王 聰, 崔允賀, 高鴻峰

(貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 貴陽(yáng) 550025)

作為一種新型的網(wǎng)絡(luò)架構(gòu), SDN實(shí)現(xiàn)了集中式控制和可編程的特點(diǎn), 解耦了控制層面和轉(zhuǎn)發(fā)層面, 使得大型網(wǎng)絡(luò)管理更為便捷[1–4]. 但是, SDN的轉(zhuǎn)發(fā)與控制分離的特點(diǎn)可能使得交換機(jī)和控制器易成為高速和低速分布式拒絕服務(wù)攻擊的目標(biāo)[5].

在SDN環(huán)境中, 針對(duì)交換機(jī)和控制器的高速和低速DDoS攻擊是多分類(lèi)的問(wèn)題. 在SDN環(huán)境下, 如何準(zhǔn)確地識(shí)別多種不同攻擊類(lèi)型仍是一個(gè)較為嚴(yán)峻的問(wèn)題. 現(xiàn)如今, 針對(duì)低速率和高速率DDoS攻擊問(wèn)題, 研究者提出了一些方法, 用于檢測(cè)低速DDoS和高速DDoS攻擊[6–8]. 文獻(xiàn)[9]提出了基于粒子群優(yōu)化卷積神經(jīng)的模型, 并將其用于檢測(cè)高速率DDoS攻擊. 文獻(xiàn)[10]提出了一種基于信息距離度量檢測(cè)低速率DDoS攻擊.信息距離度量指標(biāo)可以量化網(wǎng)絡(luò)流量在不同概率分布下的偏差, 基于SDN網(wǎng)絡(luò)流的特性, 該文獻(xiàn)使用廣義熵的度量方法用于檢測(cè)控制層的低速率DDoS攻擊.

D-S證據(jù)理論是一種處理不確定信息并且實(shí)現(xiàn)多分類(lèi)器融合的有力工具, 被廣泛地用在模式識(shí)別、圖像處理、風(fēng)險(xiǎn)評(píng)估、目標(biāo)分類(lèi)等領(lǐng)域[11]. 文獻(xiàn)[12]中, 作者結(jié)合了云模型和改進(jìn)D-S證據(jù)理論, 提出了一種新的沖突參數(shù)并用于改進(jìn)D-S證據(jù)理論算法, 該算法通過(guò)對(duì)探測(cè)器的證據(jù)進(jìn)行修正實(shí)現(xiàn)多個(gè)證據(jù)最終融合. 文獻(xiàn)[13]中, 研究者提出了一種基于不一致測(cè)量的沖突證據(jù)組合方法, 該方法引入了新的沖突系數(shù)對(duì)沖突證據(jù)進(jìn)行修正, 并通過(guò)改進(jìn)的組合規(guī)則獲得最終的融合結(jié)果. 文獻(xiàn)[14]中, 作者結(jié)合了希爾伯特-黃變換和傳統(tǒng)D-S理論用于檢測(cè)傳統(tǒng)網(wǎng)絡(luò)中DDoS攻擊. 文獻(xiàn)[15]中, 研究者使用傳統(tǒng)的D-S證據(jù)理論算法用于檢測(cè)傳統(tǒng)網(wǎng)絡(luò)中DDoS攻擊. 文獻(xiàn)[16]中, 研究者使用證據(jù)間距離改進(jìn)D-S證據(jù)理論, 并使用SVM模型結(jié)合改進(jìn)D-S證據(jù)理論算法用于檢測(cè)網(wǎng)絡(luò)中DDoS攻擊.

