軟件定義網(wǎng)絡(luò)交換機(jī)DDoS攻擊檢測(cè)方法

劉尚昆

（中央廣播電視總臺(tái) 北京 100859）

0 引言

在信息化、數(shù)字化持續(xù)發(fā)展的大環(huán)境下，網(wǎng)絡(luò)安全已經(jīng)成為重要的技術(shù)前提。分布式拒絕服務(wù)（DDoS）是常見(jiàn)的網(wǎng)絡(luò)攻擊方式，其主要危害是導(dǎo)致網(wǎng)絡(luò)及主機(jī)癱瘓。SDN作為重要的網(wǎng)絡(luò)發(fā)展方向，應(yīng)該提升對(duì)DDoS攻擊的檢測(cè)及防范能力，因而借助算法研究相關(guān)的檢測(cè)技術(shù)。

1 DDoS攻擊檢測(cè)模型

1.1 檢測(cè)模型算法設(shè)計(jì)

研究中利用隨機(jī)森林算法構(gòu)建DDoS攻擊的檢測(cè)模型，該算法能夠生成多個(gè)相互獨(dú)立的決策樹(shù)，利用各個(gè)決策樹(shù)處理DDoS攻擊數(shù)據(jù)，生成每一個(gè)決策樹(shù)的預(yù)測(cè)結(jié)果，根據(jù)預(yù)測(cè)的準(zhǔn)確率進(jìn)行投票，從而確定效果最佳的決策樹(shù)，將其作為DDoS攻擊的預(yù)測(cè)模型。為避免隨機(jī)森林算法受到?jīng)Q策樹(shù)隨機(jī)生成的影響，在算法中增加了選擇性集成模塊，用來(lái)優(yōu)選決策樹(shù)模型，其核心作用是選擇出準(zhǔn)確率最佳的基分類(lèi)器，提高整個(gè)算法模型對(duì)不同類(lèi)別數(shù)據(jù)的檢測(cè)識(shí)別效果。模型優(yōu)選階段需同時(shí)考慮多個(gè)方面的影響因素，除準(zhǔn)確率之外，算法運(yùn)行階段的系統(tǒng)開(kāi)銷(xiāo)、算法的時(shí)間復(fù)雜度也是非常重要的模型評(píng)價(jià)指標(biāo)，以算法的時(shí)間復(fù)雜度為例，其作用為描述算法的運(yùn)行時(shí)長(zhǎng)，過(guò)長(zhǎng)的運(yùn)行時(shí)間不利于實(shí)用。

1.2 數(shù)據(jù)來(lái)源及預(yù)處理

1.2.1 數(shù)據(jù)來(lái)源

算法模型的訓(xùn)練和檢驗(yàn)需要一定規(guī)模的DDoS攻擊數(shù)據(jù)集，此次采用KDDCup99網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)集，將數(shù)據(jù)中的80%用作模型訓(xùn)練，剩余的20%用于模型檢測(cè)。該數(shù)據(jù)集中的數(shù)據(jù)分為DoS攻擊、R2L（遠(yuǎn)程非法訪問(wèn)）、U2R（普通用戶(hù)對(duì)本地超級(jí)用戶(hù)特權(quán)的非法訪問(wèn)）、Normal（正常）等類(lèi)別，并且具有明確的分類(lèi)標(biāo)識(shí)。數(shù)據(jù)總規(guī)模約為500萬(wàn)條，從中抽取100萬(wàn)條作為實(shí)驗(yàn)數(shù)據(jù)，其中DoS數(shù)據(jù)占比為69.1%，正常數(shù)據(jù)占比為22.3%，剩余數(shù)據(jù)代表其他類(lèi)型的網(wǎng)絡(luò)攻擊方式。

1.2.2 數(shù)據(jù)預(yù)處理

（1）屬性轉(zhuǎn)換

由于單條數(shù)據(jù)較大，不便于運(yùn)算。因此，對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，措施為分類(lèi)設(shè)置數(shù)字標(biāo)識(shí)。凡是DoS數(shù)據(jù)均采用數(shù)字1進(jìn)行標(biāo)記，Normal類(lèi)數(shù)據(jù)采用數(shù)字0進(jìn)行標(biāo)記。由于每一條數(shù)據(jù)記錄的結(jié)構(gòu)相同，對(duì)應(yīng)位置上的信息亦可進(jìn)行數(shù)字化轉(zhuǎn)換[1]。

