一種基于網(wǎng)絡(luò)層流量異常的SDN網(wǎng)絡(luò)DDoS攻擊檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種SDN網(wǎng)絡(luò)下根據(jù)網(wǎng)絡(luò)層流量異常進(jìn)行DDoS攻擊檢測(cè)及處理的基 于網(wǎng)絡(luò)層流量異常的SDN網(wǎng)絡(luò)DDoS攻擊檢測(cè)方法���。 技術(shù)背景
[0002] SDN以開放軟件模式的控制層取代傳統(tǒng)換聯(lián)網(wǎng)中的封閉式的網(wǎng)絡(luò)配置及管理層 面,將控制功能從網(wǎng)絡(luò)通信設(shè)備中分離�,實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)中的控制與轉(zhuǎn)發(fā)功能分割的目的, OpenFlow是當(dāng)前SDN通用的實(shí)現(xiàn)方式��。SDN簡(jiǎn)化了網(wǎng)絡(luò)管理��,也引入了與自身特性相關(guān)的 安全風(fēng)險(xiǎn)����,如DDoS攻擊��。DDoS攻擊可使SDN網(wǎng)絡(luò)中被攻擊主機(jī)的關(guān)鍵資源(如帶寬�����、緩沖 區(qū)、處理器資源等)迅速耗盡�����,使其崩潰或因需要花費(fèi)大量時(shí)處理攻擊包���,導(dǎo)致網(wǎng)絡(luò)服務(wù)不 能正常提供���,形成拒絕式服務(wù)攻擊,給SDN網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)服務(wù)帶來不容忽視的 威脅�,對(duì)SDN網(wǎng)絡(luò)的安全造成較大的影響。
[0003] 國(guó)內(nèi)針對(duì)SDN網(wǎng)絡(luò)DDoS攻擊開展的研究工作較少��,研究基于網(wǎng)絡(luò)層流量異常的 DDoS攻擊檢測(cè)及處理方法���,對(duì)檢測(cè)SDN網(wǎng)絡(luò)中存在的DDoS攻擊�,對(duì)提高SDN網(wǎng)絡(luò)的安全性�����, 維護(hù)SDN網(wǎng)絡(luò)中服務(wù)的穩(wěn)定性具有十分重要的意義�。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的在于提供一種利用SDN網(wǎng)絡(luò)特性�,對(duì)通信流進(jìn)行特征提取及分析���, 形成訓(xùn)練和檢測(cè)所用特征元組���;對(duì)基于自組織映射算法的檢測(cè)算法進(jìn)行優(yōu)化,引入核函數(shù) 機(jī)制���,提高檢測(cè)精確度�����;對(duì)基于控制層的SDN網(wǎng)絡(luò)分布式架構(gòu)Onix進(jìn)行改進(jìn)�,以較好的應(yīng)對(duì) 飽和流形式的DDoS攻擊�����;對(duì)檢測(cè)到的DDoS攻擊流進(jìn)行處理的基于網(wǎng)絡(luò)層流量異常的SDN 網(wǎng)絡(luò)DDoS攻擊檢測(cè)方法�。
[0005] 本發(fā)明的目的是這樣實(shí)現(xiàn)的:
[0006] (1)通過SDN網(wǎng)絡(luò)控制器訪問OpenFlow交換機(jī)流表信息項(xiàng),獲取到達(dá)交換機(jī)的通 信流特征�����;
[0007] (2)利用引入的信息熵和單邊連接密度�,對(duì)獲取的檢測(cè)特征進(jìn)行分析和處理,得到 訓(xùn)練和檢測(cè)用特征元組����;
[0008] (3)利用檢測(cè)用特征元組對(duì)引入核函數(shù)的自組織神經(jīng)網(wǎng)絡(luò)聚類算法模塊進(jìn)行訓(xùn) 練,以得到具有檢測(cè)效果的分類器�����;
[0009] (4)將分類器置于基于控制層的SDN網(wǎng)絡(luò)分布式架構(gòu)Onix改進(jìn)的架構(gòu)中的局部控 制器����,利用局部控制器對(duì)未知通信流進(jìn)行檢測(cè)和處理。
