1、    淺談sdn環境下基于bp神經網絡的ddos攻擊檢測方法    蘇禮摘要：軟件定義網絡能夠實現集中控制的功能，這種網絡架構具有全新的特點，當遇到ddos的情況下，使得信息無法傳達，同時，單點也容易失去效果。當ddos發生攻擊時，我們要及時識別出來，現行的方法在sdn氛圍下，憑借bp神經網絡，對ddos攻擊進行檢測，通過使用這種方法，能夠取得關于openflow交換機的流表項，用于分析ddos攻擊的特點，即在sdn環境下，進而得到流表匹配的成功率、流表項的速率等特征，即與攻擊有聯系的；當對這些特征值的變化分析之后，借助bp神經網絡來劃分訓練樣本，完成

2、對ddos攻擊的檢查。根據實驗數據可知，通過這種方法，提高了識別率、檢測時間大大縮短。關鍵詞：軟件定義網絡；分布式拒絕服務攻擊；反向傳播神經網絡；特征值；攻擊檢測：tp311 ：a ：1009-3044（2017）33-0077-02sdn作為網絡體系結構，具有典型的特點，基于此，網絡控制平面分離與數據平面。比較與以往的網絡體系架構，sdn的優勢之處有以下幾點：可編程、硬件通用、管理控制等。大部分控制器組成了一個控制平面，而控制器的作用，即底層的交換設備融合與上層的應用；交換機組成了數據平面，其功能是傳遞數據。在積極使用sdn的同時，引發了很多sdn的安全問題需要大家關注，作為sdn體系結構，

3、其包括控制平面、數據平面等，而交換機與控制器緊密融合在一起，反之，這個網絡無法控制，因此，只有控制器到達安全的狀態，sdn網絡才能安全。當分布式拒絕服務攻擊ddos的時候，能夠影響控制器的安全，對于ddos攻擊，主要是攻擊者借助傀儡主機，對計算資源進行攻擊，避免目標主機把服務給予合法的用戶。當ddos進行攻擊的時候，攻擊者先進入部分主機，即sdn網絡當中的，把大量的虛假的、沒有效果的網絡流量輸進網絡中，使得控制器資源全部消耗完畢，使得數據包轉發不成功。目前，人們針對sdn安全領域進行研究，涉及以下方面：如何預防攻擊者以非授權方式來訪問交換機；如何預防攻擊者非法控制控制器，以及ddos攻擊如何被

4、快速檢測到。當今，互聯網經常受到ddos的攻擊1。研究者針對以前的網絡架構，使用很多方法來檢測ddos的攻擊，sdn網絡不同于以往的網絡構架，其作為一種典型的網絡，通過這個網絡完成一定的工作，使用的原理與以往的網絡不一樣，在使用sdn網絡的時候，也引發很多網絡安全方面的問題，值得人們進一步研究。下面具體分析如下。1 sdn環境下的ddos攻擊基于sdn網絡，使得控制平面、數據平面相互獨立，比如，數據平面在接收網絡數據包的時候，需要控制平面提供其流規則，以流規則為核心，對數據包進行梳理。對于網絡運營商，基于這種非主動的控制模式對網絡實現了控制，同時，安全問題也出現了。當進行匹配時，其若與流表項不

5、匹配，則控制器會收到其傳遞的請求。流程圖如圖1所示。2 基于bpnn的ddos攻擊檢測方法針對bpnn攻擊，使用的檢測方法具體5大模塊，其模塊包括：流表收集的、特征提取的、數據訓練的、攻擊檢測的、攻擊處理的等，如圖2所示。其中，流表收集模塊的功能即按照規定把流表請求傳遞給openflow交換機，而交換機反饋給流表的信息，則借助加密的信道傳送到流表收集模塊當中。第二個是特征提取模塊，其功能是取出與ddos攻擊有關的特征值，即由流表收集模塊所收集的流表中，第三個是數據訓練模塊，其采取bpnn方法，把提取的特征值、信息進行練習。最后是攻擊檢測模塊，需要對網絡數據包、訓練結論進行評價，目前的網絡是不是

6、被攻擊。如果檢測到有攻擊的跡象，其受到控制器的管理，而這些跡象由攻擊處理模塊傳達2。2.1 流表收集通過open flow協議，得到收集流表的信息，如圖3所示。對于ofp_flow stats_request報文通過交換機回復控制器按照計劃來傳送，同時取得流表的時間，其間隔要適宜，進一步設計流表周期，以及ovs控制器的時間。先實施sudo ovs-ofctl dump-flows s1>a.txt，接著實施cata.txt2.2對重定向文件進行讀取的 同時，實現流表收取。2.2 流特征提取作為ddos攻擊者，在實施攻擊的時候采取多種方法，而其攻擊流量以一定的規律執行。因此，結合流表項信息

