侯澤鵬,趙 煒,王 堯,付 強(qiáng)

(國(guó)網(wǎng)河北省電力有限公司信息通信分公司,河北 石家莊 050000)

0 引言

隨著網(wǎng)絡(luò)業(yè)務(wù)需求不斷擴(kuò)展,網(wǎng)絡(luò)資源管理呈現(xiàn)多元化趨勢(shì),對(duì)網(wǎng)絡(luò)架構(gòu)的可擴(kuò)展性、可靠性以及可管理性提出了更高的要求。為應(yīng)對(duì)上述新的網(wǎng)絡(luò)架構(gòu)部署需求,軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)應(yīng)運(yùn)而生。SDN起源于2006年斯坦福大學(xué)的Clean State研究課題,其核心思想是控制平面與轉(zhuǎn)發(fā)平面相分離[1],克服了網(wǎng)絡(luò)基礎(chǔ)設(shè)施部署的局限性,具有開(kāi)放性和可編程性的特點(diǎn)[2-3]。在SDN中,控制層可以實(shí)時(shí)掌握全局的網(wǎng)絡(luò)信息,并通過(guò)南向接口將轉(zhuǎn)發(fā)規(guī)則下發(fā)到交換機(jī)等一些基礎(chǔ)設(shè)備中,從而實(shí)現(xiàn)網(wǎng)絡(luò)的集中管控[4]。

分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊是一種基于DoS的分布的大規(guī)模拒絕服務(wù)攻擊,主要為一種資源耗盡型攻擊。研究人員發(fā)現(xiàn)針對(duì)SDN 本身的DDoS攻擊可以分為兩類(lèi):針對(duì)SDN 控制器設(shè)備的Packet_in流量DDoS攻擊[5]、針對(duì)SDN 網(wǎng)絡(luò)設(shè)備的IP 數(shù)據(jù)包流量DDoS攻擊[6]。因此,研究針對(duì)SDN 的實(shí)時(shí)DDoS攻擊檢測(cè)與識(shí)別方法非常重要。到目前為止,針對(duì)SDN 環(huán)境下的DDoS攻擊檢測(cè)與識(shí)別方法總體分為基于統(tǒng)計(jì)學(xué)計(jì)算閾值的方法和基于機(jī)器學(xué)習(xí)分類(lèi)的方法。

基于統(tǒng)計(jì)學(xué)的檢測(cè)方法是選取SDN 中若干流量特征,利用統(tǒng)計(jì)學(xué)對(duì)規(guī)定時(shí)間窗內(nèi)的特征量進(jìn)行計(jì)算并設(shè)定閾值,如果某特征量超過(guò)其設(shè)定的對(duì)應(yīng)閾值,則判斷為DDos攻擊。Shariq 等[7]人將IP是否存在于流表中、是否存在成功的TCP連接、協(xié)議類(lèi)型、數(shù)據(jù)通信速率作為統(tǒng)計(jì)特征,對(duì)4個(gè)特征量進(jìn)行統(tǒng)計(jì)評(píng)分;同時(shí)采用自適應(yīng)閾值算法判定DDoS攻擊是否發(fā)生。ZHENG 等[8]利用R/S 分析算法計(jì)算網(wǎng)絡(luò)流量Hurst指數(shù),即用該指數(shù)反映網(wǎng)絡(luò)流量的相似性并確定閾值。當(dāng)發(fā)生DDoS攻擊時(shí),網(wǎng)絡(luò)流量的Hurst指數(shù)會(huì)出現(xiàn)向上或向下偏離閾值。但是該方法的檢測(cè)率和誤報(bào)率有待提高。Xiang You等[9]將Packet_in流量作為特征量,利用信息熵計(jì)算該特征量的離散程度,如果超過(guò)閾值,則判定為DDoS 攻擊。該方法普適性較差,不同網(wǎng)絡(luò)環(huán)境下及同一網(wǎng)絡(luò)環(huán)境下不同時(shí)刻的閾值變化較大。但是以上使用的各種基于熵的統(tǒng)計(jì)方法對(duì)于小流量的檢測(cè)效果不夠明顯。

