面向鏈路洪泛攻擊的多維檢測與動(dòng)態(tài)防御方法

王洋，湯光明，雷程，韓冬

面向鏈路洪泛攻擊的多維檢測與動(dòng)態(tài)防御方法

王洋，湯光明，雷程，韓冬

（信息工程大學(xué)，河南 鄭州 450001）

針對現(xiàn)有鏈路洪泛攻擊檢測存在的不足，提出了多維指標(biāo)檢測算法，通過會(huì)話連接時(shí)長、數(shù)據(jù)分組低速比例、數(shù)據(jù)分組距離均勻性、平均低速率數(shù)據(jù)分組占比、低速數(shù)據(jù)分組占比變化率5維要素對存在異常的轉(zhuǎn)發(fā)鏈路進(jìn)行多維檢測，改善了現(xiàn)有方法誤報(bào)率高的情況。進(jìn)一步，提出基于染色理論的“控制器?交換機(jī)”動(dòng)態(tài)部署方法，解決了現(xiàn)有防御緩解機(jī)制存在的“難以實(shí)際部署在交換機(jī)變體類型受限的實(shí)際環(huán)境中”問題。最后，實(shí)驗(yàn)驗(yàn)證所提方法的有效性。

鏈路洪泛攻擊；多維檢測；動(dòng)態(tài)部署；軟件定義網(wǎng)絡(luò)

1 引言

在信息時(shí)代，網(wǎng)絡(luò)應(yīng)用與服務(wù)日漸滲入人們生活的方方面面，如電子政務(wù)、在線金融、網(wǎng)絡(luò)購物等。互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)張、網(wǎng)絡(luò)應(yīng)用的急劇增加，要求網(wǎng)絡(luò)架構(gòu)有更高的可靠性、擴(kuò)展性、開放性、靈活性和管控性。軟件定義網(wǎng)絡(luò)（SDN，software defined network）應(yīng)運(yùn)而生，是滿足上述互聯(lián)網(wǎng)需求的新型網(wǎng)絡(luò)架構(gòu)[1]。其核心思想在于通過數(shù)據(jù)與控制平面的分離，借助統(tǒng)一、廠商無關(guān)的控制與數(shù)據(jù)平面開放接口構(gòu)建和呈現(xiàn)邏輯的全網(wǎng)視圖，完成網(wǎng)絡(luò)分片和底層網(wǎng)絡(luò)的虛擬化，從而為形式各異的網(wǎng)絡(luò)應(yīng)用提供靈活的承載服務(wù)。

在人們對網(wǎng)絡(luò)的依賴不斷增強(qiáng)的同時(shí)，黑客能從中獲取的利益也越來越大，他們在利益驅(qū)使下不斷進(jìn)行網(wǎng)絡(luò)滲透、信息竊取及搗毀等各類網(wǎng)絡(luò)攻擊，對軍隊(duì)、企業(yè)乃至國家造成嚴(yán)重威脅。隨著攻擊技術(shù)不斷更新，鏈路洪泛攻擊（LFA，link flooding attack）作為一種新型的間接式DDoS（distributed denial of service）攻擊，一經(jīng)提出就引起了社會(huì)各界的廣泛關(guān)注。不同于傳統(tǒng)DDoS攻擊以消耗目標(biāo)服務(wù)器資源為目的，鏈路洪泛攻擊旨在泛洪特定網(wǎng)絡(luò)鏈路，阻止用戶訪問某個(gè)重要網(wǎng)絡(luò)服務(wù)，間接破壞依賴這些鏈路的網(wǎng)絡(luò)服務(wù)。鏈路洪泛攻擊的實(shí)施策略相比普通DDoS攻擊更加復(fù)雜且隱蔽性更高，其使用合法流量或低速流量對目標(biāo)鏈路實(shí)施攻擊，使網(wǎng)絡(luò)防御機(jī)制無法進(jìn)行有效應(yīng)對。該種攻擊可阻斷SDN數(shù)據(jù)層中關(guān)鍵服務(wù)節(jié)點(diǎn)與其他端節(jié)點(diǎn)的連通關(guān)系，從而造成關(guān)鍵服務(wù)節(jié)點(diǎn)無法提供服務(wù)的結(jié)果，從而間接達(dá)到破壞數(shù)據(jù)層服務(wù)的目的。

為了有效檢測鏈路洪泛攻擊并緩解它所帶來的影響，本文提出了一種面向鏈路洪泛攻擊的多維檢測與基于染色理論的“控制器?交換機(jī)”動(dòng)態(tài)部署方法。通過多維指標(biāo)實(shí)現(xiàn)對鏈路洪泛攻擊的敏感發(fā)現(xiàn)與準(zhǔn)確定位，從而提高檢測鏈路洪泛攻擊的準(zhǔn)確性；同時(shí)，利用染色理論實(shí)現(xiàn)對異構(gòu)交換機(jī)的高效部署，在異構(gòu)交換機(jī)類型有限的條件下最大限度提高SDN網(wǎng)絡(luò)的不確定性，以此提高鏈路防洪攻擊的難度。

