SDN架構下基于ICMP流量的網絡異常檢測方法①

史振華,劉外喜,楊家燁(紹興職業技術學院 信息工程學院,紹興 3000)(廣州大學 電子信息工程系,廣州 50006)

?

SDN架構下基于ICMP流量的網絡異常檢測方法①

史振華1,劉外喜2,楊家燁2
1(紹興職業技術學院 信息工程學院,紹興 312000)
2(廣州大學 電子信息工程系,廣州 510006)

摘 要:互聯網控制報文協議(Internet Control Message Protocol,ICMP)實時地反映著網絡的狀態,當網絡故障或受到攻擊時,ICMP報文在整個流量中出現的概率,以及ICMP流量中不同類型的報文比例等特征都會發生變化.本文利用ICMP流量小的特點,并結合SDN架構中控制面可對ICMP流量進行集中觀察的優勢,采用SVM分類的方法,提出一種輕量級的異常檢測機制以改善異常檢測的實時性和準確性---AD-ICMP-SDN (Anomaly Detection Method based on ICMP Traffic for SDN).實驗結果證明,AD-ICMP-SDN在檢測準確率和誤報率等指標上展現了較好的性能.

關鍵詞:SDN; 異常檢測; 支持向量機; ICMP

1　引言

當前,網絡攻擊依然經常發生,如蠕蟲、僵尸、分布式拒絕服務攻擊(DDOS)等.這些攻擊消耗網絡資源,嚴重時導致網絡癱瘓,威脅用戶安全.因此,如何準確地檢測網絡異常成為一個亟待解決的問題.

過去,研究者們提出了各種異常檢測方法,Chandola V等人對此作了詳細的綜述[1].當前的檢測方法主要分為特征模式(feature-based)和值模式(volume-based)兩種.其中,值模式是利用整個網絡流量的一些參數值的變化來檢測異常,如流量值、流的數量值等.但單獨使用這種方法很難檢測到那些對整個網絡流量大小幾乎沒有影響的低速率攻擊,也很難區分由正常應用導致的大流量還是惡意攻擊導致的大流量[2].因此,作為該方法的一個補充,人們又研究基于流量特征模式的方法,如平均包長度,IP地址特征分布等.在這種方法中,如果要實現高效的檢測,選擇合適的特征以及最小的特征集是一個必要前提,但這很困難[2].并且,上述兩種方法的研究對象都是針對整個網絡流量的,而互聯網流量日益變得龐大,所以,當前方法中依然存在著檢測計算量大、檢測實時性差等問題.

在互聯網中,設計ICMP(Internet Control Message Protocol)的初衷是為了反饋網絡使用過程中的故障信息,例如,當報文在傳遞的過程中某子網故障,或中間路由器無法轉發等原因導致目的地不可達,或目的端口不可達等情形都會在故障點發出ICMP差錯報文給源端,而ICMPv6更是在此基礎上將IPv4中的ARP,DHCP等功能集成于其中,使其更加成為Internet必不可少的部分.簡而言之,互聯網中的ICMP流量充分地、實時地反映著網絡的狀態,所以,我們可以通過分析ICMP流量特征的變化來進行異常檢測.更重要的是,ICMP流量很小,例如,在2009年CAIDA數據集中,正常情況下的ICMP流量僅占整個流量的0.18%左右.所以,分析ICMP流量的計算量會比當前基于整個流量的方法小得多,檢測效率和檢測實時性都會得到很大的提高.

軟件定義網絡(Software-Defined Networking,SDN)[3]技術分離了網絡的數據平面和控制平面,為研發網絡新應用和未來互聯網技術提供了一種新的解決方案.目前,SDN 已經廣泛應用于流量工程(Traffic Engineering),異常檢測(anomaly detection),流量統計(accounting)等網絡流量管理和優化工作.然而,目前將SDN 應用于異常檢測方面的研究工作還處于初級階段.

支持向量機(Support Vector Machines,SVM)是在統計學理論基礎上發展起來的一種新的機器學習方法,它通過求取能使兩類樣本以最大間隔分開的最優分類面來建立分類模型.

綜上所述,本文利用ICMP流量小的特點,并結合SDN架構中控制面可對ICMP流量進行集中觀察的優勢,采用SVM分類的方法,提出一種輕量級的異常檢測機制以提高異常檢測的實時性和準確性—Anomaly Detection Method based on ICMP Traffic for SDN(AD-ICMP-SDN).

