击流量的数据样本进行训练建模，具体过程为：

S601-1：按照C4.5决策树算法，选取不匹配偏差容忍度ΔM及ΔN作为根节点；

S601-2：根据工业接入网络流量特征表现取值表，将流量特征模糊离散处理为三种特征程度值X、Y和Z；

当流量特征为IPv6/IPv4源地址时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为TCP源端口时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为UDP源端口时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为网络协议时，特征表现X为接入网络协议，Y为空，Z为未知协议；

当流量特征为源设备ID时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为源MAC地址时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为工作信道时，特征表现X为该信道质量高，Y为该信道质量中，Z为该信道质量低；

当流量特征为ΔM和ΔN时，特征表现X为都在阈值内，Y为其中一个在阈值内，Z为都不在阈值内；

统计数据流样本并对X、Y和Z取值；

S601-3：生成决策树；

1)根节点X方向上的属性选择方法为：

1a)纵向统计数据流特征取值中Z出现次数，取Z出现次数最多对应的属性作为根节点下面X方向的子节点；

1b)若均无Z，则统计比较Y出现次数，取Y出现次数最多对应的属性作为根节点下面X方向的子节点；

1c)若均无Y，则统计比较X出现次数，取X出现次数最多对应的属性作为根节点下面X方向的子节点；

1d)若两个以上属性的Z、Y和X出现次数相同，则随机选取一个属性作为根节点下面X方向的子节点；

2)根节点Y方向上的属性选择方法为：

2a)纵向统计数据流特征取值中Z出现次数，取Z出现次数最多对应的属性作为根节点下面Y方向的子节点；

2b)若均无Z，则统计比较Y出现次数，取Y出现次数最多对应的属性作为根节点下面Y方向的子节点；

2c)若均无Y，则统计比较X出现次数，取X出现次数最多对应的属性作为根节点下面Y方向的子节点；

2d)若两个以上属性的Z、Y和X出现次数相同，则随机选取一个属性作为根节点下面Y方向的子节点；

3)根节点Z方向上的属性选择方法为：

3a)纵向统计数据流特征取值中Z出现次数，取Z出现次数最多对应的属性作为根节点下面Z方向的子节点；

3b)若均无Z，则统计比较Y出现次数，取Y出现次数最多对应的属性作为根节点下面Z方向的子节点；

3c)若均无Y，则统计比较X出现次数，取X出现次数最多对应的属性作为根节点下面Z方向的子节点；

3d)若两个以上属性的Z、Y和X出现次数相同，则随机选取一个属性作为根节点下面Z方向的子节点；

至此，根节点下X、Y、Z分支的属性分类完成，形成第二层节点；

第三层节点的生成方式和第二层节点的生成方式相同，分别生成和选择第二层节点的X、Y、Z方向的属性；以此类推，完成正常流量、正常爆发流量、DDoS攻击流量及L-DDoS攻击流量4个数据分类子集决策树模型的生成；

S602：DDoS攻击检测与缓解系统攻击识别：将packet-in信息放入S701中的训练样本模型中进行判断，得到该packet-in信息属于的分类；

S603：DDoS攻击检测与缓解系统的处理：

S603-1：DDoS攻击检测与缓解系统通过S701、S702识别出的缓存在OF交换机中的正常数据流以及正常爆发流量，通过SDN控制器下发扩展后的流表，使缓存在OF交换机中的数据流被转发；未缓存在OF交换机的正常数据流则将其直接通过OF交换机输出端口转发出去；将识别出的DDoS攻击数据流，L-DDoS攻击数据流记录下相关特征，并将这些特征写入“缓解攻击专用流表项”中，其优先级被设为最高，下发给OF交换机流表0中，及时阻断攻击源继续发过来的数据包；

S603-2：DDoS攻击检测与缓解系统通知工业回程网SDN控制器来自接入网络的DDoS攻击相关信息，包括攻击源所在的源MAC地址、源网络设备ID、工作信道和PAN_ID；

S603-3：SDN控制器将攻击数据流的信息告知与之协同工作的工业接入网络系统管理器，工业接入网络系统管理器将重新分配网络资源，并制定相应的缓解攻击策略，阻断工业接入网络内部DDoS攻击源设备的继续通信；

S603-4：当SDN控制器读取到OF交换机ΔM和ΔN均在正常阈值范围内，判断为DDoS攻击结束，删除“缓解攻击专用流表项”，控制器重新获取拓扑信息，先主动向OF交换机发送修改流表信息更新流表，然后再采用被动下发流表方式工作。

