蘇禮

摘要：軟件定義網(wǎng)絡(luò)能夠?qū)崿F(xiàn)集中控制的功能，這種網(wǎng)絡(luò)架構(gòu)具有全新的特點(diǎn)，當(dāng)遇到DDoS的情況下，使得信息無(wú)法傳達(dá)，同時(shí)，單點(diǎn)也容易失去效果。當(dāng)DDoS發(fā)生攻擊時(shí)，我們要及時(shí)識(shí)別出來(lái)，現(xiàn)行的方法在SDN氛圍下，憑借BP神經(jīng)網(wǎng)絡(luò)，對(duì)DDoS攻擊進(jìn)行檢測(cè)，通過(guò)使用這種方法，能夠取得關(guān)于OpenFlow交換機(jī)的流表項(xiàng)，用于分析DDoS攻擊的特點(diǎn)，即在SDN環(huán)境下，進(jìn)而得到流表匹配的成功率、流表項(xiàng)的速率等特征，即與攻擊有聯(lián)系的；當(dāng)對(duì)這些特征值的變化分析之后，借助BP神經(jīng)網(wǎng)絡(luò)來(lái)劃分訓(xùn)練樣本，完成對(duì)DDoS攻擊的檢查。根據(jù)實(shí)驗(yàn)數(shù)據(jù)可知，通過(guò)這種方法，提高了識(shí)別率、檢測(cè)時(shí)間大大縮短。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；分布式拒絕服務(wù)攻擊；反向傳播神經(jīng)網(wǎng)絡(luò)；特征值；攻擊檢測(cè)

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）33-0077-02

SDN作為網(wǎng)絡(luò)體系結(jié)構(gòu)，具有典型的特點(diǎn)，基于此，網(wǎng)絡(luò)控制平面分離與數(shù)據(jù)平面。比較與以往的網(wǎng)絡(luò)體系架構(gòu)，SDN的優(yōu)勢(shì)之處有以下幾點(diǎn)：可編程、硬件通用、管理控制等。大部分控制器組成了一個(gè)控制平面，而控制器的作用，即底層的交換設(shè)備融合與上層的應(yīng)用；交換機(jī)組成了數(shù)據(jù)平面，其功能是傳遞數(shù)據(jù)。在積極使用SDN的同時(shí)，引發(fā)了很多SDN的安全問(wèn)題需要大家關(guān)注，作為SDN體系結(jié)構(gòu)，其包括控制平面、數(shù)據(jù)平面等，而交換機(jī)與控制器緊密融合在一起，反之，這個(gè)網(wǎng)絡(luò)無(wú)法控制，因此，只有控制器到達(dá)安全的狀態(tài)，SDN網(wǎng)絡(luò)才能安全。當(dāng)分布式拒絕服務(wù)攻擊DDoS的時(shí)候，能夠影響控制器的安全，對(duì)于DDoS攻擊，主要是攻擊者借助傀儡主機(jī)，對(duì)計(jì)算資源進(jìn)行攻擊，避免目標(biāo)主機(jī)把服務(wù)給予合法的用戶(hù)。當(dāng)DDoS進(jìn)行攻擊的時(shí)候，攻擊者先進(jìn)入部分主機(jī)，即SDN網(wǎng)絡(luò)當(dāng)中的，把大量的虛假的、沒(méi)有效果的網(wǎng)絡(luò)流量輸進(jìn)網(wǎng)絡(luò)中，使得控制器資源全部消耗完畢，使得數(shù)據(jù)包轉(zhuǎn)發(fā)不成功。目前，人們針對(duì)SDN安全領(lǐng)域進(jìn)行研究，涉及以下方面：如何預(yù)防攻擊者以非授權(quán)方式來(lái)訪(fǎng)問(wèn)交換機(jī)；如何預(yù)防攻擊者非法控制控制器，以及DDoS攻擊如何被快速檢測(cè)到。當(dāng)今，互聯(lián)網(wǎng)經(jīng)常受到DDoS的攻擊[1]。

