CN110336830A

CN110336830A - 一种基于软件定义网络的DDoS攻击检测***

Info

Publication number: CN110336830A
Application number: CN201910646112.7A
Authority: CN
Inventors: 刘琚; 张吉成; 于山山; 姚仕聪; 王磊; 王京
Original assignee: Shandong University
Current assignee: Shandong University
Priority date: 2019-07-17
Filing date: 2019-07-17
Publication date: 2019-10-15
Anticipated expiration: 2039-07-17
Also published as: CN110336830B

Abstract

本发明公开了一种基于软件定义网络的DDoS攻击检测方法，属于软件定义网络安全防御技术领域。该检测***包括攻击主机、受害主机、OpenFlow交换机层、SDN控制层。该方法将检测过程分为两部分进行，首先在网络边缘的交换机上统计经过边界交换机的流信息，根据信息熵理论，计算目的IP地址及单流分布的离散程度，发现异常，即向控制器示警，限制相关端口的流速，并启动控制器的SVM检测，通过提取流的深度特征，更准确的检测出异常流，指导交换机将其丢弃。该***将数据面与控制面检测结合，提高了检测的响应时间，降低了控制器的负担，具有实际应用价值。

Description

一种基于软件定义网络的DDoS攻击检测***

技术领域

本发明属于网络安全技术领域，特别涉及一种软件定义网络安全防御技术领域。

背景技术

随着云计算、大数据等新兴技术的发展，网络流量不断增大，传统以IP为核心的网络架构难以满足网络扩展性、管理性、灵活性的需求。软件定义网络(Software DefinedNetwork,SDN)是一种新型的网络架构，诞生于美国斯坦福大学的研究项目，其核心思想在于数控分离，将网络的控制功能集中到控制器，赋予网络的可编程性，指导底层交换机的数据转发，从而提高了网络的灵活性与扩展性，更加方便了网络流量的管理。

分布式拒绝服务(Distributed Denial-of-Service，DDoS)攻击已成为网络安全的最大威胁之一，破坏力强、实施简单且缺乏简易可行的对抗措施，其危险性在集中控制与开放的SDN中尤为突出。最常见的一类DDoS攻击采用的主要手段为：攻击者操控多台主机构造大量的数据包发送给目标***，耗尽网络的带宽资源，从而使目标***无法响应正常用户的请求。传统网络针对DDoS攻击的防御方案大多围绕流量清洗和防火墙阻拦，难以实现全网统一调度、消耗大量资源且效果不好。软件定义网络的出现，为DDoS的检测带来了新的启示：集中控制的特性为实时监控全网和各节点的流量情况提供了基础，数控分离和可编程的特性为网络流量的监控管理以及转发规则的实时更新提供了条件，越来越多的国内外学者研究SDN中的DDoS攻击检测技术。

目前基于SDN的DDoS攻击检测方案主要通过控制器周期性获取全网交换机的流表信息，运行基于统计、机器学习等异常检测算法，实现对异常攻击的检测，但这些集中式的检测方案随着网络规模的扩大，会给控制器带来较大的负担，造成攻击检测的延迟问题。

在软件定义网络中的数据面利用信息熵检测做预警，发现异常再启用控制器的支持向量机(Support Vector Machines，SVM)算法做进一步的检测，不仅保证了检测的准确度，还降低了控制器的负担，提高了检测的反应时间。

发明内容

针对软件定义网络中DDoS攻击检测存在的控制器负担过重、检测延迟问题，本发明设计了一种基于信息熵与SVM算法的分布式DDoS攻击检测***。本方法首次将数据面与控制面的检测结合起来，数据面实时统计网络流量状态，基于信息熵的方法对DDoS攻击做出快速反应；控制面在收到数据面的示警后，通过SVM算法对异常流量做进一步的精确检测，同时，针对DDoS攻击的特点，首次引入对流与单流比这一流量特征，有效提高了检测的准确率；此外，控制器的流量收集与异常检测模块在大部分网络正常的时间里并不运行，只有在收到数据面示警后才启动，从而大大降低了控制器的负担。

