SDN環境下基于改進D-S理論的DDoS攻擊檢測①

王 聰, 崔允賀, 高鴻峰

(貴州大學 計算機科學與技術學院, 貴陽 550025)

作為一種新型的網絡架構, SDN實現了集中式控制和可編程的特點, 解耦了控制層面和轉發層面, 使得大型網絡管理更為便捷[1–4]. 但是, SDN的轉發與控制分離的特點可能使得交換機和控制器易成為高速和低速分布式拒絕服務攻擊的目標[5].

在SDN環境中, 針對交換機和控制器的高速和低速DDoS攻擊是多分類的問題. 在SDN環境下, 如何準確地識別多種不同攻擊類型仍是一個較為嚴峻的問題. 現如今, 針對低速率和高速率DDoS攻擊問題, 研究者提出了一些方法, 用于檢測低速DDoS和高速DDoS攻擊[6–8]. 文獻[9]提出了基于粒子群優化卷積神經的模型, 并將其用于檢測高速率DDoS攻擊. 文獻[10]提出了一種基于信息距離度量檢測低速率DDoS攻擊.信息距離度量指標可以量化網絡流量在不同概率分布下的偏差, 基于SDN網絡流的特性, 該文獻使用廣義熵的度量方法用于檢測控制層的低速率DDoS攻擊.

D-S證據理論是一種處理不確定信息并且實現多分類器融合的有力工具, 被廣泛地用在模式識別、圖像處理、風險評估、目標分類等領域[11]. 文獻[12]中, 作者結合了云模型和改進D-S證據理論, 提出了一種新的沖突參數并用于改進D-S證據理論算法, 該算法通過對探測器的證據進行修正實現多個證據最終融合. 文獻[13]中, 研究者提出了一種基于不一致測量的沖突證據組合方法, 該方法引入了新的沖突系數對沖突證據進行修正, 并通過改進的組合規則獲得最終的融合結果. 文獻[14]中, 作者結合了希爾伯特-黃變換和傳統D-S理論用于檢測傳統網絡中DDoS攻擊. 文獻[15]中, 研究者使用傳統的D-S證據理論算法用于檢測傳統網絡中DDoS攻擊. 文獻[16]中, 研究者使用證據間距離改進D-S證據理論, 并使用SVM模型結合改進D-S證據理論算法用于檢測網絡中DDoS攻擊.

在處理多分類器融合的過程中, 使用D-S證據理論可能會使得的融合的結果不夠充分. 為了解決這一問題, 一些研究者提出修改Dempster規則方法, 主要用于解決沖突分配和管理的問題[17–19]. 另外, 一些研究者則是通過改進基本信念分配解決上述問題, 具體改進方法是通過對不可靠的證據源進行預處理, 將經過預處理后的證據與Dempster規則進行最終的融合. 本文更傾向于第2類研究者改進D-S證據理論算法的思想. 目前, 部分研究者提出的基于D-S證據理論的DDoS攻擊檢測方法大多數只適用于解決傳統網絡下DDoS攻擊安全問題. 本質上講, 該問題屬于二分類問題. 此外, 一些研究者只使用分類器的結果作為D-S基本信念分配函數(basic probability assignment, BPA), 且只使用簡單的統計學方法直接對分類器結果進行權重的重新分配, 這種方式容易導致DDoS檢測精度降低.

基于上述分析, 為防范SDN中高速和低速DDoS攻擊, 本文提出一種SDN環境下針對控制器和交換機的多目標DDoS攻擊檢測方法. 首先, 為了更精確的檢測SDN環境下多種不同種類的DDoS攻擊, 本文使用OVO策略融合多種不同類型的二分類器構建多分類器. 其次, 為了使BPA有效的代表網絡流量的初始概率分布, 代替多數研究者使用分類器的結果直接作為BPA, 本文使用OVO策略融合多個二分類器至多分類器, 結合得到二分類器的支持度與信息熵方法構建BPA. 最后, 為了更全面的衡量D-S證據間的沖突, 本文提出兩種新的沖突因子包含離散因子和純度因子用于衡量D-S證據源之間的沖突. 其中, 離散因子是通過使用OVO策略融合多個二分類器至多分類器時支持相同類別的非零概率值之間的熵值計算得到. 純度因子是指計算使用OVO策略融合多個二分類器至多分類器后, 該多分類器內部之間支持度的Gini指數得到.之后, 結合離散因子和純度因子計算多個證據源的權重. 最后, 利用D-S證據理論對調整權重后的證據進行最終的融合. 綜上, 本文的主要貢獻如下.