研究者針對(duì)以前的網(wǎng)絡(luò)架構(gòu)，使用很多方法來(lái)檢測(cè)DDoS的攻擊，SDN網(wǎng)絡(luò)不同于以往的網(wǎng)絡(luò)構(gòu)架，其作為一種典型的網(wǎng)絡(luò)，通過(guò)這個(gè)網(wǎng)絡(luò)完成一定的工作，使用的原理與以往的網(wǎng)絡(luò)不一樣，在使用SDN網(wǎng)絡(luò)的時(shí)候，也引發(fā)很多網(wǎng)絡(luò)安全方面的問(wèn)題，值得人們進(jìn)一步研究。下面具體分析如下。

1 SDN環(huán)境下的DDoS攻擊

基于SDN網(wǎng)絡(luò)，使得控制平面、數(shù)據(jù)平面相互獨(dú)立，比如，數(shù)據(jù)平面在接收網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)候，需要控制平面提供其流規(guī)則，以流規(guī)則為核心，對(duì)數(shù)據(jù)包進(jìn)行梳理。對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商，基于這種非主動(dòng)的控制模式對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)了控制，同時(shí)，安全問(wèn)題也出現(xiàn)了。當(dāng)進(jìn)行匹配時(shí)，其若與流表項(xiàng)不匹配，則控制器會(huì)收到其傳遞的請(qǐng)求。流程圖如圖1所示。

2 基于BPNN的DDoS攻擊檢測(cè)方法

針對(duì)BPNN攻擊，使用的檢測(cè)方法具體5大模塊，其模塊包括：流表收集的、特征提取的、數(shù)據(jù)訓(xùn)練的、攻擊檢測(cè)的、攻擊處理的等，如圖2所示。其中，流表收集模塊的功能即按照規(guī)定把流表請(qǐng)求傳遞給Openflow交換機(jī)，而交換機(jī)反饋給流表的信息，則借助加密的信道傳送到流表收集模塊當(dāng)中。第二個(gè)是特征提取模塊，其功能是取出與DDoS攻擊有關(guān)的特征值，即由流表收集模塊所收集的流表中，第三個(gè)是數(shù)據(jù)訓(xùn)練模塊，其采取BPNN方法，把提取的特征值、信息進(jìn)行練習(xí)。最后是攻擊檢測(cè)模塊，需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)包、訓(xùn)練結(jié)論進(jìn)行評(píng)價(jià)，目前的網(wǎng)絡(luò)是不是被攻擊。如果檢測(cè)到有攻擊的跡象，其受到控制器的管理，而這些跡象由攻擊處理模塊傳達(dá)[2]。

2.1 流表收集

通過(guò)Open flow協(xié)議，得到收集流表的信息，如圖3所示。對(duì)于ofp_flow stats_request報(bào)文通過(guò)交換機(jī)回復(fù)控制器按照計(jì)劃來(lái)傳送，同時(shí)取得流表的時(shí)間，其間隔要適宜，進(jìn)一步設(shè)計(jì)流表周期，以及OVS控制器的時(shí)間。先實(shí)施sudo ovs-ofctl dump-flows s1>a.txt，接著實(shí)施cata.txt2.2對(duì)重定向文件進(jìn)行讀取的 同時(shí)，實(shí)現(xiàn)流表收取。

2.2 流特征提取

作為DDoS攻擊者，在實(shí)施攻擊的時(shí)候采取多種方法，而其攻擊流量以一定的規(guī)律執(zhí)行。因此，結(jié)合流表項(xiàng)信息對(duì)網(wǎng)絡(luò)流量的分布特點(diǎn)以及改變進(jìn)行分析，最終實(shí)現(xiàn)對(duì)攻擊情況進(jìn)行檢測(cè)。以O(shè)penFlow協(xié)議為依據(jù)，數(shù)據(jù)包所轉(zhuǎn)發(fā)的信息以交換機(jī)的流表為依據(jù)，通過(guò)多個(gè)流表項(xiàng)構(gòu)成一個(gè)流表。流表項(xiàng)作為一個(gè)規(guī)則促進(jìn)數(shù)據(jù)進(jìn)行傳遞，其結(jié)構(gòu)如圖4所示。