2 相關(guān)工作

目前，有兩類主流的鏈路洪泛攻擊。Studer等[2]首次提出一種名為“The coremelt attack”的鏈路洪泛攻擊，給出了coremelt攻擊的一般原理與過程，更進(jìn)一步地，Kang等[3]首次提出一種名為“The crossfire attack”的鏈路洪泛攻擊，給出了crossfire攻擊的一般原理與過程。針對鏈路洪泛攻擊的檢測與防御，學(xué)者做了大量探索，取得了一定成果。Xue等[4]提出LinkScope架構(gòu)，該架構(gòu)由拓?fù)浞治瞿K、非合作路徑測量模塊、偵測引擎和定位模塊組成。能持續(xù)測量目標(biāo)區(qū)域路徑的分組丟失率、往返時(shí)間（RTT，round trip time）、連接失敗率等參數(shù)監(jiān)控是否出現(xiàn)異常，一旦發(fā)現(xiàn)路徑性能下降，則采用端到端逐跳技術(shù)捕獲異常鏈路來檢測鏈路洪泛攻擊，并向用戶發(fā)出攻擊告警和診斷信息。Lee等[5]在自治域?qū)用嫜芯苛薱rossfire攻擊，強(qiáng)調(diào)了自治域之間的協(xié)同合作對最終防御效果的影響，同時(shí)使用修改后的路由器，可將低速攻擊流從合法流量中檢測出來，保護(hù)合法流量。Kang等[6]使用SDN流量工程，臨時(shí)增加目標(biāo)鏈路的邏輯帶寬，迫使攻擊者增加攻擊成本，從而使攻擊隱蔽性減弱。Kim等[7]提出軟件定義蜜罐技術(shù)，引誘Traceroute數(shù)據(jù)分組進(jìn)入蜜網(wǎng)，這樣攻擊者收集的是通往蜜網(wǎng)的鏈路，保護(hù)真正的網(wǎng)絡(luò)服務(wù)鏈路不被攻擊者探測到。國內(nèi)學(xué)者劉世輝等[8]提出一種名為LFA Defender的鏈路洪泛攻擊防御架構(gòu)，利用SDN全局視圖、流回溯功能以及網(wǎng)絡(luò)虛擬化的彈性部署特性檢測和緩解鏈路洪泛攻擊。針對低速鏈路洪泛攻擊流不易從背景流量中識(shí)別出來的難題，Misra等[9]調(diào)查了幾種強(qiáng)化學(xué)習(xí)算法在挖掘攻擊行為時(shí)空特征方面的性能，最終發(fā)現(xiàn)自編碼卷積神經(jīng)網(wǎng)絡(luò)和長短期記憶網(wǎng)絡(luò)在檢測處于預(yù)熱期的鏈路洪泛攻擊時(shí)有較好表現(xiàn)。Liaskos等[10]提出一種新型架構(gòu)，從攻守雙方的角度對分布式鏈路洪泛攻擊Crossfire和Coremelt進(jìn)行數(shù)學(xué)建模與分析，基于深度學(xué)習(xí)提出一種輕量級(jí)的檢測程序，并將其與現(xiàn)有的流量工程模型結(jié)合，最后通過統(tǒng)計(jì)學(xué)分析指出網(wǎng)絡(luò)拓?fù)鋵W(xué)能夠影響攻擊檢測的效率。Aydeger等[11]提出一種基于SDN的移動(dòng)目標(biāo)防御技術(shù)來緩解鏈路洪泛攻擊，利用SDN控制層擁有網(wǎng)絡(luò)全局視野的能力分析traceroute分組轉(zhuǎn)發(fā)行為，提前鎖定潛在目標(biāo)鏈路，并不斷變換數(shù)據(jù)分組傳輸路徑避開潛在的目標(biāo)鏈路。Liaskos等[12]則將攻防雙方交互的行為模型進(jìn)行描述，通過嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)證明指出拓?fù)鋵W(xué)的運(yùn)用能夠影響Crossfire攻擊的檢測效率，分析一個(gè)拓?fù)渲袧撛诘墓裟繕?biāo)并提供全局式的直接檢測算法。Crossfire攻擊因其不依賴于僵尸主機(jī)所處位置信息，在攻擊發(fā)起前可以靈活指定不同的鏈路集合以達(dá)到避免引起警報(bào)的目的，相比于 Coremelt攻擊更具威脅性。因此本文主要研究Crossfire型鏈路洪泛攻擊。

