陳興蜀，滑強(qiáng)，王毅桐，葛龍，朱毅

（1. 四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，四川 成都610065；2. 四川大學(xué)網(wǎng)絡(luò)空間安全研究院，四川 成都 610065；3. 四川大學(xué)計算機(jī)學(xué)院，四川 成都 610065）

1 引言

隨著近些年基于虛擬化的云計算技術(shù)的發(fā)展，SDN（software defined networking）框架因其集中控制、可擴(kuò)展性強(qiáng)等特點作為一種安全解決方案逐漸被云計算數(shù)據(jù)中心所采用，利用 SDN框架可解決云環(huán)境中租戶隔離、網(wǎng)絡(luò)流量控制[1]、攻擊檢測等問題[2-3]。對于SDN框架本身來說，其數(shù)控分離的特性增大了攻擊面[4]，在云環(huán)境中更易受到攻擊。由于DDoS（distributed denial of service）攻擊易實施，針對SDN網(wǎng)絡(luò)的低速率DDoS攻擊檢測防御是重要的研究方向之一，大部分研究者主要研究針對SDN控制平面的低速率DDoS攻擊[5-11]，比如攻擊者利用地址欺騙產(chǎn)生大量的流表規(guī)則不匹配的攻擊流，每條攻擊流都會向控制器發(fā)送 packet_in消息，導(dǎo)致控制器產(chǎn)生拒絕服務(wù)的效果；一些研究者也研究對數(shù)據(jù)平面的低速率DDoS攻擊[12-14]，旨在溢出虛擬交換機(jī)的流表空間來影響其資源的消耗，同時增加分組丟失率，達(dá)到拒絕服務(wù)的效果。對于數(shù)據(jù)平面的交換機(jī)來說，交換機(jī)流表存在2種流表機(jī)制，研究人員采用更貼合實際場景的空閑超時流表機(jī)制進(jìn)行研究[15]。針對數(shù)據(jù)平面和控制平面的低速率DDoS攻擊，有一個共有特性是攻擊流都會經(jīng)過交換機(jī)，但對于數(shù)據(jù)平面的低速率DDoS攻擊隱蔽性更強(qiáng)[8]。

本文主要研究針對SDN網(wǎng)絡(luò)進(jìn)行低速率DDoS攻擊的檢測防御方法，首先針對 SDN網(wǎng)絡(luò)中數(shù)據(jù)平面低速率 DDoS攻擊的有效性進(jìn)行了分析與驗證；根據(jù)控制平面及數(shù)據(jù)平面的低速率DDoS攻擊特性，提取了 10項相關(guān)的特征，結(jié)合貝葉斯網(wǎng)絡(luò)實現(xiàn)了云環(huán)境下低速率DDoS攻擊檢測方法，構(gòu)建了檢測防御框架。該框架能夠有效地檢測防御云環(huán)境中低速率DDoS攻擊。

本文主要貢獻(xiàn)有以下幾點。

1) 詳細(xì)分析了云環(huán)境SDN網(wǎng)絡(luò)中針對數(shù)據(jù)平面的低速率DDoS攻擊，研究了其在云環(huán)境中的有效性及可行性。

2) 提出了云環(huán)境下低速率 DDoS攻擊統(tǒng)一檢測防御框架。根據(jù)低速率DDoS的攻擊特性，提出了 10項基于流量的相關(guān)特征，基于貝葉斯網(wǎng)絡(luò)實現(xiàn)了低速率DDoS攻擊的有效檢測，之后利用SDN控制器集中控制的特性對攻擊流量進(jìn)行阻斷、緩解，達(dá)到防御DDoS攻擊的目的。

3) 在 OpenStack云環(huán)境下，基于 POX控制器實現(xiàn)了檢測系統(tǒng)并進(jìn)行了相關(guān)實驗，檢測結(jié)果顯示，本文方法能夠有效地檢測防御云環(huán)境下低速率DDoS攻擊，在攻擊流量占比50%時，檢測防御框架的檢測率可以達(dá)到 99.3%，內(nèi)存占用率為9.04%。

2 相關(guān)工作

目前，在云環(huán)境 SDN網(wǎng)絡(luò)中存在著多種協(xié)議類型的低速率DDoS攻擊，例如基于TCP協(xié)議、基于UDP協(xié)議和基于HTTP協(xié)議的低速率DDoS攻擊；同時還會存在周期性和非周期性的攻擊模式，例如基于 HTTP協(xié)議的低速率 DDoS攻擊，SlowHttpTest工具可以產(chǎn)生周期性攻擊，slowloris-ng[6]工具可以產(chǎn)生非周期性攻擊。

對于低速率DDoS攻擊的研究由Kuzmanovic[16]首次提出了“Shrew”攻擊的概念，在骨干網(wǎng)絡(luò)上采集到低速率DDoS攻擊的相關(guān)數(shù)據(jù)，并進(jìn)行了相關(guān)的研究。目前，對于云環(huán)境下低速率DDoS攻擊檢測防御的研究主要有以下幾類方法。一類是基于流量特征統(tǒng)計分析的檢測方法。Sahoo等[5]提出了一種基于廣義熵的度量方法，利用 SDN網(wǎng)絡(luò)流的特點，使用信息距離來量化不同概率分布下流量的偏差作為度量來檢測攻擊行為。Lukaseder等[6]基于SDN網(wǎng)絡(luò)的低速率DDoS緩解機(jī)制，提出了6個相關(guān)特征并通過真實數(shù)據(jù)集來計算各個特征的精準(zhǔn)度，得出最優(yōu)的方案和閾值，以統(tǒng)計信息作為檢測的標(biāo)準(zhǔn)，閾值依據(jù)實驗樣本得出。何亨等[7]提出了一種基于置信度過濾，同時結(jié)合鏈路帶寬和數(shù)據(jù)流檢測的 SDCC方案，該方案計算數(shù)據(jù)分組 CBF（confidence-based filtering）分?jǐn)?shù)，將低于閾值的分組判斷為攻擊分組，其還需要建立SDCC的攻擊流特征庫，維護(hù)profile表的更新，過程較為復(fù)雜；同時為了降低資源消耗，該方案在系統(tǒng)正常、預(yù)警、防御等狀態(tài)下對數(shù)據(jù)流的抽檢比例分別為 20%、40%、80%，然而，該方法仍存在一定漏檢、誤報的風(fēng)險。劉孟[8]提出了云環(huán)境下 SDN中低速率DDoS的檢測方法，該方法通過設(shè)置多個檢測周期內(nèi)流表快照和可疑表，來逐步記錄流表中各流規(guī)則的存活時間，設(shè)置報警閾值，以此判斷是否受到低速率 DDoS攻擊。上述幾種檢測方法大多依賴于packet_in消息提供的信息，當(dāng)攻擊產(chǎn)生的packet_in消息較少時，難以達(dá)到檢測效果。