（2）選取流特征

DDoS攻擊檢測(cè)在本質(zhì)上是從綜合性的網(wǎng)絡(luò)數(shù)據(jù)流中篩選出DDoS攻擊數(shù)據(jù)流，網(wǎng)絡(luò)攻擊數(shù)據(jù)存在差異化的特征，而這些特征點(diǎn)是識(shí)別DDoS攻擊的關(guān)鍵依據(jù)。因此，檢測(cè)模型中需建立特征選擇算法模塊，包括特征子集提取和特征子集評(píng)價(jià)兩個(gè)環(huán)節(jié)。研究中將隨機(jī)森林算法和包裝器模型整合在一起，形成DDoS攻擊特征選擇算法模塊。圖1展示了包裝器模型實(shí)現(xiàn)特征選擇的過(guò)程。在構(gòu)建特征選擇算法時(shí)，特征數(shù)量對(duì)算法模型的分類(lèi)精度具有較大的影響，經(jīng)過(guò)大量的數(shù)據(jù)檢測(cè)，發(fā)現(xiàn)特征數(shù)量在1～9時(shí)，算法分類(lèi)精度逐步上升，超過(guò)9之后，算法分類(lèi)精度逐步下降。因此，最佳特征數(shù)量為9，此時(shí)的分類(lèi)精度為95.6%。對(duì)應(yīng)的特征信息包括service、count、dst_host_count等。每一條DoS訓(xùn)練數(shù)據(jù)中都包含這些字段信息。在SDN網(wǎng)絡(luò)的主機(jī)上可設(shè)置服務(wù)器的日志選項(xiàng)，從而獲得特征字段信息。

圖1 包裝器模型特征子集選擇過(guò)程

1.3 模型訓(xùn)練

1.3.1 模型訓(xùn)練條件

為了保證模型訓(xùn)練過(guò)程的穩(wěn)定性，采用Linux操作系統(tǒng)，以Python語(yǔ)言開(kāi)發(fā)機(jī)器學(xué)習(xí)的算法模型，開(kāi)源的Anaconda可用于創(chuàng)建實(shí)驗(yàn)中的虛擬SDN網(wǎng)絡(luò)。

1.3.2 參數(shù)設(shè)置

在隨機(jī)森林算法中需科學(xué)設(shè)置決策樹(shù)，主要指標(biāo)包括決策樹(shù)的數(shù)量、決策樹(shù)中特征子集的個(gè)數(shù)，前者記為n_trees，后者記為m。另外，在優(yōu)選階段通過(guò)參數(shù)λ決定是否保留決策樹(shù)，該參數(shù)也需要人為進(jìn)行設(shè)置。根據(jù)此類(lèi)實(shí)驗(yàn)的特點(diǎn)，依據(jù)經(jīng)驗(yàn)將m設(shè)定為3，λ的取值為0.7，n_trees從20～160梯度增加。在模型訓(xùn)練階段將單次樣本數(shù)量設(shè)定為8萬(wàn)條，同時(shí)，根據(jù)K交叉驗(yàn)證原理選取折數(shù)為5，該參數(shù)決定了單次訓(xùn)練中最終可形成的檢測(cè)模型的數(shù)量[2]。

1.3.3 訓(xùn)練結(jié)果分析

（1）決策樹(shù)與模型訓(xùn)練時(shí)間、測(cè)試時(shí)間的關(guān)系

隨機(jī)森林中決策樹(shù)的數(shù)量影響著算法的運(yùn)算量。顯然，隨著決策樹(shù)的增加，算法的運(yùn)算量、運(yùn)算時(shí)間、訓(xùn)練算法模型的總時(shí)長(zhǎng)以及測(cè)試階段的總時(shí)長(zhǎng)都會(huì)增加，表1記錄了決策樹(shù)的數(shù)量與算法模型訓(xùn)練時(shí)長(zhǎng)和測(cè)試時(shí)長(zhǎng)的關(guān)系，實(shí)際檢測(cè)結(jié)果與預(yù)期一致。

