浅谈SDN环境下基于BP神经网络DDoS攻击检测方法.docVIP

浅谈SDN环境下基于BP神经网络DDoS攻击检测方法 　　摘要：软件定义网络能够实现集中控制的功能，这种网络架构具有全新的特点，当遇到DDoS的情况下，使得信息无法传达，同时，单点也容易失去效果。当DDoS发生攻击时，我们要及时识别出来，现行的方法在SDN氛围下，凭借BP神经网络，对DDoS攻击进行检测，通过使用这种方法，能够取得关于OpenFlow交换机的流表项，用于分析DDoS攻击的特点，即在SDN环境下，进而得到流表匹配的成功率、流表项的速率等特征，即与攻击有联系的；当对这些特征值的变化分析之后，借助BP神经网络来划分训练样本，完成对DDoS攻击的检查。根据实验数据可知，通过这种方法，提高了识别率、检测时间大大缩短。 　　关键词：软件定义网络；分布式拒绝服务攻击；反向传播神经网络；特征值；攻击检测 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2017）33-0077-02 　　SDN作为网络体系结构，具有典型的特点，基于此，网络控制平面分离与数据平面。比较与以往的网络体系架构，SDN的优势之处有以下几点：可编程、硬件通用、管理控制等。大部分控制器组成了一个控制平面，而控制器的作用，即底层的交换设备融合与上层的应用；交换机组成了数据平面，其功能是传递数据。在积极使用SDN的同时，引发了很多SDN的安全问题需要大家关注，作为SDN体系结构，其包括控制平面、数据平面等，而交换机与控制器紧密融合在一起，反之，这个网络无法控制，因此，只有控制器到?_安全的状态，SDN网络才能安全。当分布式拒绝服务攻击DDoS的时候，能够影响控制器的安全，对于DDoS攻击，主要是攻击者借助傀儡主机，对计算资源进行攻击，避免目标主机把服务给予合法的用户。当DDoS进行攻击的时候，攻击者先进入部分主机，即SDN网络当中的，把大量的虚假的、没有效果的网络流量输进网络中，使得控制器资源全部消耗完毕，使得数据包转发不成功。目前，人们针对SDN安全领域进行研究，涉及以下方面：如何预防攻击者以非授权方式来访问交换机；如何预防攻击者非法控制控制器，以及DDoS攻击如何被快速检测到。当今，互联网经常受到DDoS的攻击[1]。 　　研究者针对以前的网络架构，使用很多方法来检测DDoS的攻击，SDN网络不同于以往的网络构架，其作为一种典型的网络，通过这个网络完成一定的工作，使用的原理与以往的网络不一样，在使用SDN网络的时候，也引发很多网络安全方面的问题，值得人们进一步研究。下面具体分析如下。 　　1 SDN环境下的DDoS攻击 　　基于SDN网络，使得控制平面、数据平面相互独立，比如，数据平面在接收网络数据包的时候，需要控制平面提供其流规则，以流规则为核心，对数据包进行梳理。对于网络运营商，基于这种非主动的控制模式对网络实现了控制，同时，安全问题也出现了。当进行匹配时，其若与流表项不匹配，则控制器会收到其传递的请求。流程图如图1所示。 　　2 基于BPNN的DDoS攻击检测方法 　　针对BPNN攻击，使用的检测方法具体5大模块，其模块包括：流表收集的、特征提取的、数据训练的、攻击检测的、攻击处理的等，如图2所示。其中，流表收集模块的功能即按照规定把流表请求传递给Openflow交换机，而交换机反馈给流表的信息，则借助加密的信道传送到流表收集模块当中。第二个是特征提取模块，其功能是取出与DDoS攻击有关的特征值，即由流表收集模块所收集的流表中，第三个是数据训练模块，其采取BPNN方法，把提取的特征值、信息进行练习。最后是攻击检测模块，需要对网络数据包、训练结论进行评价，目前的网络是不是被攻击。如果检测到有攻击的迹象，其受到控制器的管理，而这些迹象由攻击处理模块传达[2]。 　　2.1 流表收集 　　通过Open flow协议，得到收集流表的信息，如图3所示。对于ofp_flow stats_request报文通过交换机回复控制器按照计划来传送，同时取得流表的时间，其间隔要适宜，进一步设计流表周期，以及OVS控制器的时间。先实施sudo ovs-ofctl dump-flows s1a.txt，接着实施cata.txt2.2对重定向文件进行读取的 同时，实现流表收取。 　　2.2 流特征提取 　　作为DDoS攻击者，在实施攻击的时候采取多种方法，而其攻击流量以一定的规律执行。因此，结合流表项信息对网络流量的分布特点以及改变进行分析，最终实现对攻击情况进行检测。以OpenFlow协议为依据，数据包所转发的信息以交换机的流表为依据，通过多个流表项构成一个流表。流表项作为一个规则促进数据进行传递，其结构如图4所示。 　　在流表项当中有一个是计数器，主要对数据流的信息进行记录，当DDoS进行攻击时，能够控制与攻击大部分傀