面向SDN 的DDoS 攻击细粒度化检测策略∗
2024-01-23肖军弼
肖军弼 张 刚
(中国石油大学(华东)计算机科学与技术学院 青岛 266000)
1 引言
随着新一代网络架构软件定义网络(Software Defined Network,SDN)的大规模普及,其数控分离的特性使得网络架构的分层管理变得更加便捷,但是其集中管控特性易被攻击者利用,主要表现为控制器失控导致全局网络被攻击者全面接管或控制器单点故障后造成的网络连锁式崩溃,由此可知,软件定义网络(SDN)在推动网络创新的同时也为网络安全带来新的挑战[1]。
DDoS攻击是当今计算机网络世界具有较强破坏力的网络攻击[2]。如图1 所示,SDN 网络架构中的DDoS 攻击威胁主要包括以下几个方面:1)针对SDN控制器的单点故障攻击,因其促进SDN层之间的交互,SDN控制器充当该网络架构中的战略控制点,攻击者将其视为具有吸引力的目标,此类是针对SDN 网络架构最为致命的攻击方式。2)攻击交换机的内存,SDN控制器会为特定的业务数据流计算转发路径,生成转发流表,存入交换机内存[3]。因交换机内存其自身有限大小的特性,攻击者旨在使其过载,达到交换机操作中断的目的。3)对攻击交换机的数据包缓冲区进行攻击,将数据包缓冲区充斥使其过载,当完整数据包传入控制器时,控制信道带宽和控制器的资源会被大量占用,从而致使等待时间和响应时间增加。4)对南向数据通道的饱和攻击,由于在转发平面不涉及安全通道协议,会引起交换机之间的信任问题。5)对东西向通道的饱和攻击,本身作为备份的东西向控制器,面对DDoS 攻击仍具有与原先主控制器相同的局限性,且由于非统一标准的厂商接口,进一步削弱了不同规格SDN 控制器之间的互操作性。6)对北向接口的攻击,由于应用软件缺乏统一的标准化规格,会导致信任问题,且不可知软件会进一步引发多种安全威胁。
图1 SDN网络面临的主要威胁
2 相关工作
Peng 等[4]提出利用顺序非参数变化点检测来监视新IP 地址的增加,通过观察每个源地址数据包数量的激变来检测攻击。如果新IP 地址的数据包的到达速率大于正常值,则会发出攻击警告。但是该方法的缺陷在于攻击者会通过仿冒原有源IP地址绕开此检测,此外,仅当网络流量急剧变化时,方可检测到攻击。R.Wand 等[5]提出了一种基于熵的轻量级DDoS泛洪攻击检测模型。作者通过计算某一时间段内的熵来测量未来流量的不确定性。如果熵值超过阈值,则证明遭受DDoS 攻击。但该方法无法区分恶意流量与合法激增流量。Xiang等[6]提出了基于目标的协作检测方案以区分合法流量与高速DDOS 攻击,该方法使用源IP,目的IP,协议类型等字段计算合法与攻击流量之间的差异,但该方法未考虑合法流量激增事件对于检测结果的影响。Wu 等[7]提出了一种纯粹基于卷积神经网络的入侵检测算法,用于多类流量分类。但是该算法测试数据过拟合化,与使用非同源数据集的检测结果相比存在显著差异,表明该模型不稳定。Hameed 等[8]采用控制器协作方案,以减轻DDOS 攻击对软件定义网络(SDN)的影响,SDN 架构下有助于控制器识别正在进行的攻击,并且与东西向SDN控制器共享信息,该方案的主要优点是利用SDN集中式管控的特性,对全局网络进行管控,但是该方法没有对DDOS攻击检测技术进行深入的研究。
将不同来源具有动态性的大量欺骗性数据包与合法数据包区分开是一个艰巨的挑战[9]。尽管应对DDoS 的抵御策略层出不穷,但攻击者所创建的渗透方式愈发复杂,在此我们需探索契合DDoS攻击实质的应对策略[10]。本方法通过引入SDN 的集中管控机制,网络控制中心可以对全局网络进行感知,通过分析网络流量特性,对合法流量与DDoS攻击流量进行基于熵率度量(ERM)和卷积神经网络(CNN)的检测判定,通过OpenFlow 协议的组表扩展功能,能够将再次出现的相同恶意DDoS 攻击流量直接丢弃而不需继续传递至控制器进行检测,具体架构如图2所示。
图2 ERM-CNN架构图
3 基于熵率度量(ERM)的流量激增检测技术
本文提出的基于熵率度量(ERM)是在广义熵基础上演变而来的检测方法,主要作用是用来区分合法激增流量和大速率DDoS攻击流量。该方法使用动态阈限,可随不同的网络状况而改变,大幅提高检测精度并降低误报率。
3.1 熵与熵率
甄别正常流量激增事件时,基于广义熵等各种信息理论技术正在被广泛使用。一般来说,正常的网络行为是较为随机的,所产生的数据比较离散,而且从长时间上看,正常行为产生的信息熵大体会趋于一个稳定的范围,所以当网络发生异常时,异常行为所产生的信息熵会偏离这个稳定的范围[11]。因此,熵值可以用来检测异常活动的发生,且熵支持检测不同类别的攻击方式和异常行为。熵检测方案可使用不同的输入参数,例如源IP,目的IP,源端口,目的端口,协议类型等参数。源IP 和端口号用于描述特定来源的流,反之,目的IP 和端口号用于过滤特定目的的流,而协议字段用来识别流量的类型。