表1 決策樹(shù)數(shù)量與訓(xùn)練時(shí)間和測(cè)試時(shí)間的關(guān)系

（2）決策樹(shù)數(shù)量與DDoS攻擊的檢測(cè)精度

每一個(gè)檢測(cè)數(shù)據(jù)集可形成5個(gè)能夠檢出DDoS攻擊的模型，通過(guò)算法判斷各個(gè)檢測(cè)模型的識(shí)別精度，然后分別求出平均值。決策樹(shù)數(shù)量與算法模型的檢測(cè)精度存在一定的關(guān)聯(lián)，表2為兩者之間的對(duì)應(yīng)關(guān)系。從中可知，當(dāng)100≤n_trees≤160時(shí)，算法模型對(duì)DDoS攻擊的檢測(cè)精確度略高于96%，此時(shí)決策樹(shù)數(shù)量增加對(duì)檢測(cè)精度的影響不再顯著，基本不能再提升精度。

表2 決策樹(shù)數(shù)量與DDoS攻擊檢測(cè)精度的對(duì)應(yīng)關(guān)系

2 軟件定義網(wǎng)絡(luò)架構(gòu)下的DDoS攻擊檢測(cè)系統(tǒng)

軟件定義網(wǎng)絡(luò)（SDN）能夠降低硬件設(shè)備對(duì)網(wǎng)絡(luò)架構(gòu)的制約，SDN網(wǎng)絡(luò)的部署和升級(jí)如同在硬件設(shè)備上安裝一個(gè)軟件應(yīng)用程序，便捷性顯著提高，因而其應(yīng)用范圍不斷擴(kuò)大。SDN網(wǎng)絡(luò)中DDoS攻擊檢測(cè)系統(tǒng)的設(shè)計(jì)要點(diǎn)如下：

2.1 數(shù)據(jù)采集模塊

該模塊的主要作用是采集SDN網(wǎng)絡(luò)中的攻擊數(shù)據(jù)。采集方式分為主動(dòng)、被動(dòng)兩種。在主動(dòng)采集中，由POX控制器與交換機(jī)進(jìn)行交互，通過(guò)報(bào)文的形式獲得OpenFlow協(xié)議下的流表，將流表作為SDN網(wǎng)絡(luò)中的初始數(shù)據(jù)集，控制器可主動(dòng)從交換機(jī)上采集此類(lèi)數(shù)據(jù)，每隔5 s向交換機(jī)發(fā)送一次請(qǐng)求[3]。在被動(dòng)檢測(cè)中，SDN網(wǎng)絡(luò)利用table_miss事件匹配流表，未能匹配的數(shù)據(jù)轉(zhuǎn)發(fā)到控制器，從而實(shí)現(xiàn)控制器被動(dòng)獲取流表數(shù)據(jù)。兩種數(shù)據(jù)采集方式各有優(yōu)勢(shì)和劣勢(shì)。主動(dòng)采集方式存在數(shù)據(jù)實(shí)時(shí)性不強(qiáng)的問(wèn)題，被動(dòng)方式存在數(shù)據(jù)獲取不全面的問(wèn)題。在設(shè)計(jì)數(shù)據(jù)采集模塊時(shí)，同時(shí)采用主被動(dòng)方式獲取數(shù)據(jù)源，最大限度改善數(shù)據(jù)的客觀性，提升數(shù)據(jù)的全面性和實(shí)時(shí)性。

