CN112702347A

CN112702347A - 一种基于sdn入侵检测技术

Info

Publication number: CN112702347A
Application number: CN202011552260.1A
Authority: CN
Inventors: 路来智
Original assignee: Binzhou University
Current assignee: Binzhou University
Priority date: 2020-12-24
Filing date: 2020-12-24
Publication date: 2021-04-23

Abstract

本发明公开了一种基于SDN入侵检测技术，具体步骤为：构建DDoS攻击检测与响应系统，包括四个单元：流表收集单元、攻击检测单元、攻击溯源单元和攻击缓解单元，流表收集单元和攻击检测单元负责判断是否发生攻击。该单元收集交换机所有流表项，并分析计算流表状态信息。基于计算结果，与阈值相比较，从而判断是否发生DDoS攻击。一旦攻击检测单元发现攻击，系统触发攻击溯源单元。发现攻击路径和攻击源是该单元的主要任务。利用控制器掌握全局拓扑，系统串联恶意交换机得到攻击路径，直至发现攻击者所在的交换机。攻击溯源单元将攻击路径和攻击源送入攻击缓解单元，为在源头丢弃恶意数据包提供依据。

Description

一种基于SDN入侵检测技术

技术领域

本发明涉及互联网安全技术领域，特别是涉及一种基于SDN入侵检测技术。

背景技术

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击已经成为恶意用户攻击网络的重要武器之一。DDoS攻击导致受害主机迅速瘫痪，导致巨大利益损失。尽管已提出并应用了大量遏制攻击的方法，但效果并不理想，DDoS攻击仍然是威胁网络安全的重要因素。为了解决安全问题，网络需要全新的架构，满足人们的安全需求。适应数据中心的网络架构——软件定义网络(SDN:Software-defined networking)引起了社会的广泛关注。集中控制、可编程以及智能化的SDN可实时监控和准确分析网络流量，为及时发现异常流量和快速响应提供了天然条件。SDN技术将网络控制转移到专用SDN控制器上，由它负责管理和控制虚拟网络和物理网络的所有功能。SDN安全策略支持更深层次的数据包分析、网络监控和流量控制，对于防御网络攻击有很大作用。通过使用可编程的灵活SDN交换机，让它们作为数据包拦截和重定向平台，安全团队就可以检测和防御目前的各种常见攻击。典型部署是，SDN交换机作为数据包提取、上报、和拦截设备，而控制器则作为监控、分析、和策略下发设备。SDN提供了一个灵活的、开放的和可编程的平台，使部署DDoS攻击防御系统变得可行、容易和方便。目前的DDoS攻击可谓是千变万化，DDoS是传统的拒绝服务攻击(DoS)的升级版本，主要通过控制多台服务器组成联合攻击平台，对一个或多个目标发动拒绝服务攻击，从而成倍地提高拒绝服务攻击的效力，使得网络带宽或者平台资源被消耗殆尽，最终造成服务能力失效。DDoS攻击现状为：攻击规模不断增加，随着电脑、智能终端的普及、网络带宽的不断扩大，攻击者可以调度更多数量的受控僵尸主机，从而发动更大规模的DDoS攻击；攻击模式进一步智能化；攻击目标向业务应用层扩展。随着黑客技术的不断发展，以及互联网业务的进一步丰富，针对业务应用层的攻击方式也越来越多。目前DDoS攻击的防护难点为：DDoS攻击流量特征难识别；网络节点间缺乏协作。在现有防御体系中，各系统平台大多独立建设防御系统，彼此间沟通和信息共享不够充分，这不仅使攻击流量特征识别结果无法被共享，也浪费了防护资源，难以提升整体网络的安全可靠性；攻击工具使用门槛不断降低。

发明内容

本发明的目的是提供一种基于SDN入侵检测技术，以解决上述现有技术存在的问题，使。

为实现上述目的，本发明提供了如下方案：

本发明提供一种基于SDN入侵检测技术，具体步骤为：

1.适应SDN架构的检测与响应系统结构

本方案所提出的DDoS攻击检测与响应系统主要包括四个单元，即流表收集单元、攻击检测单元、攻击溯源单元和攻击缓解单元，如图1所示。流表收集单元和攻击检测单元负责判断是否发生攻击。该单元收集交换机所有流表项，并分析计算流表状态信息。基于计算结果，与阈值相比较，从而判断是否发生DDoS攻击。一旦攻击检测单元发现攻击，系统触发攻击溯源单元。发现攻击路径和攻击源是该单元的主要任务。由于控制器掌握全局拓扑，系统串联恶意交换机得到攻击路径，直至发现攻击者所在的交换机。攻击溯源单元将攻击路径和攻击源送入攻击缓解单元，为在源头丢弃恶意数据包提供依据。详细流程如图2所示。

