推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

基于对象特征的软件定义网络分布式拒绝服务攻击检测方法

更新时间:2019-12-25 12:56:16 大小:799K 上传用户:zhiyao6查看TA发布的资源 标签:软件定义网络 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

软件定义网络(SDN)受到分布式拒绝服务(DDoS)攻击时,攻击方会发送大量数据包,产生大量新的终端标识占用网络连接资源,影响网络正常运转。为准确发现受攻击对象,检测被占用资源,利用GHSOM技术,该文提出基于对象特征的DDoS攻击检测方法。首先,结合SDN网络及攻击特点,提出基于目的地址的检测7元组,并以此作为判断目标地址是否受到DDoS攻击的检测元素;然后,采用模块化设计,将GHSOM算法应用于SDN网络DDoS攻击的分析检测中,并在OpenDayLight的仿真平台上完成了仿真实验。实验结果显示,该文提出的检测7元组可有效检测目标对象是否受到DDoS攻击。


部分文件列表

文件名 大小
基于对象特征的软件定义网络分布式拒绝服务攻击检测方法.pdf 799K

部分页面预览

(完整内容请下载后查看)
39 卷第 2 期  
20172月  
Vol.39No.2  
Feb. 2017  
Journal of Electronics & Information Technology  
基于对象特征的软件定义网络分布式拒绝服务攻击检测方法  
姚琳元  
*  
张宏科  
(北京交通大学电子信息工程学院 北京 100044)  
要:软件定义网络(SDN)受到分布式拒绝服务(DDoS)攻击时,攻击方会发送大量数据包,产生大量新的终端  
标识占用网络连接资源,影响网络正常运转。为准确发现受攻击对象,检测被占用资源,利用 GHSOM 技术,该  
文提出基于对象特征的 DDoS 攻击检测方法SDN 网络及攻击特点出基于目的地址的检测 7 元组,  
并以此作为判断目标地址是否受到 DDoS 攻击的检测元素;然后,采用模块化设计,将 GHSOM 算法应用于 SDN  
网络 DDoS 攻击的分析检测中,并在 OpenDayLight 的仿真平台上完成了仿真实验。实验结果显示,该文提出的  
检测 7 元组可有效检测目标对象是否受到 DDoS 攻击。  
关键词:软件定义网络;7 元组;自组织映射;分布式拒绝服务  
中图分类号:TP393  
文献标识码A  
文章编号1009-5896(2017)02-0381-08  
DOI: 10.11999/JEIT160370  
Distributed Denial of Service Attack Detection Based on  
Object Character in Software Defined Network  
YAO Linyuan  
DONG Ping  
ZHANG Hongke  
(School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China)  
Abstract: During the Distributed Denial of Service (DDoS) attack happening in Software Defined Network (SDN)  
network, the attackers send a large number of data packets. Large quantities of new terminal identifiers are  
generated. Accordingly, the network connection resources are occupied, obstructing the normal operation of the  
network. To detect the attacked target accurately, and release the occupied resources, a DDoS attack detection  
method based on object features with the GHSOM technology is provided. First, the seven-tuple is proposed for  
detection to determine whether the target address is under attack by DDoS. Then, a simulation platform is built,  
which is based on the OpenDayLight controller. GHSOM algorithm is applied to the network. Simulation  
experiments are performed to validate the feasibility of the detection method. The results show that the  
seven-tuple for detection can effectively confirm whether the target object is under a DDoS attack.  
Key words: Software Defined Network (SDN); Seven-tuple; Self-organization mapping; Distributed Denial of  
Service (DDoS)  
1 引言  
(Internet Protocol)网络难于更新,网络结构越发复  
络管理更加困难[1]统网络控制域与数据域  
相绑定造成网络难以管理的主要因素[2]从根  
本上解决网络痼疾,新型网络架构被相继提出。其  
中控制域与转发域相分离的思想受到业界的广泛关  
注,具有代表性的网络结构之一是近年来不断被寄  
予 厚 望 的 软 件 定 义 网 络 (Software Defined  
互联网的快速发展,网络用户规模的爆发式增  
长,传统网络架构随之面临各种各样的问题。为满  
足时延、负载等网络基本要求,许多网络协议、网  
络策略在设计之初被预先定义,造成传统 IP  
收稿日期2016-04-18回日期2016-10-19络出版2016-12-20  
*通信作者:董平
基金项目:国家 973 重点基础研究发展计划(2013CB329100),国家  
863 技术研究发展计划(2015AA016103)国家自然科学基金  
