SDN 環境下的LDoS 攻擊檢測與防御技術*

顏 通，白志華，高 鎮+，閆麗娜，周 蕾

1.天津大學 電氣自動化與信息工程學院，天津 300072

2.北京智芯微電子科技有限公司，北京 102200

1 引言

低速率拒絕服務（low-rate denial of service，LDoS）攻擊是近些年來出現的一種新型的網絡攻擊方式[1-2]，其主要針對網絡中的各種自適應機制的漏洞，比如TCP（transmission control protocol）協議中的擁塞控制機制、路由器的隊列管理機制等進行攻擊。LDoS攻擊利用周期性的高速率短時脈沖，使得網絡不斷地在穩定狀態與非穩定狀態之間變換，嚴重降低網絡的性能。由于LDoS 攻擊端在大部分時間內保持靜默狀態，因此LDoS 攻擊的平均流量很低，這大大增加了檢測的難度。與傳統的DoS 攻擊相比，該攻擊有以下幾個顯著的特點[1]：

（1）攻擊所利用的各種漏洞來自于網絡中的各種自適應機制，因此攻擊所引起的各種反應對于受害者來說是合法的，這會導致受害者長期受到攻擊而無法察覺；

（2）采用間歇式的攻擊方式，攻擊流量的平均速率很低，很容易混在正常流量中而不被察覺，因此該攻擊隱蔽性非常好；

（3）攻擊成本低，無需維持長時間的高速攻擊流量，攻擊所需要的數據流量遠小于洪泛式DoS 攻擊。

LDoS 攻擊脈沖的數學模型可以用一個三元組(R,L,T)來表示，其中R表示脈沖的幅度，是攻擊流量的最大值；L表示每個攻擊脈沖的持續時間；T表示攻擊脈沖的周期，是兩個連續攻擊脈沖的時間間隔。具體表示如圖1 所示。

Fig.1 LDoS attacks traffic圖1 LDoS 攻擊流量

作為目前網絡中使用最為廣泛的傳輸協議，TCP協議在互聯網中發揮著至關重要的作用。目前提出的各種LDoS 攻擊大多數都是針對TCP 協議中的各種自適應機制提出的，而擁塞控制機制是TCP 協議中最為重要的自適應機制，下面主要針對TCP 擁塞控制機制的LDoS 攻擊進行介紹。

TCP 協議擁塞控制機制的主要思想是發送端根據當前的鏈路擁塞情況動態地調整報文發送的速率。針對TCP 擁塞控制機制的LDoS 攻擊主要利用了TCP 擁塞控制算法中的超時重傳（retransmission time out,RTO）和加增減乘（additive increase multiplicative decrease，AIMD）兩種自適應機制。利用具有周期性短時高速脈沖特點的攻擊流量造成正常TCP流量的周期性丟包，制造不同程度的網絡擁塞狀況，從而不斷觸發TCP 的超時重傳和加增減乘兩種自適應機制，使得正常TCP 發送端的擁塞控制窗口一直處于很小的狀態，導致受害主機的TCP 吞吐量急劇降低，嚴重影響網絡性能。其攻擊過程如圖2 所示。

Fig.2 LDoS attack based on RTO mechanism圖2 基于RTO 機制的LDoS 攻擊

作為下一代網絡的熱門解決方案，軟件定義網絡（soft defined networking，SDN）越來越受到人們的關注[3]，但作為一種新型的網絡架構，其同樣面臨著各種各樣網絡攻擊的威脅。傳統網絡中各種攻擊方式，如分布式拒絕服務（distributed denial of service，DDoS）[4-5]，在SDN 網絡中依然有效[6-7]，同時控制器在整個SDN網絡中起著至關重要的作用，一旦控制器發生宕機，整個SDN 網絡將陷入癱瘓狀態。因此，針對控制器的攻擊將會對整個SDN 網絡造成致命的打擊。SDN網絡下同樣存在著LDoS 攻擊的威脅，且危害巨大，同時SDN 網絡控制與轉發分離、網絡行為可編程等特點又為LDoS 攻擊的檢測與防御提供了新的思路，在SDN 網絡環境下研究LDoS 攻擊的檢測與防御機制具有重要的意義。

