CN114513340A - 一种软件定义网络中的两级DDoS攻击检测与防御方法 - Google Patents

Abstract

本发明公开了一种软件定义网络中的两级DDoS攻击检测与防御方法，基于控制器北向接口采集交换机流表数据并提取直接特征和派生特征，攻击检测采用序贯概率比检验(Sequential Probability Ratio Test，SPRT)和轻量级梯度提升机(Light Gradient Boosting Machine，LightGBM)设计两级攻击检测算法，SPRT一级攻击检测算法用于在攻击早期快速定位攻击端口，LightGBM二级攻击检测算法用于对攻击进行具体分类，攻击防御通过下发流表规则对攻击流量进行实时过滤，粗粒度规则用于对攻击的快速响应，保护控制器的安全，细粒度规则用于对特定类型的攻击进行防御，以防止对正常通信流量的过滤，能够在发生DDoS攻击时有效地保护SDN网络的安全。

Description

一种软件定义网络中的两级DDoS攻击检测与防御方法

技术领域

本发明属于网络攻击检测与防御的网络安全领域，更具体地，涉及一种软件定义网络中的两级DDoS攻击检测与防御方法。

背景技术

在传统网络中，网络设备集成了具有路由决策功能的控制平面和转发网络流量的数据平面，网络运营商需要在每台网络设备上独立配置流量策略。近年来，随着互联网的快速发展，传统网络结构使得传统网络的部署和管理变得越来越复杂和困难，一种更加灵活开放的网络架构亟需出现，SDN的概念便应运而生。SDN是一种新型的网络架构，包括应用平面、控制平面以及数据平面。SDN与传统网络最大的不同之处在于其拥有松耦合的控制平面和数据平面，这种架构带来了许多好处，集中的SDN控制器能够提供整个网络的全局视图，更加有利于网络***的管理，同时能够提高应用程序和服务的效率，提供更好的用户体验。这些优势使SDN可以在许多网络环境中部署，从企业网络到数据中心网络，并促进了网络演进。尽管SDN技术有许多优点，但同时也很容易受到安全威胁。

网络安全问题一直被认为是互联网服务发展的主要障碍，目前存在许多种网络攻击活动，其中，DDoS攻击是一种主要的攻击手段。在传统网络环境中，DDoS攻击可能会造成部分服务的瘫痪，但是不会中断整个网络服务。在软件定义网络中，根据OpenFlow协议，交换机上匹配新到来的数据包时会产生table-miss，此时交换机会向控制器发送packet_in消息进行询问。在这种情况下，当发生DDoS攻击时，由于大量攻击数据包在交换机上没有转发流表匹配，导致众多packet_in消息发送到控制器，耗尽控制器资源甚至导致控制器失效。同时，在SDN网络下除了DDoS攻击，传统网络下的其他恶意活动比如Probe攻击、R2L攻击等也会造成大量的packet_in上发到控制器，导致SDN网络下特有的针对控制器的DDoS攻击。因此，SDN网络中受到DDoS攻击威胁的不只包括数据平面，也包括中央控制器所在的控制平面。由于SDN的集中控制架构，控制器的任何损坏都可能对整个网络***造成严重的影响，因此亟需解决SDN网络中的DDoS攻击的检测与防御的问题。

目前关于软件定义网络中的DDoS攻击检测与防御方法主要包括统计分析方法，机器学习方法以及其他的一些方法，这些工作取得了一些显著的成效，但是当前软件定义网络中的DDoS攻击检测与防御相关研究仍然存在一些问题，主要体现为以下几点：

1.在传统网络环境下，DDoS攻击的目的通常是耗尽攻击目标主机的计算资源或者链路带宽，导致目标网络或者服务的瘫痪。软件定义网络作为一种新型网络架构，除了数据平面的基础设施容易受到DDoS攻击的威胁，控制器作为软件定义网络的控制中心，也有可能成为攻击者的攻击目标。当前研究往往忽视了网络攻击导致控制器资源耗尽的问题。

2.在SDN网络环境下，由于控制器的特殊性，除了DDoS攻击以外，其他恶意攻击比如Probe攻击和R2L攻击也会导致大量数据包上发到控制器，造成SDN网络下特有的对控制器的DDoS攻击，威胁控制器的安全。当前研究工作涉及的攻击没有考虑到SDN网络中攻击类型的多样性。