(1) 為了更精確的檢測SDN網絡中DDoS攻擊,本文提出一種SDN環境下針對控制器和交換機的多目標DDoS攻擊檢測方法.

(2) 本文使用OVO策略融合多種不同類型的二分類器構建多分類器, 且二分類器的支持度與信息熵方法結合計算得到BPA.

(3) 為了更好地衡量證據內部和證據之間的沖突,本文提出兩種新的沖突因子包含離散因子和純度因子,用于修正D-S證據理論的證據.

本論文的結構組織如下. 第1節介紹了相關背景技術知識. 第2節介紹了本文提出的基于改進D-S理論的DDoS攻擊檢測方法. 第3節通過實驗分析和結果證實本文提出的方法具有較好的效果. 第4節對本文提出方法進行了總結.

1 背景

本小節分為兩個部分: 第1部分講述了DDoS攻擊相關背景知識, 第2部分講述了D-S證據理論算法相關知識.

1.1 SDN環境下DDoS和LDDoS攻擊

SDN實現了控制層與轉發層的解耦, 具有集中式控制和可編程性等特點, 然而SDN的控制層和轉發層也都面臨著一些安全問題, 例如DDoS攻擊等[20].

在SDN中, 以控制器為目標的攻擊者通過持續向目標主機發送新的數據包對控制器發起攻擊. 攻擊者發送的數據包將與交換機中的流表進行匹配, 如果數據包匹配成功, 則流表相應動作將會被執行. 否則, 交換機將向控制器發送packet_in消息. 在這種攻擊方式中, 攻擊者將發送大量無法與流表匹配的數據包, 使控制器處理大量packet_in消息, 導致控制器單點故障.

此外, 以交換機為目標的攻擊者將向交換機發送新的數據包. 同時在idle_time時間內將持續發送與第一個數據包頭部相同的數據包, 保持相關流表項一直存在交換機中. 通過持續重復這個過程, 交換機的流表項空間將被惡意無用的流表項占滿, 導致正常的流表項在到達交換機時被丟棄.

羅茨風機的缺點為噪聲明顯，如不加以對其噪聲進行控制，其噪聲可達10～130 dB.本次設計使用的羅茨風機有幾個部位產生噪聲[9]：1）進出氣口產生的空氣動力性噪聲；2）電機自身、電機與機殼、軸與軸承之間在工作過程中因小幅度的相對運動產生的機械噪聲；3）其他基礎振動.

以交換機和控制器為攻擊目標, 其攻擊發起方式主要分為兩種類型, 即DDoS攻擊以及LDDoS攻擊.DDoS攻擊是通過偽造IP地址持續不斷地向攻擊目標發送大量攻擊流量, 而LDDoS攻擊則是通過調整發送攻擊的周期、攻擊流量持續的時間和發送攻擊流量的速率達到降低控制器和交換機服務質量的目的.

1.2 D-S證據理論

在多源數據融合中, 具有不精確推理特點的DS證據理論是一種較有優勢的技術. 目前, D-S證據理論已被廣泛運用在模式識別、圖像處理、多類目標分類和模式分類等領域.

D-S證據理論建立在集合框架 ?基礎之上, 框架?包括了對應問題的所有結果的集合.