在處理多分類(lèi)器融合的過(guò)程中, 使用D-S證據(jù)理論可能會(huì)使得的融合的結(jié)果不夠充分. 為了解決這一問(wèn)題, 一些研究者提出修改Dempster規(guī)則方法, 主要用于解決沖突分配和管理的問(wèn)題[17–19]. 另外, 一些研究者則是通過(guò)改進(jìn)基本信念分配解決上述問(wèn)題, 具體改進(jìn)方法是通過(guò)對(duì)不可靠的證據(jù)源進(jìn)行預(yù)處理, 將經(jīng)過(guò)預(yù)處理后的證據(jù)與Dempster規(guī)則進(jìn)行最終的融合. 本文更傾向于第2類(lèi)研究者改進(jìn)D-S證據(jù)理論算法的思想. 目前, 部分研究者提出的基于D-S證據(jù)理論的DDoS攻擊檢測(cè)方法大多數(shù)只適用于解決傳統(tǒng)網(wǎng)絡(luò)下DDoS攻擊安全問(wèn)題. 本質(zhì)上講, 該問(wèn)題屬于二分類(lèi)問(wèn)題. 此外, 一些研究者只使用分類(lèi)器的結(jié)果作為D-S基本信念分配函數(shù)(basic probability assignment, BPA), 且只使用簡(jiǎn)單的統(tǒng)計(jì)學(xué)方法直接對(duì)分類(lèi)器結(jié)果進(jìn)行權(quán)重的重新分配, 這種方式容易導(dǎo)致DDoS檢測(cè)精度降低.

基于上述分析, 為防范SDN中高速和低速DDoS攻擊, 本文提出一種SDN環(huán)境下針對(duì)控制器和交換機(jī)的多目標(biāo)DDoS攻擊檢測(cè)方法. 首先, 為了更精確的檢測(cè)SDN環(huán)境下多種不同種類(lèi)的DDoS攻擊, 本文使用OVO策略融合多種不同類(lèi)型的二分類(lèi)器構(gòu)建多分類(lèi)器. 其次, 為了使BPA有效的代表網(wǎng)絡(luò)流量的初始概率分布, 代替多數(shù)研究者使用分類(lèi)器的結(jié)果直接作為BPA, 本文使用OVO策略融合多個(gè)二分類(lèi)器至多分類(lèi)器, 結(jié)合得到二分類(lèi)器的支持度與信息熵方法構(gòu)建BPA. 最后, 為了更全面的衡量D-S證據(jù)間的沖突, 本文提出兩種新的沖突因子包含離散因子和純度因子用于衡量D-S證據(jù)源之間的沖突. 其中, 離散因子是通過(guò)使用OVO策略融合多個(gè)二分類(lèi)器至多分類(lèi)器時(shí)支持相同類(lèi)別的非零概率值之間的熵值計(jì)算得到. 純度因子是指計(jì)算使用OVO策略融合多個(gè)二分類(lèi)器至多分類(lèi)器后, 該多分類(lèi)器內(nèi)部之間支持度的Gini指數(shù)得到.之后, 結(jié)合離散因子和純度因子計(jì)算多個(gè)證據(jù)源的權(quán)重. 最后, 利用D-S證據(jù)理論對(duì)調(diào)整權(quán)重后的證據(jù)進(jìn)行最終的融合. 綜上, 本文的主要貢獻(xiàn)如下.

(1) 為了更精確的檢測(cè)SDN網(wǎng)絡(luò)中DDoS攻擊,本文提出一種SDN環(huán)境下針對(duì)控制器和交換機(jī)的多目標(biāo)DDoS攻擊檢測(cè)方法.

(2) 本文使用OVO策略融合多種不同類(lèi)型的二分類(lèi)器構(gòu)建多分類(lèi)器, 且二分類(lèi)器的支持度與信息熵方法結(jié)合計(jì)算得到BPA.

(3) 為了更好地衡量證據(jù)內(nèi)部和證據(jù)之間的沖突,本文提出兩種新的沖突因子包含離散因子和純度因子,用于修正D-S證據(jù)理論的證據(jù).