2　相關工作

Tootoonchian.A 等人[4]利用控制器中的路由統計信息,分析了從不同交換機獲取流統計數據的網絡負載問題,從而構建整個網絡的流量矩陣.Jose.L等人[5]在讀取交換機的流統計信息后,采用Trie 的數據結構設計了一種識別分層高負載流的問題(hierarchical heavy hitters,HHH).Braga.R 等人[6]通過提取流統計信息中與DDOS 攻擊相關的六元組,采用人工神經網絡方法SOM(Self Organizing Maps)進行降維處理,從而識別DDOS 攻擊.Mehdi.S等人[7]重新考慮了幾種傳統的流量異常檢測方法在SDN 中的應用,為SDN 中實現異常檢測提供了很好的實際部署經驗.然而這些方法采用的流量特征數據較單一,僅能針對某種特定的異常.

在SDN架構下,K.Giotis等人[8]融合OpenFlow和sFlow提出一種可進行異常檢測并可減輕異常的機制,他們在控制平面設計了數據收集模塊,以及獨立于數據平面的sFlow監測模塊.為了兼顧監測開銷和異常檢測精度,Ying Zhang等人[9]提出一種SDN架構下對流量進行自適應抽樣的OpenWatch機制,其基本思路是: 基于預測的方法,抽樣粒度能夠自適應地動態改變時間-空間維度.劉文懋[10]等人提出了一個分布式的軟件定義安全架構(software-defined security architecture,SDSA),可將安全功能從SDN控制器解耦到專有的安全控制器和安全APP,提供了全局流和局部數據包層面的檢測和防護,以抵御SDN和虛擬化環境中的各類攻擊.

Jun等人[11]提出一種綜合利用值模式和報文頭部字段信息的DDOS檢測方法.他們首先使用流量值做初步檢測,如果流量值超過了閥值,就針對這些可疑流量進一步分析目的IP地址的熵,源端口的熵以及每秒到達的報文個數.Gao and Wang等人[12]提出基于K平均算法的網絡入侵檢測機制,他們用信息熵選擇K平均算法中初始簇中心以提高檢測效率.

而在此前的工作中,我們已經發現ICMP流量也具有自相似特性,并提出了利用該特性檢測網絡異常的方法[14].

鄭黎明等人[15]針對訓練模型難于獲取以及部署環境的動態變化性問題,對SVM分類器的選擇、使用和訓練方法進行了研究.Chandola.V 等人[1]對當前各種利用熵(Entropy)值進行異常檢測的方法進行了綜述和性能評估.與上述方法不同的是,本文以ICMP流量中源/目的IP地址、ICMP報文類型等特征的熵作為檢測對象,實現輕量級的檢測.

3　基本原理

網絡流量異常是指網絡流量產生不尋常的變化,并且可能涵蓋多條鏈路或者路徑,會導致流量激增,也會導致流量的以下特征發生變化:

1)ICMP流量中報文的IP 地址的分布;

2)ICMP報文類型的分布;

3)流量中TCP 、UDP、ICMP、GRE四種協議的分布;

4)ICMP流量占整個流量的比例.

考慮到上述這些特點,本文的AD-ICMP-SDN實現異常檢測的思路如下: 通過熵(Entropy)來描述前三個流量特征的分散程度; 而通過比例來描述第四個特征.然后利用SVM分類的方法將正常和異常的特征區分,達到發現異常的目的.

3.1信息熵

在信息論中,熵表示的是不確定性的量度.設X表示一個有著n個變量的數據集,這些變量分別用x1,x2,…… xn表示.它們在數據集中出現的概率分別為p1,p2,…… ,pn,那么X的熵就是如(1)式所示:

式中,pi第i個變量的概率.顯然,X中變量的概率分布越均勻,熵值會越大,當某個變量的概率為1的話,熵值會變為0.

3.2支持向量機SVM

對于給定的入侵檢測審計數據(x1,y1),(x2,y2),…,(xn,yn),,x為特征空間的輸入數據,x∈Rd,y為類標志,y∈{0,1},n為樣本數,d為輸入維數.如果y的值為0,表示對應的樣本為正常; 如果y的值為1,表示對應的樣本為異常,即有入侵發生.

根據SVM理論,對于待分類樣本存在一個超平面,使得兩類樣本完全分開,如圖2 所示.圖中“1”和“0”分別代表兩類樣本,實線為分類超平面(hyper plane).SVM旨在尋找最優超平面(optimal hyper plane)以最大間隔分隔兩類樣本.其中,帶圈的“1”和“0”樣本決定類分隔面上,稱為支持向量.