2.基于熵的SDN异常流量检测单元

2.1异常流量检测算法

基于SDN的DDoS攻击检测是SDN安全研究热点之一。传统网络的DDoS攻击检测，通过计算源IP地址、目的IP地址或者端口熵值，判断流量是否异常。本方案拟利用能反映数据流特征随机性的熵实现SDN流量异常检测。熵越高，流量特征的随机性越高；反之，熵越低，流量特征越确定。

本方案依据流量源地址的熵达到检测的目的，熵计算如公式1所示。

其中S_j为编号为j的交换机，H(S_j)为交换机S_j的熵值，

为源地址的分布概率，X_i为每个源IP地址出现的次数，N为源IP地址的数量。

正常访问情况下，访问某主机的数据流源地址分布相对稳定，从而熵值小；而在攻击的情况下，由于大量僵尸主机分布广泛，攻击主机的地址随机性高，即熵值大。通过熵的变化，发现攻击流量，为后续的响应防御系统报警。检测算法流程如图3所示。检测过程中，控制器收集交换机流表信息，提取流表项源地址，当数据包达到一定数量时，计算源地址熵。若该熵小于预定义的阈值，则为正常流量，反之高于阈值，则为疑似异常。由于DDoS攻击具有持续性，单次判决并不意味着网络正遭受攻击，所以通过多次判决的方式避免误报。此外，与机器学习算法相比，利用该算法不需要训练，计算量小，能有效发现异常流量。

3.DDoS攻击溯源单元

为实现快速有效的响应防御系统，本方案拟提出以熵检测结果为基础的协同溯源机制。在检测阶段，交换机的熵计算结果以矩阵的形式存储，并送入溯源单元。根据与阈值判决结果，交换机分为正常交换机和恶意交换，即是交换机是否有攻击流量经过。结合控制器掌握的全局拓扑，依次连接各个恶意交换机，发现攻击路径，最终找到攻击者所在的交换机，流程图如图4所示。

4.DDoS攻击缓解单元

攻击路径和攻击源的发现会触发系统进入下一状态，即攻击缓解。本阶段，控制器向攻击者所在的交换机下发优先级最高的流表项，执行丢弃操作。该流表项的目的IP地址为攻击目的地址。攻击流到达交换机，匹配流表，即被丢弃，从而达到攻击缓解的目的。

本发明公开了以下技术效果：

当出现异常流量之后，各个交换机的熵值变化情况不同，在攻击路径上的交换机熵值突然变大，而其他交换机的熵值变化不大，控制器会利用检测算法，确定该交换机处于攻击路径，通过溯源算法，确定攻击路径上所有交换机，并找出攻击源。通过下发流表，实现攻击源的过滤。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为攻击检测与响应系统结构；

图2为攻击检测及防御流程；

图3为攻击检测算法流程；

图4为攻击溯源策略；

图5为网络拓朴环境；

图6中(a)为开启控制器，(b)为开启mininet；

图7为(a)为发送正常流量，(b)为发送异常流量；

图8为防御之前的四个交换机的熵值图；

图9为防御成功后的四个交换机的熵值图。

具体实施方式

现详细说明本发明的多种示例性实施方式，该详细说明不应认为是对本发明的限制，而应理解为是对本发明的某些方面、特性和实施方案的更详细的描述。

应理解本发明中所述的术语仅仅是为描述特别的实施方式，并非用于限制本发明。另外，对于本发明中的数值范围，应理解为还具体公开了该范围的上限和下限之间的每个中间值。在任何陈述值或陈述范围内的中间值以及任何其他陈述值或在所述范围内的中间值之间的每个较小的范围也包括在本发明内。这些较小范围的上限和下限可独立地包括或排除在范围内。

除非另有说明，否则本文使用的所有技术和科学术语具有本发明所属领域的常规技术人员通常理解的相同含义。虽然本发明仅描述了优选的方法和材料，但是在本发明的实施或测试中也可以使用与本文所述相似或等同的任何方法和材料。本说明书中提到的所有文献通过引用并入，用以公开和描述与所述文献相关的方法和/或材料。在与任何并入的文献冲突时，以本说明书的内容为准。

在不背离本发明的范围或精神的情况下，可对本发明说明书的具体实施方式做多种改进和变化，这对本领域技术人员而言是显而易见的。由本发明的说明书得到的其他实施方式对技术人员而言是显而易见得的。本申请说明书和实施例仅是示例性的。

关于本文中所使用的“包含”、“包括”、“具有”、“含有”等等，均为开放性的用语，即意指包含但不限于。

本发明中所述的“份”如无特别说明，均按质量份计。

实施例1

本实验通过mininet设置网络拓扑，设置正常流量发送方，异常流量发送方，验证当DDoS攻击发送时，DDoS检测、溯源、防御方法是否有效和正确。

1.实验环境：

硬件环境：2台笔记本电脑，一台作为可视化平台的控制端，另一台装有控制器POX和mininet环境，同时能够保证两台笔记本电脑正常连接。

软件环境：

(1)SDN控制器：POX

(2)虚拟交换机：openvSwitch

启动若干台主机，1台服务器，正常主机4台，分别是PC0、PC1、PC2、PC5，异常主机12台。服务器接入到a1，PC0、PC1接入到a2交换机，PC2、PC5和异常主机接入到a3。a1、a2、a3汇入一台核心交换机s1。虚拟交换机使用openvswitch实现，由POX开源控制器控制。