針對以上分析可知：1) 由于鏈路泛洪具有隱蔽的特性，現(xiàn)有研究中防御檢測的指標(biāo)較為單一，造成現(xiàn)有檢測方法無法準(zhǔn)確分析存在的威脅并定位存在異常的鏈路，易出現(xiàn)較高的漏報(bào)率或誤報(bào)率；2) 由于SDN中交換機(jī)類型變體的數(shù)量有限，現(xiàn)有研究中防御機(jī)制的部署需要豐富的資源，因此現(xiàn)有防御方法難以實(shí)際部署在交換機(jī)變體類型受限的真實(shí)環(huán)境中。

3 整體架構(gòu)設(shè)計(jì)

面向鏈路洪泛攻擊的多維檢測與動(dòng)態(tài)部署方法整體架構(gòu)如圖1所示，它由鏈路監(jiān)聽模塊、多維檢測模塊和動(dòng)態(tài)部署模塊3部分組成，具體如下。

圖1 面向鏈路洪泛攻擊的多維檢測與動(dòng)態(tài)部署方法整體架構(gòu)

1) 鏈路監(jiān)聽模塊直接連接到數(shù)據(jù)平面與控制平面之間的鏈路，它將一直檢測鏈路并感知可能存在的鏈路擁塞，一旦發(fā)現(xiàn)擁塞出現(xiàn)，則將預(yù)警信息發(fā)送給多維檢測模塊。

2) 多維檢測模塊在接收到預(yù)警信息后，首先對發(fā)生擁塞的鏈路進(jìn)行定位和判斷，若發(fā)生擁塞的鏈路存在構(gòu)成閉合環(huán)路的可能，則對發(fā)生擁塞的鏈路進(jìn)行檢測。由于鏈路洪泛攻擊具有攻擊數(shù)據(jù)速率低、攻擊源高度分布式等特性，因此多維檢測模塊在利用基于閾值的ICMP超時(shí)報(bào)文檢測的基礎(chǔ)上，依據(jù)設(shè)計(jì)的多維指標(biāo)檢測算法，通過會(huì)話連接時(shí)長、數(shù)據(jù)分組低速比例、數(shù)據(jù)分組距離均勻性、平均低速率數(shù)據(jù)分組占比、低速數(shù)據(jù)分組占比變化率5維要素對存在異常的轉(zhuǎn)發(fā)鏈路進(jìn)行多維檢測。當(dāng)多維檢測模塊檢測到鏈路洪泛攻擊后，將檢測信息發(fā)送給動(dòng)態(tài)部署模塊。

3) 染色理論動(dòng)態(tài)部署模塊在接收到多維檢測模塊發(fā)送的檢測信息后對控制器?交換機(jī)的連接關(guān)系進(jìn)行遷移。與此同時(shí)，為提高SDN的安全性，動(dòng)態(tài)部署模塊充分發(fā)揮異構(gòu)控制器的優(yōu)勢，利用基于染色原理的動(dòng)態(tài)部署算法最大化防御的有效性。首先根據(jù)染色分布模型推導(dǎo)出染色分布算法，然后利用染色分布算法對交換機(jī)的多變體進(jìn)行節(jié)點(diǎn)“著色”，最后將變體分發(fā)至SDN轉(zhuǎn)發(fā)節(jié)點(diǎn)。

4 多維指標(biāo)檢測方法

Crossfire攻擊被認(rèn)為是目前最具技巧的DDoS攻擊，因?yàn)樗脭?shù)以千計(jì)的僵尸節(jié)點(diǎn)，且每個(gè)僵尸節(jié)點(diǎn)都發(fā)送低速率攻擊流以模仿正常用戶。然而，盡管這些攻擊流可以繞過各種基于行為的檢測方法，但正是由于攻擊者從數(shù)以千計(jì)的僵尸節(jié)點(diǎn)向目標(biāo)節(jié)點(diǎn)或者誘騙主機(jī)發(fā)起了數(shù)百萬的追蹤探測器，導(dǎo)致其獨(dú)一無二的網(wǎng)絡(luò)空間探測行為。在偵測階段，攻擊者通過每個(gè)僵尸主機(jī)向目的節(jié)點(diǎn)（目標(biāo)節(jié)點(diǎn)或者誘騙服務(wù)器）發(fā)送多個(gè)追蹤探測報(bào)文。每個(gè)僵尸主機(jī)通過向所有目標(biāo)節(jié)點(diǎn)發(fā)送探測報(bào)文來獲取其可以利用的目標(biāo)節(jié)點(diǎn)和誘騙服務(wù)器間的共享鏈路。這個(gè)過程有2個(gè)鮮明特征的行為：