本发明的有益效果在于：

(1)本发明基于SDN的工业接入网络联合调度架构，定义了缓解DDoS攻击专用流表项以及时抵御攻击数据流。引入DDoS攻击检测与缓解系统，制定针对控制器两种流表下发模式结合使用时遭受DDoS攻击的相应检测与缓解方法；

(2)本发明在检测DDoS攻击时充分考虑满足工业接入网络数据包的特征，并对OpenFlow定义的流表项匹配域进行扩展，使不支持IP的工业接入网络更好地得到兼容，并进行流表匹配。并在缓解DDoS攻击时首要保证工业网络数据实时性这一需求，确保工业接入网络数据传输的高可靠、低时延；

(3)本发明采用机器学习方法与统计对比方法结合使用，进行DDoS攻击异常流量的识别，相比传统DDoS检测方法更准确快捷。

附图说明

为了使本发明的目的、技术方案和有益效果更加清楚，本发明提供如下附图进行说明：

图1为基于SDN的联合调度架构下工业网络DDoS检测系统架构；

图2为DDoS攻击检测与缓解机制流程图；

图3为基于SDN的工业回程网联合调度架构的DDoS攻击产生过程；

图4为扩展后的OpenFlow流表项结构；

图5为数据分类决策树模型；

图6为实例WIA-PA网络训练流量分类决策树模型。

具体实施方式

下面将结合附图，对本发明的优选实施例进行详细的描述。

针对典型的基于SDN的工业回程网络架构，提出一种基于SDN的联合调度架构下工业网络DDoS检测与缓解架构，如图1所示，包括应用平面、控制平面和转发平面。

应用平面包括SDN控制器控制软件和防DDoS攻击应用管理软件。

●SDN控制器控制软件：用户通过该软件配置SDN控制器。

●防DDoS攻击应用管理软件：可支持安全人员根据网络DDoS攻击特点，制定相应的防御策略，保证网络安全运行。

控制平面包括SDN控制器、工业接入网络系统管理器以及工业SDN网络DDoS攻击检测与缓解系统。

●SDN控制器负责工业回程网络的资源控制与调度，负责网络的链路发现拓扑管理、状态监测和策略制定并下发流表，并将监测到的信息供DDoS攻击检测与缓解系统查询。SDN控制器上运行联合调度器负责工业接入网络系统管理器进行交互，负责工业接入网络的数据传输路径和资源信息的计算和决策；

●工业接入网络系统管理器，负责配置工业接入网网络属性、管理路由表、调度设备间的通信、监视网络性能和安全管理。负责管理网络中设备的运行以及整个无线网络的通信，包括设备入网和离网、网络故障的监控和报告、通信配置管理等。

●工业SDN网络DDoS攻击检测与缓解系统包括检测和缓解两个模块：

●检测模块根据SDN控制器状态监测信息，分析工业网络发给OpenFlow交换机的实时数据并提取相应数据特征，判断是否受到DDoS攻击，并将判断结果报告给DDoS攻击缓解系统；

●缓解模块负责快速响应网络中的DDoS攻击情况，通过SDN控制器对工业网络中的流量进行调度。

转发平面包括工业回程网络OF交换机、工业接入网网络设备。

●OF交换机位于工业回程网中，依靠SDN控制器的全局视图功能，实现灵活、高效的配置工业回程网。

●工业接入网络网络设备是工业接入网络的网络传输物理实体，提供工业接入网络系统管理器进行管理和配置，从而达到工业接入网络系统管理器所需要的网络功能。

●工业接入网络边界路由器，是接入网络网络设备的一种，负责将报文处理后，转发给工业回程网络。

基于上述架构，本发明提出一种基于SDN的联合调度架构下工业回程网和工业接入网络的DDoS攻击检测与缓解方法。

工业SDN网络DDoS攻击检测和缓解过程如图2所示。本发明提出的攻击检测与缓解机制如下：

1.网络正常工作，工业接入网络转交工业回程网络数据报文

工业接入网络的形态和协议多样，既有有线接入网络(Modbus、FF等)，又存在无线接入网络(WIA-PA、ISA100.11a等)，通过边界路由器转发给回程网络时，一般不会保留数据的全部原始特征。如一个无线接入网络节点采集到的数据，到达边界后，一般只保留节点ID及采集到的数据值，由边界路由进行转发。

这就给攻击者利用工业接入网络的节点发起DDoS攻击提供了条件。因为工业节点ID并不能通过OpenFlow协议进行流表匹配，所以只能定位到边界路由，很难具体定位被DDoS攻击的节点。

