SDN環(huán)境中基于交叉熵的分階段DDoS攻擊檢測與識別

劉 濤 尹 勝

(西安科技大學(xué)通信與信息工程學(xué)院 陜西 西安 710054)

0 引 言

移動設(shè)備數(shù)量激增導(dǎo)致網(wǎng)絡(luò)規(guī)模不斷壯大，研究學(xué)者們提出軟件定義網(wǎng)絡(luò)(Software Define Network,SDN)解決方案緩解網(wǎng)絡(luò)壓力[1]。盡管SDN有很多優(yōu)點，但仍有一些問題需要解決。在SDN網(wǎng)絡(luò)中，控制器遭受故障可能對整個網(wǎng)絡(luò)造成惡劣影響，但SDN網(wǎng)絡(luò)易被攻擊的控制節(jié)點數(shù)要比傳統(tǒng)網(wǎng)絡(luò)少兩個數(shù)量級[2-3]，因此可以將抵御攻擊的目標放在重要的節(jié)點上，從而把惡意攻擊阻止在網(wǎng)絡(luò)外。

針對SDN中的DDoS攻擊，本文提出一種分階段多層次的DDoS攻擊識別模型。包含基于CPU使用率觸發(fā)檢測模塊、目的IP交叉熵值、PACKET_IN數(shù)據(jù)包的預(yù)警檢測模塊和流量特征識別模塊。引入交換機CPU使用率的初檢方法，期望在降低常態(tài)化監(jiān)控負荷的同時，能夠及時發(fā)現(xiàn)異常；引入交叉熵值的知識，對正常與異常流量特征分布上的相似性進行定量分析，驗證是否能提高靈敏度，降低漏報率和誤報率，以期提升攻擊識別檢測效果。

1 相關(guān)研究

近年來，學(xué)者們對SDN中的DDoS攻擊識別展開了相關(guān)研究。Giotis等[4]提出在SDN中提取流特征信息，采用信息熵的算法進行檢測。Basicevic等[5]引入廣義熵值區(qū)分異常攻擊，但計算負荷也隨之上升。Mousavi等[6]對目的IP信息熵值進行計算，并與指定閾值對比判斷網(wǎng)絡(luò)是否正在遭受攻擊。Ma等[7]采用源IP和目的IP的信息熵來檢測攻擊流量，Jun等[8]在此基礎(chǔ)上添加了對數(shù)據(jù)包速度的監(jiān)控檢測DDoS攻擊。但單一的屬性檢測對攻擊的覆蓋面不夠廣，且信息熵值只能表明兩種分布分散程度的差異性，無法體現(xiàn)相似性。

武澤慧等[9]提出在SDN中對交換機進行吞吐率檢測，當大于指定閾值時報警，觸發(fā)交換機洗牌算法篩選正常流量，但監(jiān)控負荷重。姚琳元等[10]使用基于神經(jīng)網(wǎng)絡(luò)的檢測方法，對流量的七元組特征進行提取，通過對特征進行分類處理來檢測DDoS攻擊。Yan等[11]將流表項的部分特征進行收集，利用模糊綜合評判方法進行模糊評價，但該方法初始最優(yōu)權(quán)重確定困難，且自適應(yīng)能力較差。

2 常用熵值分析

2.1 信息熵

1948年，香農(nóng)在信息論中引入信息熵(Information Entropy)，定量地表征一個隨機變量X的隨機性及取值的分散程度。變量的分散程度越高、隨機性越大，則信息熵值越大。其計算公式定義為：

(1)

式中：X表示隨機變量，其取值集合域為{x1,x2,…,xn}；取值xi的概率(或頻率)為p(xi)，i=1,2,…,n。

2.2 相對熵(KL散度)

根據(jù)式(1)的相關(guān)定義，可進一步給出相對熵的概念，計算公式定義如下：

(2)

相對熵又被稱為KL散度，可體現(xiàn)不同概率分布p和q的差異性，定量分析相似程度。當差別大時，相對熵值增加；如果兩個分布相同，則相對熵為零。

2.3 交叉熵

為了簡化計算，對式(2)變形可得：

(3)