2.2 DDoS攻擊檢測(cè)模塊

當(dāng)檢測(cè)系統(tǒng)以被動(dòng)方式收集流表信息時(shí)，系統(tǒng)中設(shè)置的流特征檢測(cè)模塊對(duì)信息流進(jìn)行判斷，從中選擇出符合要求的特征子集，此時(shí)再利用交換機(jī)對(duì)含有特征子集的數(shù)據(jù)包進(jìn)行table_miss匹配，將成功匹配的數(shù)據(jù)包發(fā)送至目的地，并將其計(jì)入常規(guī)流量統(tǒng)計(jì)結(jié)果中。如果table_miss事件未能匹配流表數(shù)據(jù)包，則將這部數(shù)據(jù)包作為DDoS攻擊的檢測(cè)數(shù)據(jù)，將其發(fā)送至DDoS攻擊檢測(cè)模塊。

當(dāng)檢測(cè)系統(tǒng)以主動(dòng)方式獲取流表信息時(shí)，直接將交換機(jī)向控制器發(fā)送的流表信息作為DDoS攻擊的檢測(cè)數(shù)據(jù)，由系統(tǒng)的DDoS攻擊檢測(cè)模塊開(kāi)展檢測(cè)識(shí)別[4]。

一旦攻擊檢測(cè)模塊發(fā)現(xiàn)檢測(cè)數(shù)據(jù)中存在DDoS攻擊的情況，則將相關(guān)數(shù)據(jù)發(fā)送至攻擊響應(yīng)模塊，對(duì)其進(jìn)行處理。如果未發(fā)現(xiàn)DDoS攻擊或者其他攻擊類(lèi)型，則將數(shù)據(jù)轉(zhuǎn)發(fā)至原目的地。

2.3 DDoS攻擊響應(yīng)模塊

2.3.1 DDoS攻擊響應(yīng)模塊的功能需求分析

（1）保護(hù)主機(jī)

DDoS攻擊有可能導(dǎo)致服務(wù)器癱瘓，進(jìn)而對(duì)運(yùn)營(yíng)主體產(chǎn)生經(jīng)濟(jì)損失或其他危害。因此，DDoS攻擊響應(yīng)模塊的主要功能之一為保護(hù)服務(wù)器主機(jī)。

（2）準(zhǔn)確區(qū)分正常流量和攻擊流量

攻擊響應(yīng)模塊只能對(duì)DDoS攻擊流量進(jìn)行處理，不能干擾正常流量的工作，因而該模塊應(yīng)具備準(zhǔn)確的流量區(qū)分能力。

（3）制定危害控制策略

響應(yīng)模塊應(yīng)針對(duì)DDoS攻擊流量制定有效的控制策略，防止其產(chǎn)生實(shí)際性的危害。

2.3.2 工作流程及處理措施

（1）DDoS攻擊響應(yīng)模塊的工作流程

系統(tǒng)中事先設(shè)定了報(bào)警分類(lèi)，以便區(qū)分攻擊流量和正常流量。當(dāng)檢測(cè)模塊將DDoS攻擊流量發(fā)送至攻擊響應(yīng)模塊時(shí)，后者首先嘗試識(shí)別攻擊流量的報(bào)警類(lèi)型，然后借助預(yù)設(shè)的控制策略處理DDoS攻擊流量[5]。如果系統(tǒng)未能識(shí)別流量的報(bào)警類(lèi)型，則將其視為正常流量。部分攻擊流量可能存在異常，不在報(bào)警范圍之內(nèi)，此類(lèi)數(shù)據(jù)直接丟棄。

（2）DDoS攻擊響應(yīng)模塊的處理措施

從DDoS攻擊的方式來(lái)看，一種為大量發(fā)送偽造的數(shù)據(jù)包，使目標(biāo)網(wǎng)絡(luò)及服務(wù)器癱瘓，通常將這種情況稱(chēng)為僵尸網(wǎng)絡(luò)。另一種為借助大量偽造的IP訪問(wèn)目標(biāo)服務(wù)器，從而導(dǎo)致其無(wú)法響應(yīng)正常的網(wǎng)絡(luò)請(qǐng)求。針對(duì)以上兩種情況，可采用服務(wù)重定向的應(yīng)對(duì)策略。其原理為將攻擊SDN網(wǎng)絡(luò)及服務(wù)器的網(wǎng)絡(luò)請(qǐng)求或者數(shù)據(jù)包轉(zhuǎn)發(fā)至特定的網(wǎng)絡(luò)地址，從而避免DDoS攻擊危害目標(biāo)SDN網(wǎng)絡(luò)[6]。