本論文的結(jié)構(gòu)組織如下. 第1節(jié)介紹了相關(guān)背景技術(shù)知識(shí). 第2節(jié)介紹了本文提出的基于改進(jìn)D-S理論的DDoS攻擊檢測(cè)方法. 第3節(jié)通過(guò)實(shí)驗(yàn)分析和結(jié)果證實(shí)本文提出的方法具有較好的效果. 第4節(jié)對(duì)本文提出方法進(jìn)行了總結(jié).

1 背景

本小節(jié)分為兩個(gè)部分: 第1部分講述了DDoS攻擊相關(guān)背景知識(shí), 第2部分講述了D-S證據(jù)理論算法相關(guān)知識(shí).

1.1 SDN環(huán)境下DDoS和LDDoS攻擊

SDN實(shí)現(xiàn)了控制層與轉(zhuǎn)發(fā)層的解耦, 具有集中式控制和可編程性等特點(diǎn), 然而SDN的控制層和轉(zhuǎn)發(fā)層也都面臨著一些安全問(wèn)題, 例如DDoS攻擊等[20].

在SDN中, 以控制器為目標(biāo)的攻擊者通過(guò)持續(xù)向目標(biāo)主機(jī)發(fā)送新的數(shù)據(jù)包對(duì)控制器發(fā)起攻擊. 攻擊者發(fā)送的數(shù)據(jù)包將與交換機(jī)中的流表進(jìn)行匹配, 如果數(shù)據(jù)包匹配成功, 則流表相應(yīng)動(dòng)作將會(huì)被執(zhí)行. 否則, 交換機(jī)將向控制器發(fā)送packet_in消息. 在這種攻擊方式中, 攻擊者將發(fā)送大量無(wú)法與流表匹配的數(shù)據(jù)包, 使控制器處理大量packet_in消息, 導(dǎo)致控制器單點(diǎn)故障.

此外, 以交換機(jī)為目標(biāo)的攻擊者將向交換機(jī)發(fā)送新的數(shù)據(jù)包. 同時(shí)在idle_time時(shí)間內(nèi)將持續(xù)發(fā)送與第一個(gè)數(shù)據(jù)包頭部相同的數(shù)據(jù)包, 保持相關(guān)流表項(xiàng)一直存在交換機(jī)中. 通過(guò)持續(xù)重復(fù)這個(gè)過(guò)程, 交換機(jī)的流表項(xiàng)空間將被惡意無(wú)用的流表項(xiàng)占滿(mǎn), 導(dǎo)致正常的流表項(xiàng)在到達(dá)交換機(jī)時(shí)被丟棄.

羅茨風(fēng)機(jī)的缺點(diǎn)為噪聲明顯，如不加以對(duì)其噪聲進(jìn)行控制，其噪聲可達(dá)10～130 dB.本次設(shè)計(jì)使用的羅茨風(fēng)機(jī)有幾個(gè)部位產(chǎn)生噪聲[9]：1）進(jìn)出氣口產(chǎn)生的空氣動(dòng)力性噪聲；2）電機(jī)自身、電機(jī)與機(jī)殼、軸與軸承之間在工作過(guò)程中因小幅度的相對(duì)運(yùn)動(dòng)產(chǎn)生的機(jī)械噪聲；3）其他基礎(chǔ)振動(dòng).

以交換機(jī)和控制器為攻擊目標(biāo), 其攻擊發(fā)起方式主要分為兩種類(lèi)型, 即DDoS攻擊以及LDDoS攻擊.DDoS攻擊是通過(guò)偽造IP地址持續(xù)不斷地向攻擊目標(biāo)發(fā)送大量攻擊流量, 而LDDoS攻擊則是通過(guò)調(diào)整發(fā)送攻擊的周期、攻擊流量持續(xù)的時(shí)間和發(fā)送攻擊流量的速率達(dá)到降低控制器和交換機(jī)服務(wù)質(zhì)量的目的.