式(3)第一項為分布p(x)信息熵的相反數(shù)，定義式(3)的第二項為交叉熵：

(4)

當H(p(x))為常量時(即p(x)為給定的真實分布)，交叉熵的值等于相對熵的值與給定的真實分布的信息熵值相加。交叉熵H(p,q)等價于KL散度DKL(p‖q)。

在攻擊識別過程中，需區(qū)分待檢異常流量和正常流量的差異。KL散度值DKL(p(正常)‖p(待檢異常))可衡量正常流量分布p(正常)與待檢異常流量分布p(待檢異常)的相似性，相比信息熵值得出分布分散程度的差異，其精準度更高，可更好地識別異常攻擊流量。因為交叉熵等價于KL散度，為了簡化計算量，本文采用交叉熵。

3 SDN中DDoS檢測模型

3.1 DDoS攻擊特點分析

在SDN網(wǎng)絡(luò)中，攻擊者制造大量網(wǎng)絡(luò)設(shè)備流表項無法匹配的高流量偽造數(shù)據(jù)，設(shè)備緩存未匹配分組機制，嚴重消耗設(shè)備的CPU資源及帶寬；同時大量的PACKET_IN數(shù)據(jù)包導(dǎo)致控制器計算資源緊張。攻擊者不需知道控制器的位置就可發(fā)動攻擊，任何可產(chǎn)生PACKET_IN數(shù)據(jù)包的方式都可作為攻擊控制器的手段。攻擊特點分析如下：

1) 分布式：發(fā)起的攻擊流量的來源由大量的主機組成，同時還偽造源IP地址、隨機偽造源端口等參數(shù)構(gòu)成無用的數(shù)據(jù)包，所以攻擊流量分組中的來源是分散的。

2) 無規(guī)律：在進行攻擊時使用常見的協(xié)議和服務(wù)，導(dǎo)致從協(xié)議和服務(wù)的類型上很難對攻擊進行區(qū)分。且攻擊數(shù)據(jù)包的一些信息都是經(jīng)過偽造的，對攻擊地址確定困難。

3) 多樣性：不論是利用協(xié)議漏洞、偽造數(shù)據(jù)流量等，任何產(chǎn)生PACKET_IN數(shù)據(jù)包的形式都可發(fā)動攻擊，從而對目標所處的網(wǎng)絡(luò)造成擁堵直至癱瘓。攻擊形式可能是一對一映射、一對多映射、多對一映射、多對多映射等。

3.2 檢測特征

3.2.1觸發(fā)及預(yù)警階段檢測特征

1) SDN交換機CPU使用率：攻擊者偽造攻擊流量或占用帶寬的DDoS攻擊，網(wǎng)絡(luò)設(shè)備的CPU使用率會有變化。與傳統(tǒng)網(wǎng)絡(luò)不同，SDN交換機只負責轉(zhuǎn)發(fā)功能，因此具有豐富的計算能力用于CPU使用率監(jiān)控。

2) PACKET_IN生成速率：對異常交換機PACKET_IN數(shù)據(jù)包監(jiān)控可確定目標交換機是否遭受攻擊，在遭受攻擊時，設(shè)備中PACKET_IN數(shù)據(jù)包生成速度會上升。

3)目的IP交叉熵值：如3.1節(jié)分析，若發(fā)生了DDoS攻擊，攻擊者產(chǎn)生的異常流量的特征分布情況與正常流量會有一些差異，根據(jù)第2節(jié)可知，交叉熵可以靈敏地檢測到正常流量分布及異常待檢分布的相似性，區(qū)分異常流量。

3.2.2攻擊識別階段特征

1) 流數(shù)據(jù)包平均長度：攻擊者發(fā)出的流量數(shù)據(jù)，是為了耗盡攻擊目標的資源處理能力，而不是請求服務(wù)，所以攻擊流量的數(shù)據(jù)包平均長度較短。而針對帶寬的攻擊，數(shù)據(jù)包的平均長度較長。