在流表項(xiàng)當(dāng)中有一個(gè)是計(jì)數(shù)器，主要對(duì)數(shù)據(jù)流的信息進(jìn)行記錄，當(dāng)DDoS進(jìn)行攻擊時(shí)，能夠控制與攻擊大部分傀儡機(jī)，作為攻擊者在任何時(shí)刻都有可能造假對(duì)數(shù)據(jù)包源的IP地址進(jìn)行攻擊，使得源IP地址不集中，且數(shù)量增加；對(duì)于網(wǎng)絡(luò)數(shù)據(jù)包而言，一起流到受害機(jī)當(dāng)中，對(duì)一些端口進(jìn)行攻擊阻礙其提供服務(wù)，所以，在網(wǎng)絡(luò)數(shù)據(jù)包當(dāng)中，有很多方面是集中的[3]，包括：目的IP地址、目的端口地址等，當(dāng)DDoS實(shí)施攻擊的時(shí)候，流量特征也隨之而改變，大部分攻擊流量形成一定的規(guī)則，因此，基于獲取流表項(xiàng)信息，對(duì)網(wǎng)絡(luò)流量的分布特點(diǎn)進(jìn)行分析，進(jìn)而對(duì)攻擊流進(jìn)行檢測(cè)。

2.3 分類(lèi)算法

不論是常態(tài)，還是發(fā)生攻擊的時(shí)候，具有不同的流量特征，所以，攻擊檢測(cè)的問(wèn)題與分類(lèi)問(wèn)題類(lèi)似，結(jié)合特征值對(duì)網(wǎng)絡(luò)的情況進(jìn)行判斷，看其正常與否，最終把常態(tài)、攻擊態(tài)區(qū)別開(kāi)。在進(jìn)行攻擊檢測(cè)的時(shí)候，需要找到一個(gè)適宜的網(wǎng)絡(luò)流特征，即流包數(shù)的內(nèi)容，包括：均值、對(duì)流比、端口的增速、源IP的增速等；還包括流表項(xiàng)的內(nèi)容，即速率、流表匹配的成功率，再有，構(gòu)成六元組樣本的特征序列等，對(duì)于樣本的序列，包括：常態(tài)、非常態(tài)。檢測(cè)模型主要以BP神經(jīng)網(wǎng)絡(luò)是算法來(lái)建構(gòu)的，通過(guò)模型主要?jiǎng)澐帜切](méi)有標(biāo)記的特征樣本序列，BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)如圖5所示。endprint

作為BP神經(jīng)網(wǎng)絡(luò)，其理論、體系、學(xué)習(xí)的機(jī)制均比較全面。在計(jì)算過(guò)程中，實(shí)現(xiàn)正向的傳遞，以及非正向的調(diào)整，使得神經(jīng)元之間的權(quán)值及時(shí)糾正，對(duì)于誤差在精度范圍之內(nèi)時(shí)，不需要繼續(xù)學(xué)習(xí)。

3 實(shí)驗(yàn)及分析

3.1 實(shí)現(xiàn)環(huán)境

為了檢驗(yàn)DDoS攻擊檢測(cè)方法是否有效，需要在部署軟件定義網(wǎng)絡(luò)的環(huán)境下來(lái)完成。而Ubuntu環(huán)境下，往往安裝Openflow交換機(jī)，數(shù)量為3臺(tái)。終端主機(jī)以?xún)?nèi)核級(jí)虛擬化為主。在實(shí)驗(yàn)當(dāng)中，主要使用ODL控制器、OvS交換機(jī)等。對(duì)于網(wǎng)絡(luò)拓?fù)鋱D，即圖6所示。

