推荐星级:
- 1
- 2
- 3
- 4
- 5
基于对象特征的软件定义网络分布式拒绝服务攻击检测方法
资料介绍
软件定义网络(SDN)受到分布式拒绝服务(DDoS)攻击时,攻击方会发送大量数据包,产生大量新的终端标识占用网络连接资源,影响网络正常运转。为准确发现受攻击对象,检测被占用资源,利用GHSOM技术,该文提出基于对象特征的DDoS攻击检测方法。首先,结合SDN网络及攻击特点,提出基于目的地址的检测7元组,并以此作为判断目标地址是否受到DDoS攻击的检测元素;然后,采用模块化设计,将GHSOM算法应用于SDN网络DDoS攻击的分析检测中,并在OpenDayLight的仿真平台上完成了仿真实验。实验结果显示,该文提出的检测7元组可有效检测目标对象是否受到DDoS攻击。
部分文件列表
| 文件名 | 大小 |
| 基于对象特征的软件定义网络分布式拒绝服务攻击检测方法.pdf | 799K |
部分页面预览
(完整内容请下载后查看)第 39 卷第 2 期
2017年2月
电
子
与
信
息
学
报
Vol.39No.2
Feb. 2017
Journal of Electronics & Information Technology
基于对象特征的软件定义网络分布式拒绝服务攻击检测方法
姚琳元
董
平*
张宏科
(北京交通大学电子信息工程学院 北京 100044)
摘
要:软件定义网络(SDN)受到分布式拒绝服务(DDoS)攻击时,攻击方会发送大量数据包,产生大量新的终端
标识占用网络连接资源,影响网络正常运转。为准确发现受攻击对象,检测被占用资源,利用 GHSOM 技术,该
文提出基于对象特征的 DDoS 攻击检测方法。首先,结合 SDN 网络及攻击特点,提出基于目的地址的检测 7 元组,
并以此作为判断目标地址是否受到 DDoS 攻击的检测元素;然后,采用模块化设计,将 GHSOM 算法应用于 SDN
网络 DDoS 攻击的分析检测中,并在 OpenDayLight 的仿真平台上完成了仿真实验。实验结果显示,该文提出的
检测 7 元组可有效检测目标对象是否受到 DDoS 攻击。
关键词:软件定义网络;7 元组;自组织映射;分布式拒绝服务
中图分类号:TP393
文献标识码:A
文章编号:1009-5896(2017)02-0381-08
DOI: 10.11999/JEIT160370
Distributed Denial of Service Attack Detection Based on
Object Character in Software Defined Network
YAO Linyuan
DONG Ping
ZHANG Hongke
(School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China)
Abstract: During the Distributed Denial of Service (DDoS) attack happening in Software Defined Network (SDN)
network, the attackers send a large number of data packets. Large quantities of new terminal identifiers are
generated. Accordingly, the network connection resources are occupied, obstructing the normal operation of the
network. To detect the attacked target accurately, and release the occupied resources, a DDoS attack detection
method based on object features with the GHSOM technology is provided. First, the seven-tuple is proposed for
detection to determine whether the target address is under attack by DDoS. Then, a simulation platform is built,
which is based on the OpenDayLight controller. GHSOM algorithm is applied to the network. Simulation
experiments are performed to validate the feasibility of the detection method. The results show that the
seven-tuple for detection can effectively confirm whether the target object is under a DDoS attack.
Key words: Software Defined Network (SDN); Seven-tuple; Self-organization mapping; Distributed Denial of
Service (DDoS)
1 引言
(Internet Protocol)网络难于更新,网络结构越发复
杂,网络管理更加困难[1]。传统网络控制域与数据域
相绑定,是造成网络难以管理的主要因素[2]。为从根
本上解决网络痼疾,新型网络架构被相继提出。其
中控制域与转发域相分离的思想受到业界的广泛关
注,具有代表性的网络结构之一是近年来不断被寄
予 厚 望 的 软 件 定 义 网 络 (Software Defined
互联网的快速发展,网络用户规模的爆发式增
长,传统网络架构随之面临各种各样的问题。为满
足时延、负载等网络基本要求,许多网络协议、网
络策略在设计之初被预先定义,造成传统 IP
收稿日期:2016-04-18;改回日期:2016-10-19;网络出版:2016-12-20
*通信作者:董平
基金项目:国家 973 重点基础研究发展计划(2013CB329100),国家
863 高技术研究发展计划(2015AA016103),国家自然科学基金