基于機(jī)器學(xué)習(xí)的檢測(cè)方法是選取SDN 中若干流量特征,并利用機(jī)器學(xué)習(xí)的方法對(duì)惡意流量進(jìn)行判別,目前被廣泛應(yīng)用的包括SOM、SVM、神經(jīng)網(wǎng)絡(luò)等算法。Jin Ye 等[10]首先利用Onp_Flow_Stats收集各流表和各端口的統(tǒng)計(jì)信息,然后根據(jù)統(tǒng)計(jì)信息計(jì)算源IP 和源端口的增長(zhǎng)率,并同時(shí)計(jì)算流數(shù)據(jù)包數(shù)量、字節(jié)量標(biāo)準(zhǔn)差和可配對(duì)比例,最后以SVM 算法作為分類(lèi)依據(jù)判定DDoS 攻擊。但是該方法忽略了匹配為通配符的情況,導(dǎo)致計(jì)算結(jié)果不準(zhǔn)確。姚琳元等[11]利用神經(jīng)網(wǎng)絡(luò)檢測(cè)方法,對(duì)流量中的七元組進(jìn)行特征提取并開(kāi)展機(jī)器訓(xùn)練,最終使其具有檢測(cè)DDoS 的能力。李曼等[12]設(shè)計(jì)了一種基于XGBoot的DDoS攻擊檢測(cè)方法,該方法使用XGBoot對(duì)流量進(jìn)行建模、特征提取和訓(xùn)練。但是該算法參數(shù)過(guò)多,耗費(fèi)過(guò)多的控制器計(jì)算資源。

綜上所述,針對(duì)目前SDN 環(huán)境下DDoS攻擊檢測(cè)方法準(zhǔn)確率較低、額外負(fù)載較高的問(wèn)題,本文提出一種SDN 環(huán)境下基于Renyi交叉熵和RMSprop算法的DDoS 攻擊檢測(cè)方法。該方法以輕量化的流量采集方式,引入雙向流比例作為第一層檢測(cè)方法。如果檢測(cè)發(fā)現(xiàn)異常,利用Renyi交叉熵計(jì)算當(dāng)前網(wǎng)絡(luò)窗口流量特征熵值,同時(shí)利用RMSprop算法計(jì)算當(dāng)前網(wǎng)絡(luò)窗口流量特征熵值的閾值,通過(guò)比較熵值與閾值的大小識(shí)別DDoS攻擊是否發(fā)生。

2 SDN架構(gòu)、Renyi交叉熵及RMSprop算法原理

2.1 SDN 架構(gòu)

SDN 網(wǎng)絡(luò)架構(gòu)由上到下包含三層:應(yīng)用層、控制層和轉(zhuǎn)發(fā)層。在應(yīng)用層上按照API標(biāo)準(zhǔn)開(kāi)發(fā)應(yīng)用程序;控制層是SDN 的核心層,其按照Openflow 協(xié)議規(guī)定的通信規(guī)則,以流表項(xiàng)的形式將轉(zhuǎn)發(fā)規(guī)則下發(fā)給交換機(jī)和路由器,并對(duì)網(wǎng)絡(luò)的拓?fù)浜蜖顟B(tài)信息進(jìn)行維護(hù)和管理;轉(zhuǎn)發(fā)層只負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)和狀態(tài)收集,實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制[13]。

2.2 Renyi交叉熵

1948年,香農(nóng)在信息論中引入信息熵,定量地表征一個(gè)隨機(jī)變量x的隨機(jī)性及取值的分散程度,其定義為

式中:H(x)為信息熵;p(x i)為隨機(jī)變量x=x i出現(xiàn)的概率,p(x i)≥0且;n為隨機(jī)變量x可能出現(xiàn)的所有取值種類(lèi)[14]。