另一類是基于流量特征的檢測方法，大部分研究人員通過提取流量特征屬性并結(jié)合機(jī)器學(xué)習(xí)的方法來檢測低速率DDoS攻擊。Wang等[9]提出了針對低速率攻擊的自適應(yīng) HMM-R（renyientropy and hidden Markov model），通過計算攻擊流源IP與目的 IP的瑞利熵，結(jié)合隱馬爾可夫模型區(qū)分攻擊流量。Chen等[10]提出基于 XGBoost的低速率DDoS攻擊檢測方法，通過TCP連接的基本特性、基于時間流量統(tǒng)計特性和基于主機(jī)的流量統(tǒng)計特性這3個方面，提取了9個特征。XGBoost有很強(qiáng)的可伸縮性，因此適用于大規(guī)模的網(wǎng)絡(luò)環(huán)境。吳志軍等[11]提出了一種基于聯(lián)合特征的低速率 DDoS檢測方法，提出了可用帶寬比、小分組比例及分組丟失率特征，并通過BP（back propagation）神經(jīng)網(wǎng)絡(luò)訓(xùn)練出決策指標(biāo)作為低速率DDoS攻擊的判斷依據(jù)，但是當(dāng)攻擊強(qiáng)度較弱時，攻擊流的分組丟失率及可用帶寬占比的變化并不會特別明顯，可能會導(dǎo)致檢測結(jié)果的偏離。

同時有研究者對于交換機(jī)流表的溢出問題進(jìn)行了相關(guān)緩解方法的研究，如喬思祎等[13]提出了一種流表共享的方法來完善目前 table-miss處理機(jī)制，其通過借用相鄰交換機(jī)流表資源來緩解某一交換機(jī)的流表溢出風(fēng)險。Kandoi等[14]分析了針對控制平面及數(shù)據(jù)平面的低速率DDoS攻擊，并提出了一種通過限制數(shù)據(jù)傳輸速率來緩解 DDoS攻擊的方法。

綜上所述，目前的檢測防御方法存在過分依賴于packet_in消息信息的問題，當(dāng)packet_in消息信息不足或被干擾時，可能導(dǎo)致檢測結(jié)果的偏離。針對攻擊流特性所提取的特征不能準(zhǔn)確反映攻擊特點及可能存在變化的問題，本文采用基于貝葉斯網(wǎng)絡(luò)的檢測方法，根據(jù)攻擊特性提取了十維特征，提高了檢測精度。

3 低速率DDoS攻擊分析

在云環(huán)境中低速率 DDoS攻擊可以分為兩大類：一類是針對控制平面的低速率DDoS攻擊；另一類是針對數(shù)據(jù)平面的低速率DDoS攻擊。對于控制平面的低速率DDoS攻擊來說，對其通信特性、周期性特性等攻擊特性的研究較為成熟。對于針對數(shù)據(jù)平面低速率DDoS攻擊來說，對其研究大多集中于利用洪泛攻擊使流表溢出，而對于長期占用流表空間使流表溢出的攻擊方式研究較少。本章主要研究針對數(shù)據(jù)平面的低速率DDoS攻擊，對控制平面的低速率DDoS不再贅述。

云環(huán)境中，數(shù)據(jù)平面低速率DDoS攻擊的目的是使云環(huán)境內(nèi)攻擊流經(jīng)過的虛擬交換機(jī)上生成相關(guān)流規(guī)則，并長時間存活，當(dāng)虛擬交換機(jī)的流表空間被占滿后，后續(xù)數(shù)據(jù)分組無法進(jìn)行正確轉(zhuǎn)發(fā)，難以達(dá)到拒絕服務(wù)的效果。

針對數(shù)據(jù)平面低速率DDoS攻擊的關(guān)鍵在于使虛擬交換機(jī)中的流規(guī)則長時間存活。攻擊者必須不斷地進(jìn)行攻擊以激活相應(yīng)的規(guī)則，使流規(guī)則空閑超時時間重置，來達(dá)到長時間存活的目的。要使攻擊性價比最大化及增強(qiáng)攻擊的隱蔽性，低速率 DDoS的攻擊周期要近似于虛擬交換機(jī)的空閑超時時間，以此來減少攻擊的次數(shù)，同時減少與控制器通信的packet_in消息。當(dāng)攻擊流的攻擊周期小于流表空閑超時時間時，攻擊流第一次出現(xiàn)，會產(chǎn)生一次packet_in消息上報至控制器，控制器下發(fā)相應(yīng)的規(guī)則到虛擬交換機(jī)，之后當(dāng)攻擊數(shù)據(jù)分組再次出現(xiàn)時，不會產(chǎn)生packet_in消息。本文用idle_time表示空閑超時時間，用hard_time表示硬超時時間。

當(dāng)攻擊者的攻擊周期小于idle_time，攻擊流的新數(shù)據(jù)分組到達(dá)時，虛擬交換機(jī)將不會產(chǎn)生packet_in消息上報控制器?？刂破鲗τ谶@條攻擊流的記錄只有第一次訪問時的記錄，如圖1所示，為了實驗的直觀性，攻擊流都包含正常流。本測試idle_time設(shè)置為5 s，攻擊流T1周期為4 s，包含30條不同的流并持續(xù)發(fā)送；攻擊流T2周期為6 s，包含20條不同的流并持續(xù)發(fā)送；正常流T3模擬正常流隨機(jī)發(fā)送。

圖1 不同類型流量產(chǎn)生的packet_in消息數(shù)

圖1表明，攻擊周期小于idle_time的T1流只產(chǎn)生了一次數(shù)量為32的packet_in消息上報，攻擊周期大于 idle_time的T2流則產(chǎn)生了多次packet_in消息上報，相較于T1流其攻擊隱蔽性明顯降低。由于在此機(jī)制下，packet_in消息只被記錄一次，多種涉及packet_in消息的DDoS檢測方法[17]的檢測效果將會降低，攻擊的隱蔽性明顯增強(qiáng)，同時加入了非周期性的機(jī)制，使一些通過周期性和時序特征來檢測低速率攻擊的檢測方法的效果同樣會降低。