(61301081),国家电网公司科技项目([2016]377)
Foundation Items: The National Key Basic Research Program of
China (2013CB329100), The National High Technology Research
and Development Program 863 (2015AA016103), The National
Natural Science Foundation of China (61301081), SGRIXTJSFW
([2016]377)
Networking, SDN)[3,4]
。
传统网络中,控制逻辑分布在各个网络设备。
这种分布式的网络结构在一定程度上降低了网络因
遭受 Distributed Denial of Service (DDoS) 攻击全面瘫
痪的风险。而在 SDN 网络中,控制器集中管理网络
设备,增大了网络安全风险[5]。当 SDN 网络受到
DDoS(Distributed Denial of Service)攻击时,攻击
方会发送大量数据包,这些数据包含有不同源地址、
382
电 子 与 信 息 学 报
第 39 卷
目的地址等信息。为获取转发规则,交换机需要不
断向控制器发送请求,以获得新的转发规则;控制
器也需要不断响应交换机的请求,制定、下发相应
规则,以至于控制器的存储资源、计算资源大量消
耗,控制器与交换机的连接资源大量占用。文献[5]
将 OpenFlow 下的 SDN 网络 DDoS 攻击归纳为两
种,即控制域带宽攻击和交换机流表攻击。文献[6]
也将控制域与数据域之间接口造成的固有通信瓶颈
视为 SDN 网络的主要安全挑战之一。
先确定,而信息熵通常与相应参数的阈值共同使用,
难以独立完成对多维数据的分析与检测。而一种基
于 SOM 技术的 GHSOM(Growing Hierarchical
SOM)[14]技术更加灵活,且可以独立完成对多维数据
的分析与检测。该技术已应用于传统网络的攻击检
测中,如文献[8], 文献[15],但在 SDN 网络上却缺
乏相应的应用研究。鉴于此,利用 GHSOM 技术,
本文提出了基于对象特征的 DDoS 攻击检测方法。
本文的创新性在于:(1)结合 SDN 网络及攻击
特点,提出了基于目的地址的检测 7 元组,判断目
标地址是否受到 DDoS 攻击;(2)采用模块化设计,
将 GHSOM 应用于 SDN 网络 DDoS 攻击的分析检
测中,并在 OpenDayLight 的仿真平台上完成了仿
真实验。
冲突检测是一种有效探测 DDoS 攻击的方法。
文献[7]对冲突探测进行了说明,并总结为签名探测
技术和异常探测技术。统计分析和机器学习是两种
主要的异常探测技术。该文阐述了机器学习的 6 种
方法,即Neural Networks, Support Vector Machine,
Genetic Algorithms, Fuzzy Logic, Bayesian
Networks, Decision Tree,并 对 6 种方法的优缺点进
行了总结。但是,文章缺乏与 SDN 的关联,没有给
出解决 SDN 中控制器受到 DDoS 攻击的具体方法。
作为机器学习中的一种,神经网络的无监督学
习可以在网络目标输出未知的情况下,通过自训练,
聚类分析输入样本[8],达到自动监测的目的。文献[9]
利 用 神 经 网 络 中 的 自 组 织 映 射 (Self-Organizing
Map, SOM)技术实现对 SDN 网络的数据检测。该
文提出了一种基于 SOM 技术的 DDoS 攻击检测方
法,并在 SDN 网络控制器中实现了此方法。作者采
用模块化的方法完成“数据流采集”、“特性提取”
以及“攻击探测(数据包分类)”等功能。然而,该
文献中的统计元素沿用传统网络的参考元素,并没
有对 SDN 网络的数据特点进行分析。另外,SOM
要求预先确定神经元的数量和排列,致使神经元排
列固定、单一,这在一定程度上限制了攻击检测的
准确性。
本文内容如下:第 2 节介绍了 GHSOM 算法的
原理与使用方法;第 3 节详细说明了基于对象特征
的 DDoS 攻击检测方法;第 4 节完成检测方法的可
行性分析,并进行了实验验证;第 5 节总结全文。
2 GHSOM 介绍
本节对 GHSOM 算法进行简单介绍。较 SOM
固定的神经元结构,GHSOM 具有生长、分层的特
性,结构更加灵活,数据处理效率更高。GHSOM
算法总结如下[16]
:
初始化:GHSOM 从第 0 层开始,该层只包括
一个神经元 e0 ,其权重向量为 m0 = [m0 ,m0 ,,
1
2
m0n ]T , m0 为输入数据的平均值;计算平均量化误
差mqe0 = (1/d) m0 -x ,其 中 x 表示输入数据,d
表示输入数据的个数。
第 1 次映射:GHSOM 映射过程从第 1 层开始,
如图 1,首先从第 0 层的神经元e0 扩展到第 1 层的 4
个神经元 A, B, C, D,然后从输入数据中取样执行
SOM 过程,完成输入数据的第 1 次映射。
文献[10]以目的 IP 地址作为参考要素,采用信
息熵与阈值相结合的方法完成检测。虽然信息熵较
SOM 灵活、方便,但在阈值确定和多元素权重分配
等方面仍需与其他技术结合。文献[11]提出了
Openflow 与 sFlow 相结合的数据采集方法,这在一
定程度上提高了检测带宽。但文献[11]同文献[10],
使用了信息熵检测方法。文献[12]提出了 FortNOX
内核,优化了 SDN 网络中 NOX 控制器的安全性能,
但并没有给出具体的 DDoS 攻击检测方法。文献[13]
利用基于神经网络和生物威胁理论的计算机防御系
统完成风险评估,实现对 DDoS 攻击的防御,但缺
乏详尽的实现方案和效果对比。
SOM 过程:(1)相似性匹配:ei(x) = argmin
j
⋅ ej -x , ei 表示获胜神经元,ei 为ej 中的某一个;
(2)更新:ei(t +1) = ei(t)+ a(t)hci(t)[x(t)-ei(t)], t
表示迭代次数,a 表示学习率参数,hci 表示获胜神
通过上述分析可知,面向 SDN 网络的 DDoS
攻击检测方法主要包括 SOM 技术和信息熵。但是,
SOM 技术要求训练前完成神经元数量和排列的预
图 1 GHSOM 扩展说明
全部评论(0)