根據(jù)式(1)的相關(guān)定義,如果假設(shè)有一個(gè)隨機(jī)變量存在兩種概率分布p,q,其中p為真實(shí)分布,q為非真實(shí)分布。按照真實(shí)分布p,衡量計(jì)算非真實(shí)分布q所需要的編碼長(zhǎng)度的期望,得到交叉熵H(p,q),其定義為

式中:q(y i)為隨機(jī)變量x=y i出現(xiàn)的概率,q(y i)≥0且

Renyi熵是更早出現(xiàn)的一種熵運(yùn)算,其定義為

式中:α表示階數(shù),取值為α≥0 且α≠1,

將公式(2)、(3)相結(jié)合,可以得到Renyi交叉熵,其定義為

2.3 RMSprop算法

本模型采用RMSprop(Root Mean Square Prop,RMSprop)機(jī)器學(xué)習(xí)算法動(dòng)態(tài)計(jì)算SDN 網(wǎng)絡(luò)特征量閾值,RMSprop是AdaGrad算法的改進(jìn)型算法。AdaGrad算法中累計(jì)梯度的平方會(huì)導(dǎo)致學(xué)習(xí)率過(guò)早衰弱,訓(xùn)練過(guò)早結(jié)束,為了解決該問(wèn)題,RMSprop算法僅僅累計(jì)過(guò)去窗口大小的梯度,采用指數(shù)加權(quán)平均法

式中:θw為當(dāng)前網(wǎng)絡(luò)窗口w與前w-1網(wǎng)絡(luò)窗口平均狀態(tài)值之間的Renyi交叉熵閾值;g w為窗口w處Renyi交叉熵變化梯度值;σ為學(xué)習(xí)率,默認(rèn)值為0.001;為了避免分母為0,增加很小的參數(shù)ε,默認(rèn)值為e-6[15];S w為狀態(tài)變量,是指數(shù)加權(quán)平均值,其用來(lái)自動(dòng)調(diào)整參數(shù)的學(xué)習(xí)效率,使得閾值計(jì)算過(guò)程中收斂速度更快,RMSProp算法將梯度按元素平方做指數(shù)加權(quán)移動(dòng)平均計(jì)算狀態(tài)變量。

式中:S w-1為前w-1網(wǎng)絡(luò)窗口的狀態(tài)變量;γ為超參數(shù),取值為0≤γ≤1;Hα為當(dāng)前網(wǎng)絡(luò)窗口w與前w-1網(wǎng)絡(luò)窗口狀態(tài)平均值之間的Renyi交叉熵值。

3 模型設(shè)計(jì)

本文的雙層級(jí)DDoS識(shí)別模型由兩層模塊組成:攻擊檢測(cè)模塊和攻擊識(shí)別模塊。其中攻擊檢測(cè)模塊作為常態(tài)化監(jiān)視手段,檢測(cè)效率快、算法簡(jiǎn)單、占用資源少,減少了耗費(fèi)過(guò)多的網(wǎng)絡(luò)設(shè)備、控制器資源和對(duì)正常業(yè)務(wù)運(yùn)行的影響,對(duì)網(wǎng)絡(luò)設(shè)備和控制器開(kāi)展全天候?qū)崟r(shí)檢測(cè);當(dāng)攻擊檢測(cè)模塊發(fā)現(xiàn)異常,攻擊識(shí)別模塊對(duì)網(wǎng)絡(luò)進(jìn)行精準(zhǔn)化、深度化的狀態(tài)檢測(cè),更好提高DDoS識(shí)別的準(zhǔn)確性。

3.1 攻擊檢測(cè)模塊

一個(gè)正常的網(wǎng)絡(luò)訪問(wèn),如果節(jié)點(diǎn)有越多的請(qǐng)求包,那么就會(huì)有越多的應(yīng)答包從該節(jié)點(diǎn)返回。在正常情況下網(wǎng)絡(luò)設(shè)備中輸入與輸出的數(shù)據(jù)包吞吐量比是一個(gè)常數(shù)。然而當(dāng)發(fā)生DDoS 攻擊時(shí),攻擊者發(fā)送大量的數(shù)據(jù)包,但受害者卻無(wú)法提供服務(wù)的響應(yīng)。這種情況下輸入、輸出流量就不成一定的比例,從而使輸出/輸入比值下降[16]。