(61301081),国家电网公司科技项目([2016]377)  
Foundation Items: The National Key Basic Research Program of  
China (2013CB329100), The National High Technology Research  
and Development Program 863 (2015AA016103), The National  
Natural Science Foundation of China (61301081), SGRIXTJSFW  
([2016]377)  
Networking, SDN)[3,4]  
传统网络中,控制逻辑分布在各个网络设备。  
这种分布式的网络结构在一定程度上降低了网络因  
遭受 Distributed Denial of Service (DDoS) 攻击全面瘫  
痪的风险SDN 网络中制器集中管理网络  
设备,增大了网络安全风险[5]。当 SDN 网络受到  
DDoS(Distributed Denial of Service)攻击时,攻击  
方会发送大量数据包些数据包含有不同源地址、  
382  
电 子 与 信 息 学 报  
39 卷  
目的地址等信息。为获取转发规则,交换机需要不  
断向控制器发送请求,以获得新的转发规则;控制  
器也需要不断响应交换机的请求,制定、下发相应  
规则,以至于控制器的存储资源、计算资源大量消  
耗,控制器与交换机的连接资源大量占用。文献[5]  
OpenFlow 下的 SDN 网络 DDoS 攻击归纳为两  
种,即控制域带宽攻击和交换机流表攻击。文献[6]  
也将控制域与数据域之间接口造成的固有通信瓶颈  
视为 SDN 网络的主要安全挑战之一。  
先确定信息熵通常与相应参数的阈值共同使用,  
难以独立完成对多维数据的分析与检测。而一种基  
SOM 术的 GHSOM(Growing Hierarchical  
SOM)[14]技术更加灵活可以独立完成对多维数据  
的分析与检测。该技术已应用于传统网络的攻击检  
测中,如文献[8], 文献[15],但在 SDN 网络上却缺  
乏相应的应用研究。鉴于此,利用 GHSOM 技术,  
本文提出了基于对象特征的 DDoS 攻击检测方法。  
本文的创新性在于:(1)结合 SDN 网络及攻击  
特点,提出了基于目的地址的检测 7 元组,判断目  
标地址是否受到 DDoS 攻击;(2)采用模块化设计,  
GHSOM 应用于 SDN 网络 DDoS 攻击的分析检  
测中,并在 OpenDayLight 的仿真平台上完成了仿  
真实验。  
冲突检测是一种有效探测 DDoS 攻击的方法。  
文献[7]对冲突探测进行了说明,并总结为签名探测  
技术和异常探测技术。统计分析和机器学习是两种  
主要的异常探测技术。该文阐述了机器学习的 6 种  
方法Neural Networks, Support Vector Machine,  
Genetic Algorithms, Fuzzy Logic, Bayesian  
Networks, Decision Tree并 对 6 种方法的优缺点进  
行了总结章缺乏与 SDN 的关联有给  
出解决 SDN 中控制器受到 DDoS 攻击的具体方法。  
作为机器学习中的一种,神经网络的无监督学  
习可以在网络目标输出未知的情况下过自训练,  
聚类分析输入样本[8]到自动监测的目的[9]  
利 用 神 经 网 络 中 的 自 组 织 映 射 (Self-Organizing  
Map, SOM)技术实现对 SDN 网络的数据检测。该  
文提出了一种基于 SOM 技术的 DDoS 攻击检测方  
SDN 网络控制器中实现了此方法者采  
用模块化的方法完成“数据流采集特性提取”  
以及“攻击探测(数据包分类)”等功能。然而,该  
文献中的统计元素沿用传统网络的参考元素,并没  
有对 SDN 网络的数据特点进行分析。另外,SOM  
要求预先确定神经元的数量和排列,致使神经元排  
列固定、单一,这在一定程度上限制了攻击检测的  
准确性。  
本文内容如下:第 2 节介绍了 GHSOM 算法的  
原理与使用方法;第 3 节详细说明了基于对象特征  
DDoS 攻击检测方法;第 4 节完成检测方法的可  
行性分析,并进行了实验验证;第 5 节总结全文。  
2 GHSOM 介绍  
本节对 GHSOM 算法进行简单介绍。较 SOM  
固定的神经元结构,GHSOM 具有生长、分层的特  
性,结构更加灵活,数据处理效率更高。GHSOM  
算法总结如下[16]  
初始化:GHSOM 从第 0 层开始,该层只包括  
一个神经元 e0 其权重向量为 m0 = [m0 ,m0 ,,  
1
2
m0n ]T , m0 为输入数据的平均值;计算平均量化误  
mqe0 = (1/d) m0 -x 其 中 x 表示输入数据d  
表示输入数据的个数。  
1 次映射GHSOM 映射过程从第 1 层开始,  
如图 1先从第 0 层的神经元e0 扩展到第 1 层的 4  
个神经元 A, B, C, D,然后从输入数据中取样执行  
SOM 过程,完成输入数据的第 1 次映射。  
文献[10]以目的 IP 地址作为参考要素,采用信  
息熵与阈值相结合的方法完成检测。虽然信息熵较  
SOM 灵活便在阈值确定和多元素权重分配  
等方面仍需与其他技术结合。文献[11]出了  
Openflow sFlow 相结合的数据采集方法在一  
定程度上提高了检测带宽。但文献[11]同文献[10],  
使用了信息熵检测方法。文献[12]提出了 FortNOX  
内核化了 SDN 网络中 NOX 控制器的安全性能,  
但并没有给出具体的 DDoS 攻击检测方法[13]  
利用基于神经网络和生物威胁理论的计算机防御系  
统完成风险评估,实现对 DDoS 攻击的防御,但缺  
乏详尽的实现方案和效果对比。  
SOM 过程:(1)相似性匹配:ei(x) = argmin  
j
ej -x , ei 表示获胜神经元,ei ej 中的某一个;  
(2)更新:ei(t +1) = ei(t)+ a(t)hci(t)[x(t)-ei(t)], t  
表示迭代次数a 表示学习率参数hci 表示获胜神  
通过上述分析可知,面向 SDN 网络的 DDoS  
攻击检测方法主要包括 SOM 技术和信息熵。但是,  
SOM 技术要求训练前完成神经元数量和排列的预  
1 GHSOM 扩展说明  

全部评论(0)

暂无评论

上传资源 上传优质资源有赏金

  • 打赏
  • 30日榜单

推荐下载