1) 數(shù)以千計(jì)的探測報(bào)文在某個(gè)時(shí)間段從相同的源節(jié)點(diǎn)發(fā)送出來；

2) 每個(gè)目的節(jié)點(diǎn)將在一段時(shí)間內(nèi)被數(shù)以千計(jì)的端用戶（僵尸節(jié)點(diǎn)）探測。

由于正常用戶同樣會(huì)追蹤服務(wù)器，并且網(wǎng)絡(luò)空間管理員也將追蹤作為診斷工具，因此，區(qū)分正常用戶與惡意敵手的關(guān)鍵在于：正常用戶不會(huì)發(fā)送大量的探測報(bào)文給目的節(jié)點(diǎn)，并且不會(huì)發(fā)送大量的探測報(bào)文。管理員所用的源節(jié)點(diǎn)可以被剔除，因?yàn)槠浒l(fā)送的探測報(bào)文是源于可信的IP地址。

假設(shè)總有一個(gè)正常周期，該周期內(nèi)只有正常用戶的探測行為。在這個(gè)時(shí)間內(nèi)，網(wǎng)絡(luò)空間管理員可以計(jì)算正常探測的頻率，從而作為以上參數(shù)的閾值。在本文的探測技術(shù)中，正常閾值計(jì)算如下。

在此基礎(chǔ)上，利用前文所述方法，通過會(huì)話長度（CL，connection length）、數(shù)據(jù)分組低速比例（LPR，low packet rate）、數(shù)據(jù)分組距離均勻性（PDU，packet distance uniformity）、平均低速率數(shù)據(jù)分組占比（LMPR，low mean packet rate）、低速數(shù)據(jù)分組占比變化率（LPRV，low packet rate variance）5維要素對存在異常的轉(zhuǎn)發(fā)鏈路進(jìn)行多維檢測，從而提高檢測的準(zhǔn)確性，具體如下。

1) 會(huì)話長度：在鏈路洪泛攻擊中，惡意敵手通過增加會(huì)話的持續(xù)時(shí)間，從而達(dá)到占用鏈路帶寬的目的，因此會(huì)話長度是測量會(huì)話持續(xù)時(shí)間的基本方法。

2) 數(shù)據(jù)分組低速比例：數(shù)據(jù)分組速率是指第一個(gè)數(shù)據(jù)分組到達(dá)目標(biāo)服務(wù)器的時(shí)間間隔。由于鏈路洪泛攻擊為了增加隱蔽性，其發(fā)送的數(shù)據(jù)分組具有低速率的特性。另外，正常用戶為了提高服務(wù)質(zhì)量，通常保持一定的傳輸速率。因此，數(shù)據(jù)分組中的低速比率可以作為衡量該會(huì)話是否為鏈路洪泛攻擊的關(guān)鍵。

3) 數(shù)據(jù)分組距離均勻性：數(shù)據(jù)分組距離是指數(shù)據(jù)分組之間的時(shí)間間隔。由于實(shí)際網(wǎng)絡(luò)中網(wǎng)絡(luò)資源的利用率不同，正常用戶數(shù)據(jù)分組分組的距離各不相同；然而鏈路洪泛攻擊的數(shù)據(jù)分組由于是通過攻擊腳本刻意發(fā)出的，因此數(shù)據(jù)分組的距離是相同的。為了減少檢測所需的負(fù)載，檢測過程中僅考慮連續(xù)3個(gè)數(shù)據(jù)分組的距離，即2個(gè)連續(xù)分組之間的分組距離。

4) 平均低速率數(shù)據(jù)分組占比：實(shí)踐表明，與正常用戶相比，鏈路洪泛攻擊發(fā)起的會(huì)話連接平均速率更高，因此它可以作為評(píng)判指標(biāo)之一。

5) 低速數(shù)據(jù)分組占比變化率：與正常用戶相比，鏈路洪泛攻擊的數(shù)據(jù)分組是定期生成的，且其平均數(shù)據(jù)分組速率更為一致，因此它的低速數(shù)據(jù)分組占比變化率更小。

由于以上的檢測指標(biāo)是在網(wǎng)絡(luò)層上進(jìn)行的分析，因此其計(jì)算復(fù)雜度和存儲(chǔ)需求較小，可以實(shí)現(xiàn)在SDN中的檢測分析。

圖2 SDN網(wǎng)絡(luò)節(jié)點(diǎn)抽象

5 基于染色理論的動(dòng)態(tài)部署算法

為了增加惡意敵手再次發(fā)起攻擊的難度，在選取重新構(gòu)建拓?fù)鋾r(shí)，本文試圖通過部署異構(gòu)交換機(jī)增加網(wǎng)絡(luò)的動(dòng)態(tài)性。而染色理論的優(yōu)勢在于，隨著時(shí)間推移，染色體會(huì)發(fā)生突變和組合，形成多元染色體，從而提高SDN的安全性。