基于此，为实现本发明所述方法的对接入网络的DDoS攻击检测，需一种对工业接入网络转交工业回程网络的数据报文进行如下改进：

当接入网络路由设备向边界路由发送数据包时，网关支持工业有线和工业无线协议转换为IPv4或IPv6协议，但需要保留原始数据的以下特征：接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID。例如：将WIA-PA协议转换为IPv6协议，并保留原始数据包中应显示该数据来自无线接入网络、协议为WIA-PA、PAN_ID、工作信道、源MAC地址、目的MAC地址、源设备ID等信息在转换后的IPv6协议数据负载中，供跨域传输时工业回程网中OF交换机流表匹配使用。

2.改进并扩展OpenFlow流表项

如图3所示，在工业接入网络(如WIA-PA网络、ISA100.11a网络)中的路由设备被攻击者作为傀儡设备，向接入网络中发送大量虚假数据包，当某些攻击数据包通过工业回程网跨域传输时，因匹配失败造成SDN控制器不能正常工作。

为保证不支持IP的工业无线网络协议(如WIA-PA)能更好地得到OpenFlow交换机的兼容，本发明对传统OpenFlow流表进行修改为：主要是扩展OpenFlow交换机流表项匹配域，增加扩展域实现OpenFlow交换机能够更精确的匹配来自工业接入网络的数据包。图4为扩展的流表项结构，扩展域包括：

接入网络类型：用于标记工业接入网络是有线网络还是无线网络；

网络协议：用于标记工业接入网络的网络协议，如WIA-PA、ISA100.11a、WirelessHART等；

PAN_ID：用于标记个域网的ID；

工作信道：用于标记数据来自于无线接入网络时候的该数据传输所涉及的主要信道；

无线网络源MAC地址：标记数据来源的MAC地址；

无线网络目的MAC地址：标记数据目的地的MAC地址；

源设备ID：标记数据来源的ID。

OF交换机入网后，控制器获取链路状态，主动地向交换机下发图4所示的扩展后的流表。

3.数据经过OF交换机时，OF交换机的工作机制：

数据经过OF交换机时，进行流表匹配。存在匹配和不能匹配两种情况：

匹配：数据流根据流表中的匹配域进行匹配转发，流表项每匹配一次则流表项中计数器计数一次。

不能匹配：数据流表无法匹配数据流，交换机则先将其缓存在缓冲区，再提取其包头封装成packet-in消息，若缓冲区已满则直接将整个数据包封装成packet-in消息，发给SDN控制器并由SDN控制器分析及决策，然后通过下发flow-mod或packet-out消息进行处理。

4.SDN控制器查询OF交换机的匹配情况并标记可疑流表项，并报告Packet-in消息

SDN控制器查询单位时间内每个流表项的匹配数据流个数M，控制器根据经验值设定单位时间内每个流表项的正常数据流匹配个数为M^*,计算M-M^*＝ΔM。

SDN控制器查询单位时间内Packet-in消息数量N，以及单位时间内flow-mod与packet-out消息数量之和N^*，计算N-N^*＝ΔN。

若某一流表项的ΔM超过阈值，则该流表项被SDN控制器标记为可疑流表项。

若当前OF交换机发给SDN控制器的ΔN超过阈值，则SDN控制器判断出现数据流异常。

工业回程网OF交换机流表不匹配偏差容忍度ΔM和ΔN，由用户通过防DDoS攻击应用管理软件进行设定。

SDN控制器将可疑流表项报告给DDoS攻击检测与缓解系统。

SDN控制器将携带接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID信息的Packet-in消息报告给DDoS攻击检测与缓解系统。由DDoS攻击检测与缓解系统判断该Packet-in是正常流量、正常爆发流量、DDoS攻击流量或是L-DDoS攻击流量引起的。以下分两个方面介绍DDoS攻击检测与缓解系统对可疑流表项报告的处理过程和对Packet-in的处理过程：

5.DDoS攻击检测与缓解系统对于可疑流表项的处理过程

DDoS攻击检测与缓解系统将可疑流表项信息通知工业接入网络系统管理器，工业接入网络系统管理器将重新分配网络资源，并制定相应的缓解攻击策略，阻断工业接入网络内部DDoS攻击源设备的继续通信。

6.DDoS攻击检测与缓解系统对Packet-in的识别处理过程

a)数据样本训练建模过程

DDoS攻击检测与缓解系统需要对工业接入网络和工业回程网络的正常数据进行训练建模。引入工业网络特征后，对网络中的包含正常流量、正常爆发流量、DDoS攻击流量及L-DDoS攻击流量的数据样本进行训练建模过程如下：

