CN110213280A

CN110213280A - 一种SDN环境下基于LDMDBF的DDoS攻击检测方法

Info

Publication number: CN110213280A
Application number: CN201910497856.7A
Authority: CN
Inventors: 吕琮霞; 王灵矫
Original assignee: Xiangtan University
Current assignee: Xiangtan University
Priority date: 2019-06-10
Filing date: 2019-06-10
Publication date: 2019-09-06

Abstract

本发明提供了一种面向SDN环境基于LDMDBF的DDoS攻击检测方法，该检测方法包括：使用模块化思想，通过流量统计模块在SDN控制器上收集数据包流量；然后发送至特征提取模块提取出五个关键的特征数据：流包数均值，流包字节中位数，端口增速，源IP增速，对流百分比；最后发送至分类检测模块接收五元组数据并运用基于LDMDBF的kNN算法进行DDoS攻击检测，以此识别五元组数据流量是正常流量还是攻击流量，基于LDMDBF的kNN算法基于引入参考点的思想，相比传统kNN算法，测试数据仅需和参考点作距离运算，大幅度降低算法的时间复杂度，加快k近邻的执行效率。本发明将基于LDMDBF的kNN算法与DDoS攻击检测相结合，在SDN环境下进行部署实施，进而更加快速的检测出正常流量与攻击流量。

Description

一种SDN环境下基于LDMDBF的DDoS攻击检测方法

技术领域

本发明涉及数据安全技术领域，具体涉及一种面向SDN环境下基于LDMDBF 的DDoS攻击检测方法。

背景技术

近年来，云计算、大数据、移动互联网、电子商务等业务的兴起，为用户带来了极大的便利，也对传统网络体系架构提出了更高的要求。光传输网、IP承载网等的网络架构、系统配置、路由策略和安全管理等变得日趋复杂，给网络运维和工程建设带来了策略协议冲突、资源调度能力弱和网络升级调整难等问题。在传统网络中，控制功能和数据转发是紧耦合的，网络管理缺少弹性，难以适应动态计算和存储的要求，网络资源通常是通过网络路由器或交换机进行独立的配置。SDN(software defined networking，软件定义网络)的提出，为目前网络问题的解决提供了新的方向。

SDN与传统网络的最大区别就是实现了控制层和数据层的分离，决策和转发功能是分开的，决策过程由控制器提供，数据转发交由交换机处理。在控制层，具有逻辑中心化和开放可编程的控制器拥有全局网络信息，方便运营商和科研人员管理配置网络和部署新协议等。SDN在很多方面都有优势，但仍有许多挑战需要业界关注，其中的安全漏洞源于它的两个特性：软件控制网络以及控制器网络智能的集中化，这些功能会导致一些信任问题和单点管理的失效。信任问题通过应用授权及认证机制可以解决，而单点管理失效问题会损害控制器的可用性， DDoS(Distributed Denial of Service，分布式拒绝服务)攻击正是此类问题的最常见方式之一。

DDoS攻击一直是互联网安全的主要威胁之一。多台傀儡主机被攻击者控制后向受害主机发送大量攻击数据包，消耗目标主机的资源，使目标主机无法正常地为合法用户提供服务。DDoS攻击发起简单、危害性大，难以被精准快速检测和防御。由于SDN网络的特点，当发生DDoS攻击时不仅危害被攻击主机，还会引发交换机流表项大量增长，产生大量packet_in消息发送到控制器。在这个过程中，控制器和被攻击的主机及其所连接的交换机都会受到极大的影响。所以 DDoS攻击对于SDN网络架构的危害是巨大的，如何快速准确地检测DDoS攻击是SDN网络安全的重点和难点问题之一。

现有对SDN研究中不乏有针对DDoS攻击的研究。早在2010年，Braga等人提出通过训练SMO分类器，来进行OpenFlow流量检测，但是SOM收敛速度慢并且训练时间长。2016年Xing C等人通过对DDoS攻击的实验数据的观察与分析提出了一个基于合法源、目的IP地址的实时更新数据库的DDoS攻击防御机制。这个方法虽然有效但过于复杂，需要不断更新数据库来检查地址的有效性。

而kNN(k-nearest neighbor，k最近邻)作为数据挖掘领域一种经典的统计模式识别方法，也是效果最好的分类方法之一，相对于其他分类算法而言具有实现简单且支持增量学习的优点。kNN方法的核心思想是如果一个样本在特征空间中的k个最相邻的样本中的大多数属于某一个类别，则该样本也属于这个类别，并具有这个类别上样本的特性。该方法在确定分类决策上只依据最邻近的一个或者几个样本的类别来决定待分类样本所属的类别。kNN方法在类别决策时，只与极少量的相邻样本有关。另外，kNN方法主要靠周围有限的近邻样本，而不是靠判别类域的方法来确定所属类别，因此对于类域的交叉或重叠较多的大数据来说，kNN方法较其他方法更为适合。