2) 流數(shù)據(jù)包數(shù)量均值：與數(shù)據(jù)包平均長度特征類似，單流數(shù)據(jù)包的數(shù)量較少。若是針對流量帶寬的攻擊，則每個流中數(shù)據(jù)包數(shù)量將會增加。

3) 雙向流的比例：流量傳輸是為獲取或提供服務(wù)，數(shù)據(jù)流的交互請求是雙向的。而攻擊流量不具備交互性，攻擊者的地址A和攻擊目標的地址B之間的流量傳輸呈現(xiàn)單向性。

4) 協(xié)議的交叉熵值：當攻擊者注入攻擊流量時，很難兼顧到攻擊目標網(wǎng)絡(luò)中不同協(xié)議的數(shù)據(jù)包比例，所以協(xié)議的交叉熵值可體現(xiàn)正常流量協(xié)議分布與異常流量協(xié)議分布的相似性。

5) 目的端口的交叉熵值：與協(xié)議的交叉熵值類似的表現(xiàn)，目的端口的交叉熵值可作為檢測兩種流量分布的相似性的一個特征。

6) 目的IP的交叉熵值：如3.2.1節(jié)介紹，目的IP的交叉熵值可作為識別攻擊流量的一個特征。

3.3 攻擊預(yù)警及識別機制

本文提出常態(tài)化監(jiān)測交換機設(shè)備的CPU使用率，與傳統(tǒng)網(wǎng)絡(luò)不同，SDN交換機只負責轉(zhuǎn)發(fā)功能，因此具有豐富的計算能力可用于監(jiān)控；當發(fā)現(xiàn)異常，通過進一步對PACKET_IN數(shù)據(jù)包及目的IP交叉熵值進行分析，對網(wǎng)絡(luò)中是否遭受攻擊進行預(yù)警；最后通過對流量中的特征進行分析，判斷當前是否遭受DDoS攻擊。攻擊檢測方案如圖1所示。

圖1 DDoS攻擊檢測方案

3.3.1觸發(fā)檢測階段

SDN設(shè)備的CPU使用率可反映轉(zhuǎn)發(fā)進程負載情況。當網(wǎng)絡(luò)正常，CPU使用率處于穩(wěn)定的值；當受到攻擊行為，則CPU使用率將上升。設(shè)定閾值R，當CPU增量值高于R，滿足觸發(fā)條件。

若長時間處于滿負荷情況，轉(zhuǎn)發(fā)進程則無法及時處理流量請求而造成丟包現(xiàn)象。設(shè)定警戒線Z，CPU使用率達到警戒線Z時，觸發(fā)緊急狀態(tài)，直接進入攻擊識別模塊，預(yù)防高流量攻擊。閾值R及警戒線Z根據(jù)具體的網(wǎng)絡(luò)情況進行相應(yīng)的調(diào)整。

本文將SDN交換機轉(zhuǎn)發(fā)進程的CPU使用率作為觸發(fā)特征，不需要過多的計算負荷，且能有效檢測到異常情況，以較低的監(jiān)控成本來監(jiān)測網(wǎng)絡(luò)。

3.3.2預(yù)警檢測階段

引起CPU使用率變化的不都是攻擊行為，誤警率較高，所以需進一步對PACKET_IN數(shù)據(jù)包及網(wǎng)絡(luò)流量中目的IP的交叉熵進行檢測分析。

對觸發(fā)異常交換機的PACKET_IN數(shù)據(jù)包進行統(tǒng)計，計算每秒鐘發(fā)出的PACKET_IN數(shù)據(jù)包數(shù)。若單位時間數(shù)據(jù)包數(shù)變化值達到閾值Q，則發(fā)出預(yù)警。

同時收集異常交換機的流量數(shù)據(jù)，設(shè)置檢測窗口n，計算流量中目的IP交叉熵值，當其變化差值大于閾值P，進行攻擊預(yù)警。由第2節(jié)可知，待檢流量與正常流量的相似性越低，其交叉熵值越大。若后期檢測結(jié)果為正常，則對閾值P、Q進行反饋調(diào)整，提升檢測靈敏度。