（3）DDoS攻擊響應(yīng)模塊的策略選擇

網(wǎng)絡(luò)重定向是一種被動(dòng)防御機(jī)制，只有當(dāng)軟件定義網(wǎng)絡(luò)及其主機(jī)遭受DDoS攻擊之后，算法模型才能對(duì)其進(jìn)行檢測(cè)，實(shí)施重定向操作。但這種防御機(jī)制存在一定的弊端，有可能將正常用戶(hù)也重定向到備用IP地址。為了防止攻擊響應(yīng)模塊阻塞正常流量，對(duì)控制中原IP地址的流表項(xiàng)進(jìn)行計(jì)數(shù)，并對(duì)比該數(shù)值和預(yù)設(shè)的閾值m，如果m小于計(jì)數(shù)結(jié)果，則認(rèn)為此時(shí)的流量來(lái)自DDoS攻擊，并實(shí)施流量阻塞。這種策略的優(yōu)點(diǎn)在于形成了緩沖機(jī)制，并非一檢測(cè)到DDoS攻擊就進(jìn)行流量阻塞，而是借助閾值為正常用戶(hù)提供流量窗口，從而降低誤警率。

3 基于軟件定義網(wǎng)絡(luò)交換機(jī)的DDoS攻擊檢測(cè)實(shí)驗(yàn)

DDoS攻擊檢測(cè)模型是一套算法程序，需將其部署在SDN網(wǎng)絡(luò)下的DDoS攻擊檢測(cè)系統(tǒng)中，從而實(shí)現(xiàn)檢測(cè)功能，據(jù)此設(shè)計(jì)實(shí)驗(yàn)如下：

3.1 實(shí)驗(yàn)方法

3.1.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)環(huán)境包括開(kāi)展實(shí)驗(yàn)的軟硬件工具，硬件方面主要為符合OpenFlow協(xié)議的交換機(jī)、POX控制器以及服務(wù)器等。軟件層面主要為網(wǎng)絡(luò)仿真工具和流量生成工具，前者使用Mininet，后者使用Scapy。實(shí)驗(yàn)中采用Python編寫(xiě)算法的程序代碼。SDN網(wǎng)絡(luò)具有虛擬性，Mininet可將控制器、交換機(jī)等創(chuàng)建為虛擬的網(wǎng)絡(luò)元素，因而用作系統(tǒng)仿真。

3.1.2 實(shí)驗(yàn)數(shù)據(jù)及拓?fù)浣Y(jié)構(gòu)

（1）實(shí)驗(yàn)數(shù)據(jù)采集

實(shí)驗(yàn)中通過(guò)OpenFlow協(xié)議采集主動(dòng)數(shù)據(jù)，由POX控制器按照5 s間隔向交換機(jī)發(fā)送請(qǐng)求，獲取流表信息。Scapy能夠通過(guò)函數(shù)隨機(jī)生成偽造的IP地址，可將其作為發(fā)起偽造IP訪問(wèn)的DDoS攻擊，實(shí)驗(yàn)中利用Scapy生成適用于被動(dòng)采集方式的數(shù)據(jù)流量。

（2）拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

實(shí)驗(yàn)中將SDN網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)為拓?fù)浣Y(jié)構(gòu)，系統(tǒng)中涵蓋控制器1臺(tái)、服務(wù)器主機(jī)15臺(tái)、交換機(jī)4臺(tái)。一臺(tái)主交換機(jī)與POX控制器相連，另外三臺(tái)交換機(jī)與主交換機(jī)相連，每一臺(tái)次級(jí)交換機(jī)對(duì)應(yīng)5臺(tái)服務(wù)器。

3.1.3 開(kāi)展實(shí)驗(yàn)

