CN109347889A - 一种针对软件定义网络的混合型DDoS攻击检测的方法 - Google Patents

Abstract

本发明属于SDN网络安全技术领域，具体涉及一种针对软件定义网络的混合型DDoS攻击的检测方法。结合ELM对混合型DDoS的分类判定结果、交换机之间的历史信任值以及相关监控参数(带宽、时延、丢包率)，本发明设计了一个信任公式加入到控制器中；同时利用ELM算法对流表信息进行判断，并计算出控制器的信任值；最终提出一种更加有效、更具细粒度的解决方案，用于实时监控SDN网络系统的安全状态。管理员可以结合信任值的高低，调整不同转发器执行转发任务的优先级。本发明提出的信任框架，即能够解决设备之间的信任问题，又可以有效的检测出混合环境下的DDoS攻击；适用于环境相对复杂的SDN网络，以及对混合型DDoS攻击的识别粒度和检测实时性有较高要求的安全领域。

Description

一种针对软件定义网络的混合型DDoS攻击检测的方法

技术领域

本发明属于SDN网络安全技术领域，具体涉及一种针对软件定义网络的混合型DDoS攻击的检测方法，涉及利用极限学习机(ELM)快速分类的方法和基于信任公式判断SDN网络中转发器的可信状态。

背景技术

SDN是当前最热门的网络技术之一，它解放了手工操作，减少了配置错误，易于统一快速部署。利用分层的思想，SDN将数据与控制相分离。在控制层，包括具有逻辑中心化和可编程的控制器，可掌握全局网络信息，方便运营商和科研人员管理配置网络和部署新协议等。然而开放式接口的引入会产生新一轮的网络攻击形式，造成SDN的脆弱性。由非法用户通过恶意应用通过控制器发送蠕虫病毒、通过底层转发器向控制器进行DDoS攻击、非法用户恶意占用整个SDN网络带宽等，都会导致SDN全方位瘫痪。

分布式拒绝服务(distributed denial-of-service attack简称DDoS)攻击从传统网络到SDN网络一直都是互联网的重要威胁之一，攻击者利用傀儡机，通过互联网向目标发起攻击，消耗其计算资源(CPU，内存，带宽等)，阻止其为用户提供相应的服务。通过一些维度对分布式拒绝服务攻击进行分类：如果从数据包锁定在的网络层次划分，可以分为网络层攻击、传输层攻击、应用层攻击。如果通过数据包发送的频率和速度来划分，又可以将其分为洪水攻击和慢速攻击。然而攻击者从来不会考虑具体使用哪种攻击方式，其目的是使得目标服务不可达，因此攻击者会发动任何攻击手段进行攻击，这种方式称为混合攻击。简单来说，混合攻击就是针对被攻击目标使用多种形式的分布式拒绝攻击，针对不同资源进行攻击。对于攻击者来说使用多种攻击形式和单一攻击成本没有太大区别，而针对被攻击目标来说，同时相应不同协议，不同资源的分布式拒绝攻击，分析、响应、处理时间都会大大增加。

发明内容

为了弥补针对混合型DDoS检验的空缺，本发明提供了一种针对软件定义网络的混合型DDoS攻击检测的方法，基于信任公式用以判断两台转发器的可信状态，它包括了使用监控探头，实时监控两台转发器之间的带宽、时延、丢包率。通过设置阈值的方式，计算出设备的直接信任值T_p，c。又使用极限学习机(ELM)作为分类器，对转发器中流(flow)的进行多分类的判断，并计算出相应的间接信任值T_j，c。在不影响控制器和转发器之间带宽的情况下，快速有效实时的对其他转发器的可信状态进行识别，辨别混合型DDoS攻击并进行分类。

本发明是这样实现的，一种针对软件定义网络的混合型DDoS攻击检测的方法，包括如下步骤：

步骤1：当转发器收到一个数据包时先做判断是否在转发流表信息中，如果是，则按照转发要求进行处理，如果不是，则返回给控制器做判断；

步骤2：对于控制器下发packet-out数据包做转发处理的同时，利用监控探头实时监控转发器/源设备和可信转发器设备之间的带宽、时延、丢包率，将目标转发器设置在离受保护主机上一层设备上，同时认为其对于主机和控制器为绝对可信，通过人为设定主观阈值的方式，对带宽、时延、丢包率等参数做出处理，判断转发器之间的直接信任值T_p，c；