1.2 D-S證據(jù)理論

在多源數(shù)據(jù)融合中, 具有不精確推理特點(diǎn)的DS證據(jù)理論是一種較有優(yōu)勢(shì)的技術(shù). 目前, D-S證據(jù)理論已被廣泛運(yùn)用在模式識(shí)別、圖像處理、多類(lèi)目標(biāo)分類(lèi)和模式分類(lèi)等領(lǐng)域.

D-S證據(jù)理論建立在集合框架 ?基礎(chǔ)之上, 框架?包括了對(duì)應(yīng)問(wèn)題的所有結(jié)果的集合.

定義1. 假設(shè)? = {A1,A2,···,AN}是包含所有結(jié)果的集合框架, 基本信度分配函數(shù)m被定義為從集合框架? 中的冪集2?到概率區(qū)間[0, 1]的映射函數(shù),m(A)為A的BPA,A為框架2?的任一子集,m(A)＞0的集合則為焦元, 反映了在該證據(jù)下命題A的可信程度, 具體計(jì)算如式(1)所示.

定義2. Dempster合成法則如式(2)所示. 其中,n為證據(jù)數(shù)量,j為第j個(gè)證據(jù),N為假設(shè)的數(shù)量,k為第k個(gè)假設(shè),K為合成公式中[0, 1]范圍內(nèi)多個(gè)證據(jù)之間的沖突系數(shù),m1⊕m2⊕···⊕mn為證據(jù)之間的內(nèi)積和.

2 SDN環(huán)境下基于改進(jìn)D-S理論算法檢測(cè)DDoS攻擊機(jī)制

2.1 設(shè)計(jì)原理

SDN網(wǎng)絡(luò)具有轉(zhuǎn)發(fā)層和控制層分離的特點(diǎn)使其具備傳統(tǒng)網(wǎng)絡(luò)不能比擬的優(yōu)勢(shì), 同時(shí)也可能使得SDN中控制層和轉(zhuǎn)發(fā)層遭受不同類(lèi)型的DDoS攻擊. 針對(duì)SDN中不同類(lèi)型的DDoS攻擊, 本文提出一種SDN環(huán)境下基于改進(jìn)D-S理論的DDoS攻擊檢測(cè)方法. 該方法提出的兩個(gè)因子包含離散因子和純度因子, 用于衡量證據(jù)內(nèi)部和證據(jù)之間的沖突和關(guān)聯(lián), 以此修正DS理論算法的證據(jù)沖突. 離散因子是指在使用OVO策略進(jìn)行二分類(lèi)器融合成一個(gè)多分類(lèi)器的過(guò)程中, 相同類(lèi)別的非零支持度之間的熵值. 純度因子指不純度與1之間的差異絕對(duì)值. 不純度是指每個(gè)多分類(lèi)器內(nèi)部不同類(lèi)別的支持度之間的Gini指數(shù). 當(dāng)Gini指數(shù)越高時(shí),則表示多分類(lèi)器內(nèi)部不同類(lèi)別之間的支持度分布不純度越高, 則分類(lèi)差異越為突出. 本文使用兩個(gè)因子用于修正多分類(lèi)器輸出的結(jié)果, 使用D-S證據(jù)理論方法融合修正后的輸出結(jié)果得到最終的分類(lèi)結(jié)果. 檢測(cè)方法整體架構(gòu)圖具體如圖1所示.

圖1 檢測(cè)方法整體架構(gòu)圖

2.2 離散因子

當(dāng)OVO策略融合多個(gè)二分類(lèi)器為一個(gè)多分類(lèi)器過(guò)程時(shí), 多個(gè)二分類(lèi)器相同類(lèi)別的非零支持度之間的離散程度影響該多分類(lèi)器的分類(lèi)效果. 相同類(lèi)別非零支持度之間的離散因子越大, 則表示該多分類(lèi)器效果越好.