第一步：按照C4.5决策树算法，选取属性“ΔM及ΔN”作为根节点。

第二步：根据工业接入网络流量特征表现取值表，将流量特征模糊离散处理为三种特征程度值(X，Y，Z)。

表1工业接入网络流量特征表现取值表

统计数据流样本按照表2、表3和表4所示的X、Y和Z取值；

表2根节点取X时的数据样本取值表

表3根节点取Y时的数据样本取值表

表4根节点取Z时的数据样本取值表

第三步：生成决策树

1)根节点X方向上的属性选择方法：

a)按照表2中，纵向统计数据流特征取值中Z出现次数，取Z出现次数最多对应的属性作为根节点下面X方向的子节点。

b)若均无Z，则统计比较Y出现次数，取Y出现次数最多对应的属性作为根节点下面X方向的子节点。

c)若均无Y，则统计比较X出现次数，取X出现次数最多对应的属性作为根节点下面X方向的子节点。

d)若两个以上属性的Z、Y和X出现次数相同，则随机选取一个属性作为根节点下面X方向的子节点。

2)根节点Y方向上的属性选择方法：

a)按照表3中，纵向统计数据流特征取值中Z出现次数，取Z出现次数最多对应的属性作为根节点下面Y方向的子节点。

b)若均无Z，则统计比较Y出现次数，取Y出现次数最多对应的属性作为根节点下面Y方向的子节点。

c)若均无Y，则统计比较X出现次数，取X出现次数最多对应的属性作为根节点下面Y方向的子节点。

d)若两个以上属性的Z、Y和X出现次数相同，则随机选取一个属性作为根节点下面Y方向的子节点。

3)根节点Z方向上的属性选择方法：

a)按照表4中，纵向统计数据流特征取值中Z出现次数，取Z出现次数最多对应的属性作为根节点下面Z方向的子节点。

b)若均无Z，则统计比较Y出现次数，取Y出现次数最多对应的属性作为根节点下面Z方向的子节点。

c)若均无Y，则统计比较X出现次数，取X出现次数最多对应的属性作为根节点下面Z方向的子节点。

d)若两个以上属性的Z、Y和X出现次数相同，则随机选取一个属性作为根节点下面Z方向的子节点。

至此，根节点下X、Y、Z分支的属性分类完成，形成第二层节点。第三层节点的生成方式和第二层节点的生成方式类似，分别生成和选择第二层节点的X、Y、Z方向的属性。以此类推，完成4个数据分类子集(正常流量、正常爆发流量、DDoS攻击流量及L-DDoS攻击流量)决策树模型的生成，如图5所示。

b)DDoS攻击检测与缓解系统攻击识别过程

将packet-in信息放入a)中的训练样本模型中进行判断，得到该packet-in信息属于哪个分类。

c)DDoS攻击检测与缓解系统的处理过程

第一步：DDoS攻击检测与缓解系统通过上述a)、b)所述过程识别出的缓存在OF交换机中的正常数据流以及正常爆发流量，通过SDN控制器下发扩展后的流表，使缓存在OF交换机中的数据流被转发；未缓存在OF交换机的正常数据流则将其直接通过OF交换机输出端口转发出去。而将识别出的DDoS攻击数据流，L-DDoS攻击数据流记录下相关特征，并将这些特征写入“缓解攻击专用流表项”中，其优先级被设为最高，下发给OF交换机流表0中，及时阻断攻击源继续发过来的数据包；

第二步：DDoS攻击检测与缓解系统通知工业回程网SDN控制器来自接入网络的DDoS攻击相关信息，如攻击源所在的源MAC地址、源网络设备ID、工作信道、PAN_ID等；

第三步：SDN控制器将攻击数据流的信息告知与之协同工作的工业接入网络系统管理器，工业接入网络系统管理器将重新分配网络资源，并制定相应的缓解攻击策略，阻断工业接入网络内部DDoS攻击源设备的继续通信；

第四步：当SDN控制器读取到OF交换机ΔM和ΔN均在正常阈值范围内，判断为DDoS攻击结束，删除“缓解攻击专用流表项”，控制器重新获取拓扑信息，先主动向OF交换机发送修改流表信息更新流表，然后再采用被动下发流表方式工作。

针对工业无线网络WIA-PA网络接入回程网络后爆发DDoS攻击的情况，具体方式为：

1.网络正常工作，WIA-PA网络转交工业回程网络数据报文

WIA-PA网络数据发给边界路由器时，将WIA-PA协议转换为IPv4或IPv6协议，并保留原始数据包中显示该数据来自无线接入网络、协议为WIA-PA、PAN_ID、工作信道、源MAC地址、目的MAC地址、源设备ID等信息在转换后的IPv4或IPv6协议数据负载中，供跨域传输时工业回程网中OF交换机流表匹配使用。

2.改进并扩展OpenFlow流表项

在WIA-PA网络中的路由设备被攻击者作为傀儡设备，攻击者向此设备发送虚假数据包，造成跨域传输的攻击数据流匹配不上工业回程网的OF交换机中的流表，使得OF交换机转发效率降低，进一步因OF交换机询问SDN控制器发送的大量packet-in消息，使得SDN控制器宕机。