步骤3：依据极限学习机对流表信息进行二次加工和处理，得到间接信任值，用以判断是否为恶意DDoS数据流，并根据攻击进行多分类；

步骤4：通过结合监控探头得到的实时直接信任值和通过ELM对判断数据流得到的间接信任值及上一个时刻的信任值，算出当前两个转发器之间信任值，依据信任的传递性，快速判断源转发器对于目标主机和控制器的可信状态，如果在相对安全的信任区间，针对该源转发器发出的数据流做转发处理，如果在相对危险的信任区间，管理员可根据极限学习机判断攻击类型进行相应的响应处理，如屏蔽该源转发器、丢弃自源转发器发出的数据包，进一步达到保护目标主机、控制器乃至整个网络的目的。

进一步地，步骤2中，T_p，C的计算公式如下：

其中，TH_bw为带宽阈值，TH_td为时延阈值，TH_lp为丢包率阈值，Po为当前监控参数的对比结果，Ne为阈值的对比结果；

设定带宽阈值TH_bw为当前两台转发器之间最大带宽的70％，一旦实时带宽超过这个阈值，则认定目标主机有遭受到DDoS攻击的潜在可能性；将丢包率阈值TH_lp设置为20％，在一个稳定的SDN网络中，不会出现长时间的丢包现象，如果连续2个周期丢包率为100％，则认定目标主机遭受到严重攻击，信任值为0；根据对网络质量的要求程度人为调整时延阈值TH_td，一旦时延超过一定值，则认定网络不佳，需要调整。

进一步地，，利用极限学习机得到间接信任值的方法如下：

步骤3-1：首先确定网络的输入和输出，依据SDN流表中的信息流特征进行提取并且降维的特征向量作为网络的输入样本，选定正常流量ICMP-flood、UDP-flood、Ping-flood、SYN-flood、HTTPattack和slow attack分别输出标签(000,001，010，011，100，101，110)；

步骤3-2：随机设定输入层和隐含层的连接权值W和隐含层神经玩的阈值b，确定隐含层神经元的个数，选择一个ELM默认的无限可微函数sigmoid作为激活函数，进而计算出隐含层输出矩阵H，可得输出层权值β；

步骤3-3：对一个复杂网络进行正常流量和混合DDoS攻击，然后将相关流表和攻击结果提取，按照三七分设为训练集和测试集，用训练集得到ELM训练模型，最后可以根据流表特征值对当前状态进行判断，再用ELM分类器对测试集进行测试，以评估ELM多分类器的性能；

步骤3-4：当ELM的多分类结果为非000时，我们认定目前遭受到攻击，用T_j，c来表示当前间接信任值，当攻击时，T_j，c值为-1，代表信任值持续下降，正常流量时T_j，c值为1，信任值持续上升，如果管理员或控制器针对攻击做出响应，T_j，c置为0：

进一步地，设T_S，C为信任值，为了保证动态连贯性，认定信任值T_S，C不仅仅依赖直接信任值T_p，C和间接信任值T_j，c的总和，还包括上个时刻的信任值，因此T_S，C用公式(4)计算：

T_S，C＝g(αT_S，C-1+βT_j，c-1+γT_p，c) (4)

其中α，β，γ是各个信任值的系数权重，α+β+γ＝1，T_S，C-1为T_S，C上一个时刻的信任值；

为了保证T_S，C始终在[0，1]范围之内，设计激活函数g(x)，当T_S，C为负值时，T_S，C值为0，又因为α+β+γ＝1，保证了T_S，C不会大于1。

与现有技术相比，本发明的优点在于：结合了ELM针对混合型DDoS分类判定结果、交换机之间历史信任值及通过脚本监控的硬件参数(带宽、时延、丢包率)拟作一个信任公式加入到控制器中。为更好的解决SDN环境中针对DDoS攻击而引发转发器与转发器，转发器与控制器不信任的问题，本文提出一种更有效更具有细粒度的解决方案，及时监控硬件时时状态，同时结合ELM算法对流表信息进行判断来计算出的控制器信任值。管理者可以结合信任值越高，调整其转发其数据包的优先级。本文提出完整的信任框架，即解决设备之间的信任问题，又可以有效的判定出混合环境下的DDoS攻击，即具有如下特点：