以近似空閑超時時間作為攻擊周期，具有較強(qiáng)的隱蔽性及較高的性價比，攻擊者在攻擊前會試圖獲取該時間。以云環(huán)境作為本文的攻擊場景，攻擊者無法獲取云環(huán)境內(nèi)網(wǎng)絡(luò)拓?fù)浼疤摂M交換機(jī)內(nèi)流表的空閑超時時間，會通過多次探測的方法來獲得這一近似空閑超時時間。初始攻擊周期為I，周期增加量為Δt，流表空閑超時時間為idle_time，攻擊流攻擊周期滿足如式(1)所示的條件。

本文定義發(fā)送訪問請求到收到響應(yīng)的時間為響應(yīng)時間，虛擬交換機(jī)流表超時時間為10 s。攻擊流引發(fā)packet_in消息時，其響應(yīng)時間必定大于非引發(fā)packet_in消息的攻擊流，具體如圖2所示。

圖2 響應(yīng)時間對比

驗證性實驗在0 s時發(fā)送了一條新的訪問請求，流表中沒有相應(yīng)的流規(guī)則，故產(chǎn)生packet_in消息，其響應(yīng)時間為4.01 ms。1 s至10 s持續(xù)發(fā)送訪問請求，流表中存在相應(yīng)規(guī)則，故沒有產(chǎn)生 packet_in消息，其響應(yīng)時間大幅降低。11 s之后，該流規(guī)則老化刪除，再次發(fā)送訪問請求，響應(yīng)時間為2.32 ms。通過響應(yīng)時間的大小判斷是否產(chǎn)生packet_in消息，從而逼近空閑超時時間來確定 SDN網(wǎng)絡(luò)中低速率DDoS的攻擊周期，逼近機(jī)制如圖3所示。

設(shè)初始攻擊周期為I，空閑超時時間為idle_time，記錄訪問請求響應(yīng)時間為t1，將周期增加Δt，變?yōu)镮+Δt，繼續(xù)發(fā)送請求獲得響應(yīng)的時間為t2，當(dāng)t2約等于t1時，說明攻擊流所對應(yīng)的流規(guī)則還存在于虛擬交換機(jī)的流表上，沒有產(chǎn)生 packet_in消息，攻擊周期(I+Δt)小于 idle_time。逐漸增加攻擊周期，當(dāng)攻擊周期達(dá)到T1時，訪問請求響應(yīng)時間t3，攻擊周期達(dá)到T2時，其響應(yīng)時間t4會明顯地大于t3；當(dāng)說明流表中沒有攻擊流所對應(yīng)的流規(guī)則，會產(chǎn)生 packet_in消息消耗時間，即攻擊周期超過idle_time。此時，攻擊周期回退至上一周期時間T1，以較小的周期增量Δm增加至周期T3，與t3相比，此時響應(yīng)時間沒有明顯差距，說明攻擊周期還是在idle_time之內(nèi)。以此類推，對于周期性攻擊而言，攻擊周期逐步逼近idle_time，可以達(dá)到最佳的攻擊性價比。

圖3 攻擊周期逼近機(jī)制

云環(huán)境內(nèi)多交換機(jī)場景獲取近似空閑時間與單一交換機(jī)獲取近似空閑時間的原理相同。首先攻擊者會預(yù)估一個較大的空閑超時時間作為初始的攻擊周期，記錄訪問請求響應(yīng)時間，增加初始攻擊周期，直到其響應(yīng)時間趨于穩(wěn)定，該響應(yīng)時間可以認(rèn)為是攻擊路徑上空閑超時時間的最大值。在此之后，攻擊周期逐步減少，可以發(fā)現(xiàn)訪問請求響應(yīng)時間同樣在減少，在這一過程中，在空閑超時時間較大的交換機(jī)上，相應(yīng)的流規(guī)則已經(jīng)存在且被不斷被激活，當(dāng)響應(yīng)時間趨于穩(wěn)定后，該響應(yīng)時間可以認(rèn)為是攻擊路徑上最小空閑超時時間的近似值，該值即為攻擊者所需要的攻擊周期。

在實驗環(huán)境中來驗證所提機(jī)制的有效性。為了簡化實驗，攻擊者作為內(nèi)網(wǎng)中交換機(jī)s1下的主機(jī)，目標(biāo)服務(wù)器是交換機(jī)s5下的主機(jī)，攻擊路徑上的交換機(jī) s1、s2、s3、s4、s5的空閑超時時間分別設(shè)置為10 s、15 s、20 s、25 s、13 s，觀察響應(yīng)時間的變化，第一次的響應(yīng)時間不計入觀察范圍，結(jié)果如圖4所示。

根據(jù)模擬實驗結(jié)果分析，通過不同的攻擊周期進(jìn)行探測，當(dāng)攻擊周期大于上述最小空閑超時時間（即10 s）時，可以看到響應(yīng)時間在不斷升高，當(dāng)攻擊周期小于上述最小空閑超時時間時，響應(yīng)時間一直為 0。通過觀察響應(yīng)時間的變化，可以逐步逼近最小的空閑超時時間，驗證了該機(jī)制的有效性。

圖4 多控制器交換機(jī)環(huán)境響應(yīng)時間變化

在 SDN網(wǎng)絡(luò)中，攻擊流產(chǎn)生的惡意流規(guī)則會存在于攻擊路徑上所有的交換機(jī)中，當(dāng)攻擊流通過不同交換機(jī)到達(dá)目標(biāo)服務(wù)器時，交換機(jī)上流規(guī)則的數(shù)量也不同，在此進(jìn)行模擬實驗，攻擊者通過模擬IP發(fā)送攻擊數(shù)據(jù)分組至虛擬服務(wù)器，攻擊速率為每9秒100個，攻擊場景如圖5所示。

圖5 SDN網(wǎng)絡(luò)中低速率DDoS攻擊模擬場景

交換機(jī)s1、s3中分別存在110條流規(guī)則，而交換機(jī)s2中存在210條流規(guī)則。由實驗結(jié)果可知，攻擊通過不同的交換機(jī)到達(dá)目標(biāo)服務(wù)器，所經(jīng)過的交換機(jī)都會受到影響，路徑匯聚處的交換機(jī)與目標(biāo)服務(wù)器直連的交換機(jī)受影響程度較高。

在虛擬環(huán)境中對低速率攻擊所產(chǎn)生的流規(guī)則的持續(xù)時間以及大量流規(guī)則對流表資源的占用情況進(jìn)行實驗，驗證攻擊的有效性。首先對攻擊產(chǎn)生流規(guī)則的持續(xù)時間進(jìn)行實驗分析，模擬100個不同的IP對目標(biāo)主機(jī)發(fā)送分組，間隔為9 s，空閑超時時間為10 s，其中攻擊主機(jī)與客戶主端機(jī)連接在s1交換機(jī)上，目標(biāo)主機(jī)連接在s2交換機(jī)，實驗結(jié)果如圖6所示。實驗中，從第10 s開始發(fā)送攻擊數(shù)據(jù)分組，之后可以看到流規(guī)則數(shù)量保持110條不變（包含主機(jī)回復(fù)的流規(guī)則），同時隨著攻擊的進(jìn)行，流規(guī)則持續(xù)時間超過空閑超時時間，達(dá)到長期占用的目的。