求解最優超平面可看成解二次規劃問題:

式中,θ是松弛變量,C為懲罰因子,是人工指定的常數,起到控制對錯分樣本進行懲罰程度的作用.求解式(2)可轉化為求解其對偶問題:

上式中,αi為拉格朗日乘子; 對應于αi＞0的向量稱為支持向量; k(xi,xj)=Φ(xi)T,Φ(xi)為核函數.選擇不同核函數,可以生成不同SVM,常用核函數有以下4種:

(1)線性核函數Linear: K(x,y)=x·y;

(2)多項式核函數polynomial: K(x,y)=[(x·y)+1]d;

(3)高斯徑向基核函數RBF: K(x,y)=exp (-|x-y|^2/d^2)

(4)二次核函數quadratic: K(||x-xc||)=exp{-||x-xc||^2/(2*σ)^2)}

簡單地說,SVM是升維和線性化的過程.一般情況下這會增加計算的復雜性.但是核函數的特性,可以隱式地將非線性的訓練數據映射到高維空間中,從而減少了計算的難度.

所以,利用SVM分類方法進行異常檢測的基本思路是: 通過訓練數據,SVM獲得一個優化參數的分類器,然后對另一組待檢測數據進行分類.若線性可分,則直接分析處理.若線性不可分,則使用非線性映射算法,即核函數.其將低維空間中線性不可分的數據映射到高維空間中.在原低維空間中線性不可分的樣本,在高維空間中有了線性可分的可能.

3.3SDN架構下的異常檢測

如圖1所示,AD-ICMP-SDN主要包括兩個組件:流表管理和異常檢測.NOX[12]是最早實現控制器功能的網絡操作系統,AD-ICMP-SDN的流表管理和異常檢測也是在NOX上開發的應用.下面分別介紹各個模塊的具體功能.

流表管理組件: OpenFlow交換機在NOX上注冊成功之后,NOX維護網絡資源的狀態: 鏈路性能狀態、節點級的拓撲、包的到達過程、用戶需求趨勢等.根據到達的數據包向OpenFlow交換機安裝流表項.

異常檢測組件: 主要包含以下3個模塊:

1)ICMP流量采集模塊: 采集的數據包括: ICMP報文中源/目的IP地址、ICMP報文類型、傳輸層四種協議TCP/UDP/ICMP/GRE、ICMP報文數量.流量采集的時間間隔使用固定時長.周期太長,則檢測到異常流量并進行處理的時延也更長; 周期太短,將會增加NOX和OpenFlow交換機的處理開銷.本文中,該時間間隔設為5秒.

2)數據訓練: 按照如上所述的SVM原理,需要通過對ICMP已知流量數據訓練,獲得一個優化參數的分類器,參數主要包括核函數和超平面計算方法.

3)SVM分類(檢測): 詳見4.2節的分析.

圖1　AD-ICMP-SDN的系統流程圖

4　實驗與結果分析

4.1實驗方案

4.1.1實驗環境設置

我們利用NetFPGA開發板搭建實際的SDN網絡,實驗網絡的拓撲由105個節點和386條鏈路組成.其中包括5臺OpenFlow交換機和100臺主機,100臺主機分布于5個子網,分別與五臺OpenFlow 交換機進行連接.

4.1.2實驗數據集

本文利用人工擬合流量進行測試,流量由3種成分構成: 正常流量、高斯噪音流量和異常流量.整個模擬實驗運行190個周期,每個周期流量注入的時間為20秒.

正常流量的產生: 內容的請求過程服從泊松過程,亦即,請求的間隔時間是指數分布; 用戶的訪問模式遵循Zipf分布.就是說,如果用Pr{Ck}表示第k級受歡迎程度的內容被請求到的概率,那么它遵循以下規律: Pr{Ck}∝k^(-α),α就稱為是Zipf 參數(Zipf parameter (α)),本文中α=0.7.

本文的異常檢測目標有兩種: 端口掃描和SYN Flood,其注入正常流量的過程為: 從第140到160個周期,每隔2個周期注入一次端口掃描攻擊,持續時間5秒; 第170到190周期,每隔3個周期注入SYN flood攻擊,持續時間8秒.

端口掃描是一種重要的攻擊,通常具有如下特征:

1)流的數量劇增,其中大部分有相同的源地址.

2)大量失敗響應,多數掃描請求會失敗,導致大量的如TCP RST、ICMP目的地不可達等響應.

上述特征分別在4.2.1、4.2.2和4.2.4節的實驗結果中得到驗證.