1、有效性：有效地解决了转发器与控制器之间缺乏信任机制的问题。我们解决了帮助控制器决定和选择转发器的优先级规则的问题。

2、实时性：在我们的方案中，转发器具有相应的信任值，并且实时更新信任值，这使得能够有效地监控哪些设备受到攻击。

3、细粒度：每个流都会触发信任值的变化，这决定了未来流表转发的优先级，因此我们实现了更细粒度的流规则选择。

4、高效性：ELM能够快速分类攻击，大大提高了信任评估的效率。

附图说明

图1为本发明总体流程示意图；

图2为本发明架构模型；

图3为本发明具体实验拓扑图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面结合实施例和附图，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。

如图1所示，当控制器下发给可信转发器数据流量时，可信转发器为了给目标主机提供进一层的保护措施，不仅仅直接进行转发或者丢弃等动作，而是在监控转发器之间带宽、丢包率、时延等实时参数来记录两者之间的直接信任值。同时我们利用ELM的特性和流表的相关信息属性，进行二次加工处理，对数据进行归一化和多分类的处理。一旦判别到为非正常流量，间接信任值持续降低，影响其总体信任程度，一旦判别为正常流量，间接信任值正常升高。

在使用信任公式的基础上，我们通过ELM对流表数据进行快速多分类处理，一旦发现为攻击，处理结果会反馈给控制器，管理员可以根据攻击特性选择进行响应措施，比如屏蔽源恶意主机或者网络中的恶意转发器。

我们可以根据可信转发器和普通转发器之间的信任值的变化，对其他转发器的可信程度进行辨别，我们可以人为的调整信任区间为正常、警告、危险。当转发器处于转发瓶颈时，管理员也可以参考各个流表之间交换机的可信程度，来调整转发优先级。

附图2为本发明架构模型，在一个SDN三层网络架构的基础上，将距离受保护主机最近的转发器，我们设置为可信转发器。我们保证控制器到可信转发器，主机到可信转发器之间为绝对可信。我们在可信转发器中，新增网络监控模块和ELM分类模块，用来计算其与各个转发器之间的直接信任值和间接信任值。将可信转发器至于边缘层，减少了其与SDN控制器之间的频繁通讯，减轻了SDN控制器的压力，另外如果发现并判定恶意源主机或源转发器时，可信转发器也会将消息告知控制器，控制器将根据实时信任值，将数据流进行丢弃处理，同时也会通知其他可信转发器，对源恶意主机或恶意转发器进行屏蔽处理，进一步对SDN网络中的其他主机起到保护作用。

实施例、

参考附图3，为本发明适用的一个例子，利用Mininet搭建一个具有8台主机及10台转发器的三层网络。转发器采用Open Virtual Switch，Mininet运行在使用Ubuntu系统的阿里云主机上。其中H8为目标主机对外提供WEB服务。在混合攻击阶段，主机H1到H7分别在实现http攻击,ping flood,SYN flood,伪造原地址SYN flood攻击，UDP flood攻击，ICMPflood,和慢速攻击。在正常流量阶段，使用主机H1到H7分别以不同频率去访问WEB页面。

大部分相关数据包由Scapy完成。Scapy是一款集数据包产生，扫描，嗅探，攻击和伪造工具。使用Scapy产生SYN flood,ICMP flood,UDP flood和伪造了源地址的SYNflood。同时使用HULK脚本和Slowloris脚本产生HTTP攻击和慢速攻击。

表1 ELM分类实验统计表

表1中基于附图3中的实验拓扑，使用ELM对混合攻击的流量进行了快速分类，选用sigmod作为激活函数，分类效果从时间上均优于其他智能算法。满足SDN网络快速对流处理的需求，也可以通过增加隐藏节点，来提高分类检验的准确率。

此外，分阶段对目标主机进行正常流量，某种DDoS攻击和采取措施进行响应，其信任曲线符合预期设想。

本发明提供的检测系统针对混合型DDoS的流表特征，使用与SDN网络的指标。新增监控探头模块和ELM分类器模块，分别计算可信转发器和各个转发器之间的实时信任值。作用在边缘节点上的可信转发器，避免了和SDN控制器的频繁通讯，对控制器造成额外负担，同时控制器可以借鉴可信转发器和其他转发器之间的信任值，具备检测全局视觉，避免单点失效。本发明提供的智能检测系统可以应用于大规模网络和高速网络的安全检验。