综上所述，本文提出一种基于kNN的LDMDBF改进算法并运用于SDN环境进行DDoS攻击检测，具有更高的检测成功率及更快的响应时间。

发明内容

本发明的目的在于提供一种面向SDN环境基于LDMDBF算法的DDoS攻击检测方法，将多参考点思想结合DDoS攻击检测运用到SDN环境中，与现有的攻击检测方法以及原始kNN算法相比，本发明的检测成功率及检测时间都得到了较好的提升。

一种面向SDN环境基于kNN的LDMDBF算法的DDoS攻击检测方法的检测步骤如下：

步骤1：通过流量统计模块收集捕获到的业务流量。流量统计模块通过SDN 控制器的OpenFlow协议实现流表收集，SDN控制器定期地发送流表请求给 OpenFlow交换机获取流表信息，再经加密信道转发流表信息至SDN控制器。

步骤2：通过特征提取模块解析流，获取网络流的基本特征。SDN网络选取以下五元特征组作为DDoS攻击检测算法的输入：流包数均值、流包数中位值、端口增速、源IP增速、对流百分比。

步骤3：通过分类检测模块接收从特征提取模块传递过来的五元组，辨别流量是攻击流量还是正常流量。分类检测模块使用基于参考点的LDMDBF算法对 SDN网络的特征提取模块的五元组作流量分类，分类模块采用正常流量与异常流量以1：1的数量比例进行训练。

所述步骤1中，为了避免收集流表的时间间隔过大导致网络发现DDoS攻击前瘫痪以及时间间隔过小引起控制器的过载，SDN控制器设定合适的流表时间间隔，其时间间隔设置为5秒。

所述步骤2的具体过程为：

步骤2.1：在SDN网络中，利用DDoS工具TFN模拟发包发起DDoS攻击， TFN通过连续随机生成的一系列伪装数据包对SDN的目标主机进行攻击，在一定时间间隔内，以收集流包数均值(ANPPF)来衡量是否存在DDoS攻击收集流包数中位值。

步骤2.2：收集流包数中位值(MPF)作为特征向量第二维参数。

步骤2.3：在SDN网络中，使用DDoS工具TFN模拟发包发起DDoS攻击，随机生成大量不同的伪造端口号，在一定时间间隔内导致端口号生成速度增加，以收集端口增速衡量是否存在DDoS攻击。

步骤2.4：在SDN网络中，使用DDoS工具TFN模拟发包发起DDoS攻击， TFN生成大量虚假IP地址对目标主机发起攻击，在攻击期间，源IP地址的增速有明显的提升，以收集源IP增速衡量是否存在DDoS攻击。

步骤2.5：在SDN网络中，使用DDoS工具TFN模拟发包发起DDoS攻击，由于网络流量中正常流量的IP地址具有交互性，通过收集对流百分比(PCf)衡量是否存在DDoS攻击。

所述步骤3的具体过程为：

步骤3.1：特征提取模块将特征向量五元组参数传入分类检测模块，使用基于kNN的LDMDBF算法检测参数所属流量是攻击流量还是正常流量，借助参考点可以大幅度降低k近邻的搜索速度，传统kNN算法需要n²次计算每对数据点的欧氏距离，基于kNN的LDMDBF算法只需n次计算；而单参考点到数据点的距离不足以准确找到近邻，因而选择多参考点的kNN算法。

步骤3.2：设置第i个参考点的向量取值，其前i维的值等于-1，其他值被设置为1，即O_i＝(-1，-1，-1，...，-1，1，1，...，1)。

步骤3.3：计算所有五元组数据到第i个参考点的欧式距离值Dis_i，按Dis_i的值来对数据点排序并生成排序序列，其中A为某一五元组数据，O_i为第i个参考点。

步骤3.4：对于具有固定长度范围和包含中心点A的子序列，计算A的子序列所有数据点与A的精确欧式距离，将获得的距离进行排序。

步骤3.5：计算得出k个最小欧式距离的k个点是A的最近邻居。

步骤3.6：如果已经使用所有参考点计算出所有数据点的邻居，则计算所有数据点的位置差因子LDMDBF，完成对攻击流量和正常流量的分类，否则设置 i＝i+1，转到步骤4.2。