3.3.3攻擊識別階段

當攻擊預(yù)警之后，啟動攻擊識別模塊。本階段通過收集異常交換機的數(shù)據(jù)分組信息及流表項信息，對流量進行特征提取，得到攻擊識別所需要的6元組特征，進行攻擊流量識別，如果發(fā)現(xiàn)攻擊行為，生成檢測報告。

4 實 驗

4.1 實驗環(huán)境

實驗在基于i5 CPU，4 GB內(nèi)存計算機的Ubuntu 16.04系統(tǒng)上進行，使用Mininet仿真軟件搭建SDN實驗網(wǎng)絡(luò)拓撲，用OpenDaylight控制器作為SDN網(wǎng)絡(luò)的控制器，使用Open vSwitch交換機作為SDN網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備。網(wǎng)絡(luò)拓撲如圖2所示。

圖2 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖

拓撲中共有5臺OVS交換機和16臺主機，s4交換機中連接10臺主機。為了盡可能模擬真實的網(wǎng)絡(luò)流量，使用Mininet中的iperf工具編程以隨機流量模型生成正常流量，各主機向另一任意主機以隨機的方式建立連接，連接帶寬設(shè)置為0.5 MB。

實驗時選擇主機h16作為受害主機，采用hping3作為產(chǎn)生異常流量的攻擊工具，其可生成SYNflood、UDPflood、ICMPflood等一系列攻擊流量。使用wireshark工具統(tǒng)計收集流量，并用tshark做相應(yīng)的數(shù)據(jù)處理后，使用開源軟件weka對統(tǒng)計流量進行處理分析。

4.2 實驗結(jié)果與分析

4.2.1SDN交換機CPU使用率分析

為了測試交換機CPU使用率檢測的有效性，本文進行了一些實驗。使用top命令行工具對CPU使用率進行監(jiān)測。Top命令通過在規(guī)定周期t秒內(nèi)測量進程使用的CPU時間t1，將t1與t的比值作為該進程的CPU使用率。因設(shè)備實現(xiàn)轉(zhuǎn)發(fā)功能的是ovs-vswitch進程，所以以該進程的CPU使用率作為轉(zhuǎn)發(fā)進程的CPU使用率。

根據(jù)攻擊強度進行2組實驗，第一組為低強度攻擊實驗，攻擊強度分別為30%、40%、50%，攻擊強度為攻擊分組流量占總流量中的比例。第二組為高強度攻擊實驗，攻擊強度分別為60%、70%、80%、90%。前30 s為正常狀態(tài)，然后進行60 s的流量攻擊，同時測量攻擊結(jié)束后30 s內(nèi)的CPU使用率。實驗結(jié)果如圖3和圖4所示。

圖3 低速率攻擊時CPU變化情況

圖4 高速率攻擊時CPU變化情況圖

可以看出，在0～30 s，設(shè)備的CPU使用率處于穩(wěn)定狀態(tài)，此時設(shè)備CPU使用率較低，在19%左右。啟動攻擊后，設(shè)備的CPU使用率瞬間增長，從圖3可得不同的攻擊強度會引起CPU不同程度的穩(wěn)定增長；從圖4可看出，當攻擊強度為80%和90%時無更明顯的變化，穩(wěn)定在一個峰值。

根據(jù)實驗結(jié)果可知，設(shè)備的CPU使用率可作為預(yù)警設(shè)備是否遭受DDoS攻擊的特征。CPU使用率變化值設(shè)置閾值R，當變化值大于閾值時，觸發(fā)預(yù)警檢測，若監(jiān)測到CPU使用率達警戒線Z，則直接跳過預(yù)警檢測，進入識別檢測模塊。

