SDN環境中基于Bi-LSTM的DDoS攻擊檢測方案*

白堅鏡，顧瑞春，劉清河

(內蒙古科技大學信息工程學院，內蒙古 包頭 014010)

1 引言

隨著 5G的推廣應用和物聯網產業的快速發展，萬物互聯已成為技術發展和產業應用的必然趨勢[1]。軟件定義網絡SDN(Software Defined Network)憑借其靈活的網絡配置、強大的網絡編程接口等優點[2]成為5G時代網絡發展的趨勢。但是，這種集中式的管理方式使得SDN控制器成為分布式拒絕服務DDoS(Distributed Denial of Service)攻擊的薄弱環節。

據騰訊安全和綠盟科技團隊聯合發布的2021上半年全球DDoS威脅報告[3]，隨著云計算、大數據以及5G的快速普及，DDoS攻擊已經連續4年呈高速增長的態勢。報告統計，僅在2021年上半年就發生了8起大型DDoS攻擊事件。由此可見，在大流量前提下實現DDoS攻擊的檢測與緩解是非常有必要的。

基于機器學習的DDoS攻擊檢測和基于閾值的DDoS攻擊檢測是目前SDN網絡中最常用的2種DDoS攻擊檢測方法[4]。但是，這2種檢測方法容易受流量特征大小等因素的影響，可能會產生一定程度的誤報。現有的研究已經開始將深度學習運用到DDoS攻擊檢測方面。作為當前熱門研究方向之一，深度學習在大數據時代針對海量數據進行分析運算的能力上限很高，能夠有效提高檢測的準確率。

因此，深度學習也是本文檢測方法的首選。基于長短期記憶LSTM(Long Short-Term Memory)網絡在檢測時可以兼顧全局信息這一特點，本文選擇以LSTM網絡為基礎構建檢測方案。考慮到5G背景下超高流量會帶來更為嚴重的DDoS攻擊威脅，本文在檢測之前加入了攻擊緩解環節，將邊緣計算的思想融入檢測模型中，利用邊緣設備對數據流進行分流，緩解網絡壓力，在邊緣設備利用訓練好的小型神經網絡模型進行攻擊檢測。該方案保證了檢測的準確率，有效保護了5G時代大數據沖擊下的網絡安全。

2 研究現狀

近年來，許多研究人員針對DDoS攻擊檢測進行了深入的研究。Fang等人[5]研究總結了基于域名系統DNS(Domain Name System)的DDoS攻擊檢測和防御方法，深入了解了基于DNS的DDoS攻擊，分析和總結了攻擊的特點和防御方法，并且討論了攻擊的分類，進一步拓展了對DDoS攻擊的認識，從檢測和容量增強的角度分析了目前的研究成果，且認為未來的研究重點應該放在物聯網的DDoS攻擊上。Erha等人[6]提出了一種基于統計學方法的DDoS攻擊檢測方案，并提出了2種簡單有效的基于網絡的和基于統計信號處理的DDoS攻擊檢測方法，最終達到了98%的真陽性率和0.34%的假陽性率。其中，第1種方法是按時間間隔劃分初始數據集并使用K-means算法進行攻擊檢測，在受到DDoS攻擊時發出警報；第2種方法利用了高斯和總體監管框架等常用于攻擊和流量建模領域的假設檢驗，對窗口向量進行了唯一的量綱化，當DDoS攻擊進入窗口時，窗口將被攻擊中斷，以此達到檢測目的。Tayfour等人[7]提出了SDN中DDoS的檢測和緩解方法，該方法由分類器模塊、緩解模塊和協作模塊組成。使用集成的分類器檢測DDoS攻擊，在NSL-KDD(New SampLing-Knowledge Discovery in Database)等數據集上[8]驗證了分類器的有效性，并用實驗結果證明所提方法性能優于單一分類法的，誤報率較低。還有較多研究人員對DDoS的檢測和緩解進行了大量研究，如Yu等人[9,10]討論了檢測和緩解DDoS攻擊的無效性，并創新性地提出了一種自動化工具，該工具可以利用機器學習根據流量的行為特征調整檢測和緩解；Cui等人[11]使用認知啟發算法和支持向量機SVM(Support Vector Machine)分類算法實現了DDoS攻擊檢測，但檢測的準確性還需進一步提升。