根據(jù)歷史數(shù)據(jù)包流量值確定流量輸入/輸出比閾值,其包括網(wǎng)絡(luò)設(shè)備IP 流量輸入/輸出比閾值K1和控制器設(shè)備Packet-in流量輸入/輸出比閾值K2。然后判斷網(wǎng)絡(luò)設(shè)備IP流量輸入/輸出比是否大于閾值K1,如果大于,則確定檢測(cè)結(jié)果為網(wǎng)絡(luò)設(shè)備異常;判斷控制器Packet-in流量輸入/輸出比是否大于閾值K2,如果大于,則確定檢測(cè)結(jié)果為控制器設(shè)備異常。任何一種設(shè)備出現(xiàn)異常,則觸發(fā)攻擊識(shí)別模塊。

3.2 攻擊識(shí)別模塊

攻擊識(shí)別模塊對(duì)網(wǎng)絡(luò)進(jìn)行精準(zhǔn)化、深度化的狀態(tài)檢測(cè)。楊志[17]等人通過(guò)仿真實(shí)驗(yàn)得到Smurf、UDP flood、HTTP flood、SYN flood攻擊都出現(xiàn)目的IP熵值異常?；谏鲜鲅芯砍晒?本模塊引入基于源IP熵和目的IP熵的Renyi交叉熵識(shí)別方法。

3.2.1 Renyi交叉熵計(jì)算

由于熵的計(jì)算是以窗口為單位[18],首先生成當(dāng)前窗口流量中不同源IP和不同目的IP集合,并分別記作so_ip和de_ip。根據(jù)式(1)香農(nóng)熵,計(jì)算得到不同源IP 和不同目的IP 熵值H(so_ip)和H(de_ip)。此時(shí)定義當(dāng)前窗口的網(wǎng)絡(luò)狀態(tài)為

對(duì)V(w)進(jìn)行平均值求解,得到(w),如式(8)所示。

為了得到當(dāng)前窗口w的網(wǎng)絡(luò)狀態(tài),需要與w-1窗口值進(jìn)行比較,根據(jù)式(8)得到w-1窗口平均值,如式(9)所示。

根據(jù)式(4)Renyi交叉熵,得到當(dāng)前窗口w的網(wǎng)絡(luò)狀態(tài)熵值為,如式(10)所示。

3.2.2 閾值計(jì)算

按照公式(6),遞歸計(jì)算得到各窗口的狀態(tài)變量計(jì)算公式

式中:S0作為梯度累積變量,初始化為0。

RMSprop算法采用小批量隨機(jī)梯度下降方式,每輪迭代采樣最近1/(1-γ)個(gè)窗口的小批量隨機(jī)梯度平方項(xiàng)的加權(quán)平均組成一個(gè)小批量?w,然后利用?w計(jì)算窗口w處的狀態(tài)變量,?=1/(1-γ)表示批量大小,如果w＜|?|,則根據(jù)式(11)計(jì)算S w,如果w＞|?|時(shí),S w最終表示為

將3.2.1中(w-1)和V(w)定義為一組二維向量x=(w-1),V(w)),并且令f(x)=Hα((w-1),V(w)),采用RMSprop算法計(jì)算當(dāng)前窗口f(x)的動(dòng)態(tài)閾值θw;根據(jù)式(10)得到當(dāng)前窗口的預(yù)測(cè)熵值Hα((w-1),V(w))。如當(dāng)前窗口的熵值大于預(yù)測(cè)熵值,則認(rèn)為該窗口為異常窗口;否則判定為正常窗口,將結(jié)果反饋給攻擊檢測(cè)模塊,并調(diào)整檢測(cè)模塊對(duì)應(yīng)閾值K1或K2。