3.当前研究通常在检测到攻击行为后通过控制器下发流表来阻止攻击流量的转发，这种方式具有开销少，配置灵活以及执行高效的优势，但是如果下发的防御规则不够具有针对性，就有可能导致交换机丢弃正常数据包，影响网络通信，因此需要对攻击类型进行精准的分类，设计更具有针对性的防御措施，以减少防御措施对正常流量的过滤。

发明内容

根据当前国内外研究现状存在的问题，本发明提供了一种软件定义网络中的两级DDoS攻击检测与防御方法，其目的在于提高SDN网络中控制器的安全防护能力，能够对多种攻击进行防御，保护SDN网络正常运行。

为实现上述目的，第一方面，本发明提供了一种软件定义网络中的两级DDoS攻击检测与防御方法，包括以下步骤：

S1.采集交换机流表数据，并提取直接特征和派生特征；

S2.采用统计学算法对所述直接特征和派生特征进行计算，若检测到攻击，转至步骤S3；否则，结束操作；

S3.封装检测到的攻击端口生成粗粒度流表防御规则，将所述攻击端口上的数据包丢弃，以保护控制器的安全；

S4.采用分类算法对所述直接特征和派生特征进行计算，判断攻击类型；

S5.根据所述攻击类型生成细粒度流表防御规则，以防止下发的粗粒度流表规则对正常流量的过滤，操作结束。

进一步优选地，所述步骤S1包括：

每隔预设周期，通过控制器北向接口采集交换机流表数据，并提取直接特征和派生特征，再对提取的特征依次进行缺失值处理、One-Hot编码以及数据标准化；

其中，采集的流表数据类型包括正常流量类型、DDoS攻击类型、Probe攻击类型以及R2L攻击类型。

进一步优选地，所述步骤S2中，采用统计学算法对所述直接特征和派生特征进行计算，具体为：

对采集的流表数据按交换机和端口进行划分，定义待检测端口上的流标签观察变量Flow_label＝(f1，f2，…fn，…)，如果packet_count<3则将流表标记为攻击流，fn＝1，如果packet_count>＝3则将流表标记为正常流，fn＝0；

当新的观察样本fn到来时，根据流标签的概率分布参数计算对数似然比LLR_n：

其中，θ₀为正常端口出现攻击流量的概率，θ₁为攻击端口上出现攻击流量的概率；

如果LLR_n≥H，待检测端口为攻击端口；如果LLR_n≤L，待检测端口为正常端口；如果L<LLR_n<H，继续观察下一个样本并计算LLR_n+1；

其中，L为下界值，H为上界值。。

进一步优选地，所述步骤S3中，所述粗粒度防御规则包括：

定位到的交换机编号的switch字段以及攻击端口in_port字段，idle_timeout字段指定流表项的最长超时时间，如果流表规则在所述最长超时时间内没有匹配到数据包就会被删除，action字段置为drop。

进一步优选地，所述步骤S4中，所述分类算法为LightGBM、SVM、LR和神经网络中任意一种。

进一步优选地，所述步骤S5中，根据所述攻击类型生成细粒度流表防御规则，以防止下发的粗粒度流表规则对正常流量的过滤，具体为：

针对DDoS攻击的防御规则包括以太网协议类型字段eth_type、IP协议类型字段ip_proto以及目标IP地址字段ipv4_dst；

针对Probe攻击的防御规则包括源IP地址字段ipv4_src和目的IP地址字段ipv4_dst；

针对R2L攻击的防御规则包括源IP地址字段ipv4_src、目的IP地址字段ipv4_dst以及目的端口字段port_dst。

第二方面，本发明提供了一种软件定义网络中的两级DDoS攻击检测与防御***，包括：

采集与提取模块，用于采集交换机流表数据，并提取直接特征和派生特征；

一级检测模块，用于采用统计学算法对所述直接特征和派生特征进行计算，若检测到攻击，执行一级防御模块的操作；否则，结束操作；

一级防御模块，用于封装检测到的攻击端口生成粗粒度流表防御规则，将所述攻击端口上的数据包丢弃，以保护控制器的安全；

二级检测模块，用于采用分类算法对所述直接特征和派生特征进行计算，判断攻击类型；

二级防御模块，用于根据所述攻击类型生成细粒度流表防御规则，以防止下发的粗粒度流表规则对正常流量的过滤，操作结束。

第三方面，本发明提供一种电子设备，包括：存储器和至少一个处理器；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如第一方面所述的方法。