为了实现上述目的，本发明采用如下技术方案：

一种基于软件定义网络的分布式拒绝服务DDoS攻击检测***，该检测***包括攻击主机、受害主机、OpenFlow交换机层、SDN控制层，其特征在于：

所述攻击主机向目标主机发送DDoS攻击数据包；

所述受害主机接收网络中攻击主机发出的攻击数据包与正常数据包；

所述OpenFlow交换机层包括不可编程的普通OpenFlow交换机和可编程的OpenFlow边界交换机；

所述SDN控制层使用的是Ryu控制器框架，Ryu控制器负责链路感知、流量统计、特征提取、SVM检测和流表下发；

所述***建立在SDN平台上，OpenFlow边界交换机实时统计经过该边界交换机的流量信息，发现异常即向控制器示警，具体方法为：

计算目的IP地址及单流分布的离散程度，X＝(X₁，X₂...，X_m)构成边界交换机的目的地址状态空间，X_i表示Δt内某IP地址接收的数据包数目，则在Δt内边界交换机上某IP数据包出现的概率为则该IP地址的信息熵为同时，统计网络中Δt内，某IP地址接收的单流的数量S_i，计算其概率为则单流的信息熵为将计算得到两个的熵值分别与其设定的正常阈值比较，若其中任一熵值小于等于其阈值，即说明流量异常，向控制器示警；

控制器通过OpenFlow流表的下发与接收，具有全局网络的拓扑与流量信息，在网络正常的时间里，控制器只是指导底层交换机数据的转发，在得到边界交换机示警后，控制器首先下发流表限制示警交换机相关端口的流速，立即提取流的深层特征，运用支持向量机SVM算法检测出异常流并下发流表指导交换机将其丢弃。

特别地，OpenFlow交换机层引入可编程的Openflow边界交换机，不仅负责数据的转发，还可以统计网络流量，计算相关特征的信息熵，通过与正常阈值的比较，发现异常，即向控制器发送信号，示警控制器流量异常，达到对网络的实时监控，对异常的快速反应；

特别地，OpenFlow边界交换机在计算目的IP信息熵的基础上，针对DDoS攻击的特点，计算单流分布的离散程度，其中一个熵值异常即向控制器示警；

特别地，控制器对流量特征进行深度提取，利用流量的流包数均值、流表平均比特数、不同端口增速、源IP增速、对流与单流之比作为多种特征元组训练SVM检测模块，首次引入对流与单流比这一特征，提高检测的准确率。

特别地，控制器的流量收集与异常检测模块在大部分网络正常的时间里并不运行，只是负责指导简单的流量转发，只有在收到边界交换机的示警后才启动检测，大大降低了异常检测***中控制器的负担；

特别地，SDN平台中流表的下发与接收，采用的是Ryu控制器中的OpenFlow协议部分，支持OpenFlow1.0到OpenFlow1.3版本，可以通过OpenFlow协议获取到网络的拓扑与流量信息，方便网络的统一调度。

特别地，Ryu控制器框架中的API提供，方便用于进一步的开发，针对DDoS攻击检测进行攻击溯源的可视化展示。

OpenFlow、Ryu是SDN专业领域中的惯用表达，分别代表南向接口协议、一种SDN中常用的控制器框架。

本发明的有益效果：

1***将繁琐的流量统计与信息熵计算工作放置在边界交换机中，控制器只有在收到边界交换机的示警后才启动检测，大大降低了控制器的负担。

2***利用边界交换机实时监控流量的相关信息熵，发现异常即限制相关端口的流速，提高了***应对攻击的响应速度。

3***的控制器针对DDoS攻击的特点，利用更深度的特征对流与单流之比等训练SVM检测器，提高了检测的准确率。

4***将数据面的信息熵检测与控制面的SVM检测结合，对网络中的DDoS攻击进行了更全面的防御。

附图说明

图1是本发明基于软件定义网络的DDoS攻击检测***的整体结构图；

图2是本发明基于软件定义网络的DDoS攻击检测***的整体流程图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合附图对本发明作进一步说明。

本发明设计了一种基于软件定义网络的DDoS攻击检测***。本发明将数据面的信息熵预警与控制面的SVM检测相结合，设计了一种基于软件定义网络的DDoS攻击检测***。该***针对软件定义网络中DDoS攻击检测的响应时间慢、控制器负担大的问题，通过可编程的OpenFlow边界交换机计算相关熵值进行预警，发现异常，即向控制器示警，限制相关端口的流速，且运用SVM算法检测出异常流，指导交换机将其丢弃，从而提高了***应对攻击的响应速度和检测的准确率。

图1给出了本发明所述***的整体架构，整个***共分为三个部分，终端层、OpenFlow交换机层、SDN控制层。各层的具体功能为：

(1)终端层位于***的底端，包括攻击主机、受害主机和正常主机，攻击主机负责向网络中发送DDoS攻击数据包，受害主机接收网络中的攻击数据包，正常主机则进行正常的数据收发。