为保证不支持IP的WIA-PA协议能更好地得到OpenFlow交换机的兼容，本发明对传统OpenFlow流表进行修改如下：

针对WIA-PA协议扩展后的流表项结构，扩展域包括：接入网络类型：标记为工业无线网络。网络协议：标记为WIA-PA网络协议。其余扩展域内容保持根据实际情况进行配置。

3.数据经过OF交换机时，OF交换机的工作机制：

WIA-PA网络数据经过OF交换机时，进行流表匹配。存在匹配和不能匹配两种情况：

匹配：WIA-PA网络数据根据流表中的匹配域进行匹配转发，流表项每匹配一次则流表项中计数器计数一次。

不能匹配：OF交换机流表无法匹配的WIA-PA网络数据流，交换机先将其缓存在缓冲区，再提取其包头封装成packet-in消息，若缓冲区已满则直接将整个数据包封装成packet-in消息，发给SDN控制器并由SDN控制器分析及决策，然后通过下发flow-mod或packet-out消息进行处理。

4.SDN控制器查询OF交换机的匹配情况并标记可疑流表项，并报告Packet-in消息

SDN控制器查询单位时间内每个流表项的匹配数据流个数M，控制器根据经验值设定单位时间内每个流表项的正常数据流匹配个数为M^*,计算M-M^*＝ΔM。

SDN控制器查询单位时间内Packet-in消息数量N，以及单位时间内flow-mod与packet-out消息数量之和N^*，计算N-N^*＝ΔN。

若某一流表项的ΔM超过阈值，则该流表项被SDN控制器标记为可疑流表项。

若当前OF交换机发给SDN控制器的ΔN超过阈值，则SDN控制器判断出现数据流异常。

工业回程网OF交换机数据不匹配偏差容忍度为ΔM和ΔN，由用户通过防DDoS攻击应用管理软件进行设定。

SDN控制器将可疑流表项报告给DDoS攻击检测与缓解系统。

SDN控制器将携带接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID信息的Packet-in消息报告给DDoS攻击检测与缓解系统。由DDoS攻击检测与缓解系统判断该Packet-in是正常流量、正常爆发流量、DDoS攻击流量或是L-DDoS攻击流量引起的。

以下分两个方面介绍DDoS攻击检测与缓解系统对可疑流表项报告的处理过程和对Packet-in的处理过程：

1.DDoS攻击检测与缓解系统对于可疑流表项的处理过程

DDoS攻击检测与缓解系统将可疑流表项信息通知WIA-PA网络系统管理器，WIA-PA网络系统管理器将重新分配网络资源，并制定相应的缓解攻击策略，阻断WIA-PA网络内部DDoS攻击源设备的继续通信。

2.DDoS攻击检测与缓解系统对Packet-in的识别处理过程

a)数据样本训练建模过程

DDoS攻击检测与缓解系统需要对WIA-PA网络和工业回程网络的正常数据进行训练建模。引入工业网络特征后，对网络中的包含正常流量、正常爆发流量、DDoS攻击流量及L-DDoS攻击流量的数据样本进行训练建模过程如下：

第一步：按照C4.5决策树算法，选取属性“ΔM及ΔN”作为根节点。

第二步：根据WIA-PA网络流量特征表现取值表，将流量特征模糊离散处理为三种特征程度值(X，Y，Z)。

表5工业接入网络流量特征表现取值表

表6是具体的数据流样本信息，挑选20个样本进行说明。

表6 20个数据流样本

以上述WIA-PA网络流量数据集样本为例，利用C4.5决策树算法，进行根节点属性选取，具体过程如下：

1)计算20个样本的信息熵，样本S分为四类(正常流5个，正常爆发流5个，DDoS攻击流5个，L-DDoS攻击流5个)

2)分别计算按不同属性对S的划分信息熵

A＝流表项匹配个数、Packet-in数量S＝{S₁，S₂，S₃}＝{X(5+3)，Y(3+2)，Z(5+2)}

3)计算以流量种类划分信息增益

Gain(S，A)＝Entropy(S)-Entropy_A(S)＝2-0.9267＝1.0733

4)计算分裂信息

5)计算信息增益率

重复步骤2)-5)，同理计算按其他属性划分的信息增益率

GainRatio(源IP地址)＝0.2404

GainRatio(TCP源端口)＝0.0901

GainRatio(UDP源端口)＝0.275

GainRatio(工业无线网络协议)＝0.1384

GainRatio(工业无线源网络设备ID)＝0.1216

GainRatio(工业无线网络源MAC地址)＝0.2511

GainRatio(工作信道质量)＝0.3608

由比较得出“ΔM和ΔN”增益率最大，将其作为根节点。决策树算法含有大量对数运算，样本数据足够多的情况会使得时间开销较大，因此，在选取叶子节点的时候，不再计算信息增益率，而是简单地采用全样本中单个数据流特征纵向对比统计数值，快速得出子节点。