[0010] 所述步驟⑵中利用引入的信息熵和單邊連接密度����,對(duì)獲取的檢測(cè)特征進(jìn)行分析 和處理是指利用SDN網(wǎng)絡(luò)控制器定期請(qǐng)求所有管控的OpenFlow交換機(jī)流表項(xiàng),流表項(xiàng)中包 括檢測(cè)所需的流量特征���;OpenFlow交換機(jī)與SDN網(wǎng)絡(luò)控制器通過OpenFlow協(xié)議中的安全 通道進(jìn)行通信����。
[0011] 所述SDN網(wǎng)絡(luò)中�,控制器向交換機(jī)下發(fā)對(duì)該通信流的處理策略;當(dāng)檢測(cè)到攻擊流 時(shí)�����,控制器通知所轄交換機(jī)對(duì)該通信流做丟棄處理;若為正常通信流���,則正常下發(fā)轉(zhuǎn)發(fā)規(guī) 貝1J��,交換機(jī)按照該規(guī)則進(jìn)行正常轉(zhuǎn)發(fā)��。
[0012] 發(fā)明的有益效果:
[0013] 在實(shí)施過程中發(fā)現(xiàn)�,采用本發(fā)明所提供的基于網(wǎng)絡(luò)層流量異常的SDN網(wǎng)絡(luò)DDoS攻 擊檢測(cè)及處理方法可以有效提高對(duì)SDN網(wǎng)絡(luò)中發(fā)生的DDoS攻擊的檢測(cè)準(zhǔn)確度�,同時(shí)可根據(jù) 檢測(cè)結(jié)果對(duì)通信流做相應(yīng)處理,并可較好的應(yīng)對(duì)網(wǎng)絡(luò)中可能遭受的飽和流攻擊形式的DDoS 攻擊�,發(fā)明有益效果十分之明顯。
【附圖說明】
[0014] 圖1為網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境拓?fù)鋱D��;
[0015] 圖2為SDN網(wǎng)絡(luò)DDoS攻擊檢測(cè)及處理方法過程圖�;
[0016] 圖3為攻擊特征提過程圖;
[0017] 圖4為K-SOM算法流程圖��;
[0018] 圖5為基于Onix改進(jìn)的SDN網(wǎng)絡(luò)分布式架構(gòu)圖��。
【具體實(shí)施方式】
[0019] 下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步描述:
[0020] SDN作為一種全新的網(wǎng)絡(luò)架構(gòu)模型����,通過開放化的軟件可編程接口實(shí)現(xiàn)網(wǎng)絡(luò)管理 控制功能的開發(fā)與擴(kuò)展�����,實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的集中管理,提高了網(wǎng)絡(luò)的靈活性和擴(kuò)展性��,但 SDN網(wǎng)絡(luò)的開放性與管控集中性使其易遭受DDoS攻擊�����,為SDN網(wǎng)絡(luò)研究一種分布式的DDoS 攻擊檢測(cè)方法����,對(duì)維護(hù)SDN網(wǎng)絡(luò)安全意義重大。本發(fā)明正是針對(duì)這一問題�,公開了一種基于 網(wǎng)絡(luò)層流量異常的SDN網(wǎng)絡(luò)DDoS攻擊檢測(cè)技術(shù)方案。該技術(shù)方案在對(duì)基于網(wǎng)絡(luò)層數(shù)據(jù)流 量異常檢測(cè)和SDN網(wǎng)絡(luò)分布式架構(gòu)研究的基礎(chǔ)上��,設(shè)計(jì)并實(shí)現(xiàn)了一種SDN網(wǎng)絡(luò)分布式DDoS 攻擊檢測(cè)方法�����。該技術(shù)解決方案的工作可以劃分為以下六個(gè)步驟:
[0021] 步驟1 :利用SDN網(wǎng)絡(luò)控制器與OpenFlow交換機(jī)通信�,獲取經(jīng)過OpenFlow交換機(jī) 的通信流特征信息,完成特征提取過程�;
[0022] 步驟2 :在提取的特征基礎(chǔ)上�,引入信息熵和單邊連接密度方法對(duì)提取的特征進(jìn) 行分析��,完成DDoS攻擊檢測(cè)所需特征值元組��;
[0023] 步驟3 :將引入核函數(shù)的自組織神經(jīng)網(wǎng)絡(luò)算法作為訓(xùn)練器���,利用提取及分析后得 到的特征值元組��,對(duì)其進(jìn)行訓(xùn)練��,完成特征訓(xùn)練過程�,得到分類器�����;