(2)OpenFlow交换机层包括普通的OpenFlow交换机和具有可编程性的OpenFlow边界交换机。普通的OpenFlow交换机只负责数据的转发，边界交换机实时统计经过该交换机的流量信息，计算目的IP地址及单流的信息熵，发现异常即向控制器示警。

(3)SDN控制层是本***的核心控制层，指导网络中数据的转发及异常流的检测处理，采用的控制器框架是Ryu控制器框架。控制器通过流表的下发与接收，具有全局网络的拓扑与流量信息，指导底层交换机数据的转发，在得到边界交换机示警后，即指导交换机限制相关端口的流速，提取流的深层特征，运用SVM算法检测出异常流并下发流表指导交换机将其丢弃。

本发明所述的一种基于软件定义网络的DDoS攻击检测***的主要流程图如图2所示。具体步骤为：

(1)SDN环境初始化，将需要的终端主机和各OpenFlow交换机设备进行初始化。

(2)控制器初始化，下发LLDP协议包感知网络拓扑，计算出最佳路径，下发流表，指导交换机转发数据包。

(3)OpenFlow边界交换机实时统计流量信息，计算目的IP地址与单流的信息熵。X＝(X₁，X₂...，X_m)构成边界交换机的目的地址状态空间，X_i表示Δt内某IP地址接收的数据包数目，则在Δt内边界交换机上某IP数据包出现的概率为进一步，该IP地址的信息熵为同时，我们统计网络中Δt内，某IP地址接收的单流的数量S_i，计算其概率为则单流的信息熵为

(4)将计算得到的两个熵值分别与其阈值比较，其中任一熵值小于等于其阈值，即说明流量异常，向控制器示警。

(5)控制器收到示警，马上限制示警交换机相关端口的流速，缓解攻击对网络的危害。

(6)控制器通过OFPFlowStatsRequest及OFPPortStatsRequest指令收集示警交换机的流量信息。

(7)根据DDoS攻击的特点从收集的流量信息中提取深度特征，构成特征多元组，包括流包数均值、流表平均比特数、不同端口增速、源IP增速、对流与单流之比。

(8)将提取的特征输入到经数据集训练的SVM分类器中检测。

(9)根据检测结果下发流表，指导交换机丢弃异常流。

(10)解除边界交换机的流速限制。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明保护范围以内。

Claims

1.一种基于软件定义网络的分布式拒绝服务DDoS攻击检测***，该检测***包括攻击主机、受害主机、OpenFlow交换机层、SDN控制层，其特征在于：

所述攻击主机向目标主机发送DDoS攻击数据包；

计算目的IP地址及单流分布的离散程度，X＝(X₁，X₂…,X_m)构成边界交换机的目的地址状态空间，X_i表示Δt内某IP地址接收的数据包数目，则在Δt内边界交换机上某IP数据包出现的概率为则该IP地址的信息熵为同时，统计网络中Δt内，某IP地址接收的单流的数量S_i，计算其概率为则单流的信息熵为将计算得到两个的熵值分别与其设定的正常阈值比较，若其中任一熵值小于等于其阈值，即说明流量异常，向控制器示警；

2.根据权利要求1所述的基于软件定义网络的分布式拒绝服务DDoS攻击检测***，其特征在于：控制器对流量特征进行深度提取，利用包括流包数均值、流表平均比特数、不同端口增速、源IP增速、对流与单流之比的流量多种特征元组训练SVM检测模块，提高检测的准确率。

3.根据权利要求1所述的基于软件定义网络的分布式拒绝服务DDoS攻击检测***，其特征在于：控制器的流量收集与异常检测模块在网络正常的时间里并不运行，只是负责指导简单的流量转发，只有在收到边界交换机的示警后才启动检测，以降低异常检测***中控制器的负担。

4.根据权利要求1所述的基于软件定义网络的分布式拒绝服务DDoS攻击检测***，其特征在于：SDN平台中流表的下发与接收，采用的是Ryu控制器中的OpenFlow协议部分，支持OpenFlow1.0到OpenFlow1.3版本，可以通过OpenFlow协议获取到网络的拓扑与流量信息，方便网络的统一调度。

5.根据权利要求1所述的基于软件定义网络的分布式拒绝服务DDoS攻击检测***，其特征在于：Ryu控制器框架中的API提供，方便用于进一步的开发，针对DDoS攻击检测进行攻击溯源的可视化展示。