根节点下有三个分支(X、Y、Z)，以根节点下X的分支节点计算为例，具体步骤如下：

1)将完整的20个数据流样本按根节点的取值(X、Y、Z)分支，分割出三个子样本(X＝8个，Y＝5个，Z＝7个)，子样本1(X＝8个)如下表7所示；

表7子样本数据集

2)纵向统计8个样本数据编号1-7数据流特征取值中Z出现的次数{Z₁，Z₂，Z₃，Z₄，Z₅，Z₆，Z₇}＝{1，0，1，2，0，1，2}，其中Z₄和Z₇均为2，则随机选取第7个数据流特征属性“工作信道”作为该分支下的决策子节点；

3)在“工作信道”子节点下，根据分支条件(X、Y、Z)又将分割出三个子样本(X＝3个，Y＝3个，Z＝2个)，此时子样本1(X＝3个)和子样本3(Z＝2个)只在一种类别中出现，即已得出数据流类别，则不再继续往下分支；

4)反之，步骤3中子样本2(Y＝3个)在两种数据流类别中均出现，则继续往下分支，纵向统计样本数据编号为12、13、19的余下1-6数据流特征值中Z值出现次数{Z₁，Z₂，Z₃，Z₄，Z₅,Z₆}＝{0,0,0,1,0,1}，因此随机选择第6个数据流特征属性“源MAC地址”作为决策子节点；

5)在“源MAC地址”子节点下，根据分支条件分割出三个子样本(Y＝2个，Z＝1个)，两个样本均只在一种类别出现，不再继续分支，得出数据流类别；

6)至此，根节点下X分支的流量分类完成。

根节点下Y、Z的分支节点计算与上述过程相同，X、Y、Z分支的流量分类过程同步进行，最终，得出如下图6所示的流量分类决策树模型。

在图6中的决策树模型建立过程中，根节点下按照流量特征属性程度取值X、Y、Z进行分支，再分别统计X、Y、Z下的样本情况，若某个值下的流个数为0则减少一个分支，直到最终得出流类型。靠近根节点的每一层子节点选取时，节点属性可重复，但从根节点向下的每一条决策路径上的子节点属性不可重复。样本数据越多，分支层数越多，但最多只有8层(与选取的流量特征属性个数一致)。

表8是SDN控制器获取的实时packet-in数据流，通过与上述的流量分类决策树模型进行对比分析，得出packet-in数据流类型。

表8实时packet-in数据流

SDN控制器根据表8所示结论，对packet-in数据进行处理，处理方式如下：

针对表8中编号为1、4两个正常数据流，以及编号为2、3两个正常爆发数据流，SDN控制器将其中缓存在OF交换机中的数据流通过下发流表来转发，而SDN控制器将其中未缓存在OF交换机中的数据流直接通过输出端口转发出去。

针对表8中编号为5、6、7三个攻击数据流，SDN控制器将其特征写入“缓解攻击专用流表项”中，下发给OF交换机流表0中，设优先级为最高，及时阻断攻击源继续发送的数据报文。

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其作出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims (8)

1.一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：该方法包括以下步骤：

S1：建立基于SDN的联合调度架构下工业网络DDoS检测与缓解系统架构；

S2：网络正常工作，工业接入网络转交工业回程网络数据报文；

S3：改进并扩展OpenFlow流表项；

S4：数据经过OF交换机时，进行流表匹配；

S5：SDN控制器查询OF交换机的匹配情况并标记可疑流表项，并报告Packet-in消息；

S6：DDoS攻击检测与缓解系统对可疑流表项进行处理或对Packet-in进行识别处理。

2.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：在步骤S1中，所述基于SDN的联合调度架构下工业网络DDoS检测系统架构包括应用平面、控制平面和转发平面；

所述应用平面包括SDN控制器控制软件和防DDoS攻击应用管理软件；

其中，SDN控制器控制软件用于用户配置SDN控制器；

防DDoS攻击应用管理软件用于支持安全人员根据网络DDoS攻击特点，制定相应的防御策略，保证网络安全运行；

所述控制平面包括SDN控制器、工业接入网络系统管理器和工业SDN网络DDoS攻击检测与缓解系统；

其中，SDN控制器负责工业回程网络的资源控制与调度，负责网络的链路发现拓扑管理、状态监测和策略制定并下发流表，并将监测到的信息供DDoS攻击检测与缓解系统查询；SDN控制器上运行联合调度器负责工业接入网络系统管理器进行交互，负责工业接入网络的数据传输路径和资源信息的计算和决策；