步骤3.7：使用基于参考点的多距离位置差异因子来预测新数据点P，计算数据点P到参考点的距离Dis_i(P)，其中

步骤3.8：对于具有固定长度范围和包含中心点P的子序列，计算P的子序列中所有数据点与P的精确欧式距离，并将获得的距离进行排序。

步骤3.9：计算得出k个最小欧几里德距离的k个点是P的最近邻居。

步骤3.10：根据LDMDBF(P)的值判断未知数据点P的标签是‘+1’还是‘-1’，完成对正常流量和攻击流量的分类。

与现有技术中的机器学习算法进行攻击检测相比，本发明的有益效果为：

本发明将kNN算法进一步优化，提出基于kNN的LDMDBF算法，与DDoS 攻击检测相结合，以SDN为环境实现了攻击流量与正常流量的鉴别与分类，从算法的角度分析，算法在具有多特征值的数据集上实施，精确度和运行速度有很大的提升，这具有相当大的实际意义。

本发明的基于kNN的LDMDBF算法与大多数现有的传统kNN算法不同，此算法方法不依赖于树结构，因此其效率不受维度的影响，并且可以在不同的数据集上表现良好。

附图说明

图1是本发明中DDoS攻击检测流程图；

图2是本发明中步骤2的具体流程图；

图3是本发明的基于LDMDBF的kNN算法说明图；

图4是本发明的基于LDMDBF的kNN算法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。

参考图1，图1示出了面向SDN环境基于LDMDBF的DDoS攻击检测方法的流程图，如图1所示，该方法依次包括以下步骤：

步骤1：通过流量统计模块收集捕获到的流量。流量统计模块主要通过 OpenFlow协议实现流表收集，向OpenFlow交换机定期地发送流表请求来获得流表信息，进而经加密信道传送流表信息。

步骤2：通过特征提取模块解析流，并且提取描述网络流的基本特征。选取以下五个特征作为DDoS攻击检测算法的输入：选取流包数均值、流包数中位值、端口增速、源IP增速、对流百分比。

步骤3：通过分类检测模块接收从特征提取模块传递过来的五元组，进而识别流量是攻击流量还是正常流量；分类检测模块使用基于参考点的kNN算法对特征提取模块中的五元组进行流量分类，对正常流量与异常流量采用1：1的数量比例在分类模块中进行训练。

如图2所示，所述步骤2的具体过程为：

步骤2.1：使用DDoS工具TFN在SDN网络中模拟发包发起DDoS攻击，TFN 通过连续随机的生成一系列虚假数据包对SDN的目标主机进行攻击，导致流包数目增多，在一定时间间隔内，我们收集流包数均值(ANPPF)来衡量是否存在 DDoS攻击收集流包数中位值。

其中PacketsNum_j是一定时间间隔内第j条流中数据包的数目，FlowNum是这个时间间隔内流的总数。

步骤2.2：收集流包数中位值(MPF)作为特征向量第二维参数，对应为:

其中x_i表示由每道流数据包组成的样本集X中的第i项，n为样本数。

步骤2.3：使用DDoS工具TFN在SDN网络中来模拟发包发起DDoS攻击，随机生成大量不同的伪造端口号，在一定时间间隔内导致端口号生成速度增加，我们收集端口增速来衡量是否存在DDoS攻击。

其中PortsNum是一定时间间隔内不同端口的数量，interval为时间间隔。

步骤2.4：使用DDoS工具TFN在SDN网络中来模拟发包发起DDoS攻击， TFN会通过生成大量虚假IP地址来对目标主机发起攻击，在攻击期间，源IP地址的增速有明显的提升，我们收集源IP增速来衡量是否存在DDoS攻击。

其中sIPNum指源IP地址的数目。

步骤2.5：使用DDoS工具TFN在SDN网络中来模拟发包发起DDoS攻击，由于网络流量中正常流量IP地址具有交互性，通过收集对流百分比(PCf)来衡量是否存在DDoS攻击。

其中，Pair_flow_num是交互流的对数，flow_num是流的总数。

如图3、4所示，所述步骤3的具体过程为：

步骤3.1：五元组参数传入分类检测模块，使用基于LDMDBF的kNN算法来检测参数所属流量是攻击流量还是正常流量，借助参考点可以大幅度降低k近邻的搜索速度，传统kNN算法需要n²次计算每对数据点的欧氏距离，基于参考点的kNN算法只需n次计算；如图3所示，而单参考点到数据点的距离不足以准确找到近邻，因而选择多参考点的kNN算法。

步骤3.4：对于具有固定长度范围和包含中心点A的子序列，计算A的子序列中所有数据点与A的精确欧式距离，并将获得的距离进行排序。

步骤3.5：计算得出k个最小欧式距离的k个点是A的最近邻居。

步骤3.6：如果已经使用所有参考点计算出所有数据点的邻居，则计算所有数据点的位置差因子LDMDBF，完成对攻击流量和正常流量的分类，否则设置 i＝i+1，转到步骤4.2；位置差因子LDMDBF表示如下：

其中neighbors_i(A)为用第i个参考点得到的A的近邻数据点； label(neighbors_i(A))为第i个参考点得到的A的近邻数据点的所有标签，d为数据点的维数；攻击流量五元数据组和正常流量五元数据组分别用标签‘+1’、‘-1’表示；其中，LDMDBF_i(A)＝∑label(neighbors_i(A))。