但是熵测量也具有局限性,针对合法熵与攻击熵之间存在不确定的情况,即攻击流的集中概率分布会导致熵的下降,而攻击流数量的增加却有助于熵值的上升,熵率(H(χ))有助于缓解这一冲突[12],如式(1)所示,熵率同时考虑概率分布与流量数量。
3.2 算法流程
基于熵率度量的二次检测算法流程如图3 所示。在算法开始之初,初步更新阈限数据库,使用的阈限有熵阈限值(TE),持包率阈限值(TP)和熵率阈限值(TD)。
图3 基于熵率度量的二次检测算法
第一步进行流构造,在规定的间隔时间窗口内,根据源和目的IP,源和目的端口号对流量进行定向划分,便于过滤特定的流量集群。
定义1P={p1={g1,l1,t1},…,pn={gn,ln,tn}},P 为数据包集合,单位数据包表示为pi,gi表示每个数据包的五元信息(源IP 地址,目的IP 地址,源端口,目的端口,协议类型),li表示每个数据包的长度,ti表示该数据包传输的开始时间。
定义2F={f1,f2,…,fn},F 为流集合,单位流为f,即f={g,l,d,t},g 作为第一限定条件代表相同的五元组,即g1=g2=…=gn,l为该流下数据包的整体长度,即,d表示该流的持续时间,即d=tj-ti,t则表示该流的开始时间。
数据预处理具体工作原理如下。
第二步进行可疑熵值检测,为经过交换机的流量计算归一化交换机熵(NSE),如式(2)所示。将其与熵值阈限(TE)匹配,以检测可疑活动的发生。如果NSE 第三步进行可疑持包率检测,计算平均每个流的持包率(Pfi),如式(3)所示。并将其与持包率阈限(TP)匹配,以识别可疑流。若特定流量的Pfi>TP,则该流量将继续被视为可疑流。 在此引入熵率(ER),对于可疑流,计算当前交换器熵率和相邻交换机熵率的差值,即熵率阈限(TD),如式(4)所示。将熵率之间的差异(DS2和DS3)与熵率阈限(TD)进行比较。若任何一个Dx>TD,则将该流视为DDoS攻击流,反之将其视为合法流(即流量激增事件)。 算法具体工作原理如下。 当前主流的IDS(入侵检测系统)主要分为三类[13]。第一类是基于规则的检测算法,例如基于端口/基于DPI(深度报文检测),该方法通过匹配预定义的硬编码规则完成流量分类,但过多依赖于专家经验,且无法识别零日攻击。第二类是基于统计/行为的检测方式,对正常流量进行数值化的特征提取与分析,通过对大量样本特征进行分布统计,从经验数据中提取模式对流量进行分类,其优点是建模和识别过程自动化,但缺点也同样明显,在选择特征时依旧依赖于经验与主观判定,无法真正探明恶意攻击的实质特征,且同样具有无法识别零日攻击的缺陷。第三种则是基于深度学习的检测方式,该方式不需经历特征选择的额外处理,且对于零日攻击具有良好的检测效果。 本文提出的二次检测机制是基于卷积神经网络(CNN)的数据包检测技术,卷积神经网络(CNN)是深度神经网络的表现形式之一,它是应用于图像分类中最常见的技术[14],该方法适用于针对未知流量的检测要求,在可承受的处理开销内利用CNN学习正常流量与DDoS攻击流量的行为模式。 本文将重点针对流这一表现形式进行切分,以数据包中的五元组(Src IP,Dest IP,Src Port,Dest Port,Protocol)作为基本元素。在模型训练中,使用的数据集为USTC-TFC2016,其中的流量类别具体如表1所示。 表1 USTC-TFC2016流量类别明细 流量清理:针对来自不同网络环境或不同渠道的流量数据,需要进行流量清洗工作,避免诸如数据包重传输,重复性确认等操作影响数据集中流量的特征分布。例如如果存在没有实际内容的流量,则需进行文件清理,且删除会在后期模型训练中造成误差的重复文件[15]。 流量图像化与定向转化:将清理过后的流量经定长处理后生成灰度图像,以灰度值表示字节,转为png 格式存储,可直观清晰观测到流量实质,再进行IDX 格式转换,IDX 格式文件中包含图像集合的所有信息,是作为CNN 输入文件的标准格式。部分流的可视化灰度图像如图4所示。 图4 可视化灰度图像 在模型训练阶段读取原始的灰度流量图像,将原图像的RGB值缩放至[0,1]。如式(5)所示。 本文采用的是LeNet-5 网络结构,该结构在针对手写数字识别中有较为不错的效果。在整体结构中,卷积层是卷积神经网络的核心层,在此层中可提取多种潜在抽象特征。人为指定卷积核的大小,其权重则由多次迭代训练过程而决定。