圖6 流規(guī)則數(shù)量變化

當(dāng)大規(guī)模的攻擊到來時，流規(guī)則數(shù)量逐漸增加，本文為簡化實驗通過攻擊工具使用隨機(jī)源 IP低速率攻擊每秒發(fā)送1 000個數(shù)據(jù)分組，實驗環(huán)境與上文實驗相同。在11 s時開始，通過API接口統(tǒng)計流表信息監(jiān)測虛擬交換機(jī)的流規(guī)則數(shù)量變化，如圖7所示。

圖7 流規(guī)則數(shù)量變化

由實驗結(jié)果分析可知，在攻擊起始時，攻擊流所影響到的流表資源不足以影響正常通信，隨著攻擊的進(jìn)行，虛擬交換機(jī)中流表規(guī)則逐漸增加，可用流表空間資源與網(wǎng)絡(luò)帶寬資源逐漸減少，在15s后，統(tǒng)計程序無法獲取流表信息，可能流表空間已經(jīng)溢出。不同控制器在流表溢出后的table_miss處理方式不同，一種丟掉新來的數(shù)據(jù)分組，造成拒接服務(wù)的影響，另一種用新規(guī)則替換舊規(guī)則，這2種情況都會使分組丟失率顯著增加[13]。攻擊路徑上的各交換機(jī)中大量流規(guī)則的存在，也增加了其對比查找正確規(guī)則的計算開銷，還可能會導(dǎo)致目標(biāo)服務(wù)器的拒絕服務(wù)（由于本文分析的攻擊方法只會對一條鏈路上的虛擬機(jī)產(chǎn)生影響，如果服務(wù)器相鄰對接的虛擬交換機(jī)不是唯一的，經(jīng)過其他交換機(jī)的請求是可以正常訪問的）。

基于以上相關(guān)的攻擊分析以及實驗驗證，可以驗證數(shù)據(jù)平面低速率DDoS攻擊在云環(huán)境下的有效性。

4 低速率DDoS攻擊檢測防御框架

4.1 框架介紹

檢測框架主要由數(shù)據(jù)采集預(yù)處理模塊、檢測模塊和防御模塊組成，低速率DDoS攻擊檢測防御框架如圖8所示。

圖8 檢測防御總體框架

首先是數(shù)據(jù)采集預(yù)處理模塊。該模塊主要通過調(diào)用支持OpenFlow協(xié)議的OpenVSwitch虛擬交換機(jī)的API，獲取虛擬交換機(jī)上流表的相關(guān)統(tǒng)計信息，再根據(jù)設(shè)置的采集窗口進(jìn)行數(shù)據(jù)預(yù)處理并計算各項流量相關(guān)特征的值。然后將攻擊流的各項特征值輸入至檢測模塊，檢測模塊判定其是正常流量還是攻擊流量。最后將攻擊流量的六元組信息發(fā)送至防御模塊，防御模塊以應(yīng)用的形式接入控制器，使控制器下發(fā)針對攻擊流量的阻斷及緩解策略。

4.2 數(shù)據(jù)采集預(yù)處理

數(shù)據(jù)采集預(yù)處理模塊主要是通過控制器API讀取流量的相關(guān)信息，對這些信息進(jìn)行預(yù)處理，對每條流計算其各項特征值。數(shù)據(jù)采集點主要是在入口交換機(jī)上，可以支持多個入口交換機(jī)統(tǒng)一檢測。

本文充分考慮針對控制平面與數(shù)據(jù)平面的低速率DDoS攻擊特性，設(shè)置2個數(shù)據(jù)采集窗口。阿里云在其分析報告中指出[18]，近80%的DDoS攻擊持續(xù)時間不過90 min，近40%的DDoS攻擊持續(xù)時間不超過5 min。本文將第一個采集窗口設(shè)置為5×10 s，在分鐘級完成攻擊的檢測是合理的，主要針對控制平面的低速率DDoS攻擊；第二個采集窗口設(shè)置為5×idle_time，主要針對數(shù)據(jù)平面的低速率DDoS攻擊。不同采集窗口得到的檢測結(jié)果并不會影響對攻擊的判斷。

數(shù)據(jù)采集模塊采集流表相關(guān)的信息為match匹配項中的IP地址、MAC地址、端口號，以及數(shù)據(jù)分組的分組長度、數(shù)據(jù)分組數(shù)量、持續(xù)時間等。根據(jù)云環(huán)境中交換機(jī)流表不同的空閑超時時間，需要通過不同的采集周期進(jìn)行數(shù)據(jù)采集，采集時間窗口設(shè)置為T×idle_time，采集時間間隔為idle_time。

作為檢測方可以通過控制器配置文件獲得空閑超時時間idle_time，之后以idle_time為周期進(jìn)行數(shù)據(jù)采集及預(yù)處理。

對于流表空閑超時時間idle_time，本文進(jìn)行合理假設(shè)。文獻(xiàn)[19]指出在數(shù)據(jù)中心有0.1%的流量的持續(xù)時間可以達(dá)到200 s，大約80%的流量持續(xù)時間約為10 s。數(shù)據(jù)中心對于外網(wǎng)訪問的流量會有一個統(tǒng)一的超時時間，基于以上2條假設(shè)本文將流的超時時間設(shè)置為10 s，原始數(shù)據(jù)定義如下。

設(shè)采集時間窗口中進(jìn)行第i次原始數(shù)據(jù)采集并預(yù)處理后數(shù)據(jù)為fi，那么源IP地址為Sipi，目的IP地址為Dipi，源MAC地址為Smaci，目的MAC地址為Dmaci，源端口為Sporti，目的端口為Dporti，持續(xù)時間為durationi，流表空閑超時時間idle_time，設(shè)相應(yīng)流規(guī)則的數(shù)據(jù)分組數(shù)量為 fnumi，相應(yīng)流規(guī)則的數(shù)據(jù)總大小為 fsizei。因流表中的數(shù)據(jù)為疊加值，所以在提取流初始數(shù)據(jù)時，需要時間窗口內(nèi)的各采集點相減獲取所需數(shù)據(jù)，則此數(shù)據(jù)流在采集時間窗口內(nèi)第i次采集的數(shù)據(jù)分組數(shù)量表示為

