基于SDN構架的DoS/DDoS攻擊檢測與防御體系

張世軒，劉 靜,賴英旭,何 運，楊 盼

（北京工業大學 計算機學院，北京 100124）

0 引言

軟件定義網絡(Software Defined Networking，SDN)[1]是一種控制平面和數據平面解耦的、可實現網絡編程的創新網絡體系架構。目前已有很多企業進行了SDN實踐。但SDN帶來了網絡架構方面革新的同時，也為安全防護體系帶來了挑戰，例如拒絕服務攻擊、非法接入訪問等。本文就SDN構架下DoS/DDoS攻擊檢測給出一組解決辦法，綜合運用信息安全中異常檢測和誤用檢測兩種思想，提出一種基于SDN的防御體系。

1 相關工作

肖佩瑤等[2]提出基于路由的檢測算法，但當隨機流發出時，控制器為每個流做出轉發路徑分析，下發流表項，影響了控制器的性能。

劉勇等[3]通過對攻擊發生時網絡流量變化特性進行分析，提出基于流量波動的檢測算法。但在傳統網絡構架下，分散而封閉的控制平面并不能實時阻斷異常流量。

左青云等[4]對文獻[5]進行了改進，在主成分分析法(Principal Components Analysis，PCA)分析時加入了異常流量特征熵，大幅降低了誤報率。但目前沒有控制器提供IP對的查詢API，所以要大量查詢流表項，在檢驗算法中進行統計。IP數量非常多時，算法用時將不可容忍。

本文針對上述文獻的不足提出了改進辦法，在探索源地址驗證方面，通過控制器與OpenFlow交換機的信息交互實現了源地址驗證，總體設計更加簡單。通過將DoS/DDoS檢測算法與SDN技術相結合應用于網絡接入層，增加了添加流表項功能，可實時地對異常端口進行轉發限制。PCA是分析異常流量的一種重要方法，本文提出其針對鏈路流量異常的檢測判斷，算法用時大幅下降。

2 體系架構設計

圖1 DoS/DDoS攻擊檢測與防御體系架構圖

面對形式越來越多的DoS/DDoS攻擊，以往僅通過單一方法檢測攻擊的方式已經無法達到良好的檢測效果，本文綜合多項檢測方法并形成防御體系，其架構如圖1所示。偽造源IP地址是最常用的手段，所以第一道防線為源IP防偽，IP防偽模塊通過接收到的數據報文為每個交換機端口設置動態的IP綁定，防止偽造IP包攻擊。若傀儡機發送大量使用真實源IP的數據包，會被第二道防線——接入層異常檢測所過濾，信息查詢模塊通過OpenFlow協議獲取到交換機統計信息，接入層檢測通過API獲取到端口流量信息進行算法檢驗。若異常則通過靜態流表插入模塊對交換機特定端口施行轉發限制。只有攻擊流量以趨近于正常的速度發送數據包會通過檢測。在第三道防線——鏈路流量異常檢測中，用API獲取到的整個網絡信息進行算法檢驗，做出異常判斷。

3 DoS/DDoS攻擊檢測與防御方法

3.1 源IP防偽

3.1.1 設計思想

在DDoS攻擊中按攻擊源地址分為真實源地址和偽造源地址，偽造源地址會使得多種放大攻擊成為可能，并使攻擊定位變得困難。在SDN構架下控制器對每臺交換機統一管理，可以利用此優勢，動態實現接口與IP的綁定。

觀察組的治療總成效為93.33%,相比對照組的76.67%,組間差異有統計學意義(P<0.05)。詳情見表1。

3.1.2 設計描述

獲取IP地址的途徑有兩種：使用DHCP服務或配置靜態IP。首先在控制器啟動時向交換機各端口插入將數據發往控制器的流表項,以保證對其監控,然后分別處理兩種獲取IP的方式。

