轻量级DDoS监测.docxVIP

Lightweight DDoS Flooding Attack DetectionUsing NOX/OpenFlow摘要：分布式拒绝服务攻击（DDoS）是近来网络上面临的主要安全威胁。因为由主机发送出来的正常流和无用的数据包很相似所以很难分辨。基于流特性，做出一个轻量级的DDoS攻击监测方法，较传统的方法有比较小的开销。这个主要借助NOX平台，因为这个提供可编程的接口。另外这个有较高的甄别率和较低的错误率。1简介分布式拒绝服务是当今互联网安全的主要挑战，传统的应对DDoS攻击的设备主要依赖主机和网络的主机资源不对称性，而限制处理大量异常流的请求，因此合法用法用户的请求也不会被处理。成功的鉴别DDoS攻击的挑战是什么？首先因为攻击的数据包包头和普通是没有差别，所以从正常数据流里区分合法的数据包和被攻击的主机发出的无用数据包非常困难。第二个是困难是要分析大量的数据包。我们提出一个基于流特性，做出一个轻量级的DDoS攻击监测方法，这个方法在NOX上实施，of交换机保持根据所有活动的流统计的流表。NOX操作系统把所有的功能需要存储在一个有效的路径中，用一个智能的攻击监测设备处理。2、相关工作我们用了自组织映射方法组建智能机器，一个无人监管的人工神经网络训练流特性。我们利用自组织映射（SOM）来区分网络上的流是正常或不正常流。在SOM计算里把流作为一个参数来统计出是否存在潜在威胁。我们方法有1）低开销2）遭到新的攻击时我们的设备能够容易的升级和改变分类技术3）由于所有的交换机都受到监测，能够把受到攻击的交换机快速删除和改变。4）非常有效。3、背景Self Organizing Maps(SOM)自组织映射是能够把多维降成一维或者二维的人工神经网络。这个转换是按照既定统计相似数据模式特性（相关联和向量权值）聚集在一起的拓扑进行。这个学习的过程实际上也可看做是竞争的过程，因为神经元为了在输出层代替彼此而竞争，而且只有一个胜出。如图这个无人监督，因为神经网络学习仅仅在输入平面，当他在第一次训练后重组数据并且当新的数据来了之后重新调整自身的权值。下面总结一下自组织映射的工作：1）初始化：在开始，处理所有的神经元的权值向量都是随机生成的。而且这些向量进入空间模式的维度是一样的。2）采样：从进入模式空间选一个单一x，然后流向神经网格。3）竞争：基于最小的欧几里得距离标准，最后获胜的神经元i(x)是：i(x) = argjminx –wj, j = 1,2, ..., l ,是网格神经元的数量。（4）突触适应：在找到获胜的神经元，所有的神经元突触权值向量调整过来：Wj(t + 1) = Wj(t) + η(t)Θj(t)(x(t) –Wj(t))(2)其中t代表时间，η(t)代表随着时间减少的学习率，而Θj(t)是附近函数，他根据神经元j与获胜神经元相关距离确定学习等级。5）重复步骤2到4，直到拓扑地图没有明显的变化。SOM在区分网络流上很适用，因为其在确认模式中的竞争尽管在高速率的信号数据中。此外在入口空间数据和片段还能发现其隐藏的关系。由于入口空间是由流组成的，我们能够鉴别攻击，这种攻击在因为在仅仅检查数据包头很难发现。四、针对DDoS攻击的轻流量监测由一个预先时间间隔里已经在交换机注册好的的监视NOX系统。我们先前提取了各种进入交换机的流的特性。每一个传递分类模块的采样，使用获胜的神经元的拓扑地图，而不管信息是否正常或者被攻击。这个方法分为三个模块，如图（Flow Collector）流收集模块：负责定期询问从所有进入OF交换机的流信息。如果是一致的就送到安全通道。特征提取模块(Feature Extractor)：从接受到的流提取特性，聚集在6-tuple里并传递到分类器。分类器：从6-tuple分析判断是DDoS攻击还合法的流。这个分类器可以有统计和学习的方法制作，这里我们用自组织映射方法来分类。Collecting flows using NOX/OpenFlow首先，一个of交换机需要NOX控制器验证，NOX控制器能够从交换机收集ID信息。认证后各主机能发送数据包。每一个进入交换机的流都要和入口交换机流表进行包头匹配。如果匹配成功，字节数和数据包都会增加。如果匹配不成功，就会发送到控制器，然后控制器根据定义的策略，一个新的流进入每个交换机的流表需要更新的话，控制器会更新。然后所有主机发出的流都会流向交换机的流表。从进入of交换机提取的流由控制器按照预先时间间隔执行，重要的特性会被提取去区分流量。收集器从在NOX监视的of交换机采集样本，而交换机的ID被分类模块用来精确支出那个of交换机受到了DDoS攻击。定义多长时间间隔去收集流条目具有很重要的意义。过长将发现攻击延时，过段又会过度占用资源。默认情况下，每一of在NOX注册的交换机会