论文部分内容阅读
【摘要】针对DDoS的攻击检测算法大多应用于攻击的目的端,只能实现检测效果、并不能缓解攻击的问题,提出利用软件定义网络(SDN)架构的集中控制等特点,在攻击的源头实现流量实时监控,使用服务重定向、流表异常检测、链路流量异常检测形成分布式多重防御体系,尽可能早地发现攻击,逐渐过滤异常流量,转移IP攻击,实现网络层DDoS攻击在源端的检测和防御。本文创新性的提出了分布式多重DDoS防御体系概念,利于应用更先进的检测算法完善防御体系。
【关键词】软件定义网络;网络控制;分布式拒绝服务攻击;防御体系
1引言
近年来诞生了软件定义网络(Software Defined Network,SDN)这种新型网络架构,该体系以其独特的理念和巨大的潜力,吸引了大批学者和机构进行相关的研究。SDN网络的独特之处在于引入了一个控制器,使得控制层和数据层相分离,控制器处于网络的更高层面,从而可以通过控制交换机的路由机制实现整个网络的监管。SDN带来了网络架构方面革新的同时,也为安全防护体系带来了挑战,例如拒绝服务攻击。当SDN控制器遭受DDoS攻击时,将影响控制器覆盖的整个网络范围,极端情况下会直接导致网络瘫痪。本文围绕SDN控制器面临DDOS攻击时的安全问题展开研究,提出一种基于SDN的分布式防御体系。
2 SDN架构
传统的数据中心网络按照功能划分为核心层、汇聚层、业务层。有别于传统网络,SDN网络架构是一种数控分离、网络可编程的新型网络架构。从上至下分为应用层、控制层、转发层。在这一架构下,开放和标准化是核心关键点,标准化数据面与控制面的接口(南向接口),屏蔽网络基础设施资源在类型、支持的协议等方面的异构性,使得数据面的网络资源设施能够无障碍地接收控制面的指令,承载网络中的数据转发业务;标准化控制层和应用层的接口(北向接口),为上层应用提供统一的管理视图和编程接口,使得用户可以通过软件从逻辑上定义网络控制和网络服务。
3分布式DDoS防御体系
面对形式越来越多的DDoS攻击,仅仅通过单一方法检测攻击的方式已经无法达到良好的防御效果,本章综合多项检测方法并形成分布式防御体系。
3.1服务重定向
服务重定向是将服务转移到新的IP地址上,来继续提供服务。假设受害服务器的原IP地址为C,同时SDN控制器管理的内部网络IP地址拥有部分未使用的备份地址,记为C’。当发生攻击时,DDoS检测防御系统将通过安全信道通知服务器将服务重定向到新的IP地址C’上;然后,服务器收到通知后,在C’上开启新的Socket,并在新的Socket上提供服务。重定向到新的IP地址C’后,服务器向客户发起链接重置报文,通知客户使用新的IP地址D’来进行通信。为防止Bots轻易获得重定向之后的IP地址D’,将采用计算代价相对较高的重置报文来通知客户。最后,服务器关闭在原IP地址D’上的链接,从而停止继续暴露于DDoS攻击之下。
3.2流表异常检测
SDN使用基于流的转发来代替基于包的转发,可以更加方便我们使用以往的基于流的DDoS攻击检测方法,可以在较小的资源消耗下更加准确地检测出攻击。流表项的匹配过程位于SDN架构的基础设施层,其根据已有的流表来转发数据,并接受控制层的控制。
针对报文头部空间分析进行检测,在检测到异常攻击流量时,通过头部空間分析计算模块可以确定异常攻击流量的来源,并通过OpenFlow控制器从源头阻止异常网络流量对网络环境造成的危害。流表异常检测系统设计框架如下图所示:
主要由五个部分构成:入侵检测、攻击流量追踪、数据包拦截、控制器代理、OpenFlow控制器。控制器检测到异常流量后,Agent频繁与控制器交互,监测网络拓扑以及交换机流表等网络环境的变化。如果网络环境发生变化,Agent监测出某一种变化,并通知头部空间分析计算模块更新网络拓扑和端口规则等信息。。
3.3链路流量异常检测
如果傀儡机采用接近正常的发包速率,就会让接入层检测模块陷入沉默,但攻击流量会在到达目标链路前逐渐汇集,因此采用了通过流量矩阵来统计网络流量的方法。本文中采用聚类分析的流量异常分类技术对数据进行处理,可以快速找出是否存在异常。通过对典型的网络异常进行信息熵分析,异常特征为源IP地址处流量熵值小、目的IP处的流量熵值小,属于DoS攻击类型;异常特征为源IP地址处流量熵值大、目的IP处的流量熵值小,属于DDoS攻击类型;异常特征为源IP地址处流量熵值小、目的IP处的流量熵值小、目的端口的熵值大,属于端口扫描。
通过对链路流量异常的特征分析,按照聚类分析算法,选择聚类核心,然后把待分类样本点按某种方法分到各类中,形成初始的分类结果。接着重新计算各个聚类的中心,结束首次迭代的过程,并不断修改聚类中心,进行下一代迭代,直至所有的待分类样本被分配完为止,形成k个聚类结果集。将得到的k个聚类结果集中的四个测度上的中心位置和标准差的模式与异常特征模式库进行比对,获取网络异常的类型,达到对链路异常流量检测的目的。
4结论
随着传统网络的局限性,SDN技术的优势越来越明显。本文针对各式各样的DDoS攻击采用多种防御手段,建立基于SDN的分布式DDoS防御体系。通过SDN的优势获取网络状态,利用服务重定向将服务转移到新的IP地址上,保证服务器的正常运行;基于头部空间分析的流表异常检测,基于聚类分析算法的链路流量异常检测,构建了一个分布式的DDoS多重防御体系。希望后续研究者可以提出更加先进的检测算法,完善此防御体系。
参考文献:
[1]左青云,陈鸣,赵广松等.基于OpenFlow的SDN技术研究[J].软件学报,2013(5):1078-1097.
[2]代昆玉,胡滨.云计算环境下的DDoS攻击防御技术研究[J].微型电脑应用,2016,32(11):23-25.
【关键词】软件定义网络;网络控制;分布式拒绝服务攻击;防御体系
1引言
近年来诞生了软件定义网络(Software Defined Network,SDN)这种新型网络架构,该体系以其独特的理念和巨大的潜力,吸引了大批学者和机构进行相关的研究。SDN网络的独特之处在于引入了一个控制器,使得控制层和数据层相分离,控制器处于网络的更高层面,从而可以通过控制交换机的路由机制实现整个网络的监管。SDN带来了网络架构方面革新的同时,也为安全防护体系带来了挑战,例如拒绝服务攻击。当SDN控制器遭受DDoS攻击时,将影响控制器覆盖的整个网络范围,极端情况下会直接导致网络瘫痪。本文围绕SDN控制器面临DDOS攻击时的安全问题展开研究,提出一种基于SDN的分布式防御体系。
2 SDN架构
传统的数据中心网络按照功能划分为核心层、汇聚层、业务层。有别于传统网络,SDN网络架构是一种数控分离、网络可编程的新型网络架构。从上至下分为应用层、控制层、转发层。在这一架构下,开放和标准化是核心关键点,标准化数据面与控制面的接口(南向接口),屏蔽网络基础设施资源在类型、支持的协议等方面的异构性,使得数据面的网络资源设施能够无障碍地接收控制面的指令,承载网络中的数据转发业务;标准化控制层和应用层的接口(北向接口),为上层应用提供统一的管理视图和编程接口,使得用户可以通过软件从逻辑上定义网络控制和网络服务。
3分布式DDoS防御体系
面对形式越来越多的DDoS攻击,仅仅通过单一方法检测攻击的方式已经无法达到良好的防御效果,本章综合多项检测方法并形成分布式防御体系。