第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如第一方面所述的方法。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

1、本发明所提出的一种软件定义网络中的两级DDoS攻击检测与防御方法，利用控制器开放的北向接口，在应用层实现交换机流表数据的采集，同时提取流表直接特征以及挖掘流表派生特征用于后续的攻击检测，还进行了数据预处理操作以符合后续分类器对流表数据的格式要求，在应用平面实现对数据进行采集和处理可以充分利用SDN架构的灵活性，减少对控制器的负载。

2、本发明所提出的一种软件定义网络中的两级DDoS攻击检测与防御方法，一级攻击检测算法利用统计分析方法检测实时性高的优势，采用SPRT算法在攻击的早期阶段进行检测并定位到攻击端口，二级攻击检测算法利用机器学习方法分类效果好的优势，采用LightGBM算法对攻击流量进行进一步的分类，从而为攻击防御模块提供更详细的攻击信息。

3、本发明所提出的一种软件定义网络中的两级DDoS攻击检测与防御方法，在一级攻击检测模块定位到攻击端口后，由控制器下发粗粒度的防御规则，以在攻击的早期暂时阻断攻击流量，保护控制器的安全，在二级攻击检测模块对攻击类型进行进一步分类后，根据不同的攻击类型，设计具有针对性的细粒度防御规则并下发到交换机，以防止下发的粗粒度的防御规则对正常网络通信流量的过滤。

附图说明

图1是实施例1所提供的一种软件定义网络中的两级DDoS攻击检测与防御方法流程图；

图2是实施例1所提供的基于北向接口的流表数据采集流程图；

图3是实施例1所提供的SPRT算法决策示意图；

图4是实施例1所提供的粗粒度流表规则示意图；

图5是实施例1所提供的LightGBM模型构建流程示意图；

图6是实施例1所提供的针对DDoS攻击的流表规则示意图；

图7是实施例1所提供的针对Probe攻击的流表规则示意图；

图8是实施例1所提供的针对R2L攻击的流表规则示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

实施例1：

一种软件定义网络中的两级DDoS攻击检测与防御方法，如图1所示，包括以下步骤：

S1、采集交换机流表数据，并提取直接特征和派生特征；

具体的，每隔预设周期(本实施例中，预设周期为5秒)，通过控制器北向接口采集交换机流表信息，基于北向接口的流表数据采集流程图如图2所示，并提取流表直接特征和流表派生特征，再对提取的特征依次进行缺失值处理、One-Hot编码以及数据标准化预处理操作，具体为：

采集的流表数据类型包括正常流量类型以及三类攻击流量类型：DDoS攻击类型、Probe攻击类型以及R2L攻击类型；

直接特征是以流表项为粒度直接提取其中的匹配域、优先级、计数器、指令、定时器以及cookie字段得到的特征，一共提取直接特征18项，派生特征是对流表数据进行进一步地挖掘得到的特征，派生特征主要包括计数器派生特征、网络信息派生特征以及TCP标志位派生特征，一共提取派生特征22项；

缺失值进行填充处理，字符型特征如果存在缺失值则填充空字符串，数值型特征如果存在缺失值则填充0，使用One-Hot编码对字符型特征进行编码得到互相独立的数值型特征，数据标准化将各个特征的值缩放到0～1之间。

S2、采用统计学算法对所述直接特征和派生特征进行计算，若检测到攻击，转至步骤S3；否则，结束操作；

需要说明的是，统计学算法用于快速定位攻击端口，可以是序贯概率比检验(Sequential Probability Ratio Test，SPRT)，也可以是基于阈值判断等统计学方法。由于SPRT计算速度快且准确度高，本实施例中，优选SPRT。

具体的，对采集的流表数据按交换机和端口进行划分，定义待检测端口上的流标签观察变量Flow_label＝(f1，f2，…fn，…)，如果packet_count<3则将流表标记为攻击流，也就是fn＝1，如果packet_count>＝3则将流表标记为正常流，也就是fn＝0；