2.实验设计：

2.1网络拓扑环境：如图5所示。

2.2流量生成

2.2.1正常流量的生成

2.2.2异常流量的生成

3.实验过程及结果：

3.1开启控制器与mininet

开启控制器，如图6(a)所示，开启mininet，如图6(b)所示。

3.2发送正常流量

使用scapy生成正常流量，交换机熵值如图7(a)所示；

3.3发送异常流量

使用scapy生成异常流量，交换机熵值如图7(b)所示；

3.4在防御之前，四个交换机的熵值图如图8所示；

3.5异常检测和溯源

使用算法进行异常检测，得到发现异常流量的交换机，即攻击路径，对路径进行溯源，如以下程序所示：

#异常检测算法

#溯源算法

3.6防御

防御代码如下所示：

#防御算法

防御成功后交换机熵值如图9所示。

4.实验结果分析

当开启正常流量之后，各个交换机的熵值变化平稳，当开启异常流量之后，各个交换机的熵值变化情况不同，在攻击路径上的交换机熵值突然变大，而其他交换机的熵值变化不大，根据熵值检测算法，确定该交换机处于攻击路径。根据溯源算法，确定攻击路径上所有交换机，并找出攻击源。通过下发流表，实现攻击源的过滤。实验证明，该检测防御体系是正确的。

其他关键算法有：

修改mininet/mininet/cli.py,增加如下代码：

自定义的控制器模块部分代码如下：

以上所述的实施例仅是对本发明的优选方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明权利要求书确定的保护范围内。

Claims

1.一种基于SDN入侵检测技术，其特征在于：包括以下步骤：

S1，构建DDoS攻击检测与响应系统，所述系统包括四个单元，即流表收集单元、攻击检测单元、攻击溯源单元和攻击缓解单元；

S2，通过流表收集单元收集交换机所有流表项，并分析计算流表状态信息；

S3，利用攻击检测单元中能反映数据流特征随机性的熵实现SDN流量异常检测判断是否发生攻击，一旦检测到攻击，系统触发攻击溯源单元；

S4，攻击溯源单元以熵检测结果为基础，根据与阈值判决结果，交换机分为正常交换机和恶意交换，即是交换机是否有攻击流量经过。结合控制器掌握的全局拓扑，依次连接各个恶意交换机，发现攻击路径，最终找到攻击者所在的交换机，攻击路径和攻击源的发现会触发系统进入下一单元；

S5，通过控制器向攻击者所在的交换机下发优先级最高的流表项，执行丢弃操作。该流表项的目的IP地址为攻击目的地址。攻击流到达交换机，匹配流表，即被丢弃，从而达到攻击缓解的目的。

2.根据权利要求1所述的一种基于SDN入侵检测技术，其特征在于：所述步骤S3中的熵的计算公式为：

其中，S_j为编号为j的交换机，H(S_j)为交换机S_j的熵值，

3.根据权利要求1所述的一种基于SDN入侵检测技术，其特征在于：数据流特征随机性与熵的关系为：熵越高，流量特征的随机性越高；反之，熵越低，流量特征越确定。

4.根据权利要求1所述的一种基于SDN入侵检测技术，其特征在于：所述步骤S3中的判断是否发生攻击的方法为：计算熵值，正常访问情况下，访问某主机的数据流源地址分布相对稳定，从而熵值小；而在攻击的情况下，由于大量僵尸主机分布广泛，攻击主机的地址随机性高，即熵值大。通过熵的变化，发现攻击流量，为后续的响应防御系统报警。

5.根据权利要求1所述的一种基于SDN入侵检测技术，其特征在于：所述步骤S3中的判断是否发生攻击的检测过程中：控制器收集交换机流表信息，提取流表项源地址，当数据包达到一定数量时，计算源地址熵。若该熵小于预定义的阈值，则为正常流量，反之高于阈值，则为疑似异常。由于DDoS攻击具有持续性，单次判决并不意味着网络正遭受攻击，所以通过多次判决的方式避免误报。

6.根据权利要求1所述的一种基于SDN入侵检测技术，其特征在于：所述步骤S4中攻击溯源单元中为实现快速有效的响应防御系统，使用了以熵检测结果为基础的协同溯源机制，在检测阶段，交换机的熵计算结果以矩阵的形式存储，并送入溯源单元。

7.根据权利要求1所述的一种基于SDN入侵检测技术，其特征在于：本申请通过mininet设置网络拓扑。