SYN Flood導致目的路由器為那些偽造源主機建立了大量的連接隊列,并且由于沒有收到ACK需要一直維護著它們,造成了資源的大量消耗而不能向正常請求提供服務,最后甚至導致路由器崩潰.服務器要等待超時(Time Out)才能回收已分配的資源.

上述特征分別在4.2.2、4.2.3節的實驗結果中得到驗證.

4.1.3實驗設計

本文分別利用ICMP流量中的源/目的IP地址的熵; ICMP報文類型的熵; 傳輸層四種協議TCP/UDP/ICMP/GRE的熵; ICMP流量的比例等來進行異常檢測.

同時,在SVM參數設置方面,一次實驗中只改變核函數和超平面計算方法兩個參數中一個,另一個保持默認設置.其中核函數包括: 線性核函數Linear,二次核函數quadratic,多項式核函數polynomial,高斯徑向基核函數RBF.超平面計算方法包括: 二次規劃方法QP,序列最小優化算法SMO,最小二乘法LS.

本文采用如下性能指標評估實驗結果:

1)準確率: 異常被檢測為異常的概率;

2)誤報率: 正常被檢測為異常的概率.

4.2實驗結果

4.2.1ICMP流量中源/目的IP地址的熵

在流量中,基于IP地址可以將主機之間的連接關系分為以下四種:

CC: Concentrated origin and concentrated destination (1對1);

CD: Concentrated origin and dispersed destination(1對多);

DC: Dispersed origin and concentrated destination(多對1);

DD: Dispersed origin and dispersed destination (多對多).

在正常流量下,四種情況的比例會保持相對穩定: 1)如果是CD突然增加,表示服務器已經被攻陷,其需要向各個請求服務的主機發布無法服務的ICMP報文,如,端口不可達、目的地址不可達等.2)如果是DC突然增加,表示服務器正在被攻擊.如在DDoS攻擊模式下,攻擊者雇傭很多主機假裝向服務器發出了服務請求,服務器向這些主機發出了響應.但這些主機可能會向服務器報告ICMP差錯報文,如,端口不可達、目的地址不可達等.

所以,利用ICMP流量中源/目的IP地址的熵檢測異常的思路如下:

1)由于攻擊的存在,IP地址池的規模會變大,也更加分散一些,導致熵的變化.

2)IP地址空間中源地址和目的地址的映射關系會發生變化.

下面,本節分別從源IP地址、目的IP地址兩個方面進行分析.

①ICMP流量報文源IP地址的熵

對于不同SVM核函數和超平面計算方法,基于ICMP流量報文源IP地址熵的SVM分類結果如圖 2所示.我們看到,利用核函數的映射作用,對異常和正常樣本實現了非線性可分.

圖2　不同SVM核函數和超平面計算方法下的分類結果

對于不同的SVM核函數和超平面計算方法,利用ICMP流量報文源IP地址的熵進行異常檢測結果如圖3所示.我們可以看到,在超平面計算方法都為QP的情況下,多項式核函數polynomial展現了更好的性能,檢測的準確率達到了95%,而誤報率只有1.7%.而對于使用相同核函數Linear來說,兩種超平面計算方法的準確率幾乎一樣,而SMO的誤報率稍微低一些.

圖3　ICMP流量中源IP地址的熵

②ICMP流量報文目的IP地址的熵

對于不同的SVM核函數和超平面計算方法,利用ICMP流量報文目的IP地址的熵進行異常檢測的結果如圖 4所示.我們可以看到,在超平面計算方法都為QP的情況下,多項式核函數polynomial展現了更好的性能,檢測的準確率達到了98.5%,而誤報率只有1.9%.

對于使用相同的核函數Linear來說,超平面計算方法LS的準確率稍微高一點點,達到78%,而兩種超平面計算方法的誤報率幾乎一樣.

圖4　ICMP流量中目的IP地址的熵

4.2.2ICMP報文類型的熵

ICMP報文的主要類型有兩種,即ICMP差錯報告報文和ICMP詢問報文.

ICMP差錯報告報主要分為5種類型: 目的地不可達(Destination unreachable),源點抑制(Source quench),更改路由(Redirect),超過生存時間(TTL exceeded),參數問題(Parameter problem).

ICMP詢問報文主要分為4種類型: 回送響應(Echo Reply),回送請求(Echo Request),時間戳請求(Timestamp Request),時間戳應答(Timestamp Reply).