对于给定待检测端口上的流标签观察变量Flow_label，建立如下二元假设。H0：该端口为正常端口；H1：该端口为攻击端口。根据采集的历史流量信息，可以得到正常端口出现攻击流量的概率θ₀和攻击端口上出现攻击流量的概率θ₁。根据流标签的概率分布参数计算对数似然比(Log Likelihood Ratio，LLR)，如公式(1)所示。

SPRT算法决策示意图如图3所示，当新的观察样本fn到来时，计算LLR_n，根据SPRT算法的判决条件做出决策：

1)如果当前LLR_n≥H，该检测端口为攻击端口；

2)如果当前LLR_n≤L，该检测端口为正常端口；

3)如果L<LLR_n<H，继续观察下一个样本并计算LLR_n+1。

在SPRT中想要控制如下两种类型错误的概率：α＝P{接受H1但是H0为真}和β＝P{接受H0但是H1为真}。在上述检验流程中，L和H为边界值(L为下界值，H为上界值)，由两类错误率α和β计算得出，如公式(2)所示。

示例性的，选取α＝0.05，β＝0.05作为模型的参数。

S3、封装检测到的攻击端口生成粗粒度流表防御规则，将所述攻击端口上的数据包丢弃，以保护控制器的安全；

具体的，粗粒度流表规则如图4所示，规则中主要包括定位到的交换机编号的switch字段以及攻击端口in_port字段，idle_timeout字段指定流表项的最长超时时间，例如将其设置为30秒，如果流表规则30秒内没有匹配到数据包就会被删除，action字段置为drop，即丢弃掉攻击端口的所有数据包。

S4、采用分类算法对所述直接特征和派生特征进行计算，判断攻击类型；

需要说明的是，分类算法用于对攻击进行具体分类，可以是LightGBM、SVM、LR、神经网络等分类算法。由于LightGBM泛化能力强、准确率高、开销不大，本实施例中，优选LightGBM。

本实施例中，提取网络协议、IP地址、TCP端口等更加详细的信息，采用LightGBM算法进行二级攻击检测。

具体的，LightGBM模型构建流程如图5所示，数据分割将流表数据集划分为训练集以及测试集用于对模型性能进行评估，其中训练集占80％，测试集占20％，模型评估阶段使用测试集对生成的LightGBM模型进行分类效果的评估，主要指标有查准率、查全率、F1score以及模型的检测时间，通过网格参数寻优对不同参数训练的模型的分类效果进行对比，如果不符合预期则对参数进行调优，直到确定最优的模型参数从而达到最理想的分类效果。

S5、根据所述攻击类型生成细粒度流表防御规则，以防止下发的粗粒度流表规则对正常流量的过滤，操作结束。

具体的，下发细粒度防御规则，以防止下发的粗粒度流表规则对正常流量的过滤，具体为：

针对DDoS攻击的防御规则如图6所示，规则提取了包括以太网协议类型字段eth_type以及IP协议类型字段ip_proto来防御不同协议类型的DDoS攻击，同时根据DDoS攻击目标IP地址相对集中的特点，将目标IP地址字段ipv4_dst添加到流表规则中；

针对Probe攻击的防御规则如图7所示，规则提取了源IP地址字段ipv4_src和目的IP地址字段ipv4_dst到流表规则中，由于Probe攻击的端口分布比较分散，因此没有将TCP/UDP端口字段添加到流表规则中；

针对R2L攻击的防御规则如图8所示，规则添加了源IP地址字段ipv4_src以及目的IP地址字段ipv4_dst，同时根据R2L攻击目的端口分布相对集中的特点，将目的端口字段port_dst添加到流表规则中。

实施例2

本发明提供了一种软件定义网络中的两级DDoS攻击检测与防御***，包括：

采集与提取模块，用于采集交换机流表数据，并提取直接特征和派生特征；

一级检测模块，用于采用统计学算法对所述直接特征和派生特征进行计算，若检测到攻击，执行一级防御模块的操作；否则，结束操作；

一级防御模块，用于封装检测到的攻击端口生成粗粒度流表防御规则，将所述攻击端口上的数据包丢弃，以保护控制器的安全；

二级检测模块，用于采用分类算法对所述直接特征和派生特征进行计算，判断攻击类型；

二级防御模块，用于根据所述攻击类型生成细粒度流表防御规则，以防止下发的粗粒度流表规则对正常流量的过滤，操作结束。

本实施例中，各模块的具体实施方式，请参考实施例一中的描述，在此将不作复述。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种软件定义网络中的两级DDoS攻击检测与防御方法，其特征在于，包括以下步骤：

