基于對象特征的軟件定義網絡分布式拒絕服務攻擊檢測方法

姚琳元 董 平 張宏科

?

基于對象特征的軟件定義網絡分布式拒絕服務攻擊檢測方法

姚琳元 董 平*張宏科

(北京交通大學電子信息工程學院 北京 100044)

軟件定義網絡(SDN)受到分布式拒絕服務(DDoS)攻擊時，攻擊方會發送大量數據包，產生大量新的終端標識占用網絡連接資源，影響網絡正常運轉。為準確發現受攻擊對象，檢測被占用資源，利用GHSOM技術，該文提出基于對象特征的DDoS攻擊檢測方法。首先，結合SDN網絡及攻擊特點，提出基于目的地址的檢測7元組，并以此作為判斷目標地址是否受到DDoS攻擊的檢測元素；然后，采用模塊化設計，將GHSOM算法應用于SDN網絡DDoS攻擊的分析檢測中，并在OpenDayLight的仿真平臺上完成了仿真實驗。實驗結果顯示，該文提出的檢測7元組可有效檢測目標對象是否受到DDoS攻擊。

軟件定義網絡；7元組；自組織映射；分布式拒絕服務

1 引言

互聯網的快速發展，網絡用戶規模的爆發式增長，傳統網絡架構隨之面臨各種各樣的問題。為滿足時延、負載等網絡基本要求，許多網絡協議、網絡策略在設計之初被預先定義，造成傳統IP (Internet Protocol)網絡難于更新，網絡結構越發復雜，網絡管理更加困難[1]。傳統網絡控制域與數據域相綁定，是造成網絡難以管理的主要因素[2]。為從根本上解決網絡痼疾，新型網絡架構被相繼提出。其中控制域與轉發域相分離的思想受到業界的廣泛關注，具有代表性的網絡結構之一是近年來不斷被寄予厚望的軟件定義網絡(Software Defined Networking, SDN)[3,4]。

傳統網絡中，控制邏輯分布在各個網絡設備。這種分布式的網絡結構在一定程度上降低了網絡因遭受Distributed Denial of Service (DDoS) 攻擊全面癱瘓的風險。而在SDN網絡中，控制器集中管理網絡設備，增大了網絡安全風險[5]。當SDN網絡受到DDoS(Distributed Denial of Service)攻擊時，攻擊方會發送大量數據包，這些數據包含有不同源地址、目的地址等信息。為獲取轉發規則，交換機需要不斷向控制器發送請求，以獲得新的轉發規則；控制器也需要不斷響應交換機的請求，制定、下發相應規則，以至于控制器的存儲資源、計算資源大量消耗，控制器與交換機的連接資源大量占用。文獻[5]將OpenFlow下的SDN網絡DDoS攻擊歸納為兩種，即控制域帶寬攻擊和交換機流表攻擊。文獻[6]也將控制域與數據域之間接口造成的固有通信瓶頸視為SDN網絡的主要安全挑戰之一。

沖突檢測是一種有效探測DDoS攻擊的方法。文獻[7]對沖突探測進行了說明，并總結為簽名探測技術和異常探測技術。統計分析和機器學習是兩種主要的異常探測技術。該文闡述了機器學習的6種方法，即Neural Networks, Support Vector Machine, Genetic Algorithms, Fuzzy Logic, Bayesian Networks, Decision Tree，并對6種方法的優缺點進行了總結。但是，文章缺乏與SDN的關聯，沒有給出解決SDN中控制器受到DDoS攻擊的具體方法。

作為機器學習中的一種，神經網絡的無監督學習可以在網絡目標輸出未知的情況下，通過自訓練，聚類分析輸入樣本[8]，達到自動監測的目的。文獻[9]利用神經網絡中的自組織映射(Self-Organizing Map, SOM)技術實現對SDN網絡的數據檢測。該文提出了一種基于SOM技術的DDoS攻擊檢測方法，并在SDN網絡控制器中實現了此方法。作者采用模塊化的方法完成“數據流采集”、“特性提取”以及“攻擊探測(數據包分類)”等功能。然而，該文獻中的統計元素沿用傳統網絡的參考元素，并沒有對SDN網絡的數據特點進行分析。另外，SOM要求預先確定神經元的數量和排列，致使神經元排列固定、單一，這在一定程度上限制了攻擊檢測的準確性。