[0024] 步驟4 :在對(duì)SDN網(wǎng)絡(luò)分布式架構(gòu)Onix研究基礎(chǔ)上����,根據(jù)網(wǎng)絡(luò)所處理事件的頻率 不同,將事件分為頻率較大和其他事件�,相應(yīng)地,將SDN網(wǎng)絡(luò)控制器從邏輯上分為局部控制 器和全局控制器兩層�,分別處理頻率較大和其他事件。完成對(duì)基于控制層的SDN網(wǎng)絡(luò)分布 式架構(gòu)Onix進(jìn)行改進(jìn);
[0025] 步驟5 :將分類器置于基于Onix改進(jìn)的SDN網(wǎng)絡(luò)分布式架構(gòu)的局部控制器中����,利 用運(yùn)行在局部控制器中的分類器可對(duì)未知類型的通信流進(jìn)行類型區(qū)分,和網(wǎng)絡(luò)架構(gòu)分布式 處理的特點(diǎn)�,對(duì)經(jīng)過步驟1和步驟2分析處理得到的未知通信流特征元組進(jìn)行檢測(cè);
[0026] 步驟6 :檢測(cè)到DDoS攻擊流時(shí)����,SDN網(wǎng)絡(luò)控制器通知發(fā)來該通信流轉(zhuǎn)發(fā)請(qǐng)求的 OpenFlow交換機(jī)���,并進(jìn)行丟棄處理�����;否則下發(fā)正常轉(zhuǎn)發(fā)規(guī)則給交換機(jī)��,OpenFlow交換機(jī)收 到轉(zhuǎn)發(fā)規(guī)則并按其對(duì)通信流進(jìn)行轉(zhuǎn)發(fā)����。
[0027] -種基于網(wǎng)絡(luò)層流量異常的SDN網(wǎng)絡(luò)DDoS攻擊檢測(cè)技術(shù)方案����,該方案的實(shí)施主要 包括以下內(nèi)容:
[0028] 實(shí)現(xiàn)了一種基于網(wǎng)絡(luò)層流量異常的SDN網(wǎng)絡(luò)DDoS攻擊檢測(cè)方法;
[0029] 該方法的實(shí)現(xiàn)步驟如下:
[0030] 步驟1 :通過SDN網(wǎng)絡(luò)控制器訪問OpenFlow交換機(jī)流表信息項(xiàng),獲取到達(dá)交換機(jī) 的通信流特征���;
[0031] 步驟2 :利用引入的信息熵和單邊連接密度原理�,對(duì)獲取的檢測(cè)特征進(jìn)行分析和 處理�,得到訓(xùn)練和檢測(cè)用特征元組(訓(xùn)練用的是對(duì)已知類型通信流提取和分析后得到的特 征元組;檢測(cè)用的是對(duì)未知類型的通信流)����;
[0032] 步驟3 :利用檢測(cè)用特征元組對(duì)引入核函數(shù)的自組織神經(jīng)網(wǎng)絡(luò)聚類算法模塊進(jìn)行 訓(xùn)練,以得到具有較好檢測(cè)效果的分類器�����。
[0033] 步驟4 :將分類器置于基于控制層的SDN網(wǎng)絡(luò)分布式架構(gòu)Onix改進(jìn)的架構(gòu)中的局 部控制器���,利用局部控制器對(duì)未知通信流進(jìn)行檢測(cè)和處理����。
[0034] 網(wǎng)絡(luò)層流量異常指對(duì)網(wǎng)絡(luò)層通信流特征進(jìn)行提取和分析�,檢測(cè)主要利用改進(jìn)的 SDN網(wǎng)絡(luò)分布式架構(gòu)和無監(jiān)督學(xué)習(xí)聚類方法實(shí)現(xiàn)。所述內(nèi)容2)中步驟1中利用SDN網(wǎng)絡(luò)特 點(diǎn)及組件實(shí)現(xiàn)對(duì)通信流特征的提取����。利用SDN網(wǎng)絡(luò)控制器定期請(qǐng)求所有管控的OpenFlow 交換機(jī)流表項(xiàng)����,流表項(xiàng)中包括檢測(cè)所需的流量特征���。OpenFlow交換機(jī)與SDN網(wǎng)絡(luò)控制器通 過OpenFlow協(xié)議中的安全通道進(jìn)行通信����。
[0035] 所述內(nèi)容2)中步驟2中利用信息熵和單邊連接密度原理對(duì)提取的特征進(jìn)行分析 處理�,得到訓(xùn)練和檢測(cè)用的特征元組。信息熵可有效反應(yīng)網(wǎng)絡(luò)通信流數(shù)據(jù)量��,單邊連接密度 指網(wǎng)絡(luò)中不能正常建立連接的通信流數(shù)���。利用網(wǎng)絡(luò)中正常條件和遭受DDoS攻擊時(shí)熵值和 單邊連接密度的不同,對(duì)提取的特征進(jìn)行量化處理��。
