急速咨询在线客服

计算机

您如今的地位: > 论文观赏 > 计算机 >

基于软件定义搜集的DDoS 进击检测办法及其应用研究

  1 概述
  分布式拒绝办事进击( Distributed Denial of Service,DDoS) 经过过程控制多台主机向受益主机发送大年夜量数据包,使得受益机的资本被过度消费而没法正常供给办事,其提议简单、破坏性强且难以检测和进攻。传统的进击检测体系根据标记位、端标语等特点或许比较标准库的参数来检测DDoS 进击,而这类方法关于进击手段多样的DDoS 进击没有很好的后果,且具有很大年夜的局限性。经过过程引入机械进修算法,使得体系本身具有自适应进击情况的功能,并经过过程练习赓续进步体系的检测性能。文献根据DDoS 进击流量大年夜、多对一映照的特点,定义了流特点条件熵( Traffic Feature Conditional Entropy,TFCE) 的概念,提出基于TFCE 的DDoS 检测办法,检测率高、误报率低。随着新型搜个人系架构的研究日趋增长,有关安然技巧方面的研究也赓续出现。2008 年,由McKeown 传授担负担任人的项目组提出了采取控制和转发分别架构的Openflow 技巧。随着该技巧的推行和研究,软件定义搜集( Software DefinedNetwork,SDN) 被提出,其最后主如果作为一个学术研究偏向,但近年来被愈来愈多地安排在产品体系中。
  随着SDN 在搜集范畴的广泛应用,研究人员对其搜集安然方面也停止了大年夜量研究。文献经过过程提取流统计信息中与DDoS 进击相干的六元组特点,采取人工神经搜集办法辨认DDoS 进击。文献研究了多种传统的流量异常检测办法在SDN 中的应用。文献应用sFlow 和OpenFlow 协定搜集流量信息,减轻了对控制器CPU 的消费。文献提出一种基于SDN 的在线流量异常检测办法( OpenTAD) ,即组合全部搜集的流量矩阵和样本熵矩阵,并采取主成分分析办法检测异常流量。比拟于传统搜集,基于软件定义搜集的安然检测办法经过过程获得全网信息停止进击检测懈弛解,其完成和处理方法更简单有效,然则以上办法采取的流量特点数据较为单一,仅针对某种或某些特定的异常数据。基于以上分析,本文提出一种基于软件定义搜集的DDoS 检测办法,即流表特点检测办法。该办法经过过程分析DDoS 进击特点和OpenFlow 技巧,构造全局搜集流表特点值,使其加倍周全高效地反应进击行动,并应用支撑向量机( Support Vector Machine, SVM) 分类算法检测进击。
  2 检测算法设计及其性能分析
  2. 1 检测算法
  2. 1. 1 流表项特点值
  根据OpenFlow 协定,交换机的流表是数据包的转发根据,每个流表由多个流表项构成。流表项代表数据转发的规矩,重要包含婚配域、操作、计数器等。个中,婚配域包含2 层~ 4 层的大年夜部分标记,用于婚配数据包,从而在转发数据包时应用丰富的规矩; 操作注解对婚配成功的数据包履行的举措,例如转发到某个端口、丢包、修改包头信息等; 计数器用于统计数据流的根本信息,包含婚配该流表项的数据包数、比特数等。
  DDoS 进击者可以随便任性捏造报文,并且进击方法是多样的,然则大年夜多半进击流量具有必定规律。是以,经过过程获得流表项信息,可以分析单位时间内搜集
  ( 1) 流表均匀包数。分析发明进击流的均匀数据包数量异于正常流,例如源IP 地址欺骗会随机生成大年夜批假装IP,这一特点使得进击源IP 地址发到受益主机的数据包数量增添。
  ( 2) 流表均匀比特数。一些进击流的均匀比特数较高,而某些进击经过过程增添包负载,高效发送数据包,从而降低流的均匀比特数。
  ( 3) 流表项速度。当产生进击时,将增长搜集中针对特定主机的请求,招致有关该主机的流表项数量在固准时间内也有所增长,是以,可以经过过程流表项速度表征进击属性。
  ( 4) 流表特点熵。DDoS 进击经过过程分散进击源对目标提议进击,形成进击流量中的源地址、源端口和目标地址出现多对一的映照,而正常流量有一对多、一对一、多对一的映照情势。
  合法用户在一准时间段内请求的办事比较固定,而进击者为了快速地消费目标资本,平日会向受益主机请求尽能够多的办事或是对单一办事在单位时间内发送大年夜量数据包。此时,源地址、目标端口和目标地址之间存在的映照关系异于正常状况。
  2. 1. 2 分类算法
  若把进击检测看作一个分类成绩,即对给定命据停止分类,断定当下搜集状况是正常或异常。进击检测的根本处理流程为: 选择合适的搜集流特点笼统为一组样本序列,并付与样本序列标记{ 正常,异常} ,标记住值集合分别代表搜集的2 种状况。选择恰当的机械进修算法根据特点样本序列构建检测模型,应用模型对未标记的特点样本停止分类。支撑向量机是建立在统计进修实际基本上的进修办法,将非线性可分的样本集映照到一个高维乃至无穷维的特点空间中使其线性可分,并在此高维特点空间中求最优分类面。经过过程引入核函数有效处理高维映照惹起的维数灾害成绩,加强处理高维小样本数据的才能,将SVM 应用于DDoS 进击检测,具有较好的精确率。
  3 停止语
  本文设计了一种基于软件定义搜集的DDoS 进击检测办法,经过过程分析DDoS 进击的特点和OpenFlow 交换机中的流表项,并结合SVM 的分类办法,构建针对目标地址的流表特点值,检测DDoS 进击。实验成果注解,该办法具有较好的综合检测性能。同时,经过过程在软件定义搜集情况中的安排,完成离线练习、在线检测的进击检测应用,验证了该办法的有效性。在往后研究中,可以进一步结合进击检测和进击减缓以完成平面化的进击进攻。