(1)DHCP：客戶端通過DHCP ACK獲取到IP地址記為S，刪除發往控制器的流表項，同時下發交換機目標端口僅允許S源地址通過的流表項。

(2)靜態IP：控制器中設置了兩個域，一個為端口控制域，存儲已經被管控的端口；另一個是交換機連接域，存儲交換機相連接的端口，不對這部分端口進行綁定。當數據包從某一接入端口發送到控制器進行解析時，分析源地址S，刪除發往控制器流表項，并下發此端口僅允許S源地址通過的流表項。

當客戶端發送DHCP Release或交換機端口失去連接時，刪除上述防偽流表項。重新插入此端口發往控制器的流表項，恢復到初始狀態。

3.2 接入層網絡異常流量檢測

3.2.1 設計思想

DoS/DDoS攻擊時的流量特征是在一段時間內突然增大，且趨于平穩。因此采用差分方差變化率為測量在接入層檢測異常流量。利用控制器提供的API下發異常端口的限制流表項，做到異常流量的防御。

流量波動性是衡量攻擊的一個重要的指標，概率論中方差描述了數據整體的波動性，而所需要的是數據相對的、局部的波動情況，所以差分方差能更好地反映流量的波動情況。由于算法是動態檢測的，所以各個統計量均依靠前一周期的計算結果。假設在t時刻，原始流量為C(t)，流量的整體均值為C(t)。如式(1)所示：

Diffc(t)為t時刻的差分值，如式(2)：

t時刻的差分方差如式(3)所示：

使用隸屬函數u(t)來衡量t時刻流量是否異常，如式(4)所示：

3.2.3 攻擊判斷與流表下發

根據隸屬函數u(t)的值，做出是否執行算法的判斷。若u(t)=0，則認為攻擊未發生，若u(t)=1，則認為發生攻擊，以上兩種情況不執行算法。當0＜u(t)＜1時，執行算法判定攻擊。定義常量c為閾值，代表能容忍的流量上限，變量s代表具有攻擊特征的流量可以連續出現的周期數，變量a代表具有攻擊特征的流量已經持續的周期數。當u(t)持續大于0時，每次執行算法都會使a增1，用當前周期與上一周期的差分方差比較，決定此周期攻擊強度A(t)。 若A(t)≥A(t-1)與a≥s同時發生，則判定發生攻擊，通過控制器提供的API下發流表項，阻斷攻擊流量；否則，暫不確定攻擊是否發生，進入下一次循環判斷。

3.3 鏈路異常流量檢測

3.3.1 設計思想

如果傀儡機采用接近正常的發包速率，就會讓接入層檢測模塊陷入沉默，但攻擊流量會在到達目標鏈路前逐漸匯集，因此采用了通過流量矩陣來統計網絡流量的方法。使用主成分分析法對數據進行處理，并且計算動態閾值，判斷是否存在異常。相比于IP流量對，物理鏈路相對穩定，數據統計簡單，不會出現大量誤報，且執行速度大幅增加。

3.3.2 主成分分析法異常檢測

流量矩陣：每個OpenFlow交換機之間的鏈路流量稱為SS對。流量矩陣X為t×p維的矩陣，常量t是樣本數量，變量p為 SS對數量，Xij表示第i個樣本、第j個 SS對的流量大小。

對于t×p維流量矩陣X應用主成分分析方法計算特征值與特征向量，使前k個主成分特征值和達到所有主成分特征值和的85%，前k個主成分特征向量構成正常子空間s，剩余的p-k個主成分特征向量則構成異常子空間s′。將流量矩陣X向這兩個子空間進行投影。正常子空間s中的k個特征向量組成的矩陣記為P，矩陣各列的平均值組成向量記為x。設x在正常子空間的投影為模型流量x′，在異常子空間的投影為殘差流量x″，如式(5)所示：