2 相關工作

文獻[2]首次提出低速率拒絕服務攻擊，其后對于LDoS 的檢測和防御的研究一直是網絡安全領域的熱點，國內外研究人員提出了各種檢測與防御機制。目前，LDoS 攻擊的檢測方法可以分為時域檢測和頻域檢測兩大類。

頻域檢測方法主要是在頻域上對網絡流量進行分析，將信號檢測理論以及濾波器理論應用到低速率拒絕服務攻擊的檢測中[8]。其主要思想是采用信號處理技術與網絡流量數據處理技術相結合，把經典的信號檢測理論和濾波器理論應用到LDoS 攻擊流量的檢測和過濾方法中。文獻[9]發現攻擊流量和正常流量的功率譜密度存在明顯差異，并提出了利用攻擊流量和正常流量之間歸一化功率譜密度的最大距離作為判別LDoS 攻擊的依據。文獻[10-11]提出采用小波處理來檢測LDoS 攻擊流量的思想，利用離散小波變換（discrete wavelet transform，DWT）技術將網絡流量變換成為高、中、低3 個頻率分量，從而實現攻擊流量的檢測。文獻[12]提出了采用卡爾曼濾波一步預測的方法檢測LDoS 攻擊，該方法根據攻擊開始時觀察到的受害端流量發生異常突變的特征，采用一步預測與最優估算的誤差值作為檢測依據。文獻[13]提出了一種基于頻譜分析的LDoS 攻擊流過濾方法，將TCP 流量和LDoS 攻擊流從時域轉換到頻域，并基于無限脈沖響應濾波器設計了一種梳狀濾波器來濾除頻域中的LDoS 攻擊流。該方法在有效濾除LDoS 攻擊流的同時對合法TCP 流量的影響較小。文獻[14]提出了一種適用于LDoS攻擊檢測的自適應核主成分分析（kernel principal component analysis,KPCA）方法，通過小波多尺度分析提取網絡流量，利用平方預測誤差統計檢測LDoS 攻擊。文獻[15]通過將功率譜分析與信息熵相結合，引入傅里葉功率譜熵和小波功率譜熵來檢測LDoS 攻擊，并提出了基于功率譜熵的排隊算法緩解LDoS 攻擊。文獻[16]根據網絡流量存在多重分形特征，提出了一種基于小波變換和組合神經網絡的識別方法，對普通網絡流量和LDoS 攻擊流量進行分類。文獻[17]提出了一種基于相關的方法來檢測LDoS 攻擊。利用Hilbert-Huang 變換得到網絡流量的希爾伯特頻譜，獲取更多的網絡流量信息，實現有效地檢測LDoS 攻擊。文獻[18]通過小波分析，比較正常網絡流量和被LDoS 攻擊的流量之間的H?lder 指數的差值與基于統計結果設置的檢測閾值的關系來檢測LDoS 攻擊是否存在。

在時域范疇內，文獻[19]提出了用信息指標檢測LDoS 攻擊，給出了廣義熵和信息距離兩種檢測方法，并提出了一種基于信息距離的IP 追蹤方法，該方法能夠在較短時間內追蹤到攻擊源。文獻[20]將LDoS 攻擊流量視為有明顯周期性的小信號，基于小信號檢測理論，提出了一種基于小信號模型的LDoS攻擊檢測方法。文獻[21]研究了基于時間窗統計的LDoS 攻擊檢測方法，該方法通過在時域進行單位時間內的異常脈沖統計分析，揭示了在LDoS 攻擊期間，網絡的正常流量下降很大的同時，攻擊流量出現短時間不規則的高脈沖現象，提出了采用時間窗統計的方法來檢測LDoS 攻擊。文獻[22]提出了采樣語音識別中的動態時間環繞方法（dynamic time warping,DTW）來實現攻擊流量匹配的檢測方法。文獻[23]提出了一種基于LDoS 攻擊下的TCP 流量比DDoS 攻擊下的正常流量更加離散的事實來檢測LDoS 攻擊的新方法，根據TCP 流量的離散特征，采用兩步聚類分析對網絡流量進行聚類，然后通過異常分片檢測可疑的聚類，該方法能有效地檢測LDoS 攻擊。文獻[24]從序列匹配的角度研究了LDoS 攻擊的特征，提出了一種基于Smith-Waterman 局部序列比對算法的LDoS 攻擊檢測方法，將局部構建的檢測序列與背景流進行比較，獲得LDoS 攻擊的特征參數，從而實現檢測LDoS 攻擊的目的。文獻[25]利用提取到的攻擊流特征提出了基于簡單距離算法和自適應閾值算法相結合的方法檢測LDoS 攻擊。文獻[26]將路由器隊列特征采用核主成分分析（KPCA）降維，作為神經網絡輸入，再利用神經網絡自學習能力生成LDoS 分類器，達到檢測LDoS 攻擊的目的。