步骤3.9：计算得出k个最小欧几里德距离的k个点是P是最近邻居。

步骤3.10：根据LDMDBF(P)的值来判断未知数据点P的标签是‘+1’还是‘-1’，完成对正常流量和攻击流量的分类。

Claims

1.一种SDN环境下基于LDMDBF的DDoS攻击检测方法，其特征在于，包括以下步骤：

步骤1：通过流量统计模块收集捕获到的流量。流量统计模块主要通过OpenFlow协议实现流表收集，向OpenFlow交换机定期地发送流表请求来获得流表信息，进而经加密信道传送流表信息。

步骤3：通过分类检测模块接收从特征提取模块传递过来的五元组，进而识别流量是攻击流量还是正常流量。分类检测模块使用基于LDMDBF的kNN算法对特征提取模块中的五元组进行流量分类，对正常流量与异常流量采用1：1的数量比例在分类模块中进行训练。

2.如权利要求1所述的一种SDN环境下基于LDMDBF的DDoS攻击检测方法，其特征在于步骤2中，为了避免收集流表时间间隔过大导致网络发现DDoS攻击前瘫痪以及时间间隔过小引起控制器的过载，在SDN控制器中设定适中的流表时间间隔，将其时间设置为5秒。

3.如权利要求1所述的一种SDN环境下基于LDMDBF的DDoS攻击检测方法，其特征在于：所述步骤3的具体过程为：

步骤3.1：使用DDoS工具TFN在SDN网络中模拟发包发起DDoS攻击，TFN通过连续随机的生成一系列虚假数据包对目标主机进行攻击，导致流包数目增多，在一定时间间隔内，我们收集流包数均值(ANPPF)来衡量是否存在DDoS攻击，用如下公式表示：

步骤3.2：收集流包数中位值(MPF)作为特征向量第二维参数，对应为:

步骤3.3：使用DDoS工具TFN在SDN网络中来模拟发包发起DDoS攻击，随机生成大量不同的伪造端口号，在一定时间间隔内导致端口号生成速度增加，我们收集端口增速来衡量是否存在DDoS攻击。

步骤3.4：使用DDoS工具TFN在SDN网络中来模拟发包发起DDoS攻击，TFN通过生成大量虚假IP地址来对目标主机发起攻击，在攻击期间，源IP地址的增速有明显的提升，我们收集源IP增速来衡量是否存在DDoS攻击，用如下公式表示：

其中sIPNum指源IP地址的数目。

步骤3.5：使用DDoS工具TFN在SDN网络中来模拟发包发起DDoS攻击，由于网络流量中正常流量的IP地址具有交互性，通过收集对流百分比(PCf)来衡量是否存在DDoS攻击，对流比PCf计算方法如下:

其中，Pair_flow_num是交互流的对数，flow_num是流的总数。

4.如权利要求1所述的一种面向SDN环境下基于LDMDBF的DDoS攻击检测方法，其特征在于：所述步骤3的具体过程为：

步骤3.1：五元组参数传入分类检测模块，使用基于LDMDBF的kNN算法来检测参数所属流量是攻击流量还是正常流量，借助参考点可以大幅度降低k近邻的搜索速度，传统kNN算法需要n²次计算每对数据点的欧氏距离，基于参考点的kNN算法只需n次计算；而单参考点到数据点的距离不足以准确找到近邻，因而选择多参考点的kNN算法。

步骤3.5：计算得出具有最小欧式距离的k个点作为A的最近邻。

步骤3.6：如果已经使用所有参考点计算出所有数据点的邻居，则计算所有数据点的位置差因子LDMDBF，完成对攻击流量和正常流量的分类，否则设置i＝i+1，转到步骤4.2；位置差因子LDMDBF表示如下：

其中neighbors_i(A)为用第i个参考点得到的A的近邻数据点；label(neighbors_i(A))为第i个参考点得到的A的近邻数据点的所有标签，d为数据点的维数；攻击流量五元数据组和正常流量五元数据组分别用标签‘+1’、‘-1’表示；其中，LDMDBF_i(A)＝∑label(neighbors_i(A))。

步骤3.7：使用基于参考点的多距离位置差异因子LDMDBF来预测新数据点P，计算数据点P到参考点的距离Dis_i(P)，其中

步骤3.8：将数据点P到参考点的距离Dis_i(P)按照数值大小插入到步骤3.3中的排序序列中，对于具有固定长度范围和包含中心点P的子序列，计算P的子序列中所有数据点到P的精确欧式距离，并将获得的距离进行排序。

步骤3.9：计算得出具有最小欧式距离的k个点作为P的最近邻。