本文通過(guò)M個(gè)二分類(lèi)器使用OVO策略融合成一個(gè)多分類(lèi)器. 此處,M=N×(N–1)/2,N指N–1種網(wǎng)絡(luò)攻擊流量和正常網(wǎng)絡(luò)流量. 其中, 網(wǎng)絡(luò)攻擊流量包含了針對(duì)控制器和交換機(jī)的高速DDoS攻擊和低速DDoS攻擊. 本文通過(guò)式(3)、式(4)和式(5)計(jì)算Oi并得到BPA, 并通過(guò)式(6)和式(7)計(jì)算得到離散因子.

2.3 純度因子

2.4 D-S證據(jù)理論融合

在計(jì)算離散因子和純度因子后, 結(jié)合兩個(gè)因子將得到證據(jù)的權(quán)重. 通過(guò)式(10)和式(11)融合兩個(gè)因子計(jì)算得到證據(jù)最終的權(quán)重, ρ的區(qū)間屬于[0, 1].

2.5 算法實(shí)現(xiàn)

SDN環(huán)境下基于改進(jìn)D-S理論算法檢測(cè)DDoS攻擊算法具體如算法1所示.

算法1中, 首先調(diào)用RYU控制器提供的北向接口獲取交換機(jī)與控制器交互的OpenFlow消息和流表項(xiàng).隨后計(jì)算packert_inrate,byte_rate和paket_rate等特征. 將計(jì)算后的流表項(xiàng)特征記為Feature_x, 并作為二分類(lèi)器的輸入, 按樣本類(lèi)別順序依次訓(xùn)練M個(gè)基分類(lèi)器, 包含(Oi,1,2,Oi,1,3, · ··,Oi,3,4,Oi,4,5,i=1, 2, 3). 在本文中,M=10,N=5. 訓(xùn)練完不同的基分類(lèi)器后, 本文將10個(gè)基分類(lèi)器的輸出構(gòu)建成一個(gè)10×5的矩陣φ; 得到矩陣φ 后, 通過(guò)式(4), 式(5)和式(6)計(jì)算得到多分類(lèi)器Oi, 式(7)和式(8)計(jì)算獲得第i個(gè)多分類(lèi)器分類(lèi)類(lèi)別為j的離散因子Dis(mi) ; 在得到多分類(lèi)器Oi后, 式(9)和式(10)計(jì)算多分類(lèi)器Oi內(nèi)部之間的純度因子Pure(mi); 使用式(11)和式(12)結(jié)合離散因子和純度因子得到最終調(diào)整權(quán)重后的多分類(lèi)器分類(lèi)結(jié)果, 獲得最終的DDoS攻擊檢測(cè)結(jié)果.

算法1. 改進(jìn)D-S證據(jù)理論檢測(cè)算法Feature_x=packert_in rate, byte_rate, paket_rate←M, N 5, 10 φ←BPA, [], []For i in N do Oi =Binary_base(Feature_x)For j in M do φ Oi.append()τji=(Oj i,1,2,Oji,1,3,Oji,1,4,...,Oji,3,4,Oji,4,5)Dis(mi) j i=Dis_calculate()mi=Oi=∑10 i=1τji∑5j=1∑10 i=1τji O1i,O2i,O3i,O4i,O5i)=(mi BPA.append()End End For i in BPA do mi BPAi Pure() =Pure_calculate( )End Dis,Pure R=Dempster_fusion( )

3 實(shí)驗(yàn)分析

本節(jié)對(duì)提出的算法進(jìn)行了實(shí)驗(yàn)驗(yàn)證及分析. 在本節(jié)中, 所提方法被命名為DFDoS-DS. 實(shí)驗(yàn)評(píng)估中, 通過(guò)比較精度、準(zhǔn)確率、召回率、F-score值和混淆矩陣等指標(biāo), 本節(jié)對(duì)比了文獻(xiàn)[13]和文獻(xiàn)[17]的算法.其中, 文獻(xiàn)[13]和文獻(xiàn)[17]的算法分別被命名為Ensemble-DS和SVM-DS.

