CN112995202A - 一种基于SDN的DDoS攻击检测方法 - Google Patents

Abstract

本发明涉及一种基于SDN的DDoS攻击检测方法，属于软件定义网络领域。在SDN中搜集正常以及攻击流表，再对这些流表进行处理，运用逻辑回归、支持向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度、集成学习Gradient和极限梯度提升树分别对收集的流表进行训练，将所有最优超参数的模型放在一起，调用函数计算各项指标值，将各项值放入到数据模型中,选择最优的参数模型当做基模型，把最优模型的预测结果集成起来当做一个模型，对收集的流表再进行训练，再进行预测，最终集成学习预测的结果会明显高于之前各个模型单独预测的结果。最后把训练的集成模型放入控制器中，就可以有效的检测DDoS的攻击检测，从而在攻击到来的时候进行有效的防御。

Description

一种基于SDN的DDoS攻击检测方法

技术领域

本发明涉及一种基于SDN的DDoS攻击检测方法，属于软件定义网络领域。

背景技术

软件定义网络(software define networking，SDN)是美国斯坦福大学提出的一种新型的网络架构，和传统网络相比，就是SDN实现了数据层和控制层的分离。分布式拒绝服务攻击(distributed denial of service attacks，DDoS)一直是互联网安全的主要威胁之一。多台傀儡主机被攻击者控制后向受害主机发送大量攻击数据包，消耗目标主机的资源，使目标主机无法正常地为合法用户提供服务。DDoS攻击发起简单、危害性大，难以被精准快速检测和防御。

由于SDN网络的特点，当发生DDoS攻击时不仅危害被攻击主机，还会引发交换机流表项大量增长，产生大量消息发送到控制器。在这个过程中，控制器、被攻击的主机及其所连接的交换机都会受到极大的影响。所以DDoS攻击对于SDN架构的网络的危害是巨大的。如何快速准确地检测DDoS攻击是SDN网络安全的重点和难点问题之一。

基于SDN的DDoS检测的方法主要包括两种：基于统计分析和基于机器学习的。基于机器学习的DDoS攻击检测：准确率高，但是大多数的基于机器学习的只是简单的其中一种机器学习进行训练。基于统计分析的DDoS攻击检测：获取网络流量数据做统计分布处理，只是对ip地址进行分布，但是DDoS很多进行伪装的IP地址，而且数量庞大，很难做到很精确。

发明内容

本发明要解决的技术问题是提供一种基于SDN的DDoS攻击检测方法，本专利采用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度进行分别训练，再选取其中2-4最优模型作为基模型，再对基模型集成一个训练模型，可以更加准确的分类出是否为DDoS攻击。

本发明采用的技术方案是：

一种基于SDN的DDoS攻击检测方法，包括如下步骤：

1)统计SDN中的流表项并预处理。

2)特征提取。

3)初步模型的训练。

4)选取3-4个最优模型作为基模型，再进行训练。

5)攻击检测判定。

具体地，所述步骤1)包括如下步骤：

统计流表项中的匹配域和计数器信息，protocol，srcIP，dstIP，srcPort，dstPort，pCount依次代表流表项的匹配协议类型、源地址、目的地址、源端口、目的端口以及数据包个数。设以周期T对OpenFlow交换机进行流表项提取，得到不同流表项总数为N，集合为flowSet＝{(protocol,srcIPi,dstIP,srcPorti,dstPort,pCount，i＝l,2,...N}，DDoS攻击检测算法需要定期提取交换机中的流表项信息并转换为描述DDoS攻击的特征向量。

具体地，所述步骤2)包括如下步骤：

step2.1流包速率(PPS)

式中PacketsNumi是在T时间内i流中数据包的数目，发生攻击时，该值会上升。

step2.2流表项速率(FER)

FER＝N/T (2)

发生DDoS攻击时，网络中针对受害主机的流请求迅速增加，所以有关受害主机的流表项生成速度会上升。

step2.3流包数均值(APPF)

step2.4单流表项比例(SFP)

SFP＝NS/N (4)

其中NS是单流表项的条数。

step2.5运用协议熵描述DDoS攻击特性，定义协议熵如下：

其中，M为采用周期内数据包总数，数组pro[k](k＝l,2...L)为每种协议的数据包个数。

step2.6 H(srcIPldstIP)，H(srcIPldstPort)，H(dstPortldstIP)三个条件熵

现以源IP关于目的IP的多对一关系的特征计算为例。对流表项集合flowSet进行统计，可以得到源IP集合为srcIP＝{sl_ili＝l,2...,P}，目的IP集合dstIP＝{dI_jlj＝I,2...Q}，其中A[j](j＝l,2,...Q)表示目的IP为dIj的数据包总数，B[i][j](i＝1,2,...P；j＝l,2....Q)表示源IP为sI_i，目的IP为dI_j的数据包总数。需要通过Q个熵值来描述这种源IP关于目的IP的多对一关系，其计算公式如下:

H(dI_j)＝-∑P_ijlog(P_ij),j＝1,2,...,Q (6)

其中P_ij表示源地址为sI_i，目的地址为dI_j的权重，P_ij＝B[i][j]/A[i]。随机变量Y关于随机X的条件熵用H(YIX)表示，定义为如下式。

H(Y|X)＝-∑_jP(x_j)∑_iP(y_i|x_j)log(P(y_i|x_j)) (7)

把数据包个数M和集合A、B代入上式,可以得到H(srcIPldstIP)的具体计算方法。

同理可以计算出H(srcIPldstPort)来描述源IP关于目的端口的多对一关系，以及计算H(dstPortldstIP)来描述目的端口关于目的IP的多对一关系。

具体地，所述步骤3)包括如下步骤：

利用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度、集成学习Gradient和极限梯度提升树这几种机器学习方法分别对收集的流表进行训练，将所有最优超参数的模型放在一起，调用函数计算各项指标值，将各项值放入到数据模型中。

Step3.1采用网格搜索的方法获取最优超参数，而对于每一种机器学习方法的流表训练采用五折交叉验证，即把处理好的数据集分成五份，其中四份进行训练，一份进行验证，最后选择各分类器对数据验证的准确率。

Step3.2每种机器学习方法的优良采用准确率A进行判断,其中Na代表实际的攻击流表数，Nf代表的是检测到的攻击流表数。

具体地，所述步骤4)包括如下步骤：

根据每种机器学习方法准确率的结果,选择最优的参数模型当做基模型，把以上最优模型的预测结果集成起来当做一个模型，对收集的流表再进行训练，再进行预测，最终集成学习预测的结果会明显高于之前各个模型单独预测的结果。

具体地，所述步骤5)包括如下步骤：

把训练的集成模型放入控制器中，就可以有效的检测DDoS的攻击检测。对于攻击的流量产生报警，从而在攻击到来的时候进行有效的防御，以防DDoS攻击对电脑产生损坏。

附图说明

图1为本发明的结构示意图；

图2为本发明检测工作流程图；

图3为本发明的SDN中DDoS攻击示意图；

图4为本发明的流表匹配过程图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步的描述。

实施例1：一种基于SDN的DDoS攻击检测方法，包括如下步骤：

1)统计SDN中的流表项并预处理。

2)特征提取。

3)初步模型的训练。

4)选取3-4个最优模型作为基模型，再进行训练。

5)攻击检测判定。

进一步地，所述步骤1)包括如下步骤：

统计流表项中的匹配域和计数器信息，protocol，srcIP，dstIP，srcPort，dstPort，pCount依次代表流表项的匹配协议类型、源地址、目的地址、源端口、目的端口以及数据包个数。设以周期T对OpenFlow交换机进行流表项提取，得到不同流表项总数为N，集合为flowSet＝{(protocol,srcIPi,dstIP,srcPorti,dstPort,pCount，i＝l,2,...N}，DDoS攻击检测算法需要定期提取交换机中的流表项信息并转换为描述DDoS攻击的特征向量。

进一步地，所述步骤2)包括如下步骤：

step2.1流包速率(PPS)

式中PacketsNumi是在T时间内i流中数据包的数目，发生攻击时，该值会上升。

step2.2流表项速率(FER)

FER＝N/T (2)

发生DDoS攻击时，网络中针对受害主机的流请求迅速增加，所以有关受害主机的流表项生成速度会上升。

step2.3流包数均值(APPF)

step2.4单流表项比例(SFP)

SFP＝NS/N (4)

其中NS是单流表项的条数。

step2.5运用协议熵描述DDoS攻击特性，定义协议熵如下：

其中，M为采用周期内数据包总数，数组pro[k](k＝l,2...L)为每种协议的数据包个数。

step2.6 H(srcIPldstIP)，H(srcIPldstPort)，H(dstPortldstIP)三个条件熵

现以源IP关于目的IP的多对一关系的特征计算为例。对流表项集合flowSet进行统计，可以得到源IP集合为srcIP＝{sl_ili＝l,2...,P}，目的IP集合dstIP＝{dI_jlj＝I,2...Q}，其中A[j](j＝l,2,...Q)表示目的IP为dIj的数据包总数，B[i][j](i＝1,2,...P；j＝l,2....Q)表示源IP为sI_i，目的IP为dI_j的数据包总数。需要通过Q个熵值来描述这种源IP关于目的IP的多对一关系，其计算公式如下:

H(dI_j)＝-∑P_ijlog(P_ij),j＝1,2,...,Q (6)

其中P_ij表示源地址为sI_i，目的地址为dI_j的权重，P_ij＝B[i][j]/A[i]。随机变量Y关于随机X的条件熵用H(YIX)表示，定义为如下式。

H(Y|X)＝-∑_jP(x_j)∑_iP(y_i|x_j)log(P(y_i|x_j)) (7)

把数据包个数M和集合A、B代入上式,可以得到H(srcIPldstIP)的具体计算方法。

同理可以计算出H(srcIPldstPort)来描述源IP关于目的端口的多对一关系，以及计算H(dstPortldstIP)来描述目的端口关于目的IP的多对一关系。

进一步地，所述步骤3)包括如下步骤：

利用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度、集成学习Gradient和极限梯度提升树这几种机器学习方法分别对收集的流表进行训练，将所有最优超参数的模型放在一起，调用函数计算各项指标值，将各项值放入到数据模型中。

Step3.1采用网格搜索的方法获取最优超参数，而对于每一种机器学习方法的流表训练采用五折交叉验证，即把处理好的数据集分成五份，其中四份进行训练，一份进行验证，最后选择各分类器对数据验证的准确率。

Step3.2每种机器学习方法的优良采用准确率A进行判断,其中Na代表实际的攻击流表数，Nf代表的是检测到的攻击流表数。

进一步地，所述步骤4)包括如下步骤：

根据每种机器学习方法准确率的结果,选择最优的参数模型当做基模型，把以上最优模型的预测结果集成起来当做一个模型，对收集的流表再进行训练，再进行预测，最终集成学习预测的结果会明显高于之前各个模型单独预测的结果。

进一步地，所述步骤5)包括如下步骤：

把训练的集成模型放入控制器中，就可以有效的检测DDoS的攻击检测。对于攻击的流量产生报警，从而在攻击到来的时候进行有效的防御，以防DDoS攻击对电脑产生损坏。

本发明属于软件定义网络领域,主要是一种面向SDN网络的DDoS攻击检测方法。

目前SDN网络中的DDoS攻击检测方法主要包括两种：基于统计分析和基于机器学习的。基于机器学习的DDoS攻击检测：准确率高，但是大多数的基于机器学习的只是简单的其中一种机器学习进行训练。基于统计分析的DDoS攻击检测：获取网络流量数据做统计分布处理，只是对ip地址进行分布，但是DDoS很多进行伪装的IP地址，而且数量庞大，很难做到很精确。本专利采用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度进行分别训练，再选取其中2-4最优模型作为基模型，再对基模型集成一个训练模型，可以更加准确的分类出是否为DDoS攻击。

本发明能够及时并且有效地检测出SDN网络DDoS攻击,同时,相对于实时统计50个数据包的目的IP信息嫡或者源IP信息嫡的检测方法,提高了灵活性。而且,相对于基于目的IP信息嫡的检测方法或者是基于源IP信息嫡的检测方法更具有适用性,提高了SDN网络中DDoS攻击的检测率。

下面结合附图举例对本发明做详细的描述:

1.数据不平衡的解决

DDoS基本的工作原理是:利用TCP/IP协议族的漏洞，操作僵尸网络中的大量“肉机”来耗尽目标机器的系统资源或其所在链路的带宽，使得用户的服务请求被无理由拒绝，故在收集流表项的时候会出现攻击数据与正常数据比例差距大的情况，需要采用SMOTE技术来处理数据不平衡问题，SMOTE(Synthetic Minority Over-sampling Technique)，即：合成少数样本过采样技术。

(1)从少数类样本中，随机选择一个样本A；

(2)确定k值(通常是k＝5)，找到该样本A最近的k个样本；

(3)从该k个近邻样本中随机选择一个样本B；

(4)生成的新样本为：样本A与样本B中间的一个随机点。

2.训练流表的方法

采用网格搜索的方法获取最优超参数，而对于每一种机器学习方法的流表训练采用五折交叉验证，即把处理好的数据集分成五份，其中四份进行训练，一份进行验证，最后选择各分类器对数据验证的准确率。

3.评估指标

每种方法的优良采用准确率(A)进行判断,其中Na代表实际的攻击流表数，Nf代表的是检测到的攻击流表数。

本发明采用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度进行分别训练，再选取其中2-4最优模型作为基模型，再对基模型集成一个训练模型，可以更加准确的分类出是否为DDoS攻击。