當前LDoS 攻擊的研究主要集中在傳統網絡架構中，針對SDN 環境下LDoS 攻擊檢測的研究還相對較少。SDN 控制與轉發分離、網絡行為可編程等特點為LDoS攻擊的檢測提供了新的思路。基于SDN的這些特點，本文在SDN 環境下對LDoS 攻擊的檢測與防御機制進行了研究，設計了一種在基于OpenFlow協議的SDN 網絡下實現LDoS 攻擊檢測與防御的機制。利用OpenFlow 流表對每條流的流量進行單獨統計，實現攻擊流量與正常流量的分離，然后提出了一種雙滑動窗口檢測方法用于檢測具有周期性短時脈沖特點的攻擊流量，從而實現攻擊的檢測。一旦檢測到攻擊，控制器便通過下發流表的方式實現對攻擊的實時防御。該檢測機制時效性高，易于實現。

3 檢測與防御機制

在基于OpenFlow 協議的SDN 網絡中，控制器通過下發流表的方式對交換機的轉發行為進行控制，同時流表又可以用于對每條流的流量信息進行單獨統計。基于SDN 的這個特點，本文提出了一種基于OpenFlow 協議的LDoS 攻擊檢測與防御機制。LDoS攻擊之所以難以檢測，是因為攻擊流量淹沒在正常流量之中，而攻擊流量的平均速率又很低，從而導致混入了攻擊流量的混合流量與正常流量的差異很小。本文利用SDN 可以方便地對每條流的流量進行單獨統計的特點，將具有周期性短時高速脈沖特點的攻擊流量從混合流量中篩選出來，從而實現攻擊的檢測。然后從攻擊流的流表信息中提取出攻擊者的MAC地址等信息，通過下發流表的方式進行攻擊的防御。

3.1 流量信息采集過程

攻擊檢測的前提是準確地獲取網絡的各種信息，如端口、業務流的流量統計信息以及數據包的解析信息等。在傳統網絡架構中，若想獲取這些信息，需要在網絡中部署相應的數據采集模塊，而在基于OpenFlow 協議的SDN 環境下，OpenFlow 交換機會收集端口和流的統計信息，而這些都是基于OpenFlow流表來實現的，不需要額外的采集設備。控制器可以通過周期性的輪詢獲取交換機的各種統計信息，利用這些統計信息便可以計算出每條流或每個端口的實時速率等信息，整個輪詢過程如圖3 所示[27]。

Fig.3 Polling process for switch statistics圖3 交換機統計信息的輪詢過程

控制器通過周期性向交換機發送Multipart-Request 消息請求交換機的統計信息，根據交換機回應的統計信息計算出各個數據流或者端口的速率。單條流的速率計算公式如式（1）：

其中，bn為第n次輪詢時flow_stats_reply消息中byte_count字段的值，表示到目前為止，該條流表已經處理過的字節數，tn為第n次輪詢時，根據flow_stats_reply 消息中Duration_sec 和Duration_nsec 字段的值計算出的時間，代表當前流表已經存在的時間，則Vn為兩次輪詢間隔內的平均速率，端口速率可以采用類似的方法獲得。

