一种基于网络层流量异常的SDN网络DDoS攻击检测方法

一种基于网络层流量异常的SDN网络DDoS攻击检测方法
【技术领域】
[0001] 本发明涉及一种SDN网络下根据网络层流量异常进行DDoS攻击检测及处理的基 于网络层流量异常的SDN网络DDoS攻击检测方法。 技术背景
[0002] SDN以开放软件模式的控制层取代传统换联网中的封闭式的网络配置及管理层 面，将控制功能从网络通信设备中分离，实现网络架构中的控制与转发功能分割的目的， OpenFlow是当前SDN通用的实现方式。SDN简化了网络管理，也引入了与自身特性相关的 安全风险，如DDoS攻击。DDoS攻击可使SDN网络中被攻击主机的关键资源（如带宽、缓冲 区、处理器资源等）迅速耗尽，使其崩溃或因需要花费大量时处理攻击包，导致网络服务不 能正常提供，形成拒绝式服务攻击，给SDN网络中的网络设备和网络服务带来不容忽视的 威胁，对SDN网络的安全造成较大的影响。
[0003] 国内针对SDN网络DDoS攻击开展的研究工作较少，研究基于网络层流量异常的 DDoS攻击检测及处理方法，对检测SDN网络中存在的DDoS攻击，对提高SDN网络的安全性， 维护SDN网络中服务的稳定性具有十分重要的意义。