工业接入网络系统管理器负责配置工业接入网网络属性、管理路由表、调度设备间的通信、监视网络性能和安全管理；负责管理网络中设备的运行以及整个无线网络的通信，包括设备入网和离网、网络故障的监控与报告和通信配置管理；

工业SDN网络DDoS攻击检测与缓解系统包括检测和缓解两个模块：检测模块根据SDN控制器状态监测信息，分析工业网络发给OpenFlow交换机的实时数据并提取相应数据特征，判断是否受到DDoS攻击，并将判断结果报告给DDoS攻击缓解系统；缓解模块负责快速响应网络中的DDoS攻击情况，通过SDN控制器对工业网络中的流量进行调度；

所述转发平面包括工业回程网络OF交换机和工业接入网网络设备；

其中，OF交换机位于工业回程网中，依靠SDN控制器的全局视图功能，用于实现灵活、高效的配置工业回程网；

工业接入网络网络设备是工业接入网络的网络传输物理实体，提供工业接入网络系统管理器进行管理和配置，从而达到工业接入网络系统管理器所需要的网络功能；包括工业接入网络边界路由器，负责将报文处理后，转发给工业回程网络。

3.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：所述步骤S2具体为：当接入网络路由设备向边界路由发送数据包时，网关支持工业有线和工业无线协议转换为IPv4或IPv6协议，保留原始数据的以下特征：接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID。

4.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：所述步骤S3具体为：扩展OpenFlow交换机流表项匹配域，增加扩展域实现OpenFlow交换机能够更精确的匹配来自工业接入网络的数据包；扩展域包括：

接入网络类型：用于标记工业接入网络是有线网络还是无线网络；

网络协议：用于标记工业接入网络的网络协议；

PAN_ID：用于标记个域网的ID；

工作信道：用于标记数据来自于无线接入网络时候的该数据传输所涉及的信道；

无线网络源MAC地址：标记数据来源的MAC地址；

无线网络目的MAC地址：标记数据目的地的MAC地址；

源设备ID：标记数据来源的ID；

OF交换机入网后，控制器获取链路状态，主动地向交换机下发扩展后的流表。

5.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：所述步骤S4具体为：

当数据流与流表中的匹配域匹配时，流表项每匹配一次则流表项中计数器计数一次；

当数据流与流表中的匹配域不匹配时，OF交换机则先将其缓存在缓冲区，再提取其包头封装成packet-in消息，若缓冲区已满则直接将整个数据包封装成packet-in消息，发给SDN控制器并由SDN控制器分析及决策，然后通过下发flow-mod或packet-out消息进行处理。

6.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：所述步骤S5具体为：

S501：SDN控制器查询单位时间内每个流表项的匹配数据流个数M，控制器根据经验值设定单位时间内每个流表项的正常数据流匹配个数为M*，计算M-M*＝ΔM；

S502：SDN控制器查询单位时间内Packet-in消息数量N，以及单位时间内flow-mod与packet-out消息数量之和N*，计算N-N*＝ΔN；

S503：若某一流表项的ΔM超过阈值，则该流表项被SDN控制器标记为可疑流表项；

S504：若当前OF交换机发给SDN控制器的ΔN超过阈值，则SDN控制器判断出现数据流异常；

S505：工业回程网OF交换机流表不匹配偏差容忍度ΔM和ΔN，由用户通过防DDoS攻击应用管理软件进行设定；

S506：SDN控制器将可疑流表项报告给DDoS攻击检测与缓解系统；

S507：SDN控制器将携带接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID信息的Packet-in消息报告给DDoS攻击检测与缓解系统；由DDoS攻击检测与缓解系统判断该Packet-in是正常流量、正常爆发流量、DDoS攻击流量还是L-DDoS攻击流量引起的。

7.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：在步骤S6中，所述DDoS攻击检测与缓解系统对可疑流表项进行处理具体为：DDoS攻击检测与缓解系统将可疑流表项信息通知工业接入网络系统管理器，工业接入网络系统管理器将重新分配网络资源，并制定相应的缓解攻击策略，阻断工业接入网络内部DDoS攻击源设备的继续通信。

8.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：在步骤S6中，所述DDoS攻击检测与缓解系统对Packet-in进行识别处理具体为：

S601：数据样本训练建模：DDoS攻击检测与缓解系统对工业接入网络和工业回程网络的正常数据进行训练建模，引入工业网络特征后，对网络中的包含正常流量、正常爆发流量、DDoS攻击流量及L-DDoS攻击流量的数据样本进行训练建模，具体过程为：