LDoS 攻擊流量為周期性短時高速率脈沖，脈沖的持續時間很短，往往只有幾百毫秒，因此若想檢測出攻擊脈沖，必須采用較高的輪詢頻率，這樣勢必會給控制器造成很大的負載壓力。本文提出了一種基于端口流量異常的自適應輪詢機制，只有當端口流量出現異常時，才會加快輪詢頻率，對是否真正遭受到攻擊進行更進一步的判斷，這樣可以避免長時間過高的輪詢頻率給控制器和通信鏈路帶來過大的壓力。

由LDoS 攻擊的原理可知，LDoS 通過周期性的短時高速脈沖，造成交換機或者路由器的隊列瞬間被占滿，從而導致正常TCP 流丟包，最終使得正常TCP 源端主動降低自己的發送速率，嚴重影響網絡的性能。通過觀察發現，當發生LDoS 攻擊時，瓶頸鏈路上的交換機或路由器的端口流量會出現流入與流出不平衡現象，定義：

其中，inpacks為一段時間內某個交換機所有端口流入的數據包總數，outpacks為所有端口流出的數據包總數。在正常情況下Δp的值很小，即交換機或路由器流量的流入與流出處于一種相對平衡的狀態。但當LDoS 攻擊發生時，大量的數據包會在短時間內流入交換機內，假如該交換機的出口鏈路為瓶頸鏈路，由于受到鏈路帶寬的限制，交換機無法及時將瞬間涌入的數據包轉發出去，只能將其存在緩存中，如果緩存滿了，就只能丟掉，這樣就會導致Δp的值瞬間增大。因此，可以通過計算每個交換機的Δp值來對是否遭受LDoS 攻擊進行預判斷，圖4 為基于端口流量異常的自適應輪詢機制流程圖。

Fig.4 Adaptive polling mechanism based on port traffic anomaly圖4 基于端口流量異常的自適應輪詢機制

3.2 雙滑動窗口攻擊檢測過程

LDoS 攻擊之所以難以檢測，是因為其攻擊流量的平均速率很低，隱藏在正常流量中而不易被察覺。本文提出的LDoS 攻擊檢測機制的思路是利用OpenFlow 流表對每條流單獨統計速率，這樣便可以將攻擊流量與正常流量分離開，從而將具有周期性短時高速脈沖特點的攻擊流量檢測出來。如圖5 所示，正常流量flow1 和攻擊流量flow2 混合在一起形成的混合流量與正常流量的差別很小，很難檢測到攻擊流量的存在。利用OpenFlow 流表對每條流的流量進行單獨統計，可以將攻擊流量從混合流量中分離出來，單獨統計之后的正常流flow1 和攻擊流flow2的流量分別如圖6、圖7 所示。

利用SDN 網絡可以對單條流進行統計的優勢，將混合流分解成多個單條流進行分析，從而將攻擊流與正常流區分開。這樣，LDoS 攻擊的檢測問題就變為周期性脈沖流量的檢測問題，本文采用信號檢測中的雙滑動窗口法進行周期性攻擊脈沖的檢測。

3.2.1 信號檢測中的雙滑動窗口檢測

在信號檢測領域，雙滑動窗口檢測法主要用于突發信號檢測。創建兩個相同寬度的滑動窗口，通過兩個窗口內信號能量比值的變化判斷是否存在突發信號。具體流程為：設計兩個相鄰的長度都為L的窗口，假設兩個窗口分別為A和B，當兩個窗口在接收到的信號上進行滑動時，落入到兩個窗口內的信號能量分別為EA和EB，其中EA和EB的計算方法如下：

二者比值為：

當開始進行信號檢測時，窗口A和窗口B隨著時間采樣信號開始滑動，當兩個窗口內都只包含白噪聲時，兩個窗口能量的比值m(n)接近于1。當突發信號進入窗口B時，m(n)的值隨之增大，當突發信號正好完全進入窗口B中時，m(n) 的值達到最大值Max。接下來隨著窗口的滑動，突發信號逐漸進入窗口A并離開窗口B，此時m(n)的值又會逐漸減小，輸入信號能量變化劇烈時m(n)的值比較大，因此可以根據m(n)和門限值Th的關系來判斷突發信號的有無，具體過程如圖8 所示。