3.1服务重定向
服务重定向是将服务转移到新的IP地址上,来继续提供服务。假设受害服务器的原IP地址为C,同时SDN控制器管理的内部网络IP地址拥有部分未使用的备份地址,记为C’。当发生攻击时,DDoS检测防御系统将通过安全信道通知服务器将服务重定向到新的IP地址C’上;然后,服务器收到通知后,在C’上开启新的Socket,并在新的Socket上提供服务。重定向到新的IP地址C’后,服务器向客户发起链接重置报文,通知客户使用新的IP地址D’来进行通信。为防止Bots轻易获得重定向之后的IP地址D’,将采用计算代价相对较高的重置报文来通知客户。最后,服务器关闭在原IP地址D’上的链接,从而停止继续暴露于DDoS攻击之下。
3.2流表异常检测
SDN使用基于流的转发来代替基于包的转发,可以更加方便我们使用以往的基于流的DDoS攻击检测方法,可以在较小的资源消耗下更加准确地检测出攻击。流表项的匹配过程位于SDN架构的基础设施层,其根据已有的流表来转发数据,并接受控制层的控制。
针对报文头部空间分析进行检测,在检测到异常攻击流量时,通过头部空間分析计算模块可以确定异常攻击流量的来源,并通过OpenFlow控制器从源头阻止异常网络流量对网络环境造成的危害。流表异常检测系统设计框架如下图所示:
主要由五个部分构成:入侵检测、攻击流量追踪、数据包拦截、控制器代理、OpenFlow控制器。控制器检测到异常流量后,Agent频繁与控制器交互,监测网络拓扑以及交换机流表等网络环境的变化。如果网络环境发生变化,Agent监测出某一种变化,并通知头部空间分析计算模块更新网络拓扑和端口规则等信息。。
3.3链路流量异常检测
如果傀儡机采用接近正常的发包速率,就会让接入层检测模块陷入沉默,但攻击流量会在到达目标链路前逐渐汇集,因此采用了通过流量矩阵来统计网络流量的方法。本文中采用聚类分析的流量异常分类技术对数据进行处理,可以快速找出是否存在异常。通过对典型的网络异常进行信息熵分析,异常特征为源IP地址处流量熵值小、目的IP处的流量熵值小,属于DoS攻击类型;异常特征为源IP地址处流量熵值大、目的IP处的流量熵值小,属于DDoS攻击类型;异常特征为源IP地址处流量熵值小、目的IP处的流量熵值小、目的端口的熵值大,属于端口扫描。
通过对链路流量异常的特征分析,按照聚类分析算法,选择聚类核心,然后把待分类样本点按某种方法分到各类中,形成初始的分类结果。接着重新计算各个聚类的中心,结束首次迭代的过程,并不断修改聚类中心,进行下一代迭代,直至所有的待分类样本被分配完为止,形成k个聚类结果集。将得到的k个聚类结果集中的四个测度上的中心位置和标准差的模式与异常特征模式库进行比对,获取网络异常的类型,达到对链路异常流量检测的目的。
4结论
随着传统网络的局限性,SDN技术的优势越来越明显。本文针对各式各样的DDoS攻击采用多种防御手段,建立基于SDN的分布式DDoS防御体系。通过SDN的优势获取网络状态,利用服务重定向将服务转移到新的IP地址上,保证服务器的正常运行;基于头部空间分析的流表异常检测,基于聚类分析算法的链路流量异常检测,构建了一个分布式的DDoS多重防御体系。希望后续研究者可以提出更加先进的检测算法,完善此防御体系。
参考文献:
[1]左青云,陈鸣,赵广松等.基于OpenFlow的SDN技术研究[J].软件学报,2013(5):1078-1097.
[2]代昆玉,胡滨.云计算环境下的DDoS攻击防御技术研究[J].微型电脑应用,2016,32(11):23-25.