4 仿真實(shí)驗(yàn)與性能測(cè)試

4.1 實(shí)驗(yàn)環(huán)境

本模型的實(shí)驗(yàn)環(huán)境基于Vmware 安裝的Ubuntu 16.04 LTS 虛擬機(jī)構(gòu)建,并通過(guò)MiniNet虛擬化網(wǎng)絡(luò)仿真工具模擬搭建SDN 網(wǎng)絡(luò)環(huán)境,實(shí)驗(yàn)構(gòu)造的網(wǎng)絡(luò)拓?fù)湟?jiàn)圖1。利用MiniNet中OVS定義SDN 網(wǎng)絡(luò)交換機(jī),選擇Floodlight作為SDN網(wǎng)絡(luò)控制器。該實(shí)驗(yàn)網(wǎng)絡(luò)包含11臺(tái)關(guān)鍵OVS交換機(jī)和18臺(tái)主機(jī),其中S10、S11為核心層交換機(jī),S7,S8,S9為匯聚層交換機(jī),S1-S6為接入層交換機(jī)。本實(shí)驗(yàn)使用Scapy作為流量生成工具,模擬偽造源IP和采用真實(shí)IP的應(yīng)用層DDoS攻擊,通過(guò)生成不同速率和比例的攻擊流量,并將上述攻擊流量與正常流量混合發(fā)送。

圖1 SDN實(shí)驗(yàn)拓?fù)?/p>

4.2 相關(guān)參數(shù)設(shè)置

4.2.1 Renyi交叉熵階數(shù)α 的設(shè)置

在Renyi交叉熵中,階數(shù)α是一個(gè)非常關(guān)鍵的參數(shù),其決定著隨機(jī)變量各樣本之間的差距,選取一個(gè)大小合適的α使得檢測(cè)系統(tǒng)可以更有效地區(qū)分正常流量和攻擊流量[19]。分別按照以下類(lèi)別模擬不同DDoS攻擊網(wǎng)絡(luò)環(huán)境:1)偽造源IP 攻擊流量、采用真實(shí)IP的應(yīng)用層攻擊流量、正常流量比為1∶1∶1;2)偽造源IP攻擊流量、正常流量比為1∶1;3)采用真實(shí)IP的應(yīng)用層攻擊流量、正常流量比為1∶1,并通過(guò)改變?chǔ)林?分別計(jì)算上述三種網(wǎng)絡(luò)環(huán)境下Renyi交叉熵值H1、H2、H3,以及不存在DDoS攻擊時(shí)網(wǎng)絡(luò)狀態(tài)Renyi交叉熵值HN。并以階數(shù)α為橫坐標(biāo),Renyi交叉熵差值為縱坐標(biāo),繪制|HN-H1|,|HN-H2|,|HN-H3|變化曲線如圖2所示。

圖2 Renyi交叉熵差隨α 的變化

隨著α值的不斷增大,Renyi交叉熵差不斷增大,且當(dāng)α=7時(shí)差值最大。Renyi交叉熵差越大表明正常網(wǎng)絡(luò)與發(fā)生DDoS攻擊時(shí)網(wǎng)絡(luò)差別越大,更能準(zhǔn)確地判斷網(wǎng)絡(luò)是否發(fā)生DDoS攻擊。

4.2.2 RMSprop中參數(shù)γ 的設(shè)置

RMSprop作為一個(gè)深度學(xué)習(xí)算法,超參數(shù)γ作為衰減率,它決定著閾值計(jì)算的效率,需要通過(guò)枚舉來(lái)確定參數(shù)值。在保證合法流量大小不變的情況下,攻擊流量中偽造源IP 攻擊流量和采用真實(shí)IP的應(yīng)用層攻擊流量比均為1∶1。依次改變RMSprop中超參數(shù)γ的值,分別為0.1,0.5,0.9,統(tǒng)計(jì)10個(gè)窗口內(nèi)α=7的Renyi交叉熵值與閾值的變化情況。