在SDN中，控制器通常按照分域結(jié)構(gòu)進(jìn)行部署，每個(gè)域內(nèi)網(wǎng)絡(luò)由獨(dú)立的一個(gè)或者一組控制器負(fù)責(zé)管理，該控制器（組）負(fù)責(zé)該子網(wǎng)交換機(jī)的管理、流表推送等。核心控制器（組）負(fù)責(zé)管理各個(gè)域內(nèi)的控制器。需要指出的是，當(dāng)按照控制器組進(jìn)行管理時(shí)，組內(nèi)僅有一個(gè)Master控制器，當(dāng)該控制器出現(xiàn)故障時(shí)，組內(nèi)按照選舉算法選取出下一個(gè)Master控制器接管網(wǎng)絡(luò)。因此，為了簡化描述，后續(xù)按照一個(gè)域內(nèi)僅有一個(gè)控制器進(jìn)行描述，如圖2(a)所示。

由于SDN具有資源有限的特性，因此首要問題是解決如何利用有限的異構(gòu)交換機(jī)實(shí)現(xiàn)最優(yōu)動(dòng)態(tài)部署，最大化交換機(jī)的多樣性。以此提高鏈路洪泛攻擊的難度。

染色分布模型作用于圖結(jié)構(gòu)中的節(jié)點(diǎn)，因此需要對SDN進(jìn)行圖形化抽象。圖2(a)所示為簡化SDN，由控制器（C）和交換機(jī)（S）組成，其中，控制器按照分域結(jié)構(gòu)連接，交換機(jī)按照圖結(jié)構(gòu)連接。因此，映射到如圖2(b)所示的抽象結(jié)果，控制器則是樹形結(jié)構(gòu)，交換機(jī)仍然是圖結(jié)構(gòu)。本文的染色模型是指交換機(jī)染色模型。

即關(guān)節(jié)點(diǎn)的染色與該子圖內(nèi)的其他節(jié)點(diǎn)不同。

在對SDN控制器和交換機(jī)節(jié)點(diǎn)進(jìn)行染色時(shí)，由于控制器和交換機(jī)構(gòu)成的拓?fù)漕愋筒煌虼怂惴ㄐ枰紫葟木W(wǎng)絡(luò)拓?fù)鋱D中提取控制器和交換機(jī)的拓?fù)鋱D，然后采用不同的染色算法。算法1為控制器和交換機(jī)子圖提取算法Topology Abstract，該算法利用圖的廣度優(yōu)先算法遍歷網(wǎng)絡(luò)拓?fù)鋱D，在遍歷過程中分別提取控制器和交換機(jī)子圖。

算法1 控制器和交換機(jī)子圖提取算法TopologyAbstract

輸入 鄰接表表示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖=(,)，其中，=||

輸出 存儲(chǔ)交換機(jī)子圖

Process：

1) initialization

for (=0;<; ++) then

visited[]=FALSE

end for

InitQueue(Q)

InitGraph()//存儲(chǔ)交換機(jī)子圖

2) //使用廣度優(yōu)先算法分別構(gòu)建交換機(jī)組成的子圖

for (=0;<; ++) then

if (!visited[]) then

visited[]=TRUE

TopologyExtract()

EnQueue(Q,)

while (!QueueEmpty(Q))

DeQueue(Q,)

for (=FirstAdjVex(G,);≥0;=NextAdjVex(G,,)) then

if (!visited[]) then

visited[]=TRUE

TopologyExtract ()

EnQueue(Q,)

end if

end for

end if

end for

end for

3) exit

4) voidTopologyExtract ()

if (.== SWITCH) then

AddGraph(,)

end if

end void

算法2為染色分布算法，使用深度優(yōu)先算法對交換機(jī)子圖進(jìn)行遍歷，遍歷過程中對關(guān)節(jié)點(diǎn)進(jìn)行判定，按照交換機(jī)染色分布模型進(jìn)行染色。

算法2 染色分布算法ColorAssignment

輸入 存儲(chǔ)交換機(jī)子圖

輸出 存儲(chǔ)控制器染色分布結(jié)果的數(shù)組[](0≤≤?1)和存儲(chǔ)交換機(jī)染色結(jié)果的數(shù)組[](0≤≤?1)

Process：

1) initialization

[0…?1]←0

[0…?1]←0

Z[0…?1]←0//存儲(chǔ)關(guān)節(jié)點(diǎn)位置

=1

visited[0]=1

for (=1;<.; ++) then

visited[]=0

end for

2) switchColor()

3) exit

4) voidswitchColor()

=.[0].