定義1. 假設? = {A1,A2,···,AN}是包含所有結果的集合框架, 基本信度分配函數m被定義為從集合框架? 中的冪集2?到概率區間[0, 1]的映射函數,m(A)為A的BPA,A為框架2?的任一子集,m(A)＞0的集合則為焦元, 反映了在該證據下命題A的可信程度, 具體計算如式(1)所示.

定義2. Dempster合成法則如式(2)所示. 其中,n為證據數量,j為第j個證據,N為假設的數量,k為第k個假設,K為合成公式中[0, 1]范圍內多個證據之間的沖突系數,m1⊕m2⊕···⊕mn為證據之間的內積和.

2 SDN環境下基于改進D-S理論算法檢測DDoS攻擊機制

2.1 設計原理

SDN網絡具有轉發層和控制層分離的特點使其具備傳統網絡不能比擬的優勢, 同時也可能使得SDN中控制層和轉發層遭受不同類型的DDoS攻擊. 針對SDN中不同類型的DDoS攻擊, 本文提出一種SDN環境下基于改進D-S理論的DDoS攻擊檢測方法. 該方法提出的兩個因子包含離散因子和純度因子, 用于衡量證據內部和證據之間的沖突和關聯, 以此修正DS理論算法的證據沖突. 離散因子是指在使用OVO策略進行二分類器融合成一個多分類器的過程中, 相同類別的非零支持度之間的熵值. 純度因子指不純度與1之間的差異絕對值. 不純度是指每個多分類器內部不同類別的支持度之間的Gini指數. 當Gini指數越高時,則表示多分類器內部不同類別之間的支持度分布不純度越高, 則分類差異越為突出. 本文使用兩個因子用于修正多分類器輸出的結果, 使用D-S證據理論方法融合修正后的輸出結果得到最終的分類結果. 檢測方法整體架構圖具體如圖1所示.

圖1 檢測方法整體架構圖

2.2 離散因子

當OVO策略融合多個二分類器為一個多分類器過程時, 多個二分類器相同類別的非零支持度之間的離散程度影響該多分類器的分類效果. 相同類別非零支持度之間的離散因子越大, 則表示該多分類器效果越好.

本文通過M個二分類器使用OVO策略融合成一個多分類器. 此處,M=N×(N–1)/2,N指N–1種網絡攻擊流量和正常網絡流量. 其中, 網絡攻擊流量包含了針對控制器和交換機的高速DDoS攻擊和低速DDoS攻擊. 本文通過式(3)、式(4)和式(5)計算Oi并得到BPA, 并通過式(6)和式(7)計算得到離散因子.

2.3 純度因子

2.4 D-S證據理論融合

在計算離散因子和純度因子后, 結合兩個因子將得到證據的權重. 通過式(10)和式(11)融合兩個因子計算得到證據最終的權重, ρ的區間屬于[0, 1].

2.5 算法實現

SDN環境下基于改進D-S理論算法檢測DDoS攻擊算法具體如算法1所示.

算法1中, 首先調用RYU控制器提供的北向接口獲取交換機與控制器交互的OpenFlow消息和流表項.隨后計算packert_inrate,byte_rate和paket_rate等特征. 將計算后的流表項特征記為Feature_x, 并作為二分類器的輸入, 按樣本類別順序依次訓練M個基分類器, 包含(Oi,1,2,Oi,1,3, · ··,Oi,3,4,Oi,4,5,i=1, 2, 3). 在本文中,M=10,N=5. 訓練完不同的基分類器后, 本文將10個基分類器的輸出構建成一個10×5的矩陣φ; 得到矩陣φ 后, 通過式(4), 式(5)和式(6)計算得到多分類器Oi, 式(7)和式(8)計算獲得第i個多分類器分類類別為j的離散因子Dis(mi) ; 在得到多分類器Oi后, 式(9)和式(10)計算多分類器Oi內部之間的純度因子Pure(mi); 使用式(11)和式(12)結合離散因子和純度因子得到最終調整權重后的多分類器分類結果, 獲得最終的DDoS攻擊檢測結果.

