葛菁 赵巍 徐亦丹
摘 要: 针对基于OpenFlow协议的云平台的安全性问题,文中对分布式拒绝服务攻击(DDoS)检测方法进行研究。通过引入自组织映射(SOM)神经网络,利用网络流量的包数、速率、生存周期等特征建立网络的输入特征向量对SOM中的输入层、竞争层进行合理的优化,借助Stacheldraht工具生成网络的训练和测试数据。在实验时,文中基于不同的流量数据集训练得到3个不同的SOM网络。测试结果表明,所提方法对于恶意流量的识别准确率可达98%以上,误判率可降低至0.5%以下,证明了神经网络在DDoS攻击检测中的可用性。
关键词: 云平台; DDoS攻击监测; 自组织映射; 神经网络; 特征优化; 流量检测; 实验测试
Research on neural network based DDoS attack detection method for
big data cloud platform
GE Jing, ZHAO Wei, XU Yidan
(Institute of Technology, East China Jiaotong University, Nanchang 330100, China)
Abstract: In allusion to the security problem of cloud platform based on OpenFlow protocol, the detection method of distributed denial of service (DDoS) attack is researched. With the introduction of the self?organizing mapping (SOM) neural network, the input eigenvector of the network is established by means of the characteristics of the number of packet, rate and life cycle of network traffic to reasonably optimize the input layer and competition layer in the SOM neural network. The training and testing data of the network are generated with Stacheldraht. In the experiment, three different SOM networks were obtained on the basis of training of different traffic datasets. The testing results show that the recognition accuracy of this method for malicious traffic can reach more than 98%, and its misjudgment rate can reduce less than 0.5%, which proves the availability of neural network in DDoS attack detection.
Keywords: cloud platform; DDoS attack detection; SOM; neural network; characteristic optimization; traffic detection; experimental testing
1 算法研究
1.1 DDoS攻击
在大数据平台的数据中心,其网络结构大多基于SDN(Software Defined Network),运行OpenFlow协议。在该模式下,数据中心在逻辑上可以划分为3个部分:端口、流表和安全通道。各主机通过端口和数据中心连接,安全通道和流表运行在OpenFlow交换机上,OpenFlow交换机与控制器之间通过OpenFlow、TCP、SSL协议连接。图1给出了这种结构的拓扑图[4?7]。
为了防止DDoS攻击给云平台带来的伤害,需建立高效的DDoS攻击检测机制,因此需要快速的流量识别技术。本文使用自组织映射(Solf Orgnanizing Maps,SOM)神经网络进行异常流量的识别。
1.2 SOM神经网络
1) 初始化。给网络中所有的神经元随机赋予权值,维护输入层的神经元数和特征向量的维度相等。
2) 采样。随机选取入口模式空间内的样本,反馈至神经网络。
3) 依据欧几里得距离,利用l个神经元,筛选神经元:
[i(x)=argminjx-wj] (1)
4) 调整权重。利用竞争胜利的神经元调整其载体的权重:
[wj(t+1)=wj(t)+η(t)θj(t)(x(t)-Wj(t))] (2)
5) 迭代。重复步骤2)~步骤4),直至网络收敛。
2 算法仿真
2.1 仿真实验设计
为了识别恶意流量,需要合理选择流量的特征。本文选取的流量特征有:流的平均包数(Average of Packets per Flow,APF)、流的平均比特数(Average of Bytes per Flow,ABF)、流的平均生存周期(Averge of Duration per Flow,ADF)、流内的成对数据比例(Percentage of Pair?Flows,PPF)、流量增长速率(Growth of Single?Flows,GSF)及伪造端口增长率(Growth of Different Ports,GDP)。其中,GSF和GDP的定义如下:
[GSF=Num_Flows-(2×Num_PairFlows)interval GDP=Num_Portsinterval] (3)
2.2 仿真结果
针对OpenFlow协议下的云平台安全问题,本文设计了基于SOM神经网络的DDoS攻击检测方法。本文方法从恶意主机中发送的流量入手,通过识别恶意流量,阻止DDoS攻击的发生。实验结果表明,该方法具有较高的识别精度、极低的误判率以及较强的实用价值。

作者简介:葛 菁(1982—),女,江西南昌人,硕士,讲师,研究方向为计算机科学。