萬物互聯的網絡環境帶來了數以億計的數據，且隨著技術發展，發起DDoS攻擊的方式變得越來越自動化[12]。在這種場景下，發起DDoS攻擊成本低，但造成的危害極大。目前的相關方案未能很好地契合5G發展浪潮，未能兼顧到SDN網絡中遭受DDoS攻擊時網絡保護和檢測精度。在SDN中，控制平面是DDos攻擊的薄弱一環，在數據包到達控制平面前，數據包是在數據平面上轉發的，數據平面由許多SDN交換機構成，而這些交換機多數均具有獨立CPU，且這些CPU的算力并未得到充分利用[13]。如果能利用這些交換機的空閑算力，將龐大的DDoS攻擊流量分散，在各個交換機上逐個擊破，不但能加快檢測速度，還能有效保持網絡的穩定，使SDN網絡在DDoS攻擊流的沖擊下免遭崩盤。

在前期部分研究工作的啟發下，基于以上思考，結合目前較新的深度學習方法并引入邊緣計算，本文提出了一種基于雙向長短期記憶Bi-LSTM(Bidirectional-Long Short Term Memory)神經網絡的DDoS攻擊檢測方案。該方案充分利用SDN網絡中交換機的空閑算力，通過在交換機上部署輕量級神經網絡完成DDoS攻擊檢測。綜合考慮對SDN網絡的保護和DDoS攻擊檢測的準確性等因素，該方案兼顧了DDoS攻擊的檢測與緩解。本文的具體工作如下：

(1)提出一種輕量級分布式邊緣計算架構OCM(Only Care Myself)，使得交換機的分流算法設計簡單化且分流更有效率。在算力有限的邊緣交換機設備上部署基于Bi-LSTM的輕量級神經網絡完成DDoS攻擊檢測，兼顧檢測精度和檢測速率；

(2)將SDN網絡中的數據平面交換機作為邊緣設備，利用它們的空閑算力對龐大的DDoS攻擊流進行分流處理，減輕控制器壓力，緩解DDoS攻擊；

(3)同時考慮SDN網絡中DDoS攻擊的緩解與檢測，提升網絡的安全性與可用性。

本文其余部分組織如下：第3節詳細介紹本文提出的方案；第4節進行實驗并評估，包括數據集處理、模型性能評價指標的選擇以及實驗結果；第5節是本文的結論。

3 基于Bi-LSTM的檢測方案

如上所述，DDoS攻擊是當前網絡世界最重要的安全威脅之一，它利用大量被攻擊主機對攻擊對象發起協同攻擊。在SDN網絡中，DDoS攻擊的主要目標是控制器，其目的是使SDN網絡出現單點故障SPF(Single Point of Failure)[14]，此時控制器與數據平面失去聯系，無法為轉發的數據包提供服務，整個SDN網絡也就隨之陷入癱瘓狀態。

針對SDN控制平面集中管理易造成單點故障這一特性，首要考慮在數據流到達SDN控制器前對數據流進行處理，在保證網絡安全的前提下對數據流進行DDoS攻擊檢測。SDN交換機通過流表進行數據流的轉發操作且擁有一定的計算能力，在數據流到達控制器前可以作為很好的分流工具用以緩解DDoS攻擊。通過對DDoS攻擊特點和SDN網絡結構進行分析，本文所提方案的攻擊緩解和檢測機制為：當DDoS攻擊流進入SDN網絡時，利用交換機對攻擊流不斷進行分流，減輕網絡壓力，并對分流后的數據流進行分析處理，甄別是否為攻擊流，方案流程圖如圖1所示。該方案充分利用了SDN交換機的空閑算力，避免SDN網絡中出現單點故障從而導致網絡不可用的情況。

Figure 1 Flowchart of the proposed scheme 圖1 本文所提方案流程圖

本文基于Bi-LSTM構建神經網絡模型對DDoS攻擊進行檢測，使用的數據量較為龐大，檢測準確率比較客觀，但模型訓練時耗時較長無法避免。在實際應用中，DDoS攻擊檢測需要達到較高的檢測準確性，同時還需兼顧檢測效率。以此為啟發，本文對進入網絡的數據流進行分流，以保證攻擊檢測的速度，在分流后數據量不影響檢測準確率的前提下利用訓練好的模型進行DDoS攻擊檢測，該檢測模型示意圖如圖2所示。

Figure 2 Schematic diagram of detection model圖2 檢測模型示意圖

當DDoS攻擊流進入圖示SDN網絡中的某一個交換機時，數據流流經的每個交換機都僅截留部分流量以供檢測。攻擊流根據轉發規則被轉發至沿途的其余交換機上，直至攻擊流被消化完為止，這樣就在實現緩解DDoS攻擊目的的同時給每個交換機分配好了檢測任務。在各個交換機上部署的基于Bi-LSTM的神經網絡模型將對該交換機截留的數據流進行攻擊檢測。