S1.采集交换机流表数据，并提取直接特征和派生特征；

S2.采用统计学算法对所述直接特征和派生特征进行计算，若检测到攻击，转至步骤S3；否则，结束操作；

S3.封装检测到的攻击端口生成粗粒度流表防御规则，将所述攻击端口上的数据包丢弃，以保护控制器的安全；

S4.采用分类算法对所述直接特征和派生特征进行计算，判断攻击类型；

S5.根据所述攻击类型生成细粒度流表防御规则，以防止下发的粗粒度流表规则对正常流量的过滤，操作结束。

2.根据权利要求1所述的软件定义网络中的两级DDoS攻击检测与防御方法，其特征在于，所述步骤S1包括：

每隔预设周期，通过控制器北向接口采集交换机流表数据，并提取直接特征和派生特征，再对提取的特征依次进行缺失值处理、One-Hot编码以及数据标准化；

其中，采集的流表数据类型包括正常流量类型、DDoS攻击类型、Probe攻击类型以及R2L攻击类型。

3.根据权利要求1所述的软件定义网络中的两级DDoS攻击检测与防御方法，其特征在于，所述步骤S2中，采用统计学算法对所述直接特征和派生特征进行计算，具体为：

对采集的流表数据按交换机和端口进行划分，定义待检测端口上的流标签观察变量Flow_label＝(f1，f2，…fn，…)，如果packet_count<3则将流表标记为攻击流，fn＝1，如果packet_count>＝3则将流表标记为正常流，fn＝0；

当新的观察样本fn到来时，根据流标签的概率分布参数计算对数似然比LLR_n：

其中，θ₀为正常端口出现攻击流量的概率，θ₁为攻击端口上出现攻击流量的概率；

如果LLR_n≥H，待检测端口为攻击端口；如果LLR_n≤L，待检测端口为正常端口；如果L<LLR_n<H，继续观察下一个样本并计算LLR_n+1；

其中，L为下界值，H为上界值。

4.根据权利要求1所述的软件定义网络中的两级DDoS攻击检测与防御方法，其特征在于，所述步骤S3中，所述粗粒度防御规则包括：

定位到的交换机编号的switch字段以及攻击端口in_port字段，idle_timeout字段指定流表项的最长超时时间，如果流表规则在所述最长超时时间内没有匹配到数据包就会被删除，action字段置为drop。

5.根据权利要求1所述的软件定义网络中的两级DDoS攻击检测与防御方法，其特征在于，所述步骤S4中，所述分类算法为LightGBM、SVM、LR和神经网络中任意一种。

6.根据权利要求1所述的软件定义网络中的两级DDoS攻击检测与防御方法，其特征在于，所述步骤S5中，根据所述攻击类型生成细粒度流表防御规则，以防止下发的粗粒度流表规则对正常流量的过滤，具体为：

针对DDoS攻击的防御规则包括以太网协议类型字段eth_type、IP协议类型字段ip_proto以及目标IP地址字段ipv4_dst；

针对Probe攻击的防御规则包括源IP地址字段ipv4_src和目的IP地址字段ipv4_dst；

针对R2L攻击的防御规则包括源IP地址字段ipv4_src、目的IP地址字段ipv4_dst以及目的端口字段port_dst。

7.一种软件定义网络中的两级DDoS攻击检测与防御***，其特征在于，包括：

采集与提取模块，用于采集交换机流表数据，并提取直接特征和派生特征；

一级检测模块，用于采用统计学算法对所述直接特征和派生特征进行计算，若检测到攻击，执行一级防御模块的操作；否则，结束操作；

一级防御模块，用于封装检测到的攻击端口生成粗粒度流表防御规则，将所述攻击端口上的数据包丢弃，以保护控制器的安全；

二级检测模块，用于采用分类算法对所述直接特征和派生特征进行计算，判断攻击类型；

二级防御模块，用于根据所述攻击类型生成细粒度流表防御规则，以防止下发的粗粒度流表规则对正常流量的过滤，操作结束。

8.一种电子设备，其特征在于，包括：存储器和至少一个处理器：

所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如权利要求1-6任一项所述的方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如权利要求1-6任一项所述的方法。

Images