文獻[10]以目的IP地址作為參考要素，采用信息熵與閾值相結合的方法完成檢測。雖然信息熵較SOM靈活、方便，但在閾值確定和多元素權重分配等方面仍需與其他技術結合。文獻[11]提出了Openflow與sFlow相結合的數據采集方法，這在一定程度上提高了檢測帶寬。但文獻[11]同文獻[10]，使用了信息熵檢測方法。文獻[12]提出了FortNOX內核，優化了SDN網絡中NOX控制器的安全性能，但并沒有給出具體的DDoS攻擊檢測方法。文獻[13]利用基于神經網絡和生物威脅理論的計算機防御系統完成風險評估，實現對DDoS攻擊的防御，但缺乏詳盡的實現方案和效果對比。

通過上述分析可知，面向SDN網絡的DDoS攻擊檢測方法主要包括SOM技術和信息熵。但是，SOM技術要求訓練前完成神經元數量和排列的預先確定，而信息熵通常與相應參數的閾值共同使用，難以獨立完成對多維數據的分析與檢測。而一種基于SOM技術的GHSOM(Growing Hierarchical SOM)[14]技術更加靈活，且可以獨立完成對多維數據的分析與檢測。該技術已應用于傳統網絡的攻擊檢測中，如文獻[8], 文獻[15]，但在SDN網絡上卻缺乏相應的應用研究。鑒于此，利用GHSOM技術，本文提出了基于對象特征的DDoS攻擊檢測方法。

本文的創新性在于：(1)結合SDN網絡及攻擊特點，提出了基于目的地址的檢測7元組，判斷目標地址是否受到DDoS攻擊；(2)采用模塊化設計，將GHSOM應用于SDN網絡DDoS攻擊的分析檢測中，并在OpenDayLight的仿真平臺上完成了仿真實驗。

本文內容如下：第2節介紹了GHSOM算法的原理與使用方法；第3節詳細說明了基于對象特征的DDoS攻擊檢測方法；第4節完成檢測方法的可行性分析，并進行了實驗驗證；第5節總結全文。

2 GHSOM介紹

本節對GHSOM算法進行簡單介紹。較SOM固定的神經元結構，GHSOM具有生長、分層的特性，結構更加靈活，數據處理效率更高。GHSOM算法總結如下[16]：

第1次映射：GHSOM映射過程從第1層開始，如圖1，首先從第0層的神經元擴展到第1層的4個神經元,,,，然后從輸入數據中取樣執行SOM過程，完成輸入數據的第1次映射。

圖1 GHSOM擴展說明

3 基于對象特征的DDoS攻擊檢測方法

DDoS攻擊的目的主要在于資源占用和資源消耗[17]。對SDN網絡而言，DDoS攻擊主要包括控制域帶寬、流表條目兩個方面[5]。當網絡中的設備受到攻擊時，交換機會接收到大量不同包頭數據，流表條目會大幅增長，數據帶寬會被大量消耗，嚴重時攻擊會直接造成網絡癱瘓。為準確檢測網絡是否遭受攻擊，及時遏制攻擊規模。當攻擊者通過DDoS方式攻擊網絡目標時，其數據包目的地址、長度變化幅度單一，源地址、源端口、目的端口變化多樣。根據這一特點，本文提出了基于對象特征的DDoS攻擊檢測方法。

該方法充分利用了SDN網絡的可編程性以及控制器對網絡的綜合管理性，包括流信息采集、7元組提取、數據訓練與分析、命令下發4個部分，如圖2。

(1)流信息采集： 該部分負責向控制器數據庫周期性發送信息請求，獲取最新的網絡流表信息，請求周期為。

(2)7元組提取： SDN網絡遭受到DDoS攻擊主要包括流表溢出和控制器帶寬[5]。因此從層級角度分析，SDN網絡受到的網絡攻擊主要位于OSI (Open System Interconnection)參考模型中的網絡層和傳輸層。雖然SDN網絡改變了傳統網絡路由設備的轉發方式，但并沒有改變數據包的封裝結構，因此，目的IP地址仍然是數據包到達目的地的最終依據。如文獻[11]中，作者便使用目的地址作為信息熵的參考對象。相對于受攻擊對象的目的IP地址唯一性，為躲避安全防護系統，DDoS攻擊方會制造大量不同的源IP地址、端口數據包。針對這一特性，我們提出了基于被攻擊對象目的地址的檢測7元組，如表1。接收到網絡流表信息后，通過對特別要素的提取與檢測，得到相應流表數據。