數(shù)據(jù)分組長度表示為

fi數(shù)據(jù)格式如式(4)所示。

4.3 基于貝葉斯網(wǎng)絡(luò)的低速率DDoS檢測方法

基于貝葉斯網(wǎng)絡(luò)的低速率DDoS檢測方法主要是區(qū)分攻擊流量與正常流量。本文將前文所提到的針對控制平面的低速率DDoS攻擊、針對數(shù)據(jù)平面的低速率DDoS攻擊，統(tǒng)一劃分為攻擊流量，進(jìn)行統(tǒng)一的檢測與防御。考慮到攻擊者可能使用非周期性的攻擊方式進(jìn)行低速率DDoS攻擊，本文將非周期性攻擊的檢測納入檢測范圍。

4.3.1 特征提取

本文針對云環(huán)境SDN網(wǎng)絡(luò)中低速率DDoS攻擊在數(shù)據(jù)通信、攻擊頻率等方面的特性，以及頻率可能進(jìn)行的非周期性變化，提出了十維特征，并進(jìn)行了相關(guān)驗證，其中正常流量采集自校園網(wǎng)，攻擊流量采用隱蔽性更強(qiáng)的數(shù)據(jù)平面低速率DDoS攻擊。

1) 數(shù)據(jù)通信特性

在低速率DDoS攻擊中，因攻擊流通常是由腳本或工具產(chǎn)生，在攻擊過程中人為干擾較少，一般認(rèn)為攻擊數(shù)據(jù)分組的數(shù)據(jù)分組負(fù)載基本不變，即數(shù)據(jù)分組長度基本不變，而對于正常流量來說數(shù)據(jù)分組長度的變化是無規(guī)律的。數(shù)據(jù)分組長度變化的程度可以區(qū)分攻擊流量與正常流量，因此本文提出分組長度偏離度特征來描述變化程度的峰值，以及分組長度平均離差特征來描述總體變化程度的大小。

同時考慮到攻擊成本及復(fù)雜程度，攻擊數(shù)據(jù)分組負(fù)載較小，即數(shù)據(jù)分組的分組長度較小。而在正常流量中，需要傳輸業(yè)務(wù)信息，因此數(shù)據(jù)分組負(fù)載較大，一般情況下數(shù)據(jù)分組的分組長度要大于攻擊流的數(shù)據(jù)分組的分組長度。攻擊流數(shù)據(jù)分組的分組長度與正常流數(shù)據(jù)分組的分組長度存在明顯差異，因此本文提出數(shù)據(jù)分組的分組長度均值特征及最大分組長度特征來描述這一特性。

基于上述分析，針對低速率DDoS攻擊通信中的特性提出了數(shù)據(jù)分組的分組長度均值、最大分組長度、分組長度偏離度和分組長度平均離差這四維特征。相關(guān)特征的定義與驗證性實驗如下。

本文在多個采集點采集數(shù)據(jù)分組長均值為P_size_avgk，最大數(shù)據(jù)分組長P_size_maxk，定義如式(5)與式(6)所示。

其中，Psizei代表采集點采集到的數(shù)據(jù)分組長信息，T代表了采集窗口內(nèi)采集次數(shù)。特征的有效性驗證如圖9所示。正常流量的最大分組長度和分組長度均值、惡意流量的最大分組長度和分組長度均值有明顯的差別，惡意流量的最大分組長度、分組長度均值大小基本不變。

圖9 最大分組長度與分組長度均值變化

數(shù)據(jù)分組長偏差度P_size_devk和數(shù)據(jù)分組長度平均絕對差P_size_avg_MADk定義如式(7)和式(8)所示。

其中，P_size_maxk、P_size_avgk分別代表采集窗口內(nèi)數(shù)據(jù)分組長最大值、數(shù)據(jù)分組長均值。實驗驗證如圖 10所示。正常流量的分組長度平均離差和分組長度偏差度、惡意流量的分組長度平均離差和分組長度偏差度有明顯的差別。

圖10 分組長度平均離差與分組長度偏差度變化

2) 數(shù)據(jù)頻率特性

通常情況下，低速率DDoS攻擊具有一定的周期性，利用腳本或工具產(chǎn)生的攻擊流中攻擊速率基本不變；正常流量中數(shù)據(jù)發(fā)送的速率沒有規(guī)律性，在一段時間內(nèi)數(shù)據(jù)分組發(fā)送速率變化程度較大。在一段時間內(nèi)，攻擊速率的變化程度可以區(qū)分攻擊流量與正常流量，因此本文提出數(shù)據(jù)分組數(shù)量偏差度特征來描述變化程度的峰值，以及數(shù)據(jù)分組數(shù)量平均離差特征來描述該時段內(nèi)數(shù)據(jù)分組發(fā)送速率的總體變化程度的大小。

對于控制平面低速率DDoS攻擊，在攻擊時間內(nèi)會持續(xù)發(fā)送大量的攻擊數(shù)據(jù)分組，以洪泛的形式對目標(biāo)造成攻擊，為達(dá)到攻擊效果，通常單位時間內(nèi)攻擊流數(shù)據(jù)分組數(shù)量會大于正常流數(shù)據(jù)分組數(shù)量。單位時間內(nèi)數(shù)據(jù)分組數(shù)量可以用來區(qū)分攻擊流量與正常流量，基于此本文提出了數(shù)據(jù)分組數(shù)量均值與最大分組數(shù)量特征來描述此特性。

考慮到攻擊者可能發(fā)送具有一定程度非周期性的攻擊流，在不改變攻擊效果的前提下，這樣的非周期性變化程度必須是較小的，其對于攻擊特性上的影響較小，可以認(rèn)為非周期性攻擊特性與周期性攻擊特性相似，同樣與正常流量在通信、頻率等特性上存在較大差異。

針對數(shù)據(jù)平面的低速率DDoS攻擊通過惡意流規(guī)則長期占用流表空間，使流表空間溢出。在該攻擊下，攻擊流產(chǎn)生的流規(guī)則存活時間較長，一般情況下會遠(yuǎn)大于正常流規(guī)則的存活時間及交換機(jī)的空閑超時時間，而正常流量因業(yè)務(wù)的不同，存活時間大部分較短，在數(shù)據(jù)中心內(nèi)約有0.1%的正常流量其持續(xù)時間會達(dá)到200 s，80%的流量持續(xù)時間會在10 s左右。流表中流規(guī)則的存活時間，可用于區(qū)分正常流量與攻擊流量，本文提出存活時間特征及存活程度特征來描述這一特性。