γ取各值條件下窗口Renyi交叉熵值與閾值比較情況見(jiàn)圖3。當(dāng)γ=0.1時(shí),閾值均大于Renyi交叉熵值,無(wú)法檢測(cè)出DDoS攻擊;當(dāng)γ=0.5時(shí),在攻擊早期4個(gè)窗口閾值均大于Renyi交叉熵值,后期才出現(xiàn)閾值均小于Renyi交叉熵值,攻擊檢測(cè)實(shí)時(shí)性較差;當(dāng)γ=0.9時(shí),所有窗口閾值均小于Renyi交叉熵值,初始攻擊階段便可以實(shí)時(shí)準(zhǔn)確檢測(cè),所以為了更精確地計(jì)算網(wǎng)絡(luò)狀態(tài)閾值,本文將γ設(shè)置為0.9。

圖3 DDoS攻擊的熵值與閾值變化

4.3 性能測(cè)試分析

本文利用RYU REST API,將DDoS識(shí)別模型部署到SDN 控制器中。

4.3.1 SDN 交換機(jī)雙向流比例分析

為了測(cè)試SDN 交換機(jī)雙向流比例,進(jìn)行了如下實(shí)驗(yàn)?？刂破魍ㄟ^(guò)發(fā)送Onp_Flow_Stats消息包獲取交換機(jī)各物理端口的進(jìn)出流量統(tǒng)計(jì)信息。

按照攻擊強(qiáng)度30%,40%,50%進(jìn)行實(shí)驗(yàn)(攻擊強(qiáng)度表示攻擊流量占總流量的比例),前3個(gè)窗口為正常狀態(tài),中間10個(gè)窗口為攻擊狀態(tài),后3個(gè)窗口恢復(fù)正常狀態(tài)。實(shí)驗(yàn)結(jié)果見(jiàn)圖4。

圖4 DDoS攻擊時(shí)出/進(jìn)交換機(jī)流量比例

由以上實(shí)驗(yàn)可得,在1-3窗口,出/進(jìn)交換機(jī)流量比例處于穩(wěn)定狀態(tài),此時(shí)比例大約為1/1。啟動(dòng)攻擊后,出/進(jìn)交換機(jī)流量比例持續(xù)下降,而且攻擊強(qiáng)度越大,比例下降越多。根據(jù)實(shí)驗(yàn)結(jié)果可知,出/進(jìn)交換機(jī)流量比例可以作為是否遭受DDoS攻擊的檢測(cè)階段特征。出/進(jìn)交換機(jī)流量比例變化設(shè)置閾值K,當(dāng)出/進(jìn)交換機(jī)流量比例小于K,觸發(fā)攻擊識(shí)別模塊。

4.3.2 SDN 網(wǎng)絡(luò)中Renyi交叉熵值分析

根據(jù)3.2.1中定義的Renyi交叉熵計(jì)算方法,按照4.2.1中確定的Renyi交叉熵α參數(shù),計(jì)算不同攻擊強(qiáng)度下Renyi交叉熵值與各類(lèi)信息熵值,并進(jìn)行對(duì)比分析。每類(lèi)攻擊強(qiáng)度設(shè)置6組實(shí)驗(yàn),每組實(shí)驗(yàn)統(tǒng)計(jì)16 個(gè)窗口值,計(jì)算6 次熵值的平均值。實(shí)驗(yàn)結(jié)果如表1所示。

表1 不同攻擊強(qiáng)度下SDN網(wǎng)絡(luò)中各熵值比較

由表1實(shí)驗(yàn)可知,本模型引入Renyi交叉熵值度量標(biāo)準(zhǔn)與其他熵值相比,增大了正常流量與攻擊流量之間的信息敏感距離。特別對(duì)于低速DDoS攻擊,攻擊速度與強(qiáng)度較弱,成倍放大攻擊特征信息,提升攻擊判斷準(zhǔn)確性,并迅速發(fā)出攻擊告警。

同時(shí)為了展示DDoS攻擊下,本模型的時(shí)間開(kāi)銷(xiāo)低、識(shí)別成功率高特點(diǎn),每次攻擊20個(gè)窗口,持續(xù)攻擊20次,選取本文引用文獻(xiàn)中較為理想的5個(gè)方法,計(jì)算檢測(cè)識(shí)別成功率和平均耗時(shí),結(jié)果如表2和表3所示。