圖2 檢測方法說明圖

表1 檢測7元組

(3)數據訓練與分析： 該部分采用GHSOM算法，對獲取到的元素進行訓練和檢測。

訓練過程主要包括4個部分：(a)初始化：按照輸入數據，計算第0層神經元權重向量，并計算出平均量化誤差；(b)第1次映射：將第0層的獨立神經元擴展為第1層的4個神經元，執行SOM過程，完成數據的第1次映射；(c)橫向拓展：計算最新層獲勝神經元的平均量化誤差，并將其與第0層神經元的平均量化誤差進行比較，確定是否進行橫向拓展；如果滿足橫向拓展條件，在映射神經元中尋找最大量化誤差的神經元以及與該神經元臨近的最不同神經元，在二者間增加新列或行，繼續SOM過程，并繼續判定是否滿足橫向拓展條件；(d)縱向拓展：完成橫向拓展后，判斷映射神經元是否滿足縱向拓展條件，如果需要縱向拓展，產生新的映射層，對新映射層重新進行SOM過程、橫向拓展和縱向拓展。

檢測過程將采樣數據放入訓練結果中進行比對，判斷目標對象是否遭受到DDoS攻擊。

(4)命令下發： 對發現異常目的地址，該部分負責向控制器數據庫發送安全指令，修改流表內容，使交換機停止接收發向受攻擊目的地址的數據包。

4 可行性分析與仿真驗證

本節包括可行性分析與仿真驗證兩個部分。在可行性分析中，本文對SOM與信息熵的特點進行了總結，并對選取的GHSOM算法是否適合于SDN網絡下的DDoS攻擊進行了說明；另外，對本文提出的7元組是否可以充分體現SDN網絡下的DDoS攻擊數據特點進行了實驗驗證。在仿真驗證中，本文搭建了網絡環境，在OpenDayLight控制器下完成了檢測方法，通過模擬實際數據，對所提方法的效果進行了分析。

4.1 可行性分析

(1)GHSOM可行性分析： 針對SDN網絡的DDoS攻擊，信息熵和SOM是兩種主要的探測方法。信息熵通常與相應參數的閾值共同使用，如文獻[10]。該方法較SOM更加方便、靈活，對系統資源的占用更少。但是，閾值的設定過程會消耗一定的計算資源，而且，當需要分別計算并考慮多個參數的信息熵時，衡量各參數的權值也需要額外的算法實現。因此，信息熵靈活、方便的特點并不適用于對多維數據的分析與檢測。

使用SOM，首先對數據完成訓練，得到合法數據與攻擊數據的排列規律，依此規律完成對錄入數據的檢測。然而，SOM要求在訓練前完成神經元數量和排列的預先確定，相對DDoS攻擊數據量大且多變、數據特征不明等特點，SOM難以準確完成SOM神經元的數量和排列。此外，SOM中神經元分布在同一映射層，而類型繁多的DDoS攻擊數據加重了數據映射后的處理難度。

GHSOM算法具有生長、分層的特性，可根據處理數據的復雜程度自動調整神經元層級和數量。其更加靈活的結構、更高的數據處理效率，更適用于DDoS攻擊的數據檢測。在傳統的無中心網絡中，GHSOM算法已被廣泛使用，如文獻[8]，文獻[15]。在SDN網絡環境下，控制與數據相分離，控制器可以掌控全網數據，更有利于GHSOM算法的實現。因此，從算法的靈活性、完整度，以及自身的可實現性等角度考慮，GHSOM算法較SOM算法和信息熵具有明顯優勢。

(2)檢測7元組的可行性： 本文首次提出了基于目的地址的檢測7元組，并以此作為判定SDN網絡下DDoS攻擊的參考要素。為驗證所提7元組的可行性，本節對7元組進行了數據分析與說明。

網絡拓撲如圖3所示，控制器為OpenDayLight (ODL)，連接3個Openflow交換機。Openflow交換機1，交換機3與普通交換機相連，主要為模擬數據的接入口；同時，與未被攻擊的虛擬主機相連，虛擬主機用來模擬真實網絡中的各種設備。3臺目標主機目標1，目標2，目標3作為被攻擊對象，與Openflow交換機2連接。依據文獻[18]中3種常見協議ICMP, TCP, UDP數據包的比例(5:85:10)，仿照WIDE項目[19]的數據流量，本文模擬了常規通信的數據流量，同時通過tfn2k攻擊軟件獲得了攻擊數據。