Claims (4)

1.一种针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，包括如下步骤：

步骤1：当转发器收到一个数据包时先做判断是否在转发流表信息中，如果是，则按照转发要求进行处理，如果不是，则返回给控制器做判断；

步骤2：对于控制器下发packet-out数据包做转发处理的同时，利用监控探头实时监控转发器/源设备和可信转发器设备之间的带宽、时延、丢包率，将目标转发器设置在离受保护主机上一层设备上，同时认为其对于主机和控制器为绝对可信，通过人为设定主观阈值的方式，对带宽、时延、丢包率等参数做出处理，判断转发器之间的直接信任值T_p，C；

步骤3：依据极限学习机对流表信息进行二次加工和处理，得到间接信任值，用以判断是否为恶意DDoS数据流，并根据攻击进行多分类；

步骤4：通过结合监控探头得到的实时直接信任值和通过ELM对判断数据流得到的间接信任值及上一个时刻的信任值，算出当前两个转发器之间信任值，依据信任的传递性，快速判断源转发器对于目标主机和控制器的可信状态，如果在相对安全的信任区间，针对该源转发器发出的数据流做转发处理，如果在相对危险的信任区间，管理员可根据极限学习机判断攻击类型进行相应的响应处理，如屏蔽该源转发器、丢弃自源转发器发出的数据包，进一步达到保护目标主机、控制器乃至整个网络的目的。

2.如权利要求1所述的针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，步骤2中，T_p，C的计算公式如下：

其中，TH_bw为带宽阈值，TH_td为时延阈值，TH_lp为丢包率阈值，Po为当前监控参数的对比结果，Ne为阈值的对比结果；

设定带宽阈值TH_bw为当前两台转发器之间最大带宽的70％，一旦实时带宽超过这个阈值，则认定目标主机有遭受到DDoS攻击的潜在可能性；将丢包率阈值TH_lp设置为20％，在一个稳定的SDN网络中，不会出现长时间的丢包现象，如果连续2个周期丢包率为100％，则认定目标主机遭受到严重攻击，信任值为0；根据对网络质量的要求程度人为调整时延阈值TH_td，一旦时延超过一定值，则认定网络不佳，需要调整。

3.如权利要求2所述的针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，利用极限学习机得到间接信任值的方法如下：

步骤3-1：首先确定网络的输入和输出，依据SDN流表中的信息流特征进行提取并且降维的特征向量

作为网络的输入样本，选定正常流量ICMP-flood、UDP-flood、Ping-flood、SYN-flood、HTTP attack和slow attack分别输出标签(000,001,010,011,100,101,110)；

步骤3-2：随机设定输入层和隐含层的连接权值W和隐含层神经玩的阈值b，确定隐含层神经元的个数，选择一个ELM默认的无限可微函数sigmoid作为激活函数，进而计算出隐含层输出矩阵H，可得输出层权值β；

步骤3-3：对一个复杂网络进行正常流量和混合DDoS攻击，然后将相关流表和攻击结果提取，按照三七分设为训练集和测试集，用训练集得到ELM训练模型，最后可以根据流表特征值对当前状态进行判断，再用ELM分类器对测试集进行测试，以评估ELM多分类器的性能；

步骤3-4：当ELM的多分类结果为非000时，我们认定目前遭受到攻击，用T_j，c来表示当前间接信任值，当攻击时，T_j，c值为-1，代表信任值持续下降，正常流量时T_j，c值为1，信任值持续上升，如果管理员或控制器针对攻击做出响应，T_j，c置为0：

4.如权利要求3所述的针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，设T_S，C为信任值，为了保证动态连贯性，认定信任值T_S，C不仅仅依赖直接信任值T_p，C和间接信任值T_j，c的总和，还包括上个时刻的信任值，因此T_S，C用公式(4)计算：

T_s，c＝g(αT_s，c-1+βT_j，c-1+γT_p，c) (4)

其中α，β，γ是各个信任值的系数权重，α+β+γ＝1，T_S，C-1为T_S，C上一个时刻的信任值；

为了保证T_S，C始终在[0,1]范围之内，设计激活函数g(x)，当T_S，C为负值时，T_S，C值为0，又因为α+β+γ＝1，保证了T_S，C不会大于1。