在以上系統(tǒng)構(gòu)建完成后，將DDoS攻擊檢測(cè)的算法程序部署在虛擬環(huán)境下，然后開(kāi)展實(shí)驗(yàn)。采用僵尸網(wǎng)絡(luò)攻擊模式，設(shè)置3組數(shù)據(jù)作為對(duì)比，每一組的總數(shù)據(jù)包均為10 000個(gè)，但其中攻擊包的數(shù)量分別為2 500個(gè)、5 000個(gè)和7 500個(gè)。在交換機(jī)1和交換機(jī)4中分別選擇一臺(tái)主機(jī)發(fā)起DDoS攻擊，將交換機(jī)3上的一臺(tái)主機(jī)作為被攻擊的對(duì)象，剩余的主機(jī)作為對(duì)比因素。

3.2 實(shí)驗(yàn)結(jié)果

3.2.1 攻擊識(shí)別率結(jié)果

3組DDoS攻擊的攻擊比呈梯度遞增，按照順序，攻擊比分別為25%、50%、75%。3組攻擊數(shù)據(jù)對(duì)應(yīng)的識(shí)別率分別為95.71%、96.21%、96.58%。可見(jiàn)，攻擊檢測(cè)模型對(duì)所有攻擊類(lèi)型的識(shí)別率隨攻擊比而提高，但整體上較為接近。同時(shí)，對(duì)比3組攻擊比對(duì)應(yīng)的誤警率，其結(jié)果分別為3.24%、2.69%、2.31%，說(shuō)明在攻擊比較高的情況下，檢測(cè)模型對(duì)DDoS攻擊的敏感性更強(qiáng)，不易產(chǎn)生誤報(bào)。

3.2.2 攻擊檢出率結(jié)果

識(shí)別率涵蓋了DDoS攻擊、非法訪問(wèn)等，因而還需進(jìn)一步分析檢測(cè)模型及系統(tǒng)對(duì)DDoS攻擊的檢出率。表3統(tǒng)計(jì)了3種攻擊比在不同數(shù)據(jù)采集模式下的DDoS攻擊檢出率。從中可知，在不同的攻擊比下，數(shù)據(jù)混合采集方式的DDoS攻擊檢出率高于主動(dòng)采集和被動(dòng)采集，效果最佳。

表3 DDoS攻擊檢出率統(tǒng)計(jì)表

3.2.3 攻擊響應(yīng)模塊的應(yīng)對(duì)效果

攻擊響應(yīng)模塊主要通過(guò)重定向轉(zhuǎn)移DDoS攻擊的流量，重定向之后對(duì)DDoS攻擊的數(shù)據(jù)采取刪除操作。通過(guò)對(duì)比被攻擊主機(jī)的連接數(shù)來(lái)判斷攻擊響應(yīng)模塊的應(yīng)對(duì)效果。在25%攻擊比下，被攻擊服務(wù)器的初始連接數(shù)為1 966，重定向處理后的連接數(shù)為1 521，去除的DDoS攻擊連接數(shù)占比為22.6%。在50%攻擊比下，初始連接數(shù)為5 721，重定向后連接數(shù)為2 479，去除的DDoS攻擊連接數(shù)占比為56.6%。在75%攻擊比下，初始連接數(shù)為7 988，重定向后連接數(shù)為2 209，去除的DDoS攻擊連接數(shù)占比為72.3%。說(shuō)明在DDoS攻擊越嚴(yán)重的情況下，響應(yīng)模塊的應(yīng)對(duì)效果越突出。

4 結(jié)語(yǔ)

為了在SDN網(wǎng)絡(luò)中準(zhǔn)確地檢測(cè)出DDoS攻擊，應(yīng)該先建立完善的檢測(cè)系統(tǒng)，通過(guò)數(shù)據(jù)采集模塊獲取網(wǎng)絡(luò)中的攻擊流量，采集方式分為主動(dòng)式、被動(dòng)式、混合式。攻擊檢測(cè)模塊可借助算法模型檢測(cè)出DDoS攻擊數(shù)據(jù)，隨機(jī)森林算法用于構(gòu)建檢測(cè)模型。最后再通過(guò)攻擊響應(yīng)模塊實(shí)施重定向，轉(zhuǎn)移攻擊流量，避免SDN網(wǎng)絡(luò)及其主機(jī)出現(xiàn)癱瘓。