基于上述分析，針對頻率中的特性提出了數(shù)據(jù)分組數(shù)量均值、最大分組數(shù)量、數(shù)據(jù)分組數(shù)量偏差度、數(shù)據(jù)分組數(shù)量平均離差、存活時間及存活程這度六維特征。相關(guān)特征的定義與驗證性實驗如下。

本文在多個采集點采集數(shù)據(jù)分組數(shù)量均值、最大數(shù)據(jù)分組數(shù)量分別為P_num_avgk、P_num_ maxk，如式(9)和式(10)所示。

其中，Pnumi代表采集點采集到的數(shù)據(jù)分組數(shù)量信息。實驗驗證如圖 11所示。正常流量的分組數(shù)量均值和最大分組數(shù)量的變化、惡意流量的分組數(shù)量均值和最大分組數(shù)量的變化有明顯的差別。

數(shù)據(jù)分組數(shù)量偏差度 P_num_devk及數(shù)據(jù)分組數(shù)量平均絕對差P_num_avg_MADk定義如式(11)和式(12)所示。

圖11 分組數(shù)量均值與最大分組數(shù)量變化

其中，P_num_maxk、P_num_avgk分別代表采集窗口內(nèi)數(shù)據(jù)分組數(shù)量最大值、數(shù)據(jù)分組數(shù)量均值。實驗驗證如圖 12所示。正常流量的分組數(shù)量平均離差和分組數(shù)量偏差度變化、惡意流量的分組數(shù)量平均離差和分組數(shù)量偏差度變化有明顯的差別。

圖12 分組數(shù)量平均離差與分組數(shù)量偏差度變化

存活時間durationk和存活程度duration_degreek定義如式(13)和式(14)所示。

其中，durationi代表采集點采集到的流規(guī)則持續(xù)時間，durationk代表采集窗口內(nèi)流規(guī)則持續(xù)時間的均值，idle_time代表該虛擬交換機(jī)空閑超時時間。

4.3.2 算法選擇

本文十維特征的提取是通過人工方式來提取，檢測算法主要測試監(jiān)督學(xué)習(xí)中的分類算法，本文主要測試了RandomForest算法、BayesNet算法、J48決策樹及 AdaBoostM1算法，評價標(biāo)準(zhǔn)依據(jù)F1-measure。各檢測算法的評價結(jié)果如表1所示。

表1 不同檢測算法評價結(jié)果

本文針對檢測算法 F1-measure值進(jìn)行了初步篩選，并不對算法本身進(jìn)行研究，因此選用F1-measure值最高的貝葉斯網(wǎng)絡(luò)算法作檢測算法。

4.4 防御方法

防御模塊主要基于云環(huán)境下 SDN網(wǎng)絡(luò)集中控制的特性，以控制器應(yīng)用的形式通過控制器下發(fā)相關(guān)策略來清洗惡意的流表規(guī)則及對惡意攻擊流進(jìn)行阻斷，以此來緩解低速率DDoS攻擊。檢測模塊在得到檢測結(jié)果后提取攻擊流的六元組基礎(chǔ)信息（源IP、源MAC、源端口、目的IP、目的MAC、目的端口）發(fā)送給防御模塊，防御模塊使控制器對所監(jiān)測的交換機(jī)下發(fā)相關(guān)策略拒絕攻擊流的轉(zhuǎn)發(fā)請求，同時依靠流修改事件(flow-modification)刪除交換機(jī)上與攻擊流相匹配的規(guī)則。

在檢測防御框架中，除防御模塊是作為應(yīng)用連接控制器之外，數(shù)據(jù)采集預(yù)處理模塊和檢測模塊安裝部署在單獨的物理節(jié)點上，必須保證其與控制器有完全的通信權(quán)限。

5 實驗

本實驗?zāi)M云環(huán)境下 SDN網(wǎng)絡(luò)低速率 DDoS攻擊，分別進(jìn)行了檢測模型有效性實驗、不同攻擊模式下的檢測模型評估及檢測防御框架的性能測試。在本實驗中將低速率DDoS攻擊數(shù)據(jù)分為四大類進(jìn)行采集：針對數(shù)據(jù)平面的周期性低速率攻擊、針對控制平面的非周期性低速率攻擊、針對數(shù)據(jù)平面的周期性低速率攻擊以及針對控制平面的非周期性低速率攻擊。

低速率DDoS攻擊類型選擇了TCP類型攻擊、UDP類型攻擊、Http Head攻擊和Http Body攻擊這4種低速率攻擊類型，其中TCP和UDP這2種類型的攻擊方式通過修改hping3工具發(fā)送攻擊流量，Http Head和Http Body攻擊通過修改SlowHttpTest慢速Http攻擊工具發(fā)送模擬攻擊流量，正常流量采用某高校校內(nèi)網(wǎng)用戶訪問的正常流量。

5.1 實驗環(huán)境

本實驗搭建了基于OpenStack的云計算平臺作為實驗云環(huán)境。實驗一共使用3臺物理服務(wù)器，其中，一臺服務(wù)器作為控制節(jié)點且部署了 RYU 4.20控制器，其余2臺服務(wù)器作為計算節(jié)點，虛擬交換機(jī)采用OpenvSwitch v2.5，OpenFlow協(xié)議采用OpenFlow1.3，虛擬機(jī)操作系統(tǒng)采用ubuntu14.04系統(tǒng)，虛擬核數(shù)為2，內(nèi)存為4 GB。本文為了實驗數(shù)據(jù)采集的便利性，將5臺虛擬機(jī)作為攻擊主機(jī)，一臺搭建Web服務(wù)的虛擬機(jī)作為目標(biāo)服務(wù)器，一臺作為檢測服務(wù)器，提供數(shù)據(jù)采集、檢測及將檢測結(jié)果發(fā)送至防御模塊的功能，通過2臺虛擬交換機(jī)進(jìn)行連接，實驗拓?fù)淙鐖D13所示。

圖13 云環(huán)境下SDN網(wǎng)絡(luò)低速DDoS攻擊實驗拓?fù)浣Y(jié)構(gòu)

5.2 實驗數(shù)據(jù)

針對控制平面的低速率 DDoS攻擊數(shù)據(jù)中，TCP類型攻擊和UDP類型的低速率DDoS攻擊攻擊速率設(shè)置為每秒100個（數(shù)據(jù)分組數(shù)），Http Head和Http Body攻擊攻擊速率設(shè)置為每秒100條（連接數(shù)），攻擊周期為1 s，數(shù)據(jù)采集窗口設(shè)置為5×10 s，即50 s。TCP類型和UDP類型的非周期性低速率DDoS攻擊的攻擊速率設(shè)置為每秒發(fā)送50～100個數(shù)據(jù)分組，Http Head和Http Body攻擊的攻擊速率設(shè)置為每秒發(fā)送50～100條連接。