表2 檢測(cè)識(shí)別成功率對(duì)比 %

表3 檢測(cè)識(shí)別耗時(shí)對(duì)比 ms

表2實(shí)驗(yàn)結(jié)果顯示本模型采用的基于Renyi交叉熵的雙層級(jí)檢測(cè)與識(shí)別方法具有最高檢測(cè)識(shí)別成功率,與目前最優(yōu)文獻(xiàn)[7]方法相比,本模型識(shí)別成功率提升6%左右,原因分析如下。

1)該模型兼顧Renyi熵與交叉熵的雙重優(yōu)點(diǎn),有效擴(kuò)大正常流量與異常流量數(shù)據(jù)間的差異性,對(duì)較弱攻擊檢測(cè)效果明顯提升。

2)利用RMSprop算法,按照當(dāng)前實(shí)際數(shù)值與歷史數(shù)值平滑動(dòng)態(tài)計(jì)算當(dāng)前閾值,可以吸收瞬時(shí)突變,進(jìn)一步提升檢測(cè)的準(zhǔn)確性。表3實(shí)驗(yàn)結(jié)果顯示本模型的檢測(cè)識(shí)別耗時(shí)最短,與目前最優(yōu)文獻(xiàn)9方法相比,不同攻擊類(lèi)型及攻擊強(qiáng)度下平均檢測(cè)識(shí)別耗時(shí)降低15%左右。

3)該模型采用雙層結(jié)構(gòu)模型,檢測(cè)模塊可以過(guò)濾掉大部分干擾流量,從而有效降低識(shí)別模塊計(jì)算負(fù)載;RMSprop算法計(jì)算閾值的收斂速度更快,可以在最短的時(shí)間內(nèi)得到窗口閾值。

5 結(jié)束語(yǔ)

為了解決SDN 面臨的DDoS攻擊威脅,使其在遭受DDoS攻擊時(shí),能夠第一時(shí)間被識(shí)別,本文通過(guò)分析總結(jié)目前SDN 環(huán)境下DDoS攻擊識(shí)別方法存在的問(wèn)題,從提高攻擊識(shí)別準(zhǔn)確性、實(shí)時(shí)性和降低設(shè)備日常檢測(cè)負(fù)載等方面,提出基于Renyi交叉熵和RMSprop算法的雙層級(jí)DDoS攻擊識(shí)別模型。通過(guò)仿真實(shí)驗(yàn)可以得到,與目前最優(yōu)的檢測(cè)識(shí)別模型相比,該模型平均攻擊檢測(cè)識(shí)別耗時(shí)降低15%,成功率提高6%,大大提高了SDN 環(huán)境下DDoS攻擊檢測(cè)識(shí)別效率。

隨著對(duì)SDN 研究的深入,除了本文提出的兩類(lèi)DDoS攻擊外,逐漸出現(xiàn)一些巧妙的DDoS攻擊手段,如利用流規(guī)則Duration的慢速攻擊手段,在每個(gè)流規(guī)則中都定義了一個(gè)軟性存活時(shí)間,如果在定義的時(shí)間段內(nèi)沒(méi)有匹配的數(shù)據(jù)包,則流規(guī)則自動(dòng)刪除[19]。攻擊者利用該規(guī)則,在軟存活時(shí)間截止前發(fā)送一個(gè)數(shù)據(jù)包,從而長(zhǎng)期維持對(duì)應(yīng)流規(guī)則,使得流表無(wú)法得到更新,惡意消耗流表緩存。此外,還有針對(duì)Open Flow 處理機(jī)制漏洞Buffered-Packet的攻擊[20]都會(huì)造成SDN 的拒絕服務(wù)。未來(lái)將繼續(xù)完善本文檢測(cè)識(shí)別模型,以適應(yīng)更加多元化的DDoS攻擊。