=->

DFSArticul(,)//從第個(gè)頂點(diǎn)出發(fā)深度優(yōu)先查找關(guān)節(jié)點(diǎn)

if (<.) then

[.[0]]=.//根節(jié)點(diǎn)是關(guān)節(jié)點(diǎn)

while (->)

=->

=->

if (visited[]==0) then

DFSArticul(,)

end if

end while

end if

end void

5) void DFSArticul(,)

visited[]=min=++

for (=.[].;;=->) then

=->

if (visited[]==0) then

DFSArticul(,);

if (low[]

min=low[]

end if

if (low[]>=visited[]) then

[.[]]=.//關(guān)節(jié)點(diǎn)染色相同

else then

[.[]]= (.+1)%//

end if

end if

end for

low[]=min

end void

對于給定的SDN拓?fù)鋱D，算法1和算法2首先執(zhí)行TopologyAbstract，該部分主要是完成染色前的預(yù)處理過程，通過圖的廣度優(yōu)先遍歷算法遍歷拓?fù)渲械乃泄?jié)點(diǎn)。如果是交換機(jī)，則將其加入交換機(jī)拓?fù)鋱D中。在此基礎(chǔ)上，執(zhí)行ColorAssignment算法，該算法完成具體的節(jié)點(diǎn)染色過程，對于交換機(jī)拓?fù)鋱D，由于其呈無向圖結(jié)構(gòu)，因此按照圖的深度優(yōu)先遍歷算法查找圖中所有的關(guān)節(jié)點(diǎn)，保證關(guān)節(jié)點(diǎn)與非關(guān)節(jié)點(diǎn)染上不同顏色即可滿足交換機(jī)染色分布模型。此外，由于交換機(jī)拓?fù)鋱D中可能不存在連通分量為1的關(guān)節(jié)點(diǎn)，但是必然存在連通分量為（為大于1的自然數(shù)）的關(guān)節(jié)點(diǎn)，因此可以修改算法DFSArticul()，使其完成查詢連通分量為的關(guān)節(jié)點(diǎn)。

6 實(shí)驗(yàn)環(huán)境與結(jié)果

本文使用交換機(jī)多變體仿真和攻擊模擬對所提出的面向鏈路洪泛攻擊的多維檢測與動(dòng)態(tài)部署方法的防御能力進(jìn)行測試。其中，實(shí)驗(yàn)測試主要分為鏈路洪泛攻擊檢測實(shí)驗(yàn)和防御緩解實(shí)驗(yàn)。

6.1 實(shí)驗(yàn)環(huán)境構(gòu)建

實(shí)驗(yàn)環(huán)境基于Mininet仿真平臺(tái)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示，其中，12個(gè)實(shí)心點(diǎn)（大）表示Ryu控制器，100個(gè)實(shí)心點(diǎn)（小）表示OVS交換機(jī)，實(shí)線表示控制器之間的連接，虛線表示交換機(jī)與控制器以及交換機(jī)之間的連接。交換機(jī)使用OVS v2.5及其變體，控制器與交換機(jī)均安裝在Ubuntu14.04虛擬機(jī)中。

圖3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

實(shí)驗(yàn)中使用的控制器為Ryu，交換機(jī)為Open vSwitch（OVS），其中，交換機(jī)通過多變體仿真實(shí)現(xiàn)多變體異構(gòu)。選擇Ryu作為控制器一方面是由于Ryu基于Python模塊化開發(fā)，完全開源并且結(jié)構(gòu)相對簡單，與ODL（OpenDaylight）、Floodlight和ONOS相比，更容易獲取和進(jìn)行二次開發(fā)；另一方面是Ryu支持北向REST API的自定義。選擇OVS主要是由于其相對容易通過二級(jí)映射表的方式實(shí)現(xiàn)多變體構(gòu)造。二級(jí)映射表實(shí)現(xiàn)多變體的原理如圖4所示，對于交換機(jī)，通過映射表完成自定義配置轉(zhuǎn)發(fā)命令與OVS配置轉(zhuǎn)發(fā)命令的映射。由于SDN交換機(jī)僅根據(jù)控制器下發(fā)的配置轉(zhuǎn)發(fā)命令完成數(shù)據(jù)分組的轉(zhuǎn)發(fā)，不具備傳統(tǒng)交換機(jī)路由學(xué)習(xí)、最小值支撐樹計(jì)算等能力，因此構(gòu)建不同的映射表即可完成交換機(jī)多變體的構(gòu)建。

圖4 交換機(jī)多變體仿真原理

在實(shí)驗(yàn)中，首先利用本文提出的染色分布模型提取圖3中的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使用5號(hào)節(jié)點(diǎn)作為整個(gè)網(wǎng)絡(luò)的主控制器，與該控制器直接相連的控制器組成其子節(jié)點(diǎn)，依次進(jìn)行。拓?fù)涮崛⊥瓿珊蟀凑誄olorAssignment算法進(jìn)行節(jié)點(diǎn)染色，部署不同交換機(jī)變體。交換機(jī)節(jié)點(diǎn)中預(yù)先安裝存在緩沖區(qū)溢出漏洞的程序，惡意敵手由與1號(hào)節(jié)點(diǎn)相連接的主機(jī)A發(fā)出鏈路洪泛攻擊，然后使用主機(jī)B探測當(dāng)前網(wǎng)絡(luò)的網(wǎng)絡(luò)時(shí)延情況，判斷控制器受鏈路洪泛攻擊的影響程度。測試過程執(zhí)行50次，取各次測試的均值作為最終結(jié)果，測試結(jié)果與分析如下。