在針對數(shù)據(jù)平面的低速率DDoS攻擊數(shù)據(jù)中，假設(shè)虛擬交換機(jī)空閑超時時間為10 s，攻擊者通過逼近機(jī)制將估計的空閑超時時間作為攻擊周期，攻擊周期為9 s。TCP類型和UDP類型的低速率DDoS攻擊速率設(shè)置為每9秒100個（數(shù)據(jù)分組數(shù)），Http Head和Http Body攻擊的攻擊速率設(shè)置為每9秒10條（連接數(shù)），攻擊周期為 9 s。數(shù)據(jù)采集窗口設(shè)置為5×idle_time，即50 s。TCP類型和UDP類型的非周期性低速率DDoS攻擊的攻擊速率設(shè)置為9 s以內(nèi)的隨機(jī)時間每次發(fā)送 100個數(shù)據(jù)分組，Http Head和Http Body攻擊的攻擊速率設(shè)置9 s以內(nèi)的隨機(jī)時間每次發(fā)送10條連接。

正常流量原始數(shù)據(jù)為50 000條，針對控制平面與數(shù)據(jù)平面的攻擊由TCP、UDP、Http Head和Http Body類型的攻擊組成，原始數(shù)據(jù)皆為12 500條，各類型攻擊內(nèi)包含周期性與非周期性的混合攻擊。經(jīng)預(yù)處理后，正常流量樣本為10 000條，控制平面以及數(shù)據(jù)平面的低速率DDoS的TCP、UDP、Http Head和Http Body類型攻擊流量樣本各為2 500條，各類型攻擊內(nèi)包含周期性與非周期性的混合攻擊。以上數(shù)據(jù)的混合比例皆為1:1。

5.3 實驗結(jié)果分析

實驗分為兩部分，其中實驗1主要測試對TCP、UDP等不同類型的低速率DDoS攻擊的檢測效果；實驗2主要測試在周期性低速率DDoS攻擊下同類型檢測方法的檢測效果，以及對周期性與非周期性混合低速率DDoS攻擊的檢測效果。

5.3.1 評價標(biāo)準(zhǔn)

檢測模型通過基于貝葉斯網(wǎng)絡(luò)的檢測算法對上述數(shù)據(jù)進(jìn)行檢測分析，評價標(biāo)準(zhǔn)主要為查準(zhǔn)率（precision）、查全率（recall）、漏警率（MA, missing alarm）、虛警率（FA, false alarm）、F1-measure值，相關(guān)指標(biāo)的表示對應(yīng)如式(15)～式(19)所示。同時本文聲明將F1-measure作為本文的檢測率，并對比分析查準(zhǔn)率、查全率和F1-measure。

5.3.2 實驗1

首先分別對TCP、UDP、Http Head和Http Body這4種類型的低速率DDoS攻擊進(jìn)行檢測。為了貼近真實攻擊環(huán)境，將周期性攻擊流量與非周期性攻擊流量混合檢測，同時設(shè)置攻擊流量占比為 4%、8%、12%、16%、20%，分別對各類型低速率DDoS攻擊進(jìn)行分析，結(jié)果如圖14所示。

圖14 各類低速DDoS攻擊不同流量比的評價變化

在對低速率DDoS攻擊的檢測中，TCP、UDP、Http Head和Http Body這4種類型的低速率DDoS攻擊的攻擊流量占比在20%時，其檢測率均在91%以上。當(dāng)攻擊流量占比為4%時，TCP和UDP類型攻擊的檢測率在 74%以上，Http Head和 Http Body類型的檢測率分別為68%和71%。該檢測模型可以對云環(huán)境下多類型的低速率 DDoS攻擊進(jìn)行有效檢測。

5.3.3 實驗2

周期性混合攻擊流量包括了TCP、UDP、Http Head和 Http Body這 4種類型的周期性低速率DDoS攻擊流量，各攻擊數(shù)據(jù)量相同。同時設(shè)置攻擊流量占比為10%、15%、20%、25%、30%、35%、40%、45%、50%，分別對周期性混合攻擊進(jìn)行分析，結(jié)果如圖15所示。

周期性混合低速率DDoS攻擊流量占比為50%時，檢測率達(dá)到99.6%，在極低的攻擊流量占比為10%時，檢測模型檢測率依舊能達(dá)到90%以上，本文所提模型在攻擊流量占比在25%時，檢測率可以達(dá)到96%，可以有效地檢測大部分情況下的攻擊。

圖15 周期性混合攻擊不同流量比的評價變化

將非周期性混合攻擊流量及周期性混合攻擊流量進(jìn)行1:1的混合，各攻擊數(shù)據(jù)量相同。同時設(shè)置攻擊流量占比為10%、15%、20%、25%、30%、35%、40%、45%、50%，分別對混合攻擊進(jìn)行分析，結(jié)果如圖16所示。

混合低速率DDoS攻擊流量占比為50%時，檢測率達(dá)到95.5%，在極低的攻擊流量占比為10%時，對于混合攻擊檢測達(dá)到87.99%。因為非周期性因素的影響，檢測率會下降 4%。綜上，本文的檢測方法能夠有效地檢測出周期性低速率DDoS攻擊及非周期性與周期性混合的低速率DDoS攻擊，在攻擊占比為50%時檢測效果分別達(dá)到了99.6%和95.5%。本文檢測方法與基于聯(lián)合特征的檢測方法[11]和SDCC[7]同類型周期性低速率 DDoS攻擊檢測方法進(jìn)行了對比分析，評價標(biāo)準(zhǔn)依據(jù)對比模型進(jìn)行設(shè)計計算，主要有檢測率、漏警率及虛警率，對比結(jié)果如表2所示。

圖16 混合攻擊不同流量比的評價變化

表2 不同的檢測方法結(jié)果對比

文獻(xiàn)[11]的實驗環(huán)境設(shè)置周期性低速率DDoS攻擊流量占比為 50%，其檢測率為 96.68%，漏警率與虛警率分別為3.32%和3.89%，而本文在同等條件下檢測率為 99.6%，漏警率和虛警率分別為 0.56% 和0.10%，檢測效果有明顯提升。這是由于文獻(xiàn)[11]提出的聯(lián)合特征之一的可用帶寬百分比特征可能會對檢測效果存在有一定的影響，當(dāng)攻擊處于初始階段時，網(wǎng)絡(luò)帶寬的占用率會逐步升高，在該情況下，攻擊時帶寬占用率與正常帶寬占用率的區(qū)分度不夠明顯，對攻擊流進(jìn)行特征提取的方法存在一定的不足之處。而本文針對單條攻擊流的行為及通信特性進(jìn)行建模檢測，所建立的模型受整體流量特征（如可用帶寬占比等）的影響較小，可以在攻擊流量極低的環(huán)境下，依然能夠有效地檢測低速率攻擊（在攻擊流量占比為25%時，檢測率可以保持在 96%以上），與針對整個攻擊流的檢測方法相比，檢測效果有明顯提升。

