軟件定義網絡交換機DDoS攻擊檢測方法

劉尚昆

（中央廣播電視總臺 北京 100859）

0 引言

在信息化、數字化持續發展的大環境下，網絡安全已經成為重要的技術前提。分布式拒絕服務（DDoS）是常見的網絡攻擊方式，其主要危害是導致網絡及主機癱瘓。SDN作為重要的網絡發展方向，應該提升對DDoS攻擊的檢測及防范能力，因而借助算法研究相關的檢測技術。

1 DDoS攻擊檢測模型

1.1 檢測模型算法設計

研究中利用隨機森林算法構建DDoS攻擊的檢測模型，該算法能夠生成多個相互獨立的決策樹，利用各個決策樹處理DDoS攻擊數據，生成每一個決策樹的預測結果，根據預測的準確率進行投票，從而確定效果最佳的決策樹，將其作為DDoS攻擊的預測模型。為避免隨機森林算法受到決策樹隨機生成的影響，在算法中增加了選擇性集成模塊，用來優選決策樹模型，其核心作用是選擇出準確率最佳的基分類器，提高整個算法模型對不同類別數據的檢測識別效果。模型優選階段需同時考慮多個方面的影響因素，除準確率之外，算法運行階段的系統開銷、算法的時間復雜度也是非常重要的模型評價指標，以算法的時間復雜度為例，其作用為描述算法的運行時長，過長的運行時間不利于實用。

1.2 數據來源及預處理

1.2.1 數據來源

算法模型的訓練和檢驗需要一定規模的DDoS攻擊數據集，此次采用KDDCup99網絡入侵檢測數據集，將數據中的80%用作模型訓練，剩余的20%用于模型檢測。該數據集中的數據分為DoS攻擊、R2L（遠程非法訪問）、U2R（普通用戶對本地超級用戶特權的非法訪問）、Normal（正常）等類別，并且具有明確的分類標識。數據總規模約為500萬條，從中抽取100萬條作為實驗數據，其中DoS數據占比為69.1%，正常數據占比為22.3%，剩余數據代表其他類型的網絡攻擊方式。

1.2.2 數據預處理

（1）屬性轉換

由于單條數據較大，不便于運算。因此，對數據進行預處理，措施為分類設置數字標識。凡是DoS數據均采用數字1進行標記，Normal類數據采用數字0進行標記。由于每一條數據記錄的結構相同，對應位置上的信息亦可進行數字化轉換[1]。

（2）選取流特征

DDoS攻擊檢測在本質上是從綜合性的網絡數據流中篩選出DDoS攻擊數據流，網絡攻擊數據存在差異化的特征，而這些特征點是識別DDoS攻擊的關鍵依據。因此，檢測模型中需建立特征選擇算法模塊，包括特征子集提取和特征子集評價兩個環節。研究中將隨機森林算法和包裝器模型整合在一起，形成DDoS攻擊特征選擇算法模塊。圖1展示了包裝器模型實現特征選擇的過程。在構建特征選擇算法時，特征數量對算法模型的分類精度具有較大的影響，經過大量的數據檢測，發現特征數量在1～9時，算法分類精度逐步上升，超過9之后，算法分類精度逐步下降。因此，最佳特征數量為9，此時的分類精度為95.6%。對應的特征信息包括service、count、dst_host_count等。每一條DoS訓練數據中都包含這些字段信息。在SDN網絡的主機上可設置服務器的日志選項，從而獲得特征字段信息。

圖1 包裝器模型特征子集選擇過程

1.3 模型訓練

1.3.1 模型訓練條件

為了保證模型訓練過程的穩定性，采用Linux操作系統，以Python語言開發機器學習的算法模型，開源的Anaconda可用于創建實驗中的虛擬SDN網絡。

1.3.2 參數設置

在隨機森林算法中需科學設置決策樹，主要指標包括決策樹的數量、決策樹中特征子集的個數，前者記為n_trees，后者記為m。另外，在優選階段通過參數λ決定是否保留決策樹，該參數也需要人為進行設置。根據此類實驗的特點，依據經驗將m設定為3，λ的取值為0.7，n_trees從20～160梯度增加。在模型訓練階段將單次樣本數量設定為8萬條，同時，根據K交叉驗證原理選取折數為5，該參數決定了單次訓練中最終可形成的檢測模型的數量[2]。

1.3.3 訓練結果分析

（1）決策樹與模型訓練時間、測試時間的關系

隨機森林中決策樹的數量影響著算法的運算量。顯然，隨著決策樹的增加，算法的運算量、運算時間、訓練算法模型的總時長以及測試階段的總時長都會增加，表1記錄了決策樹的數量與算法模型訓練時長和測試時長的關系，實際檢測結果與預期一致。