剩余的p-k個主成分特征值可以使用文獻[6]的方法計算動態閾值，如式(6)所示：

α常取0.001，Cα為標準正態分布中1-α分位數。

h0為歷史數據的相對權重，如式(7)所示：

θi如式(8)所示，λj為第j大特征值：

采用滑動窗口機制更新流量矩陣，正常時模型流量與殘差流量大致不變，當出現異常時，殘差流量會發生巨大的變化，殘差流量變化值如式(9)所示：

當 Δd2＞Qα時，則報警。

4 實驗及結果分析

4.1 實驗環境說明

實驗使用 mininet[7]進行模擬，floodlight控制器進行網絡信息的獲取與流表項的下發,利用hping測試軟件進行模擬攻擊實驗。圖2為實驗拓撲圖，實驗測試時長1 000 s，具體測試詳見表1攻擊說明。

圖2 實驗拓撲圖

4.2 測試結果說明

4.2.1 源IP防偽測試結果

源IP防偽屬于功能檢驗，防偽率 100%，圖 3為統計結果。在測試實驗的200 s和800 s注入了偽造源IP的攻擊流量，攻擊結果被實時體現出來。

表1 攻擊說明

4.2.2 接入層異常檢測測試結果

接入層檢測當收到不失一般性的流量攻擊時，會觸發報警下發流表，結果如圖4所示。圖4(a)為該接入端口接收到的數據包數，圖4(b)為此端口實際轉發的數據包數。在流量正常時，接收即轉發，所以圖4(a)與圖4(b)無差別。在第300 s與500 s時注入攻擊流量，發生報警時，對端口進行限制，圖4(b)中轉發流量大幅下降，表明對攻擊行為做出了防御動作，將異常流量封鎖在網絡外。

圖3 偽造源IP數

圖4 接入層檢測

4.2.3 鏈路流量異常檢測的測試結果

圖5 鏈路流量檢測

趨近正常速率發送數據包的主機會被接入層檢測漏檢，此時鏈路層流量檢測就會起到作用，如圖5所示，為保證不過分消耗控制器資源，每10 s執行一次算法。在400 s和650 s注入了DDoS攻擊流量，流量殘差值的變化突然增大超過依靠上一個檢測周期計算出的閾值，發生報警。但攻擊流量會造成流量矩陣的混亂，可能會發生可預知的誤報，總誤報率約5%。

5 總結

針對各式各樣的DDoS攻擊應該采用多種防御手段，本文利用SDN的優勢獲取網絡狀態，通過源IP地址的動態綁定，基于差分方差的接入層異常檢測，基于多元統計分析的鏈路流量異常檢測，構建了一個DoS/DDoS防御體系，并通過實驗進行了驗證。實驗表明，此體系不僅能對各類DoS/DDoS攻擊迅速做出響應，并且可以將攻擊流量封鎖在源頭。未來研究者可以從本文的思路繼續探索，提出更加先進的檢測算法，完善此防御體系。

[1]左青云，陳鳴，趙廣松，等.基于OpenFlow的SDN技術研究[J].軟件學報，2013(5)：1078-1097.

[2]肖佩瑤，畢軍.基于OpenFlow架構的域內源地址驗證方法[J].小型微型計算機系統，2013，34(9)：1999-2003.

[3]劉勇，香麗蕓.基于網絡異常流量判斷DoS/DDoS攻擊的檢測算法[J].吉林大學學報(信息科學版)，2008(3)：313-319.

[4]左青云，陳鳴，王秀磊，等.一種基于 SDN的在線流量異常檢測方法[J].西安電子科技大學學報，2015(1)：155-160.

[5]LAKHINA A，CROVELLA M，DIOT C.Diagnosing networkwide traffic anomalies[C].Proceedings of the ACMSIGCOMM.New York：ACM，2004：219-230.

[6]JACKSON J E，MUDHOLKAR G S.Control procedures for residuals associated with principal component analysis[J].Technometrics，1979，21(3)：341-349.

[7]HANDIGOL N，HELLER B，JEYAKUMAR V，et al.Reproducible network experiments using container-based emulation[C].Proceedings of the 8th International Conference on Emerging Networking Experiments and Technologies.New York：ACM，2012：253-264