Claims (6)

1.一种基于SDN的DDoS攻击检测方法，其特征在于：包括如下步骤：

1)统计SDN中的流表项并预处理；

2)特征提取；

3)初步模型的训练；

4)选取3-4个最优模型作为基模型，再进行训练；

5)攻击检测判定。

2.根据权利要求1所述的一种基于SDN的DDoS攻击检测方法，其特征在于：所述步骤1)包括如下步骤：

统计流表项中的匹配域和计数器信息，protocol，srcIP，dstIP，srcPort，dstPort，pCount依次代表流表项的匹配协议类型、源地址、目的地址、源端口、目的端口以及数据包个数，设以周期T对OpenFlow交换机进行流表项提取，得到不同流表项总数为N，集合为flowSet＝{(protocol,srcIPi,dstIP,srcPorti,dstPort,pCount，i＝l,2,...N}，DDoS攻击检测算法需要定期提取交换机中的流表项信息并转换为描述DDoS攻击的特征向量。

3.根据权利要求1所述的一种基于SDN的DDoS攻击检测方法，其特征在于：所述步骤2)包括如下步骤：

step2.1流包速率PPS

式中PacketsNumi是在T时间内i流中数据包的数目，发生攻击时，该值会上升；

step2.2流表项速率FER

FER＝N/T (2)

发生DDoS攻击时，网络中针对受害主机的流请求迅速增加，所以有关受害主机的流表项生成速度会上升；

step2.3流包数均值APPF

step2.4单流表项比例SFP

SFP＝NS/N (4)

其中NS是单流表项的条数；

step2.5运用协议熵描述DDoS攻击特性，定义协议熵如下：

其中，M为采用周期内数据包总数，数组pro[k](k＝l,2...L)为每种协议的数据包个数；

step2.6 H(srcIPldstIP)，H(srcIPldstPort)，H(dstPortldstIP)三个条件熵

以源IP关于目的IP的多对一关系的特征计算为例，对流表项集合flowSet进行统计，得到源IP集合为srcIP＝{sl_ili＝l,2...,P}，目的IP集合dstIP＝{dI_jlj＝I,2...Q}，其中A[j](j＝l,2,...Q)表示目的IP为dIj的数据包总数，B[i][j](i＝1,2,...P；j＝l,2....Q)表示源IP为sI_i，目的IP为dI_j的数据包总数，需要通过Q个熵值来描述这种源IP关于目的IP的多对一关系，其计算公式如下:

H(dI_j)＝-∑P_ijlog(P_ij),j＝1,2,...,Q (6)

其中P_ij表示源地址为sI_i，目的地址为dI_j的权重，P_ij＝B[i][j]/A[i]，随机变量Y关于随机X的条件熵用H(YIX)表示，定义为如下式：

H(Y|X)＝-∑_jP(x_j)∑_iP(y_i|x_j)log(P(y_i|x_j)) (7)

把数据包个数M和集合A、B代入上式，得到H(srcIPldstIP)的具体计算方法：

同理计算出H(srcIPldstPort)来描述源IP关于目的端口的多对一关系，以及计算H(dstPortldstIP)来描述目的端口关于目的IP的多对一关系。

4.根据权利要求1所述的一种基于SDN的DDoS攻击检测方法，其特征在于：所述步骤3)包括如下步骤：

利用逻辑回归、支撑向量机、K近邻、决策树、随机森林、集成学习bagging、随机梯度、集成学习Gradient和极限梯度提升树这几种机器学习方法分别对收集的流表进行训练，将所有最优超参数的模型放在一起，调用函数计算各项指标值，将各项值放入到数据模型中；

Step3.1采用网格搜索的方法获取最优超参数，而对于每一种机器学习方法的流表训练采用五折交叉验证，即把处理好的数据集分成五份，其中四份进行训练，一份进行验证，最后选择各分类器对数据验证的准确率；

Step3.2每种机器学习方法的优良采用准确率A进行判断,其中Na代表实际的攻击流表数，Nf代表的是检测到的攻击流表数：

5.根据权利要求4所述的一种基于SDN的DDoS攻击检测方法，其特征在于：所述步骤4)包括如下步骤：

根据每种机器学习方法准确率的结果,选择最优的参数模型当做基模型，把以上最优模型的预测结果集成起来当做一个集成模型，对收集的流表再进行训练，再进行预测。

6.根据权利要求5所述的一种基于SDN的DDoS攻击检测方法，其特征在于：所述步骤5)包括如下步骤：

把训练的集成模型放入控制器中，检测DDoS的攻击检测，对于攻击的流量产生报警。

Images