表1 決策樹數量與訓練時間和測試時間的關系

（2）決策樹數量與DDoS攻擊的檢測精度

每一個檢測數據集可形成5個能夠檢出DDoS攻擊的模型，通過算法判斷各個檢測模型的識別精度，然后分別求出平均值。決策樹數量與算法模型的檢測精度存在一定的關聯，表2為兩者之間的對應關系。從中可知，當100≤n_trees≤160時，算法模型對DDoS攻擊的檢測精確度略高于96%，此時決策樹數量增加對檢測精度的影響不再顯著，基本不能再提升精度。

表2 決策樹數量與DDoS攻擊檢測精度的對應關系

2 軟件定義網絡架構下的DDoS攻擊檢測系統

軟件定義網絡（SDN）能夠降低硬件設備對網絡架構的制約，SDN網絡的部署和升級如同在硬件設備上安裝一個軟件應用程序，便捷性顯著提高，因而其應用范圍不斷擴大。SDN網絡中DDoS攻擊檢測系統的設計要點如下：

2.1 數據采集模塊

該模塊的主要作用是采集SDN網絡中的攻擊數據。采集方式分為主動、被動兩種。在主動采集中，由POX控制器與交換機進行交互，通過報文的形式獲得OpenFlow協議下的流表，將流表作為SDN網絡中的初始數據集，控制器可主動從交換機上采集此類數據，每隔5 s向交換機發送一次請求[3]。在被動檢測中，SDN網絡利用table_miss事件匹配流表，未能匹配的數據轉發到控制器，從而實現控制器被動獲取流表數據。兩種數據采集方式各有優勢和劣勢。主動采集方式存在數據實時性不強的問題，被動方式存在數據獲取不全面的問題。在設計數據采集模塊時，同時采用主被動方式獲取數據源，最大限度改善數據的客觀性，提升數據的全面性和實時性。

2.2 DDoS攻擊檢測模塊

當檢測系統以被動方式收集流表信息時，系統中設置的流特征檢測模塊對信息流進行判斷，從中選擇出符合要求的特征子集，此時再利用交換機對含有特征子集的數據包進行table_miss匹配，將成功匹配的數據包發送至目的地，并將其計入常規流量統計結果中。如果table_miss事件未能匹配流表數據包，則將這部數據包作為DDoS攻擊的檢測數據，將其發送至DDoS攻擊檢測模塊。

當檢測系統以主動方式獲取流表信息時，直接將交換機向控制器發送的流表信息作為DDoS攻擊的檢測數據，由系統的DDoS攻擊檢測模塊開展檢測識別[4]。

一旦攻擊檢測模塊發現檢測數據中存在DDoS攻擊的情況，則將相關數據發送至攻擊響應模塊，對其進行處理。如果未發現DDoS攻擊或者其他攻擊類型，則將數據轉發至原目的地。

2.3 DDoS攻擊響應模塊

2.3.1 DDoS攻擊響應模塊的功能需求分析

（1）保護主機

DDoS攻擊有可能導致服務器癱瘓，進而對運營主體產生經濟損失或其他危害。因此，DDoS攻擊響應模塊的主要功能之一為保護服務器主機。

（2）準確區分正常流量和攻擊流量

攻擊響應模塊只能對DDoS攻擊流量進行處理，不能干擾正常流量的工作，因而該模塊應具備準確的流量區分能力。

（3）制定危害控制策略

響應模塊應針對DDoS攻擊流量制定有效的控制策略，防止其產生實際性的危害。

2.3.2 工作流程及處理措施

（1）DDoS攻擊響應模塊的工作流程

系統中事先設定了報警分類，以便區分攻擊流量和正常流量。當檢測模塊將DDoS攻擊流量發送至攻擊響應模塊時，后者首先嘗試識別攻擊流量的報警類型，然后借助預設的控制策略處理DDoS攻擊流量[5]。如果系統未能識別流量的報警類型，則將其視為正常流量。部分攻擊流量可能存在異常，不在報警范圍之內，此類數據直接丟棄。

（2）DDoS攻擊響應模塊的處理措施

從DDoS攻擊的方式來看，一種為大量發送偽造的數據包，使目標網絡及服務器癱瘓，通常將這種情況稱為僵尸網絡。另一種為借助大量偽造的IP訪問目標服務器，從而導致其無法響應正常的網絡請求。針對以上兩種情況，可采用服務重定向的應對策略。其原理為將攻擊SDN網絡及服務器的網絡請求或者數據包轉發至特定的網絡地址，從而避免DDoS攻擊危害目標SDN網絡[6]。