利用线性整流函数(ReLU)对输出数据进行非线性映射,其函数定义如式(6)所示,针对大于0 的输入数据,由于其函数值的导数恒定,有助于帮助网络快速收敛。 在本文中为减少过度拟合,通过平均值采样法,获取原始流量信息的抽象特征。而全连接层中则将原始流量数据通过特征的对应关系映射到恶意标签上,以准确合成卷积层的流量特征,但是为减少非必要特征对模型训练的影响,需对特征通道层面进行优化,根据特征的重要程度进行加权,重标定特征权重,之后使用Sigmoid 函数将数据归一到[0,1],如式(7)所示,再将归一后的向量与输出相乘,将新的权重参数加权至各个特征通道的输出。 最后利用Softmax 分类器的逻辑回归方法分类输出向量,其中元素的计算方法如式(8)所示。K表示原始流量数据中的类别数目,x 则是输入进全连接层的数据,z即代表输出数据,输出表示属于各个类别流的概率,选取概率最高的结果。 本文在模拟网络环境下,以Ryu 开源控制器作为控制核心,将ERM和CNN算法引入到DDoS检测技术中,并与其他传统DDoS 检测技术进行组合对比检验,以此对本文提出的策略进行测试评估,实验拓扑如图5所示。 图5 实验拓扑 根据以上讨论,利用多种评定指标进行评估,各评价指标具体定义如表2所示。 表2 评价指标定义 实验一:基于熵率度量(ERM)的流量激增检测针对攻击数据包的抵御情况。 如图6 所示,当防御策略未部署或未生效的条件下,攻击数据包会直达目标,但是当防御策略启动后,因阻止DDoS攻击数据包的传输,实际接收数据包数约为原来的80%。 图6 攻击数据包接收情况对比图 实验二:评估熵率在混合流量(合法流量与激增流量)检测的效果。 模拟用户正常流量激增事件,观察与集中式泛洪DDoS攻击特征极度相似的数据包的接收情况。 如图7 所示,当没有激增的正常流量时,所有的数据包都被目标接收,但是当加入激增流量后,由于没有加入熵率检测,与泛洪DDoS 攻击特征极度相似的激增流会被误认为攻击流,其接收率出现不稳定现象,总体呈减少的趋势。当熵率检测启动后其接收率恢复至约原来平均水平。 图7 混合流量(合法流量、激增流量)数据包接收情况对比 实验三:评估基于熵率度量(ERM)的流量激增检测方法对于混合流量(攻击流量和激增流量)检测的效果。 当攻击流量和激增流量同时存在(间隔发送)时,评估在防御策略启动与否的情况下吞吐量这一性能指标变化,如图8 所示。当防御策略未启动时,这两种流量都会被目标所接收。但当防御策略启动后,与攻击数据包相比,与之相似的激增流量数据包几乎都可到达目标。因此,该方法对于用户流量激增事件具有良好的反应机制。 图8 混合流量(攻击流量和激增流量)数据包接收对比(一) 在基于熵率度量(ERM)的流量激增检测方法的评估实验中仍可发现,该方法仍旧存在约25%的漏报率,这是因为在攻击流量中夹杂低速DDoS 攻击流量,该类型攻击与正常流量的特征极度相似,纯粹基于熵率的检测方法无法对其甄别。 因此在本文的防御策略下引入基于卷积神经网络(CNN)的数据包检测技术作为二次检测手段,其细粒度化检测特性可作为熵率度量(ERM)的有效补充。 如图9 所示,当加入基于卷积神经网络(CNN)的数据包检测技术作为二次检测后,DDoS 攻击数据包的接收率大幅下降。这证明了CNN 对于趋近于正常流量的低速DDoS攻击具有良好的敏感度。 图9 混合流量(攻击流量和激增流量)数据包接收对比(二) 此外本策略还与当前其他主流防御检测手段进行对比,如图10 所示,本文提出的ERM-CNN 混合检测策略与其他混合深度学习的检测策略相比,尽管其他方面略有不足,但是最关键指标中的准确率与精确率都略高于其他方法。 图10 准确率、召回率、精确率和F1值比较图 检测方法的时长也是衡量检测手段的重要指标之一,如图11 所示,本文小所提出的混合检测方法(ERM,CNN)略高于(ERM,DNN),但是明显小于(ERM,LSTM)。 图11 检测时长比较图 本文通过对泛洪DDoS 攻击与隐秘DDoS 攻击的深入分析,结合熵率度量(ERM)和卷积神经网络(CNN)构建混合检测策略。实验结果表明,本策略对于合法激增流量和与之相似度极高的大速率DDoS 攻击流量的检测方面具有良好的反应,后续利用基于CNN 的细粒度化二次检测手段,明显提高了对于低速DDoS 攻击流量的敏感度。通过ERM 与当前深度学习算法组合框架的对照实验中可以看出,尽管在本策略检测时长方面略有不足,但其准确率与精确率相较于其他深度学习算法有着明显的提高。4 基于卷积神经网络(CNN)的数据包检测技术
4.1 卷积神经网络(CNN)
4.2 算法流程
5 实验与分析
6 结语