文獻(xiàn)[7]提出周期性低速率 DDoS攻擊流量占比在50%時，觸發(fā)為攻擊狀態(tài)，其發(fā)送分組密度為每秒100個時誤判率為2.5%左右，其定義的虛警率為正常數(shù)據(jù)分組判斷成攻擊分組的概率，而本文在攻擊流量占比為50%時，F(xiàn)1-measure值達(dá)到了99.6%，虛警率為0.22%，主要由于SDCC算法中屬性值的權(quán)值需要人工根據(jù)實際情況設(shè)置，這可能會導(dǎo)致檢測結(jié)果存在一定的誤差。SDCC方案為了提高數(shù)據(jù)處理速率，在不同的檢測階段會抽取不同比例的數(shù)據(jù)進(jìn)行分析，當(dāng)正常的業(yè)務(wù)流量存在突變情況時（如電商業(yè)務(wù)等），只抽取部分?jǐn)?shù)據(jù)進(jìn)行分析，可能會存在一定的誤判情況。而本文的檢測范圍會覆蓋全部的流量，對每條流的行為及通信特征進(jìn)行分析檢測以保證檢測的準(zhǔn)確性，同時通過控制器API采集流的統(tǒng)計信息等方式，與SDN框架結(jié)合緊密，保證整個檢測框架的高效性。文獻(xiàn)[7]在攻擊流量占比在25%以下時，判定為非攻擊狀態(tài)，而本文模型在25%以下時，檢測率能達(dá)到95.8%；在攻擊流量占比10%時，檢測率仍能達(dá)到90.2%。

5.4 性能測試

對低速率DDoS攻擊檢測防御框架進(jìn)行性能測試評估，主要監(jiān)測框架在攻擊前后的防御消解能力以及性能開銷情況，檢測模型的訓(xùn)練時間性能開銷不在此范圍內(nèi)。

虛擬機(jī)流表idle_time設(shè)置為10 s，5個虛擬機(jī)使用每秒100個UDP類型數(shù)據(jù)分組以及每9秒100個UDP類型數(shù)據(jù)分組的混合攻擊，測試時長為90 min，10 s時開始攻擊持續(xù)，20 s時開啟檢測防御功能，實驗結(jié)果如圖17所示。

圖17 檢測防御功能對流規(guī)則的消解

由實驗結(jié)果所得，在20 s啟動檢測防御功能后，需要8～9 s的啟動時間，在35 s時，針對控制器平面攻擊的防御措施生效，下發(fā)阻斷策略，可以將流表空間中110條流規(guī)則（包含部分回復(fù)流規(guī)則）降低至一條流規(guī)則；在78s時，針對數(shù)據(jù)平面攻擊的防御措施生效，下發(fā)相應(yīng)的阻斷策略，同樣能夠?qū)⒐袅饕?guī)則數(shù)量降低為一條流規(guī)則。在本實驗中，檢測防御框架能夠在合理時間內(nèi)對低速率DDoS攻擊進(jìn)行檢測與防御。

在以上的實驗基礎(chǔ)上，對檢測防御框架的內(nèi)存資源消耗進(jìn)行測試，測試時間為70 s，1 s時開啟檢測防御功能，如圖18所示。

圖18 內(nèi)存占用率變化

由實驗結(jié)果可知，在開啟檢測防御功能時，內(nèi)存占用率逐步升高，平均內(nèi)存消耗為9.04%，在60s時完成對攻擊的檢測并開始下發(fā)流表規(guī)則，內(nèi)存消耗峰值為10.7%，之后穩(wěn)定在9.7%，其在合理的資源消耗范圍內(nèi)，能夠完成對攻擊進(jìn)行檢測和消解，防止低速率DDoS攻擊造成更大的破壞。

6 結(jié)束語

云環(huán)境下低速率DDoS攻擊會占用數(shù)據(jù)中心大量的網(wǎng)絡(luò)資源，降低被攻擊者的服務(wù)質(zhì)量，嚴(yán)重影響云計算平臺和數(shù)據(jù)中心的正常運行。本文針對云環(huán)境SDN數(shù)據(jù)平面低速率DDoS攻擊方式進(jìn)行了詳細(xì)的分析，驗證了攻擊的有效性，之后詳細(xì)分析低速率DDoS攻擊在通信、頻率上的特性并提取了十維特征，基于貝葉斯網(wǎng)絡(luò)實現(xiàn)了對低速率 DDoS攻擊的有效檢測。在此基礎(chǔ)上，提出了云環(huán)境下SDN網(wǎng)絡(luò)中低速率DDoS攻擊統(tǒng)一檢測框架，同時采用相關(guān)攻擊工具，基于真實正常流量在OpenStack云環(huán)境中進(jìn)行了測試。測試結(jié)果表明，在攻擊流量占比為50%時，對周期性低速率DDoS的檢測率達(dá)到99.6%，與同類型檢測方法相比提高了2.92%，對非周期性低速率DDoS的檢測率達(dá)到95.5%，在百兆帶寬環(huán)境下，檢測防御框架以9.7%的 CPU性能消耗完成攻擊的檢測與消解。檢測防御框架能夠?qū)υ骗h(huán)境下低速率DDoS攻擊進(jìn)行有效的檢測與防御。同時，本文的檢測框架有著高度的可擴(kuò)展性與可移植性，完全適用于云環(huán)境。隨著云計算技術(shù)的不斷發(fā)展，云環(huán)境中業(yè)務(wù)流量不斷增加，控制器的服務(wù)壓力越來越大，單控制器的 SDN網(wǎng)絡(luò)架構(gòu)無法滿足正常的業(yè)務(wù)需求，多控制器的 SDN網(wǎng)絡(luò)架構(gòu)將會逐漸發(fā)展。因此，本文未來將對多控制器下的攻擊信息的采集以及控制器間攻擊信息的共享方式進(jìn)行進(jìn)一步研究，同時對控制器策略下發(fā)過程優(yōu)化進(jìn)行研究。