Fig.8 Double sliding window method圖8 雙滑動窗口法檢測過程

3.2.2 雙滑動窗口檢測攻擊脈沖

本文根據信號檢測的雙滑動窗口方法，提出了一種對周期性的攻擊脈沖進行檢測的機制，在兩個窗口內對采樣值進行平滑處理，減小單個突發采樣點對判決結果的影響，只有連續多個高速率的采樣值才會被判定為攻擊脈沖流量。具體檢測方案如下：

（1）設定相關參數。設定采樣時間為t，滑動窗口A和滑動窗口B的長度皆為N。N的值可以根據攻擊脈沖的長度進行設定，若采樣的時間間隔為τ，L為攻擊脈沖的長度，則滑動窗口的長度N可以設定為L/τ。

（2）對每條流的速率進行單獨采樣，利用式（6）計算每條流的速率，其中bi(n)為第n次輪詢時，數據流i的流量統計值，ti(n)為第n次輪詢時，數據流i的生存時間，xi(n)為在兩次輪詢間隔內，數據流i的平均速率。

（3）窗口隨著采樣值的不斷增加而滑動，當n≥2N時，分別計算兩個滑動窗口內所有采樣值的和：

（4）計算兩個滑動窗口內的采樣值和的比值：

需要注意的是，由于攻擊流中可能會存在連續多個采樣值為零的情況，因此若Ai(n)為0，為了保證mi(n)存在，令mi(n)=Bi(n)。

（5）若mi(n)＞mi(n-1)，則說明此時還有較大的采樣值進入窗口B，此時繼續滑動窗口。若mi(n)≤mi(n-1)，則此時的mi(n-1)即為圖7 所示的Max值，接下來對mi(n-1)進行判斷。

（6）若mi(n-1)大于設定的閾值λ，則此時有連續多個較大的采樣值出現，即可認為此時出現一個異常脈沖。

（7）若在設定的采樣時間t內，異常脈沖的數量超過設定的閾值k，則可判定該條流i為攻擊流。

雙窗檢測的過程如圖9、圖10 所示。

Fig.9 Flow rate sampling圖9 流量速率采樣

Fig.10 Window sliding process圖10 窗口滑動過程

3.3 攻擊防御過程

依據上述攻擊檢測方法，本文基于SDN 能夠對網絡進行實時控制的優勢提出了一種防御方法。一旦檢測到攻擊，基于OpenFlow 協議的SDN 控制器便可以通過下發流表的方式對攻擊行為進行實時防御。控制器根據攻擊流中提取到的流表信息可以定位到攻擊主機所連的交換機端口，然后通過下發流表的方式對該端口進行隔離。例如，可以通過向攻擊主機所連的交換機下發表1 所示的流表來實現端口的隔離。

Table 1 Flow table required for port isolation表1 端口隔離法所需的流表

這種方法可以將攻擊主機永久地從網絡中下線，有效地防止攻擊者篡改IP地址或MAC地址之后再次將攻擊流量注入到網絡中，具體的防御過程如下：

（1）提取信息。一旦檢測到攻擊流量，從攻擊流量的流表中提取出攻擊的源MAC、目的MAC等信息。

（2）定位攻擊源。根據源MAC 地址，控制器定位攻擊主機所在的交換機及所連接的端口。

（3）流表生成。構建如表1 所示的流表，匹配域為IN_PORT=攻擊主機所連的端口，動作域為Action=Drop。

（4）流表下發。向攻擊主機所連的交換機下發步驟（3）中構建的流表，實現對攻擊主機的隔離。

防御過程如圖11 所示。

Fig.11 Defense process based on OpenFlow protocol圖11 基于OpenFlow 協議的防御過程

4 實驗及結果分析

4.1 實驗環境

為了更加充分地驗證基于OpenFlow 協議的LDoS 攻擊檢測與防御機制的有效性，本文使用Mininet 創建了一個包含OpenVSwitch 交換機、網絡主機在內的模擬SDN 數據中心網絡，并采用ONOS控制器作為整個SDN 網絡的控制平臺。實驗的網絡拓撲如圖12 所示。其中，主機h1、h2、h4、h5、h6為合法用戶，h3 為攻擊者，OpenFlow 交換機s4 與s5之間為瓶頸鏈路，鏈路帶寬為10 Mb/s，其余鏈路帶寬均為100 Mb/s，所有鏈路的延時均為10 ms。