4.2.2PACKET_IN包與目的IP交叉熵值分析

對預(yù)警交換機發(fā)送PACKET_IN數(shù)據(jù)包進行監(jiān)測統(tǒng)計。同樣做了兩組實驗，攻擊強度、實驗環(huán)境等與上述實驗環(huán)境一致。被攻擊交換機產(chǎn)生的PACKET_IN數(shù)據(jù)包變化如圖5和圖6所示。

圖5 低速率攻擊時PACKET_IN數(shù)據(jù)包

圖6 高速率攻擊時PACKET_IN數(shù)據(jù)包數(shù)

可以看出，在0～30 s，PACKET_IN數(shù)據(jù)包處于穩(wěn)定狀態(tài)。隨著未知流的進入，PACKET_IN數(shù)據(jù)包驟升，攻擊結(jié)束后，PACKET_IN數(shù)據(jù)包的速率慢慢恢復(fù)至攻擊前的正常狀態(tài)。另外，攻擊強度高時，波峰與波谷差距明顯，分析發(fā)現(xiàn)，當交換機負載過高時，未匹配流數(shù)多，此時數(shù)據(jù)包會攜帶更多未匹配的流信息。

同時，對目的IP的交叉熵值與信息熵值進行對比分析，模擬正常流量連接單個主機約每秒發(fā)出1 000個數(shù)據(jù)包，設(shè)置檢測窗口為2 000，計算目的IP的交叉熵值及信息熵值，不同攻擊強度下計算5次熵值的平均值，實驗結(jié)果如表1所示。

表1 不同攻擊強度下的信息熵及交叉熵

可以看出，針對攻擊流量溫和變化的情況，本文引入的交叉熵值度量標準與使用信息熵值相比，增大了正常流量與攻擊流量間的信息敏感距離。對于攻擊的前期以及攻速較慢的DDoS攻擊，可放大攻擊特征信息，提升區(qū)分準確度，降低誤警率，更快地發(fā)出預(yù)警。

4.2.3攻擊識別實驗與分析

實驗收集8 500個樣本，訓(xùn)練集中正常樣本3 000個，攻擊樣本2 000個，測試集中正常樣本2 000個，攻擊流量樣本1 500個。為了比較引入交叉熵分類特征的效果，與文獻[12]中所提出的8元組和文獻[13]的4元組進行了對比實驗，同時對C4.5決策樹、KNN算法及BayesNet算法進行了實驗，結(jié)果如表2所示。

表2 檢測率對比 %

實驗結(jié)果顯示本文引入交叉熵的6元組特征具有最高檢測率98.2%，因為交叉熵值可體現(xiàn)正常流量分布與異常流量分布的相似性，而信息熵值只體現(xiàn)出分散程度的差異，但不能體現(xiàn)相似性，所以本文基于交叉熵值的特征區(qū)分度好。

從表3檢測時間來看，雖然本文6元組比文獻[13]中的4元組檢測時長，但檢測效果好，耗費時長屬于可接收的范圍。綜上，本文在檢測特征上引入交叉熵值，對正常流量與待檢異常流量分布的相似性量化體現(xiàn)，取得了更好的檢測效果。

表3 檢測時間對比 ms

5 結(jié) 語

本文提出一種在SDN網(wǎng)絡(luò)環(huán)境中的基于交叉熵的分階段多層次DDoS攻擊檢測模型，采用基于交換機設(shè)備CPU使用率的初檢方法，檢測轉(zhuǎn)發(fā)進程CPU的使用率，減輕計算資源使用率，又可快速定位異常交換機；引入交叉熵值的理論，將正常與攻擊流量在特征分布上的相似性定量分析，有效增加數(shù)據(jù)間的信息距離，提升檢測準確度；預(yù)警檢測模塊使用目的IP交叉熵值及PACKET_IN數(shù)據(jù)包聯(lián)合檢測，降低了漏報率。實驗結(jié)果驗證了檢測特征的良好表現(xiàn)。

后期的工作將對特征篩選進行研究，使用優(yōu)化算法選取最優(yōu)特征集，同時考慮對比更多的特征，根據(jù)攻擊報告進行攻擊溯源研究。