3.1 數據分流

本文所提的DDoS攻擊檢測方案立足于SDN環境，利用Mininet[15]搭建拓撲結構，選擇RYU控制器[16]對交換機進行調度，交換機根據控制器下發的轉發規則將超過自身算力的部分數據流轉發至其他有空閑算力的交換機上，從而實現對攻擊流的分流。

圖3所示為本文搭建的實驗網絡拓撲。該網絡拓撲中共包含1個RYU控制器、8個OF(OpenFlow)交換機和12個終端主機h1～h12。該實驗網絡拓撲的搭建基于Ubuntu 18.04.2、網絡模擬器版本為Mininet 2，且使用RYU控制器。RYU是一種SDN控制器框架，為軟件組件提供了良好的應用程序編程接口API(Application Programming Interface)，方便開發人員創建和管理網絡和應用程序[17]。RYU支持多種管理協議，如OpenFlow、Netconf和OF-config等。本文采用OpenFlow協議，即使用應用較為廣泛的OpenFlow交換機，RYU SDN框架(即使用RYU控制器的SDN網絡)如圖4所示。

Figure 3 Experimental network topology圖3 實驗網絡拓撲

Figure 4 Framework of RYU SDN 圖4 RYU SDN框架圖

SDN控制器依賴SDN環境的控制平面[15]，可以通過下發命令來制定交換機的轉發規則。本文借助SDN控制器的這一關鍵功能，實現對攻擊流的分流操作，其偽代碼如算法1所示。

算法1攻擊流分流

輸入：DDoS攻擊流。

輸出：超過自身計算能力的多余流量(第i個交換機)。

Step1攻擊流I進入第i個交換機；

Step2ifIi>Ti

Step3Ni→Ni+1;

Step4Ii+1=Ii-ai;

Step5返回Step 2;/*交換機將超出閾值的部分攻擊流轉發至下一個交換機*/

Step6else該交換機進入檢測階段。

算法1中，I為進入第i個交換機的初始攻擊流；Ii為流經第i個交換機的剩余攻擊流；Ti為第i個交換機算力閾值(該閾值小于算力極限，以免出現突發狀況導致交換機無法工作)；Ni為第i個交換機；ai為第i個交換機截留的流量大小。

數據分流部分僅考慮在SDN網絡中實現交換機之間的攻擊流傳遞，每個交換機都執行同樣的轉發規則：根據自身算力將超出閾值的部分流量轉發至其他交換機，每個交換機只需關心自身算力情況。本文將該架構稱為OCM，為實現OCM架構，在實際應用中本文在邊緣設備中添加了一個信號量來標志該交換機當前是否有空閑算力，只有在該交換機無空閑算力時才進行轉發，也就是說，本文的分流方案僅在正常轉發流量之前增加了判斷信號量狀態這一步驟。

3.2 攻擊檢測

進行攻擊檢測前，首先將標簽“Attack”設置為0，將“Normal”設置為1，便于神經網絡進行運算。然后對攻擊流量進行特征提取并對提取到的特征進行轉換，得到一個m×n′矩陣，其中,m表示數據包的數量，n′表示轉換后新特征的數量。為了學習長期和短期模式，本文使用滑動窗口來分離連續數據包，并將數據重塑為一系列窗口大小為T的時間窗口。整理后得到了一個(m-T)×T×n′的三維矩陣,如圖5所示。通過這種方式，將傳統的基于數據包的特征轉換為基于窗口的特征，利用這種特征可以從以前的(T-1)個數據包和當前數據包中學習網絡模式。

Figure 5 Schematic diagram of time window圖5 時間窗口示意圖

考慮到交換機的算力有限，本文搭建的神經網絡模型只有3個隱含層，第1層為Bi-LSTM結構,后2層均為傳統神經網絡結構，模型結構如圖6所示。模型中第1個隱含層神經元為LSTM結構，由2個不相關的LSTM組成(即Bi-LSTM)，分別從向前和向后2個方向進行檢測。LSTM解決了循環神經網絡RNN(Recurrent Neural Network)的梯度消失和梯度爆炸問題，其隱含節點增加了細胞狀態和門結構，可以有選擇地記憶重要信息，遺忘無價值信息，從而提高效率，且在長記憶方面有更好的表現。圖7所示為LSTM的內部結構。

Figure 6 Structure of neural network model圖6 神經網絡模型結構

Figure 7 Internal structure of LSTM圖7 LSTM內部結構示意

LSTM向前訓練過程如式(1)～式(5)所示：

ft=σ(Wf·[ht-1,xt]+bf)

(1)

it=σ(Wf·[ht-1,xt]+bi)

(2)