在數據采集中，為了能夠保證每次取樣的數據是在該時間間隔內正在通信的條目，取樣周期為5 s，并在每次取樣后清空控制器流表，重新計時，重新取樣。在取樣過程中，我們選取了時長為16連續合法數據，4攻擊數據，攻擊數據發生時間在合法數據的T8~T11之間(如圖4所示)，攻擊對象為圖3中目標1，目標2，目標3。通過對數據的采集分析，我們得到了圖4，圖5，圖6的對比圖。

圖4中橫坐標表示16個不同時段的目的IP地址，縱坐標分別表示不同時段不同目的IP對應的源IP數量(圖4(a))、源端口數量(圖4(b))和目的端口數量(圖4(c))。從3個子圖中可以看出，每個圖可分上下兩部分。上半部分包括3條折線，對應的是圖3中3個受攻擊目標1，目標2，目標3在遭受DDoS攻擊時對應的源IP、源端口和目的端口數量；下半部分表示未遭受到攻擊的目的IP地址對應的縱坐標數量。

圖3 網絡拓撲圖

圖4 IP與端口數量對比圖

圖5 變化速率對比圖

圖5(a)，圖5(c)，圖5(e)橫坐標分別表示正常通信中源IP、源端口、目的端口的變化率，縱坐標表示不同變化率對應的目的IP地址數量。可以看出，源IP和目的端口的變化范圍為(-100,100)，源端口的變化范圍為(-50,50)，而且分布呈拋物線形式，越靠近中心點(橫坐標為0，即相鄰變化速率為0)，目的IP地址越多。

圖5(b)，圖5(d)，圖5(f)橫坐標表示抽樣時間，縱坐標表示圖3中3個受攻擊目標1，目標2，目標3在遭受DDoS攻擊時對應的源IP、源端口和目的端口變化速率。在T8時刻，3個目標受到攻擊，可以看到其對應的變化速率迅速升高，當攻擊結束時(T12時刻)，變化速率迅速降低，在攻擊過程中，各變化速率也在不停抖動。通過左右對比可以看出，合法數據的變化速率遠遠低于受到攻擊時的速率。

圖6為數據包長度標準差對比圖，橫坐標表示目標IP，縱坐標表示目標IP對應的數據包長度標準差。上半部分3個點表示3個受攻擊目標1，目標2，目標3在遭受DDoS攻擊時的數據包長度標準差；下半部分為未受攻擊下的標準差。從圖中可以看出，雖然合法數據包的不同目的IP地址對應的數據包長度標準差大小不一，但攻擊者發送的攻擊數據包其數據包長度的標準差明顯大于合法數據包長度的標準差。充分體現了被攻擊對象受到攻擊前后的差異性。

圖6 數據包長度標準差對比圖

通過實際拓撲的搭建、數據的模擬，圖4，圖5，圖6有力證明了文中所提出基于對象特征的7元組可以檢測SDN網絡是否遭受DDoS攻擊的可行性。

4.2 仿真驗證與結果分析

在OpenDayLight控制器(Helium版本)上結合Openflow1.0完成了上文所提方法，并利用圖3所示拓撲完成了數據的模擬、采集、訓練和檢測。與可行性檢測類似，常規通信中訓練、檢測所用數據完全由ICMP, TCP, UDP 3種協議，按5:85:10比例構成，數據流量仿照WIDE項目；攻擊數據通過tfn2k攻擊軟件獲得；取樣周期為5 s。參數設置：,，學習速率。

作為對比，我們使用相同采樣數據，從中提取了文獻[9]中引用的6個參考元素(平均每個流的包數(APf)、平均每個流的比特數(ABf)、平均每個流的持續時間、對稱流比例、獨立流增長速度和不同端口增長速度)(后文簡稱6元組)，并進行了基于GHSOM算法的實驗。實驗中，我們對合法數據和攻擊數據分別進行了3600次和2160次訓練，并將攻擊數據包速率與合法數據包速率之比(后文簡稱為速率比)設定為1:6，對攻擊數據和合法數進行了1400次和1800次的檢測。

在實際檢測中，本文將攻擊方式分為3種，方式1受攻擊對象包括目標1，目標2，目標3；方式2受攻擊對象包括目標2，目標3；方式3受攻擊對象包括目標1。表2給出了速率比為1:6時兩種檢測方法對應的檢測率，其中3種攻擊方式的總攻擊次數為1440次。從表2可以看出，本文所提出的7元組的檢測率要高于6元組對應的檢測率。這是因為6元組檢測項以流為分析對象，而每個流表條目可能會對應諸多信息，比如目的地址、源地址、Vlan等，提高了檢測受攻擊目的地址的難度，犧牲了檢測率。而本文提出的7元組，以目的地址為分析對象，從數目、變化速率等多個角度對同一目標進行分析，提高了檢測率。