（3）DDoS攻擊響應模塊的策略選擇

網絡重定向是一種被動防御機制，只有當軟件定義網絡及其主機遭受DDoS攻擊之后，算法模型才能對其進行檢測，實施重定向操作。但這種防御機制存在一定的弊端，有可能將正常用戶也重定向到備用IP地址。為了防止攻擊響應模塊阻塞正常流量，對控制中原IP地址的流表項進行計數，并對比該數值和預設的閾值m，如果m小于計數結果，則認為此時的流量來自DDoS攻擊，并實施流量阻塞。這種策略的優點在于形成了緩沖機制，并非一檢測到DDoS攻擊就進行流量阻塞，而是借助閾值為正常用戶提供流量窗口，從而降低誤警率。

3 基于軟件定義網絡交換機的DDoS攻擊檢測實驗

DDoS攻擊檢測模型是一套算法程序，需將其部署在SDN網絡下的DDoS攻擊檢測系統中，從而實現檢測功能，據此設計實驗如下：

3.1 實驗方法

3.1.1 實驗環境

實驗環境包括開展實驗的軟硬件工具，硬件方面主要為符合OpenFlow協議的交換機、POX控制器以及服務器等。軟件層面主要為網絡仿真工具和流量生成工具，前者使用Mininet，后者使用Scapy。實驗中采用Python編寫算法的程序代碼。SDN網絡具有虛擬性，Mininet可將控制器、交換機等創建為虛擬的網絡元素，因而用作系統仿真。

3.1.2 實驗數據及拓撲結構

（1）實驗數據采集

實驗中通過OpenFlow協議采集主動數據，由POX控制器按照5 s間隔向交換機發送請求，獲取流表信息。Scapy能夠通過函數隨機生成偽造的IP地址，可將其作為發起偽造IP訪問的DDoS攻擊，實驗中利用Scapy生成適用于被動采集方式的數據流量。

（2）拓撲結構設計

實驗中將SDN網絡系統設計為拓撲結構，系統中涵蓋控制器1臺、服務器主機15臺、交換機4臺。一臺主交換機與POX控制器相連，另外三臺交換機與主交換機相連，每一臺次級交換機對應5臺服務器。

3.1.3 開展實驗

在以上系統構建完成后，將DDoS攻擊檢測的算法程序部署在虛擬環境下，然后開展實驗。采用僵尸網絡攻擊模式，設置3組數據作為對比，每一組的總數據包均為10 000個，但其中攻擊包的數量分別為2 500個、5 000個和7 500個。在交換機1和交換機4中分別選擇一臺主機發起DDoS攻擊，將交換機3上的一臺主機作為被攻擊的對象，剩余的主機作為對比因素。

3.2 實驗結果

3.2.1 攻擊識別率結果

3組DDoS攻擊的攻擊比呈梯度遞增，按照順序，攻擊比分別為25%、50%、75%。3組攻擊數據對應的識別率分別為95.71%、96.21%、96.58%。可見，攻擊檢測模型對所有攻擊類型的識別率隨攻擊比而提高，但整體上較為接近。同時，對比3組攻擊比對應的誤警率，其結果分別為3.24%、2.69%、2.31%，說明在攻擊比較高的情況下，檢測模型對DDoS攻擊的敏感性更強，不易產生誤報。

3.2.2 攻擊檢出率結果

識別率涵蓋了DDoS攻擊、非法訪問等，因而還需進一步分析檢測模型及系統對DDoS攻擊的檢出率。表3統計了3種攻擊比在不同數據采集模式下的DDoS攻擊檢出率。從中可知，在不同的攻擊比下，數據混合采集方式的DDoS攻擊檢出率高于主動采集和被動采集，效果最佳。

表3 DDoS攻擊檢出率統計表

3.2.3 攻擊響應模塊的應對效果

攻擊響應模塊主要通過重定向轉移DDoS攻擊的流量，重定向之后對DDoS攻擊的數據采取刪除操作。通過對比被攻擊主機的連接數來判斷攻擊響應模塊的應對效果。在25%攻擊比下，被攻擊服務器的初始連接數為1 966，重定向處理后的連接數為1 521，去除的DDoS攻擊連接數占比為22.6%。在50%攻擊比下，初始連接數為5 721，重定向后連接數為2 479，去除的DDoS攻擊連接數占比為56.6%。在75%攻擊比下，初始連接數為7 988，重定向后連接數為2 209，去除的DDoS攻擊連接數占比為72.3%。說明在DDoS攻擊越嚴重的情況下，響應模塊的應對效果越突出。

4 結語

為了在SDN網絡中準確地檢測出DDoS攻擊，應該先建立完善的檢測系統，通過數據采集模塊獲取網絡中的攻擊流量，采集方式分為主動式、被動式、混合式。攻擊檢測模塊可借助算法模型檢測出DDoS攻擊數據，隨機森林算法用于構建檢測模型。最后再通過攻擊響應模塊實施重定向，轉移攻擊流量，避免SDN網絡及其主機出現癱瘓。