[0036] 所述內(nèi)容2)中步驟3中的優(yōu)化的自組織神經(jīng)網(wǎng)絡(luò)算法��。自組織映射算法是一種 無監(jiān)督學(xué)習(xí)式的聚類算法�,在對(duì)高度線性不可分的網(wǎng)絡(luò)流數(shù)據(jù)集進(jìn)行分類時(shí),出現(xiàn)較差的 魯棒性和可靠性��。因此���,采用核函數(shù)���,將非線性問題轉(zhuǎn)化為線性問題進(jìn)行處理���,使算法具有 較好的分類精度。
[0037] 所述內(nèi)容2)中步驟4中基于Onix改進(jìn)的SDN網(wǎng)絡(luò)分布式架構(gòu)�。Onix為一種多控 制器多交換機(jī)的架構(gòu),SDN網(wǎng)絡(luò)中�����,交換機(jī)遇到未知通信流時(shí)����,需向控制器傳輸該通信流,并 請(qǐng)求轉(zhuǎn)發(fā)規(guī)則�����,控制器完成轉(zhuǎn)發(fā)規(guī)則下發(fā)���,該過程使得控制器與交換機(jī)負(fù)載嚴(yán)重���,在遭受飽 和流形式的DDoS攻擊時(shí)��,可能發(fā)生SDN網(wǎng)絡(luò)控制器和交換機(jī)癱瘓����,因此�����,根據(jù)網(wǎng)絡(luò)中控制器 處理事件頻率不同�,將事件分為頻率較大事件與其他事件,同時(shí)將控制器從邏輯上分為兩 層�����,分別為局部控制器與全局控制器���,對(duì)應(yīng)頻率較大事件與其他事件。以較好的應(yīng)對(duì)飽和流 形式的DDoS攻擊����。
[0038] 所述內(nèi)容2)中步驟4中的處理方法采用控制器向交換機(jī)下發(fā)轉(zhuǎn)發(fā)規(guī)則實(shí)現(xiàn)。SDN 網(wǎng)絡(luò)中����,控制器向交換機(jī)下發(fā)對(duì)該通信流的處理策略�����。當(dāng)檢測(cè)到攻擊流時(shí)���,控制器通知所轄 交換機(jī)對(duì)該通信流做丟棄處理;若為正常通信流���,則正常下發(fā)轉(zhuǎn)發(fā)規(guī)則�,交換機(jī)按照該規(guī)則 進(jìn)行正常轉(zhuǎn)發(fā)����。
[0039] 在本發(fā)明中所涉及的基于網(wǎng)絡(luò)層流量異常的SDN網(wǎng)絡(luò)DDoS攻擊檢測(cè)及處理方法 主要功能為:
[0040] 下面介紹基于網(wǎng)絡(luò)層流量異常的SDN網(wǎng)絡(luò)DDoS攻擊檢測(cè)方法的整個(gè)過程,描述如 下:
[0041] 步驟一:利用SDN網(wǎng)絡(luò)控制器與交換機(jī)通信機(jī)制���,從通信流中進(jìn)行特征提取����。通過 結(jié)合可擴(kuò)展的SDN網(wǎng)絡(luò)分布式架構(gòu)����,利用架構(gòu)中各局部控制器對(duì)自身所轄OpenFlow交換機(jī) 進(jìn)行控制和管理。具體就是各域內(nèi)局部控制器通過監(jiān)控域內(nèi)網(wǎng)絡(luò)中所轄OpenFlow交換機(jī)�, 請(qǐng)求交換機(jī)流表項(xiàng)���,從流表表項(xiàng)中提取DDoS攻擊檢測(cè)所需的特征,其中流表項(xiàng)承載著達(dá)到 該交換機(jī)的通信流特征信息�,如源IP、目的IP��、源端口�����、目的端口和通信類型等����。
[0042] 步驟二:對(duì)提取的特征,利用信息熵和單邊連接密度原理進(jìn)行分析���,形成訓(xùn)練和檢 測(cè)用的特征元組�����。具體就是采用基于異常的通信流特征提取與檢測(cè)方法,利用信息熵理論 與單邊連接密度原理�����,通過對(duì)網(wǎng)絡(luò)中通信流數(shù)據(jù)包IP提取IP信息,將利用信息熵理論得到 的檢測(cè)特征四元特征組�����,即數(shù)據(jù)包源IP地址熵���,目的IP地址熵��、源端口號(hào)熵���、目的端口熵 值,然后和單邊連接密度原理的OWCD值����,構(gòu)成DDoS攻擊特征五元組,該五元組即為DDoS攻 擊檢測(cè)方法所采用的DDoS攻擊檢測(cè)特征��。該特征組如下:
[0043] F=(源IP熵Dst