6.2 實(shí)驗(yàn)結(jié)果與分析

（1）多維指標(biāo)檢測結(jié)果與分析

如表1所示，現(xiàn)有方法主要采用Renyi熵實(shí)現(xiàn)對鏈路洪泛攻擊的檢測[13]。由于Renyi熵具有較高的敏銳性，因此該方法在正確率達(dá)到94.75%的同時(shí)，誤報(bào)率達(dá)到7.19%。這說明檢測結(jié)果中存在“正常用戶被誤認(rèn)為是鏈路洪泛攻擊”的概率。本文設(shè)計(jì)的多維指標(biāo)檢測算法則在正確率達(dá)到98.58%的同時(shí)極大地降低了誤報(bào)率，相較現(xiàn)有檢測方法降低81.78%。究其原因在于多維指標(biāo)檢測方法通過會(huì)話連接時(shí)長、數(shù)據(jù)分組低速比例、數(shù)據(jù)分組距離均勻性、平均低速率數(shù)據(jù)分組占比、低速數(shù)據(jù)分組占比變化率5個(gè)維度可能被誤判的正常用戶行為進(jìn)行過濾，從而有效提高檢測的準(zhǔn)確率。

（2）鏈路洪泛攻擊緩解結(jié)果與分析

表1 鏈路洪泛攻擊檢測結(jié)果

（3）性能測試

性能測試的目的是確定本文提出的方法對控制器、交換機(jī)的CPU和內(nèi)存開銷的影響，以及對網(wǎng)絡(luò)建立和故障恢復(fù)所需時(shí)長的影響。性能測試結(jié)果如表2所示。①使用面向鏈路洪泛攻擊的多維檢測與動(dòng)態(tài)部署方法后控制器、交換機(jī)的平均CPU和內(nèi)存開銷均增大，這主要是由于控制器需要對網(wǎng)絡(luò)鏈路進(jìn)行多維檢測、交換機(jī)需要實(shí)時(shí)處理并存儲(chǔ)二級(jí)映射表的映射關(guān)系產(chǎn)生額外開銷。由于SDN控制器和交換機(jī)通常部署在X86架構(gòu)廉價(jià)設(shè)備中，因此對CPU和內(nèi)存的開銷可以相對容易地通過擴(kuò)容和擴(kuò)頻等方式解決。②網(wǎng)絡(luò)建立的平均時(shí)長和故障恢復(fù)的平均時(shí)長增大同樣是由于該方法需要檢測鏈路洪泛攻擊、生成變體部署結(jié)果。但是由于網(wǎng)絡(luò)建立和故障恢復(fù)出現(xiàn)的頻率較低，因此對網(wǎng)絡(luò)的整體性能影響不大。③該方法對網(wǎng)絡(luò)平均時(shí)延影響較小。

圖5 變體分布與抵御鏈路洪泛攻擊的關(guān)系

圖6 變體數(shù)目與鏈路洪泛攻擊的關(guān)系

7 結(jié)束語

本文提出了一種面向鏈路洪泛攻擊的多維檢測到與動(dòng)態(tài)防御部署方法，針對現(xiàn)有檢測方法檢測維度單一導(dǎo)致的誤報(bào)率高的問題，提出了一種多維指標(biāo)檢測算法，通過會(huì)話連接時(shí)長、數(shù)據(jù)分組低速比例、數(shù)據(jù)分組距離均勻性、平均低速率數(shù)據(jù)分組占比、低速數(shù)據(jù)分組占比變化率5維要素對存在異常的轉(zhuǎn)發(fā)鏈路進(jìn)行多維檢測，從而提高檢測的準(zhǔn)確性。針對現(xiàn)有防御緩解機(jī)制存在的“難以實(shí)際部署在交換機(jī)變體類型受限的真實(shí)環(huán)境中”問題，運(yùn)用染色理論在異構(gòu)交換機(jī)類型有限的前提下最大化網(wǎng)絡(luò)的異構(gòu)多樣性，從而有效提高對鏈路洪泛攻擊的抵御能力。實(shí)驗(yàn)結(jié)果表明，該方法可以在少量增加網(wǎng)絡(luò)負(fù)載的前提下有效降低鏈路洪泛攻擊的成功率。

表2 性能測試結(jié)果

[1] 譚晶磊, 張紅旗, 雷程, 等. 面向SDN的移動(dòng)目標(biāo)防御技術(shù)研究進(jìn)展[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2018, 4(7): 5-16.