【发明内容】

[0004] 本发明的目的在于提供一种利用SDN网络特性，对通信流进行特征提取及分析， 形成训练和检测所用特征元组；对基于自组织映射算法的检测算法进行优化，引入核函数 机制，提高检测精确度；对基于控制层的SDN网络分布式架构Onix进行改进，以较好的应对 饱和流形式的DDoS攻击；对检测到的DDoS攻击流进行处理的基于网络层流量异常的SDN 网络DDoS攻击检测方法。
[0005] 本发明的目的是这样实现的：
[0006] (1)通过SDN网络控制器访问OpenFlow交换机流表信息项，获取到达交换机的通 信流特征；
[0007] (2)利用引入的信息熵和单边连接密度，对获取的检测特征进行分析和处理，得到 训练和检测用特征元组；
[0008] (3)利用检测用特征元组对引入核函数的自组织神经网络聚类算法模块进行训 练，以得到具有检测效果的分类器；
[0009] (4)将分类器置于基于控制层的SDN网络分布式架构Onix改进的架构中的局部控 制器，利用局部控制器对未知通信流进行检测和处理。
[0010] 所述步骤⑵中利用引入的信息熵和单边连接密度，对获取的检测特征进行分析 和处理是指利用SDN网络控制器定期请求所有管控的OpenFlow交换机流表项，流表项中包 括检测所需的流量特征；OpenFlow交换机与SDN网络控制器通过OpenFlow协议中的安全 通道进行通信。
[0011] 所述SDN网络中，控制器向交换机下发对该通信流的处理策略；当检测到攻击流 时，控制器通知所辖交换机对该通信流做丢弃处理；若为正常通信流，则正常下发转发规 贝1J，交换机按照该规则进行正常转发。
[0012] 发明的有益效果：
[0013] 在实施过程中发现，采用本发明所提供的基于网络层流量异常的SDN网络DDoS攻 击检测及处理方法可以有效提高对SDN网络中发生的DDoS攻击的检测准确度，同时可根据 检测结果对通信流做相应处理，并可较好的应对网络中可能遭受的饱和流攻击形式的DDoS 攻击，发明有益效果十分之明显。
【附图说明】
[0014] 图1为网络实验环境拓扑图；
[0015] 图2为SDN网络DDoS攻击检测及处理方法过程图；
[0016] 图3为攻击特征提过程图；
[0017] 图4为K-SOM算法流程图；
[0018] 图5为基于Onix改进的SDN网络分布式架构图。
【具体实施方式】
[0019] 下面结合附图对本发明做进一步描述：
[0020] SDN作为一种全新的网络架构模型，通过开放化的软件可编程接口实现网络管理 控制功能的开发与扩展，实现对整个网络的集中管理，提高了网络的灵活性和扩展性，但 SDN网络的开放性与管控集中性使其易遭受DDoS攻击，为SDN网络研究一种分布式的DDoS 攻击检测方法，对维护SDN网络安全意义重大。本发明正是针对这一问题，公开了一种基于 网络层流量异常的SDN网络DDoS攻击检测技术方案。该技术方案在对基于网络层数据流 量异常检测和SDN网络分布式架构研究的基础上，设计并实现了一种SDN网络分布式DDoS 攻击检测方法。该技术解决方案的工作可以划分为以下六个步骤：
[0021] 步骤1 :利用SDN网络控制器与OpenFlow交换机通信，获取经过OpenFlow交换机 的通信流特征信息，完成特征提取过程；
[0022] 步骤2 :在提取的特征基础上，引入信息熵和单边连接密度方法对提取的特征进 行分析，完成DDoS攻击检测所需特征值元组；
[0023] 步骤3 :将引入核函数的自组织神经网络算法作为训练器，利用提取及分析后得 到的特征值元组，对其进行训练，完成特征训练过程，得到分类器；
[0024] 步骤4 :在对SDN网络分布式架构Onix研究基础上，根据网络所处理事件的频率 不同，将事件分为频率较大和其他事件，相应地，将SDN网络控制器从逻辑上分为局部控制 器和全局控制器两层，分别处理频率较大和其他事件。完成对基于控制层的SDN网络分布 式架构Onix进行改进；
[0025] 步骤5 :将分类器置于基于Onix改进的SDN网络分布式架构的局部控制器中，利 用运行在局部控制器中的分类器可对未知类型的通信流进行类型区分，和网络架构分布式 处理的特点，对经过步骤1和步骤2分析处理得到的未知通信流特征元组进行检测；
[0026] 步骤6 :检测到DDoS攻击流时，SDN网络控制器通知发来该通信流转发请求的 OpenFlow交换机，并进行丢弃处理；否则下发正常转发规则给交换机，OpenFlow交换机收 到转发规则并按其对通信流进行转发。
[0027] -种基于网络层流量异常的SDN网络DDoS攻击检测技术方案，该方案的实施主要 包括以下内容：
[0028] 实现了一种基于网络层流量异常的SDN网络DDoS攻击检测方法；
[0029] 该方法的实现步骤如下：
[0030] 步骤1 :通过SDN网络控制器访问OpenFlow交换机流表信息项，获取到达交换机 的通信流特征；
[0031] 步骤2 :利用引入的信息熵和单边连接密度原理，对获取的检测特征进行分析和 处理，得到训练和检测用特征元组（训练用的是对已知类型通信流提取和分析后得到的特 征元组；检测用的是对未知类型的通信流）；
[0032] 步骤3 :利用检测用特征元组对引入核函数的自组织神经网络聚类算法模块进行 训练，以得到具有较好检测效果的分类器。
[0033] 步骤4 :将分类器置于基于控制层的SDN网络分布式架构Onix改进的架构中的局 部控制器，利用局部控制器对未知通信流进行检测和处理。
[0034] 网络层流量异常指对网络层通信流特征进行提取和分析，检测主要利用改进的 SDN网络分布式架构和无监督学习聚类方法实现。所述内容2)中步骤1中利用SDN网络特 点及组件实现对通信流特征的提取。利用SDN网络控制器定期请求所有管控的OpenFlow 交换机流表项，流表项中包括检测所需的流量特征。OpenFlow交换机与SDN网络控制器通 过OpenFlow协议中的安全通道进行通信。
[0035] 所述内容2)中步骤2中利用信息熵和单边连接密度原理对提取的特征进行分析 处理，得到训练和检测用的特征元组。信息熵可有效反应网络通信流数据量，单边连接密度 指网络中不能正常建立连接的通信流数。利用网络中正常条件和遭受DDoS攻击时熵值和 单边连接密度的不同，对提取的特征进行量化处理。
[0036] 所述内容2)中步骤3中的优化的自组织神经网络算法。自组织映射算法是一种 无监督学习式的聚类算法，在对高度线性不可分的网络流数据集进行分类时，出现较差的 鲁棒性和可靠性。因此，采用核函数，将非线性问题转化为线性问题进行处理，使算法具有 较好的分类精度。
[0037] 所述内容2)中步骤4中基于Onix改进的SDN网络分布式架构。Onix为一种多控 制器多交换机的架构，SDN网络中，交换机遇到未知通信流时，需向控制器传输该通信流，并 请求转发规则，控制器完成转发规则下发，该过程使得控制器与交换机负载严重，在遭受饱 和流形式的DDoS攻击时，可能发生SDN网络控制器和交换机瘫痪，因此，根据网络中控制器 处理事件频率不同，将事件分为频率较大事件与其他事件，同时将控制器从逻辑上分为两 层，分别为局部控制器与全局控制器，对应频率较大事件与其他事件。以较好的应对饱和流 形式的DDoS攻击。
[0038] 所述内容2)中步骤4中的处理方法采用控制器向交换机下发转发规则实现。SDN 网络中，控制器向交换机下发对该通信流的处理策略。当检测到攻击流时，控制器通知所辖 交换机对该通信流做丢弃处理；若为正常通信流，则正常下发转发规则，交换机按照该规则 进行正常转发。
[0039] 在本发明中所涉及的基于网络层流量异常的SDN网络DDoS攻击检测及处理方法 主要功能为：
[0040] 下面介绍基于网络层流量异常的SDN网络DDoS攻击检测方法的整个过程，描述如 下：
[0041] 步骤一：利用SDN网络控制器与交换机通信机制，从通信流中进行特征提取。通过 结合可扩展的SDN网络分布式架构，利用架构中各局部控制器对自身所辖OpenFlow交换机 进行控制和管理。具体就是各域内局部控制器通过监控域内网络中所辖OpenFlow交换机， 请求交换机流表项，从流表表项中提取DDoS攻击检测所需的特征，其中流表项承载着达到 该交换机的通信流特征信息，如源IP、目的IP、源端口、目的端口和通信类型等。
[0042] 步骤二：对提取的特征，利用信息熵和单边连接密度原理进行分析，形成训练和检 测用的特征元组。具体就是采用基于异常的通信流特征提取与检测方法，利用信息熵理论 与单边连接密度原理，通过对网络中通信流数据包IP提取IP信息，将利用信息熵理论得到 的检测特征四元特征组，即数据包源IP地址熵，目的IP地址熵、源端口号熵、目的端口熵 值，然后和单边连接密度原理的OWCD值，构成DDoS攻击特征五元组，该五元组即为DDoS攻 击检测方法所采用的DDoS攻击检测特征。该特征组如下：
[0043] F=(源IP熵Dst