Ct=ft×Ct-1+it×tanh(WC·[ht-1,xt]+bC)

(3)

ot=σ(Wo·[ht-1,xt]+bo)

(4)

ht=ot×tanh(Ct)

(5)

其中,t表示時刻，it，ot和ft分別表示輸入門、輸出門和遺忘門的輸出值；Ct和ht分別表示每個細胞的狀態和輸出；W*和b*分別表示權重矩陣和偏差向量,σ表示Sigmoid函數。

Figure 8 Structure diagram of Bi-LSTM圖8 Bi-LSTM結構示意圖

yt的計算方法如式(6)～式(8)所示：

(6)

(7)

(8)

其中,W*和b*分別訓練階段學習到的權重矩陣和偏差向量。

4 實驗與結果分析

4.1 數據集與特征選擇

本文采用ISCX(Information Security Centre of eXcellence)的入侵檢測數據集ISCXIDS2012[18]對提出的檢測模型進行測試和評估。網絡中的大部分數據流通過傳輸控制協議TCP(Transmission Control Protocol)傳輸[19]，在數據集中TCP流量是不可或缺的,ISCXIDS2012數據集引入了一種生成所需數據集的系統方法來滿足這一需求。該數據集是基于配置文件的概念生成的，配置文件包含對應用程序、協議或較低級別網絡實體的入侵和抽象分布模型的詳細描述。數據集分析真實跟蹤以創建代理的配置文件。這些代理為超文本傳輸協議HTTP(Hyper Text Transfer Protocol)、簡單郵件傳輸協議SMTP(Simple Mail Transfer Protocol)、TCP、用戶數據報協議UDP(User Datagram Protocol)、生成樹協議STP(Spanning Tree Protocol)、互聯網分組交換協議IPX(Internet Packet eXchange protocol)、地址解析協議ARP(Address Resolution Protocol)、簡單網絡管理協議SNMP(Simple Network Management Protocol)、安全外殼協議SSH(Secure SHell)、因特網消息訪問協議IMAP(Internet Message Access Protocol)、郵局協議版本POP3(Post Office Protocol - Version 3)、文件傳輸協議FTP(File Transfer Protocol)和Internet控制報文協議ICMP(Internet Control Message Protocol)等協議生成真實流量[20]。

ISCXIDS2012數據集來自加拿大網絡安全研究所，由標記的網絡跟蹤組成，包括 pcap 格式的完整數據包有效載荷以及相關配置文件，可供研究人員公開使用，是目前使用較為廣泛的入侵檢測數據集之一。該數據集包含 7 天正常和惡意的網絡活動，數據樣本量大。在神經網絡研究中，數據量的大小一定程度上決定了檢測的準確性，因此本文選定該數據集來進行實驗。該數據集的流量構成如表1所示。ISCXIDS2012數據集下載地址為：https://www.unb.ca/cic/datasets/ids.html。

Table 1 Dataset traffic composition表1 數據集流量構成

ISCXIDS2012數據集包含“frame.len”“frame.protocols”“ip.hdr_len”“ip.len”和“ip.flags.rb”等29個特征值，需要刪除數據集中無法用于模型訓練的特征并對數據集進行一定的預處理，然后才能輸入神經網絡進行訓練和測試。本文使用drop()函數刪除數據集中不需要的特征，使用StandardScaler類計算訓練集上的平均值和標準差，并對后續測試集中的數據采用與訓練集相同的變換。計算平均值以及標準差后，使用fit_transform()函數對數據集進行擬合和標準化(歸一化)。在訓練和測試集的選擇方面，選擇20%數據集作為測試集，80%數據集作為訓練集。

4.2 模型性能評價指標

本文實驗采用準確率Acc(Accuracy)、損失率loss、查準率P(Precesion)和查全率R(Recall)等常見性能評價指標衡量Bi-LSTM模型的預測效果，這些評價指標的計算公式如式(9)～式(12)所示：

(9)

(10)

(11)

(12)

Acc表示正確區分正常流量和攻擊流量在總流量中的占比；P表示真實攻擊流量在被判斷為攻擊流量中的占比；R表示被判斷為攻擊流量在真實攻擊流量中的占比。在得到查準率P和查全率R后，本文引入F1值，它表示查準率和查全率的調和平均數，其計算如式(13)所示：

(13)