7、對網絡流量的分布特點以及改變進行分析，最終實現對攻擊情況進行檢測。以openflow協議為依據，數據包所轉發的信息以交換機的流表為依據，通過多個流表項構成一個流表。流表項作為一個規則促進數據進行傳遞，其結構如圖4所示。在流表項當中有一個是計數器，主要對數據流的信息進行記錄，當ddos進行攻擊時，能夠控制與攻擊大部分傀儡機，作為攻擊者在任何時刻都有可能造假對數據包源的ip地址進行攻擊，使得源ip地址不集中，且數量增加；對于網絡數據包而言，一起流到受害機當中，對一些端口進行攻擊阻礙其提供服務，所以，在網絡數據包當中，有很多方面是集中的3，包括：目的ip地址、目的端口地址等，當ddos實施攻擊的時候

8、，流量特征也隨之而改變，大部分攻擊流量形成一定的規則，因此，基于獲取流表項信息，對網絡流量的分布特點進行分析，進而對攻擊流進行檢測。2.3 分類算法不論是常態，還是發生攻擊的時候，具有不同的流量特征，所以，攻擊檢測的問題與分類問題類似，結合特征值對網絡的情況進行判斷，看其正常與否，最終把常態、攻擊態區別開。在進行攻擊檢測的時候，需要找到一個適宜的網絡流特征，即流包數的內容，包括：均值、對流比、端口的增速、源ip的增速等；還包括流表項的內容，即速率、流表匹配的成功率，再有，構成六元組樣本的特征序列等，對于樣本的序列，包括：常態、非常態。檢測模型主要以bp神經網絡是算法來建構的，通過模型主要劃分那

9、些沒有標記的特征樣本序列，bp神經網絡的結構如圖5所示。endprint作為bp神經網絡，其理論、體系、學習的機制均比較全面。在計算過程中，實現正向的傳遞，以及非正向的調整，使得神經元之間的權值及時糾正，對于誤差在精度范圍之內時，不需要繼續學習。3 實驗及分析3.1 實現環境為了檢驗ddos攻擊檢測方法是否有效，需要在部署軟件定義網絡的環境下來完成。而ubuntu環境下，往往安裝openflow交換機，數量為3臺。終端主機以內核級虛擬化為主。在實驗當中，主要使用odl控制器、ovs交換機等。對于網絡拓撲圖，即圖6所示。network1與受害者網絡統一，通過odl控制器對三個openflow的交

10、換機進行把控。network2作為一種僵尸網絡，通過ddos洪水流量形成的。而在network2、network3主機之間，存放了反向散射通信、ip欺騙流向等。當訓練樣本形成過程中，在networkl中的主機實施正常訪問之后形成正常流量，涉及流量有tcp的、udp的、icmp的等。非正常流量即caidaddos 2007數據集。針對網絡流量來說，其攻擊種類有：tcp syn flood、 udp flood、 icmpflood等。在查看流表的時候，憑借代碼sudo ovs-ofctl dump-flows s1來執行，基于ovs交換機，這些流量最終形成對應的流表，把其流表接收在一起，進行訓練

11、樣本的劃分，即正常的、ddos攻擊流量的，把其進行轉換，作為攻擊檢測的特征值。3.2 結果分析通過這種算法對一些實驗進行檢驗，借助python達成的。其中，以sigmoid為激活函數。先把二次代價函數當作損失函數，再把交叉嫡函數當作代價函數，把其比較與二次代價函數。在輸出層、輸入層當中，其單元數取決于問題自身，而本文的輸入單元數，以六特征維數為準，而輸出單元，即0常態與1，處于攻擊的狀態。在中間不明顯的層次，其單元數取決于誰，還沒有對應的方法來解決。這就說明，問題的性質越惡劣，所需的隱層單元數越多；但隨著隱層單元數的增多，使得計算量越來越多，最終形成“過擬合”的問題。總而言之，在sdn架構的基礎上對ddos攻擊進行檢測，本文先對ddos的攻擊進行介紹，而在sdn網絡中，控制器能夠集中進行控制，及時取得openflow交換機的信息，并收集到六元組，即與ddos密切有關的，為了更好地檢測ddos攻擊情況，以bpnn算法處理流量的關鍵特征值為依據，使其能夠對sdn架構下的流量關鍵屬性進行收集與分析，基于軟件定義網絡環境，使得這種方法的實效性得以驗證。參考文獻：1 左青云，陳鳴，趙廣松，等. 基于openflow的sd