所以,利用ICMP報文類型的熵進行異常檢測的基本思路如下: 正常的情況下,ICMP流量中各個類型報文的比例相對穩定.如果網絡發生了故障或者受到攻擊,某些類型報文的數量將會增加,這樣就會引起該比例的變化,其熵值從而也會發生變化.我們可從ICMP各類型報文比例的熵值來檢測網絡是否出現異常.

圖5　ICMP報文類型的熵的異常變化

上述分析可從如圖 5所示的實驗結果得到驗證: 在2800秒之前,ICMP報文類型的熵值一直維持在2.25～2.38之間,而當從140周期(2800秒)開始注入端口掃描攻擊開始的,其熵值明顯地減小.其原因正是由端口掃描引起的目的地不可達ICMP報文在整體中的比例增加,使得熵值減小,從170周期開始的SYN Flood會導致服務器無法為正常用戶提供TCP連接服務,端口不可達ICMP報文數量則會激增,也會使得熵值減小.因此,我們以ICMP報文類型的熵值是否在2.25～2.38區間來判斷網絡是否發生異常.

不同SVM參數下的實驗結果如圖 6所示,我們可以看到,在超平面計算方法都為QP的情況下,多項式核函數的檢測準確率為76%,而線性核函數為60%.對于使用相同核函數Linear來說,將超平面算法修改為SMO和LS,它們的檢測準確率分別為76%和68%.

圖6　ICMP報文類型的熵

4.2.3傳輸層協議的熵

傳輸層主要包括TCP 、UDP、ICMP、GRE等四種協議.在正常的網絡中,TCP協議數量最大,一般都會占到80%以上,而ICMP一般維持在0.18%左右[13].而當網絡中發生故障時,或者受到攻擊,ICMP報文的數量將會增加.UDP協議是一種面向非連接的數據報,發生UDP風暴攻擊時,該協議的出現概率也會提高.在正常的情況下,這四種協議的比例都是比較穩定的,但由于TCP占比很大,所以他們的熵值比較穩定也比較小.當出現網絡異?；蚬魰r,四種協議出現的概率會表現出異常,我們可以通過熵值的變化發現異常.

圖7　傳輸層協議的熵的異常變化

上述分析可從如圖 7所示實驗結果得到驗證: 與圖 5相對應的是,在2800秒之前,傳輸層協議的熵值一直維持在0.55～0.6的正常區間,而從2800秒開始注入端口掃描以及SYN Flood攻擊后,由于攻擊導致的ICMP報文數量的快速增加,其比例從0.18上升到1.5%以上,那么整體熵值也就快速地增加.因此,我們以傳輸層協議的熵值是否在0.55～0.6區間來判斷網絡是否發生異常.

不同SVM參數下的實驗結果如圖 8所示,通過觀察,我們可以得到如下結論:

1)默認設置下的結果(Linear,QP),檢測準確率是61%,誤報率是5.1%.

2)使用二次核函數(quadratic,QP),檢測準確率大大上升,達到96%,誤報率只有2.7%.

3)使用多項式核函數(polynomial,QP),檢測準確率是78%,誤報率是4.9%.

4)使用高斯徑向基核函數(RBF,QP),檢測準確率是84%,誤報率4%.

5)使用序列最小優化超平面算法(Linear,SMO),準確率是71%,誤報率是3.9%.

6)使用最小二乘算法(Linear,LS),使用LS算法后,準確率是65%,誤報率是3.7%.

圖8　傳輸層協議的熵

4.2.4ICMP流量的比例

熵值只是描述變量的平均消息量,是一個衡量各成分相對比例的參數.如果出現以下情況: ICMP協議出現的概率增加至接近正常TCP出現的概率,而TCP的概率下降到對應正常情況的ICMP協議概率,那么整體熵值將不會發生變化,仍然是正常的熵值.但是實際上,網絡已經受到了攻擊.如前所述,ICMP流量正常情況下的比例一直維持在0.18%左右,當異常時,其比例會激增.所以,我們通過分析ICMP報文在整個流量中比例變化,來發現網絡異常.不同SVM參數下的實驗結果如圖 9所示.

圖9　ICMP流量的比例

5　結論

本文使用SVM的分類方法,通過分析ICMP報文的地址空間的熵特征,ICMP中各類型報文比例的熵,TCP/ICMP/UDP/GRE四種協議的出現比例的熵,ICMP在整個流量中的比例變化等四個指標的變化,進行網絡異常檢測.實驗結果表明,利用上述指標分析來判斷網絡異常的表現較好.