4.3 實驗結果

由于數據分流模塊僅考慮數據轉發分流問題，因此本文使用hping3工具和iPerf3工具分別生成正常流量和攻擊流量進行數據轉發分流實驗，并將正常轉發耗時與加入OCM架構后的轉發耗時進行了對比，發現兩者耗時一致，但都增加了信號量的判斷，耗時定然有所增加。為了直觀表達兩者的細微差距以及OCM架構在5G網絡中應用的合理性，本文在一臺家用4K智能電視上對該判斷語句進行了1千萬次循環操作。該設備操作系統為Android 5.1，內存容量為2 GB，可以作為在5G網絡萬物互聯情形下完成本文所提方案的邊緣設備。表2所示為該設備在不同狀態下的1千萬次循環耗時，每種狀態進行3組實驗。

Table 2 Experiment time 表2 實驗耗時 ms

由表2可知，該設備不同狀態下1千萬次循環操作的平均耗時僅為0.032 5 s，可以預見增加判斷語句的耗時微乎其微。也就是說，加入OCM架構前后的一次轉發耗時基本一致，證明該架構可以在正常轉發基礎上以極低的代價完成數據的分流，從而達到緩解DDoS攻擊的目的。

為了驗證所提檢測模型的有效性，本文經過120次epoch得出訓練集和測試集的準確率Acc和損失率loss,分別如圖9和圖10所示。從圖中可以看出，在經過120次epoch后，訓練集和測試集已經趨近穩定且有較高的準確率和較低的損失率，訓練集最終達到了99.9%的準確率和0.3%的損失率，測試集則達到了99.8%的準確率和0.74%的損失率。

Figure 9 Accuracies on train set & test set 圖9 訓練集&測試集上的準確率

Figure 10 Loss rates on train set & test set 圖10 訓練集&測試集上的損失率

同時，本文通過預測計算了TP、FP、FN和TN值，其中，TP為239 303；FP為320；FN為633；TN為239 740。根據以上數據給出混淆矩陣的熱圖表示，如圖11所示(預測集包含6 479 996個數據)。并利用TP、FP、FN和TN值，計算了本文所提檢測方案的查準率P、查全率R和F1值，并將本文提出的檢測方案與其他檢測方案進行了比較，如RF-SVM[21]、XGBoost[22]、KNN、RNN和LSTM，比較結果如表3所示。通過表3可以明顯看出，本文方案在查準率、查全率和F1值方面都有較好的表現，優于其他對比方案。

Figure 11 Confusion matrix heat map圖11 混淆矩陣熱圖

Table 3 Comparison of different schemes表3 不同方案的比較 %

由于本文提出的檢測模型要部署于各個邊緣節點(即SDN交換機)，考慮到交換機的算力有限，數據量不宜過大，因此從數據集中隨機抽取萬分之五的數據(包含的數據量為1 200個)進行實驗。由于每次隨機抽取的數據各不相同，本文進行了10次隨機取樣，使用訓練好的模型進行測試，計算了這10次測試的準確率、查準率和查全率，對10次檢測結果計算平均值并與抽樣前檢測結果進行對比，對比結果如圖12所示。通過圖12可以看出，本文提出的檢測模型在數據量減小后檢測效果僅有小幅下降，依然可以保證在邊緣節點進行DDoS攻擊檢測的正確率。此外，本文對10次檢測進行了程序運行速度的監測，發現可以在0.091～0.120 s內完成1 200個數據的檢測工作。由此可以看出本文提出的模型不僅在正確率方面有保證，同時也保證了在邊緣節點進行攻擊檢測的效率。

Figure 12 Comparison of effects before and after sampling inspection圖12 抽樣檢測前后效果對比圖

5 結束語

本文提出的基于Bi-LSTM的DDoS攻擊檢測方案，利用LSTM模型的長期記憶特性規避了RNN模型的缺點，使用2個獨立的反向LSTM模型組合成為Bi-LSTM模型，將此模型作為整個神經網絡模型的第1層，在ISCXIDS2012數據集上實現了對DDoS檢測的高準確率和低損失率，并在對比實驗中證明了這一點。此外，本文提出了一種在邊緣節點完成DDoS攻擊檢測的方案，創新性地提出一種輕量級分布式邊緣計算架構(OCM)，在正常轉發基礎上以極低的時間損耗完成對數據的分流操作，在邊緣交換機上部署基于Bi-LSTM的輕量級神經網絡模型，利用各個SDN交換機的空閑算力在SDN網絡的外圍將DDoS攻擊消弭于無形之中。實驗結果表明，本文構建的基于Bi-LSTM的攻擊檢測模型在DDoS攻擊檢測方面切實可行，且考慮到邊緣節點算力問題，該模型在低數據量情形下也有不錯的表現。在后續的研究中，將對分流部分和檢測部分進一步完善，將這2部分更好地融合，完成分流和檢測的連貫操作，進一步提高該模型的整體可用性。