3.1 實(shí)驗(yàn)設(shè)置

實(shí)驗(yàn)中, 本文在配置i5的CPU的計(jì)算機(jī)上運(yùn)行Mininet 2.2.2軟件用于生成如圖2所示的網(wǎng)絡(luò)拓?fù)? 此外, 本文將RYU 4.9.1作為SDN中的控制器. 本文通過(guò)設(shè)置帶外模式使用Mininet軟件搭建網(wǎng)絡(luò)拓?fù)洳⑦B接RYU控制器. 根據(jù)相關(guān)研究工作[21–24], 本文按如下方式生成該網(wǎng)絡(luò)中的背景流量: 背景流量由不同協(xié)議組成, 其中TCP協(xié)議占比80%, UDP協(xié)議占比15%,ICMP協(xié)議占比5%. 同時(shí), 背景流量中數(shù)據(jù)包的大小和速率服從泊松分布. 此外, 本文使用了兩種攻擊方式:(1)攻擊者將通過(guò)泛洪的方式發(fā)起高速DDoS攻擊,(2)攻擊者通過(guò)控制(T,L,R)參數(shù)以周期性的方式發(fā)起低速LDDoS攻擊, 其中,T是發(fā)起攻擊周期,L是發(fā)起攻擊持續(xù)脈沖長(zhǎng)度,R是發(fā)起攻擊速率[25,26].

圖2 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D

3.2 實(shí)驗(yàn)評(píng)估

本節(jié)對(duì)比了DFDoS-DS算法和Ensemble-DS算法以及SVM-DS算法的有效性. 在表1中, 本文通過(guò)混淆矩陣、精度、準(zhǔn)確率、召回率以及F-score值對(duì)比DFDoS-DS算法、Ensemble-DS算法和SVM-DS算法.圖3、圖4和圖5是DFDoS-DS算法, Ensemble-DS算法和SVM-DS算法的混淆矩陣. 在混淆矩陣指標(biāo)中, 混淆矩陣中的y軸表示樣本的真實(shí)分類(lèi)值,x軸則表示樣本的預(yù)測(cè)分類(lèi)值.

圖3 SVM-DS算法混淆矩陣

圖4 DFDoS-DS算法混淆矩陣

圖5 Ensemble-DS算法混淆矩陣

表1 準(zhǔn)確率、精度、召回率和F-score對(duì)比(%)

如表1所示, DFDoS-DS算法的準(zhǔn)確率、精度召回率和F-score達(dá)到了97%、97%、98%和98%, 同時(shí), SVM-DS的精度、準(zhǔn)確率、召回率和F-score是62%、64%、65%和57%. 與SVM-DS比較了精度、準(zhǔn)確率、召回率和F-score, DFDoS-DS算法增加了56%、51%、51%和72%. 同時(shí), 相比Ensemble-DS,DFDoS-DS算法的上述指標(biāo)分別增加了2%、4%、2%和3%.

4 結(jié)論

本文提出了一種SDN環(huán)境下基于改進(jìn)D-S理論的DDoS攻擊檢測(cè)方法. 在改進(jìn)D-S證據(jù)理論算法中,本文設(shè)計(jì)了離散因子和純度因子, 用于衡量D-S證據(jù)理論中證據(jù)源之間的沖突: 離散因子通過(guò)支持相同類(lèi)別的支持度之間的熵值計(jì)算得到; 純度因子是指多分類(lèi)器內(nèi)部的不同類(lèi)別之間的支持度的Gini指數(shù). 最后,本文結(jié)合兩種因子調(diào)整D-S證據(jù)源, 并通過(guò)Dempster規(guī)則融合得到最終的分類(lèi)結(jié)果. 本文對(duì)別了DFDoSDS算法和Ensemble-DS算法以及SVM-DS算法, 實(shí)驗(yàn)結(jié)果證明本文提出的方法取得較為優(yōu)異的結(jié)果.