SDN是未來互聯網架構演進的主要方向,其控制與數據相分離的思想極大地方便了網絡管理.在此架構下,還有很多有意義的工作可以做,如流量控制、流量平衡、防火墻設計等.同時,我們未來將對不同的網絡異常數據采用不同的核函數和超平面計算方法,以進一步提高網絡異常檢測機制的精確性.

參考文獻

1Chandola V,Banerjee A,Kumar V.Anomaly detection: A survey.ACM Computing Surveys (CSUR),2009,41(3): 15.

2?z?elik ?,Brooks R R.Deceiving entropy based DoS detection.Computers & Security,2014,9091(6): 1–7.

3Open Networking Fundation.SDN.https://www.opennetworking.org [2013-8-3].

4Tootoonchian A,Ghobadi M,Ganjali Y.OpenTM: Traffic matrix estimator for OpenFlow networks.Passive and Active Measurement.Springer Berlin Heidelberg,2010: 201–210.

5Jose L,Yu M,Rexford J.Online measurement of large traffic aggregates on commodity switches.Proc.of the USENIX HotICE workshop.2011.

6Braga R,Mota E,Passito A.Lightweight DDoS flooding attack detection using NOX/OpenFlow.2010 IEEE 35th Conference on Local Computer Networks (LCN).IEEE,2010.408–415.

7Mehdi SA,Khalid J,Khayam SA.Revisiting traffic anomaly detection using software defined networking.Recent Advances in Intrusion Detection.Springer Berlin Heidelberg,2011: 161–180.

8Giotis K,Argyropoulos C,Androulidakis G.Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments.Computer Networks,2014,62: 122–136.

9Zhang Y.An adaptive flow counting method for anomaly detection in SDN.Proc.of the Ninth ACM Conference on Emerging Networking Experiments and Technologies.ACM.2013.25–30.

10劉文懋,裘曉峰,陳鵬程,等.面向SDN環境的軟件定義安全架構.計算機科學與探索,2015,9(1): 63–70.Liu WM,Qiu XF,Chen PC,et al.SDN oriented softwaredefined security architecture.Journal of Frontiers of Computer Science & Technology,2015,9(1): 63–70.

11Jun JH,Ahn CW,Kim SH.DDos attack detection by using packet sampling and flow features.Proc.of the 29th Annual ACM Symposium on Applied Computing.New York,USA.2014.

12Gao M,Wang N.A network intrusion detection method based on improved k-means algorithm.Advanced Science and Technology Letters,2014,53(3): 429–433.

13Nox Repository Website.http://www.noxrepo.org/.

14Liu WX,Yan YE.Self-similarity and heavy-tail of ICMP traffic.Journal of Computers,2012,7(12): 2948–2954.

15鄭黎明,鄒鵬,賈焰,等.網絡流量異常檢測中分類器的提取與訓練方法研究.計算機學報,2012,35(4):719–730.Zhang LM,Zhou P,Jia Y,et al.How to extract and train the classifier in traffic anomaly detection system.Chinese Journal of Computers,2012,35(4): 719–730.

16Calvert KI,Doar MB,Zegura EW.Modeling internet topology.Communications Magazine,IEEE,1997,35(6): 160–163.

Anomaly Detection Method Based on ICMP Traffic for SDN

SHI Zhen-Hua1,LIU Wai-Xi2,Yang Jia-Ye2
1(Information Engineering Institute,Shaoxing Vocational & Technical College,Shaoxing 312000,China)
2(Department of Electronic and Information Engineering,Guangzhou University,Guangzhou 510006,China)

Abstract:ICMP (Internet Control Message Protocol)provides a good way to observe the status of network in real time.When the network is in fault or is attacked,the percent of ICMP traffic and the percent of packet type in ICMP characteristics will change.Since the control plane in Software-Defined Networking (SDN)can observe ICMP traffic,and the value of ICMP traffic is also small,this paper proposes a lightweight anomaly detection system based on SVM classification method to improve the accuracy and real-time performance of anomaly detection system.We name it as AD-ICMP-SDN (Anomaly Detection Method based on ICMP Traffic for SDN).The experiment results have shown that AD-ICMP-SDN can effectively improve the accuracy rate and false rate.

Key words:SDN; anomaly detection; support vector machine; ICMP

基金項目:①浙江省教育廳科研項目(Y201534903);廣東省自然科學基金(2014A030310349,2014A030313637);2014年大學生創新訓練項目

收稿時間:2015-08-30;收到修改稿時間:2015-10-14