Fig.12 Experimental network topology圖12 實驗網絡拓撲圖

h1和h2 分別與h6 和h4 建立正常的TCP連接，h1、h2 為發送端，h6 和h4 為接收端，TCP流量由D-ITG工具產生，兩個TCP連接的發包速率均為2 400 package/s，包的大小均為512 Byte，因此兩對TCP 連接的平均速率均為2 400×512×8 bit/s=9.83 Mb/s，正常TCP 的minRTO 按照RFC 的推薦設為1 s。h3 向h5 發送UDP 攻擊流量，攻擊參數如表2 所示。

Table 2 Attack parameter表2 攻擊參數

4.2 參數的選取

攻擊檢測中用到的相關參數主要有檢測時間t，采樣間隔τ，滑動窗口長度N，m值的閾值λ，脈沖數量閾值k。下面對各個參數的選取進行分析。

（1）采樣間隔τ。在實際網絡中，LDoS攻擊脈沖的長度一般為2-3RTT[8]。如果太短，不能夠導致正常TCP流量丟包，達不到攻擊的效果；如果太長，LDoS 攻擊就退化成了普通DoS攻擊，很容易被檢測出來。一般來說，LDoS 攻擊的脈沖長度大多集中在50～300 ms 之間，為了能夠將LDoS 攻擊脈沖檢測出來，采樣的時間間隔必須與脈沖長度在同一尺度上，本文的采樣時間間隔設定為50 ms。

（2）檢測時間t與脈沖數量閾值k。由攻擊檢測的流程可知，在檢測時間t內，若異常脈沖的數量超過閾值k，則判定存在攻擊。檢測時間t會影響檢測的準確性與有效性。若檢測時間過短，會導致誤報率過高，影響檢測的準確性；若檢測時間過長，會導致控制器長時間維持較高的輪詢頻率，給控制器和通信鏈路造成過大的負載壓力。同時，過長的檢測時間還會導致檢測防御的實時性降低。閾值k可以通過t/T獲得，其中T為攻擊脈沖的周期。閾值k的值也可以根據實際的檢測需求進行調整。為了得到最佳的參數值，本文從檢測率和誤報率兩方面對參數t和k進行分析。在τ=50 ms,λ=5,N=6 的參數條件下，通過多次實驗，計算不同的t、k組合的檢測率和誤報率如表3 所示。

Table 3 Detection effect under different (t, k)表3 不同(t,k)組合下的檢測效果

從表3 中可以看出，隨著檢測時間t的增大，檢測率的提高并不是非常明顯，但是誤報率卻可以明顯降低。綜合檢測的準確性和有效性兩方面進行考察，當t=25 s，k=20 時，可以達到較好的檢測效果。

（3）滑動窗口N。N的值如果太小，會導致單個采樣點對判決結果的影響太大，從而導致誤報率過高；若N的值過大，會增加計算的復雜度，增大控制器的檢測開銷。由雙滑動窗口機制可知，滑動窗口N的最佳值是L/τ，其中L為攻擊脈沖的持續時間，τ為采樣間隔。此時，同一個攻擊脈沖的所有采樣點正好可以全部進入窗口B中。在本文中τ的取值為50 ms，而L的值一般不會超過300 ms，因此本文將滑動窗口N的值設定為300 ms/50 ms=6。

（4）m值的閾值λ。正常數據流的流量比較平穩，因此m值集中在1 附近，而波動性很大的異常流量的m值會明顯大于1。雙滑動窗口的比值m如果大于設定的閾值λ，則認為出現一個攻擊脈沖。本文在τ=50 ms，t=25，k=20，N=6 的參數條件下，通過多次實驗，從檢測率和誤報率兩方面對參數λ進行分析，得出的結果如表4所示。從表中結果可以看出，隨著λ的增大，檢測的誤報率明顯降低，但檢測率也隨著降低，當λ=5 時，可以達到一個相對較好的效果。