4.3 算法開銷討論

本文方法的開銷主要包括訓練過程和檢測過程兩部分。

訓練過程是線下過程，可以在其他網絡設備中進行。因此，訓練過程對控制器的影響可以忽略。檢測過程的計算復雜度主要受檢測目標數量和單次檢測目標所需計算次數決定。其中檢測目標數量由目的IP地址的數量決定，在實驗過程中以千為單位。單次檢測目標所需計算次數受到7元組提取和GHSOM算法匹配時間影響。7元組提取主要包括前后兩次數據的比較，因此，如果每個周期提取的數據包數目為，那么在完成一次7元組提取時，數據包處理總量應為2。GHSOM算法匹配時間，主要受到神經元匹配過程影響，單位應小于受檢測目標數量。

表2 攻擊與檢測

圖7 不同速率比檢測率

5 總結

在基于Openflow協議的SDN網絡環境中，控制器利用傳輸層協議與交換機建立連接，傳輸指令，交換信息。當網絡受到DDoS攻擊時，攻擊方會發送大量數據包，產生大量新的終端標識，造成控制器的存儲資源、計算資源大量消耗，并大量占用控制器與交換機的連接資源，影響網絡正常運轉。為便捷準確地發現受攻擊對象，最大限度釋放攻擊數據占用的網絡資源，利用GHSOM技術，本文提出了基于對象特征的DDoS攻擊檢測方法。

首先，結合SDN網絡及攻擊特點，提出了基于目的地址的檢測7元組，并以此作為判斷目標地址是否受到DDoS攻擊的檢測元素；然后，采用模塊化設計，將GHSOM算法應用于SDN網絡DDoS攻擊的分析檢測中，并在OpenDayLight的仿真平臺上完成了仿真實驗。實驗結果表明，本文提出的檢測7元組可以有效檢測目的地址是否受到攻擊。

[1] BENSON T, AKELLA A, and MALTZ D A. Unraveling the Complexity of Network Management[C]. 6th USENIX Symposium on Networked Systems Design and Implementation, Boston, MA, USA, 2009: 335-348.

[2] KREUTZ D, RAMOS F M V, ESTEVES VERISSIMO P,. Software-defined networking: A comprehensive survey[J]., 2015, 103(1): 14-76. doi: 10.1109/ jproc.2014.2371999.

[3] MCKEOWN N. How SDN will shape networking[C]. Open Networking Summit, Palo Alto, CA, USA, 2011: 56-61.

[4] SHENKER S, CASADO M, KOPONEN T,The future of networking, and the past of protocols[C]. Open Networking Summit, Palo Alto, CA, USA, 2011: 24-29.

[5] KANDOI R and ANTIKAINEN M. Denial-of-service attacks in OpenFlow SDN networks[C]. 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM), Ottawa, BC, Canada, 2015: 1322-1326. doi: 10.1109/inm.2015.7140489.

[6] SHIN S, YEGNESWARAN V, PORRAS P,Avant- guard: Scalable and vigilant switch flow management in software-defined networks[C]. Proceedings of the 2013 ACM SIGSAC Conference on Computer & Communications Security, Berlin, Germany, 2013: 413-424. doi: 10.1145/ 2508859.2516684.

[7] ASHRAF J and LATIF S. Handling intrusion and DDoS attacks in software defined networks using machine learning techniques[C]. IEEE 2014 National Software Engineering Conference (NSEC), Event-Karachi, Pakistan, 2014: 55-60. doi: 10. 1109/nsec.2014.6998241.

[8] 楊雅輝, 姜電波, 沈晴霓, 等. 基于改進的GHSOM的入侵檢測研究[J]. 通信學報, 2011, 32(1): 121-126.doi: 10.3969/j. issn.1000-436X.2011.01.016.

YANG Yahui, JIANG Dianbo, SHEN Qingni,Research on intrusion detection based on an improved GHSOM[J]., 2011, 32(1): 121-126. doi: 10. 3969/j.issn.1000-436X.2011.01.016.

[9] BRAGA R, MOTA E, and PASSITO A. Lightweight DDoS flooding attack detection using NOX/OpenFlow[C]. IEEE 2010 35th Conference on Local Computer Networks (LCN), Denver, Colorado, USA, 2010: 408-415. doi: 10.1109/lcn. 2010.5735752.