算法1. 改進D-S證據理論檢測算法Feature_x=packert_in rate, byte_rate, paket_rate←M, N 5, 10 φ←BPA, [], []For i in N do Oi =Binary_base(Feature_x)For j in M do φ Oi.append()τji=(Oj i,1,2,Oji,1,3,Oji,1,4,...,Oji,3,4,Oji,4,5)Dis(mi) j i=Dis_calculate()mi=Oi=∑10 i=1τji∑5j=1∑10 i=1τji O1i,O2i,O3i,O4i,O5i)=(mi BPA.append()End End For i in BPA do mi BPAi Pure() =Pure_calculate( )End Dis,Pure R=Dempster_fusion( )

3 實驗分析

本節對提出的算法進行了實驗驗證及分析. 在本節中, 所提方法被命名為DFDoS-DS. 實驗評估中, 通過比較精度、準確率、召回率、F-score值和混淆矩陣等指標, 本節對比了文獻[13]和文獻[17]的算法.其中, 文獻[13]和文獻[17]的算法分別被命名為Ensemble-DS和SVM-DS.

3.1 實驗設置

實驗中, 本文在配置i5的CPU的計算機上運行Mininet 2.2.2軟件用于生成如圖2所示的網絡拓撲. 此外, 本文將RYU 4.9.1作為SDN中的控制器. 本文通過設置帶外模式使用Mininet軟件搭建網絡拓撲并連接RYU控制器. 根據相關研究工作[21–24], 本文按如下方式生成該網絡中的背景流量: 背景流量由不同協議組成, 其中TCP協議占比80%, UDP協議占比15%,ICMP協議占比5%. 同時, 背景流量中數據包的大小和速率服從泊松分布. 此外, 本文使用了兩種攻擊方式:(1)攻擊者將通過泛洪的方式發起高速DDoS攻擊,(2)攻擊者通過控制(T,L,R)參數以周期性的方式發起低速LDDoS攻擊, 其中,T是發起攻擊周期,L是發起攻擊持續脈沖長度,R是發起攻擊速率[25,26].

圖2 實驗網絡拓撲圖

3.2 實驗評估

本節對比了DFDoS-DS算法和Ensemble-DS算法以及SVM-DS算法的有效性. 在表1中, 本文通過混淆矩陣、精度、準確率、召回率以及F-score值對比DFDoS-DS算法、Ensemble-DS算法和SVM-DS算法.圖3、圖4和圖5是DFDoS-DS算法, Ensemble-DS算法和SVM-DS算法的混淆矩陣. 在混淆矩陣指標中, 混淆矩陣中的y軸表示樣本的真實分類值,x軸則表示樣本的預測分類值.

圖3 SVM-DS算法混淆矩陣

圖4 DFDoS-DS算法混淆矩陣

圖5 Ensemble-DS算法混淆矩陣

表1 準確率、精度、召回率和F-score對比(%)

如表1所示, DFDoS-DS算法的準確率、精度召回率和F-score達到了97%、97%、98%和98%, 同時, SVM-DS的精度、準確率、召回率和F-score是62%、64%、65%和57%. 與SVM-DS比較了精度、準確率、召回率和F-score, DFDoS-DS算法增加了56%、51%、51%和72%. 同時, 相比Ensemble-DS,DFDoS-DS算法的上述指標分別增加了2%、4%、2%和3%.

4 結論

本文提出了一種SDN環境下基于改進D-S理論的DDoS攻擊檢測方法. 在改進D-S證據理論算法中,本文設計了離散因子和純度因子, 用于衡量D-S證據理論中證據源之間的沖突: 離散因子通過支持相同類別的支持度之間的熵值計算得到; 純度因子是指多分類器內部的不同類別之間的支持度的Gini指數. 最后,本文結合兩種因子調整D-S證據源, 并通過Dempster規則融合得到最終的分類結果. 本文對別了DFDoSDS算法和Ensemble-DS算法以及SVM-DS算法, 實驗結果證明本文提出的方法取得較為優異的結果.