TAN J L, ZHANG H Q, LEI C, et al. Research progress on moving target defense or SDN[J]. Chinese journal of Network and Information Security, 2018, 4(7): 5-16.

[2] STUDER A, PERRIG A. The coremelt attack[C]//European Symposium on Research in Computer Security (ESORICS). 2009: 37-52.

[3] KANG M S, LEE S B. The crossfire attack[C]//IEEE Security and Privacy symposium (SP). 2013: 127-141.

[4] XUE L, LUO Z, CHAN W, et al. Towards detecting target link flooding attack[C]//USENIX Conference. 2014: 81-96.

[5] LEE S B, KANG M S, GLIGOR V D. CoDef: collaborative defense against large-scale link-flooding attacks[C]//ACM CoNEXT. 2013: 417-428.

[6] KANG M S, GLIGOR V D, SEKAR V, et al. SPIFFY: inducing cost-detectability tradeoffs for persistent link-flooding attacks[C]// Network and Distributed System Security Symposium. 2016.

[7] KIM J, SHIN S. Software-defined honeynet: towards mitigating link flooding attacks[C]//IEEE/IFIP International Conference on Dependable Systems and Networks Workshop, IEEE Computer Society. 2017:99-100.

[8] 劉世輝. 基于SDN和NFV的鏈路洪泛攻擊檢測與防御[D]. 武漢: 武漢大學(xué), 2017.

LIU S H. Detecting and mitigating target link-flooding attacks using SDN and NFV[D]. Wuhan：Wuhan University, 2017.

[9] MISRA S, TAN M, REZAZAD M, et al. Early detection of crossfire attacks using deep learning[C]//2017 Deep Learning Security Workshop. 2017.

[10] LIASKOS C, KOTRONIS V, DIMITROPOULOS X. A novel framework for modeling and mitigating distributed link flooding attacks[C]//IEEE International Conference on Computer Communications. 2016.

[11] AYDEGER A, SAPUTRO N, AKKAYA K, et al. Mitigating crossfire attacks using SDN-based moving target defense[C]//IEEE Local Computer Networks. 2016: 627-630.

[12] LIASKOS C, IOANNIDIS S. Network topology effects on the detectability of crossfire attacks[J]. IEEE Transactions on Information Forensics & Security, 2018, (99): 1-1.

[13] 蔡佳曄, 張紅旗, 宋佳良. 基于 Renyi 熵的 Openflow 信道鏈路洪泛攻擊主動(dòng)防御方法[J]. 計(jì)算機(jī)應(yīng)用研究, 2019, 36(6): 1767-1770.

CAI J Y, ZHANG H Q, SONG J L. Active defense method of OpenFlow channel link flooding attack based on Renyi entropy[J]. Application Research of Computers, 2019, 36(6):1767-1770.

Multidimensional detection and dynamic defense method for link flooding attack

WANG Yang, TANG Guangming, LEI Cheng, HAN Dong

Information Engineering University, Zhengzhou 450001, China

Aiming at the shortcomings of the existing link flooding attack defense methods, a multi-dimensional index detection algorithm is proposed, which performs multi-dimensional detection on the abnormal forwarding links through the five-dimensional elements of connection length, low-speed ratio of data packets, uniformity of data packet distance, average low-speed ratio of data packets, and change rate of low-speed ratio of data packets, thus effectively solving the problem of high false alarm rate of the existing detection methods. Furthermore, a controller - switch dynamic deployment method based on coloring theory is proposed, which solves the problem of difficult to be actually deployed in the actual environment with limited switch variant types existing in the existing defense mitigation mechanisms. Experimental analysis show the feasibility of the proposed method.

link flood attack, multidimensional detection, dynamic deployment, software defined network

The National Natural Science Foundation of China (No.61601517)

TP393

A

10.11959/j.issn.2096?109x.2019040

王洋（1985? ），女，陜西西安人，信息工程大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

湯光明（1963? ），女，湖南常德人，信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、信息安全管理、信息隱藏。

雷程（1989? ），男，北京人，信息工程大學(xué)博士生，主要研究方向?yàn)橐苿?dòng)目標(biāo)防御、網(wǎng)絡(luò)流安全交換。

韓冬（1983? ），男，陜西蒲城人，信息工程大學(xué)講師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

2019?03?15；

2019?04?28

王洋，1046149075@qq.com

國家自然科學(xué)基金資助項(xiàng)目（No.61601517）

王洋, 湯光明, 雷程, 等. 面向鏈路洪泛攻擊的多維檢測與動(dòng)態(tài)防御方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2019, 5(4): 80-90.

WANG Y, TANG G M, LEI C, et al. Multidimensional detection and dynamic defense method for link flooding attack[J]. Chinese Journal of Network and Information Security, 2019, 5(4): 80-90.