Network1與受害者網(wǎng)絡(luò)統(tǒng)一，通過(guò)ODL控制器對(duì)三個(gè)OpenFlow的交換機(jī)進(jìn)行把控。Network2作為一種僵尸網(wǎng)絡(luò)，通過(guò)DDoS洪水流量形成的。而在Network2、Network3主機(jī)之間，存放了反向散射通信、IP欺騙流向等。當(dāng)訓(xùn)練樣本形成過(guò)程中，在Networkl中的主機(jī)實(shí)施正常訪(fǎng)問(wèn)之后形成正常流量，涉及流量有TCP的、UDP的、ICMP的等。非正常流量即CAIDADDoS 2007數(shù)據(jù)集。針對(duì)網(wǎng)絡(luò)流量來(lái)說(shuō)，其攻擊種類(lèi)有：TCP SYN flood、 UDP flood、 ICMPflood等。在查看流表的時(shí)候，憑借代碼sudo ovs-ofctl dump-flows s1來(lái)執(zhí)行，基于OVS交換機(jī)，這些流量最終形成對(duì)應(yīng)的流表，把其流表接收在一起，進(jìn)行訓(xùn)練樣本的劃分，即正常的、DDoS攻擊流量的，把其進(jìn)行轉(zhuǎn)換，作為攻擊檢測(cè)的特征值。

3.2 結(jié)果分析

通過(guò)這種算法對(duì)一些實(shí)驗(yàn)進(jìn)行檢驗(yàn)，借助Python達(dá)成的。其中，以sigmoid為激活函數(shù)。先把二次代價(jià)函數(shù)當(dāng)作損失函數(shù)，再把交叉嫡函數(shù)當(dāng)作代價(jià)函數(shù)，把其比較與二次代價(jià)函數(shù)。

在輸出層、輸入層當(dāng)中，其單元數(shù)取決于問(wèn)題自身，而本文的輸入單元數(shù)，以六特征維數(shù)為準(zhǔn)，而輸出單元，即0常態(tài)與1，處于攻擊的狀態(tài)。在中間不明顯的層次，其單元數(shù)取決于誰(shuí)，還沒(méi)有對(duì)應(yīng)的方法來(lái)解決。這就說(shuō)明，問(wèn)題的性質(zhì)越惡劣，所需的隱層單元數(shù)越多；但隨著隱層單元數(shù)的增多，使得計(jì)算量越來(lái)越多，最終形成“過(guò)擬合”的問(wèn)題。

總而言之，在SDN架構(gòu)的基礎(chǔ)上對(duì)DDoS攻擊進(jìn)行檢測(cè)，本文先對(duì)DDoS的攻擊進(jìn)行介紹，而在SDN網(wǎng)絡(luò)中，控制器能夠集中進(jìn)行控制，及時(shí)取得OpenFlow交換機(jī)的信息，并收集到六元組，即與DDoS密切有關(guān)的，為了更好地檢測(cè)DDoS攻擊情況，以BPNN算法處理流量的關(guān)鍵特征值為依據(jù)，使其能夠?qū)DN架構(gòu)下的流量關(guān)鍵屬性進(jìn)行收集與分析，基于軟件定義網(wǎng)絡(luò)環(huán)境，使得這種方法的實(shí)效性得以驗(yàn)證。

參考文獻(xiàn)：

[1] 左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術(shù)研究[J].軟件學(xué)報(bào)，2013（5）：1078-1097.

[2] 鄭亞，陳興蜀，尹學(xué)淵. 基于PCC時(shí)間序列的DDoS檢測(cè)算法[J].四川大學(xué)學(xué)報(bào)：工程科學(xué)版，2015（12）：142-148.

[3] 楊君剛，王新桐，劉故，等. 基于流量和IP墑特性的DDoS攻擊檢測(cè)方法[J]. 計(jì)算機(jī)應(yīng)用研究，2016，33（04）：1145-1149.endprint