Table 4 Detection effect with different λ表4 不同λ 取值時的檢測效果

以上討論了攻擊檢測過程用到的參數的取值，根據多次重復實驗的結果以及以上分析，本文檢測過程中的相關參數的選取如表5 所示。

Table 5 Selection of parameters表5 各參數的選取

4.3 檢測過程分析

攻擊發生后，流經交換機s4 的數據流主要有3條，如表6 所示，分別為flow1、flow2、flow3。

Table 6 3 streams flowing through the switch s4表6 流經交換機s4 的3 條流

利用Wireshark 抓包，觀察到交換機s4 的混合流量如圖13 所示，由于LDoS 攻擊流量的平均速率低且隱藏在正常流量中不易被察覺，因此很難判斷攻擊流量是否存在。基于3.2 節中分析，利用OpenFlow 流表對3 條流的流量進行單獨速率統計，截取其中的5 s的統計數據，3 條流的速率分別如圖14～圖16 所示。

Fig.13 Mixed traffic of 3 flows圖13 3 條流的混合流量

利用雙滑動窗口檢測法分別計算3 條流的m值，如圖17～圖19 所示。從圖中可以看出，flow1 和flow2 兩條正常TCP 流的m值都集中在1 附近，說明兩條TCP 流的數據流量處于相對穩定的狀態。而UDP 攻擊流的m值呈現出明顯的周期性變化，且m的峰值遠大于1，根據設定的閾值λ，便可以將攻擊脈沖檢測出來。

4.4 檢測與防御效果

在ONOS 中添加新的應用模塊LDoS_Detect，實現上述的檢測與防御機制。在ONOS 控制器中啟動LDoS_Detect 模塊，攻擊者h3 發動攻擊，利用Wireshark 觀察h2 吞吐量的變化。從圖20 可以看出，h2的TCP 吞吐量在大約55 s 時急速下降，大約25 s（本文設置的檢測時間t為25 s）之后，LDoS_Detect 模塊檢測出攻擊，并下發流表進行防御，h2 吞吐量開始恢復。

Fig.20 Tendency of h2 after turning on LDoS_Detect圖20 開啟LDoS_Detect模塊之后h2 吞吐量的變化

Fig.21 Flow table sent by attack defense module圖21 攻擊防御模塊所下發的流表

在ONOS 的UI 界面上可以看到攻擊防御機制所下發的流表，如圖21 所示，該流表的匹配規則為IN_PORT=1，即交換機s4 的1 端口，該端口上連接的是攻擊主機h3。處理動作為NOACTION，表示不進行任何處理，即丟棄。這樣，來自交換機s4 端口1 的數據包都會被丟棄，從而實現攻擊的防御。

5 結束語

本文對基于OpenFlow 協議的SDN 網絡內環境下LDoS 攻擊的檢測與防御機制進行了研究。基于OpenFlow 協議的SDN 網絡通過下發流表的方式實現對交換機轉發行為的控制，并且通過流表可以很容易地對每條流的流量進行單獨統計，根據SDN網絡的這個特點，提出了一種利用流表實現攻擊流與正常流相分離的檢測和防御機制。該機制包括流量信息采集、雙滑動窗口檢測、攻擊防御等模塊。然后使用Mininet 創建了一個包含OpenVSwitch 交換機、網絡主機在內的模擬SDN 數據中心網絡，并采用ONOS 控制器作為整個SDN 網絡的控制平臺，實現了LDoS 攻擊的模擬，并詳細分析了LDoS 攻擊的三個參數（R，L，T）對攻擊效果的影響。最后對本文提出的攻擊檢測和防御機制進行實驗驗證。實驗表明，本文所設計的LDoS 攻擊檢測機制能夠在較短的時間內實現對攻擊行為的檢測，并能夠通過下發流表的方式實現對攻擊的實時防御。