[10] MOUSAVI S M and ST-HILAIRE M. Early detection of DDoS attacks against SDN controllers[C]. IEEE 2015 International Conference on Computing, Networking and Communications (ICNC), Anaheim, California, USA, 2015: 77-81. doi: 10.1109/iccnc.2015.7069319.

[11] GIOTIS K, ARGYROPOULOS C, ANDROULIDAKIS G,. Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments[J]., 2014, 6(2): 122-136. doi: 10.1016/j.bjp.2013.10.014.

[12] PORRAS P, SHIN S, YEGNESWARAN V,A security enforcement kernel for OpenFlow networks[C]. Proceedings of the First Workshop on Hot Topics in Software Defined Networks, Helsinki, Finland, 2012: 121-126. doi: 10.1145/ 2342441.2342466.

[13] MIHAI-GABRIEL I and VICTOR-VALERIU P. Achieving DDoS resiliency in a software defined network by intelligent risk assessment based on neural networks and danger theory[C]. IEEE 2014 15th International Symposium on Computational Intelligence and Informatics (CINTI), Budapest, Hungary, 2014: 319-324. doi: 10.1109/CINTI. 2014.7028696.

[14] RAUBER A, MERKL D, and DITTENBACH M. The growing hierarchical self-organizing map: exploratory analysis of high-dimensional data[J]., 2002, 13(6): 1331-1341. doi: 10.1109/tnn. 2002.804221.

[15] HUANG S Y and HUANG Y. Network forensic analysis using growing hierarchical SOM[C]. IEEE 2013 13th International Conference on Data Mining Workshops (ICDMW), Brisbane, Australia, 2013: 536-543. doi: 10.1109/icdmw.2013.66.

[16] RAUBER. The GHSOM Architecture and Training Process [OL]. http://www.ifs.tuwien.ac.at/~andi/ghsom/description. html, 2016.

[17] 鮑旭華, 洪海, 曹志華. 破壞之王: DDoS攻擊與防范深度剖析[M]. 北京: 機械工業出版社, 2014: 20-76.

BAO Xuhua, HONG Hai, AND CAO Zhihua. The King of Destruction: DDoS Attact and Defense Depth Analysis[M]. Beijing: China Machine Press, 2014: 20-76.

[18] BORGNAT P, DEWAELE G, FUKUDA K,Seven years and one day: Sketching the evolution of internet traffic[C]. IEEE 2009 INFOCOM, Rio de Janeiro, Brazil, 2009: 711-719. doi: 10.1109/infcom.2009.5061979.

[19] KENJIRO Cho. MAWI working group traffic archive[OL]. http://mawi.wide.ad.jp/mawi/, 2016.

Distributed Denial of Service Attack Detection Based on Object Character in Software Defined Network

YAO Linyuan DONG Ping ZHANG Hongke

(,,100044,)

During the Distributed Denial of Service (DDoS) attack happening in Software Defined Network (SDN) network, the attackers send a large number of data packets. Large quantities of new terminal identifiers are generated. Accordingly, the network connection resources are occupied, obstructing the normal operation of the network. To detect the attacked target accurately, and release the occupied resources, a DDoS attack detection method based on object features with the GHSOM technology is provided. First, the seven-tuple is proposed for detection to determine whether the target address is under attack by DDoS. Then, a simulation platform is built, which is based on the OpenDayLight controller. GHSOM algorithm is applied to the network. Simulation experiments are performed to validate the feasibility of the detection method. The results show that the seven-tuple for detection can effectively confirm whether the target object is under a DDoS attack.

Software Defined Network (SDN); Seven-tuple; Self-organization mapping; Distributed Denial of Service (DDoS)

TP393

A

1009-5896(2017)02-0381-08

10.11999/JEIT160370

2016-04-18；改回日期：2016-10-19；

2016-12-20

董平 pdong@bjtu.edu.cn

國家973重點基礎研究發展計劃(2013CB329100)，國家863高技術研究發展計劃(2015AA016103)，國家自然科學基金(61301081)，國家電網公司科技項目([2016]377)

The National Key Basic Research Program of China (2013CB329100), The National High Technology Research and Development Program 863 (2015AA016103), The National Natural Science Foundation of China (61301081), SGRIXTJSFW ([2016]377)

姚琳元： 男，1988年生，博士生，研究方向為下一代互聯網網絡層關鍵技術.

董 平： 男，1979年生，副教授，研究方向為新一代互聯網、移動、安全.

張宏科： 男，1957年生，教授，博士生導師，研究方向為下一代互聯網架構、協議理論與技術、移動互聯網絡路由、傳感器網絡技術等.