S601-1：按照C4.5决策树算法，选取不匹配偏差容忍度ΔM及ΔN作为根节点；

S601-2：根据工业接入网络流量特征表现取值表，将流量特征模糊离散处理为三种特征程度值X、Y和Z；

当流量特征为IPv6/IPv4源地址时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为TCP源端口时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为UDP源端口时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为网络协议时，特征表现X为接入网络协议，Y为空，Z为未知协议；

当流量特征为源设备ID时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为源MAC地址时，特征表现X为已知常见，Y为变化随机弱，Z为变化随机强；

当流量特征为工作信道时，特征表现X为该信道质量高，Y为该信道质量中，Z为该信道质量低；

当流量特征为ΔM和ΔN时，特征表现X为都在阈值内，Y为其中一个在阈值内，Z为都不在阈值内；

统计数据流样本并对X、Y和Z取值；

S601-3：生成决策树；

1)根节点X方向上的属性选择方法为：

1a)纵向统计数据流特征取值中Z出现次数，取Z出现次数最多对应的属性作为根节点下面X方向的子节点；

1b)若均无Z，则统计比较Y出现次数，取Y出现次数最多对应的属性作为根节点下面X方向的子节点；

1c)若均无Y，则统计比较X出现次数，取X出现次数最多对应的属性作为根节点下面X方向的子节点；

1d)若两个以上属性的Z、Y和X出现次数相同，则随机选取一个属性作为根节点下面X方向的子节点；

2)根节点Y方向上的属性选择方法为：

2a)纵向统计数据流特征取值中Z出现次数，取Z出现次数最多对应的属性作为根节点下面Y方向的子节点；

2b)若均无Z，则统计比较Y出现次数，取Y出现次数最多对应的属性作为根节点下面Y方向的子节点；

2c)若均无Y，则统计比较X出现次数，取X出现次数最多对应的属性作为根节点下面Y方向的子节点；

2d)若两个以上属性的Z、Y和X出现次数相同，则随机选取一个属性作为根节点下面Y方向的子节点；

3)根节点Z方向上的属性选择方法为：

3a)纵向统计数据流特征取值中Z出现次数，取Z出现次数最多对应的属性作为根节点下面Z方向的子节点；

3b)若均无Z，则统计比较Y出现次数，取Y出现次数最多对应的属性作为根节点下面Z方向的子节点；

3c)若均无Y，则统计比较X出现次数，取X出现次数最多对应的属性作为根节点下面Z方向的子节点；

3d)若两个以上属性的Z、Y和X出现次数相同，则随机选取一个属性作为根节点下面Z方向的子节点；

至此，根节点下X、Y、Z分支的属性分类完成，形成第二层节点；

第三层节点的生成方式和第二层节点的生成方式相同，分别生成和选择第二层节点的X、Y、Z方向的属性；以此类推，完成正常流量、正常爆发流量、DDoS攻击流量及L-DDoS攻击流量4个数据分类子集决策树模型的生成；

S602：DDoS攻击检测与缓解系统攻击识别：将packet-in信息放入S701中的训练样本模型中进行判断，得到该packet-in信息属于的分类；

S603：DDoS攻击检测与缓解系统的处理：

S603-1：DDoS攻击检测与缓解系统通过S701、S702识别出的缓存在OF交换机中的正常数据流以及正常爆发流量，利用SDN控制器使缓存在OF交换机中的数据流被转发；未缓存在OF交换机的正常数据流则将其直接通过OF交换机输出端口转发出去；将识别出的DDoS攻击数据流，L-DDoS攻击数据流记录下相关特征，并将这些特征写入“缓解攻击专用流表项”中，其优先级被设为最高，下发给OF交换机流表0中，及时阻断攻击源继续发过来的数据包；

S603-2：DDoS攻击检测与缓解系统通知工业回程网SDN控制器来自接入网络的DDoS攻击相关信息，包括攻击源所在的源MAC地址、源网络设备ID、工作信道和PAN_ID；

S603-3：SDN控制器将攻击数据流的信息告知与之协同工作的工业接入网络系统管理器，工业接入网络系统管理器将重新分配网络资源，并制定相应的缓解攻击策略，阻断工业接入网络内部DDoS攻击源设备的继续通信；

S603-4：当SDN控制器读取到OF交换机ΔM和ΔN均在正常阈值范围内，判断为DDoS攻击结束，删除“缓解攻击专用流表项”，控制器重新获取拓扑信息，先主动向OF交换机发送修改流表信息更新流表，然后再采用被动下发流表方式工作。