面向软件定义网络的两级DDoS攻击检测与防御

doi:10.3969/j.issn.1671-1122.2022.01.001

信息网络安全 ›› 2022, Vol. 22 ›› Issue (1): 1-8.doi: 10.3969/j.issn.1671-1122.2022.01.001

面向软件定义网络的两级DDoS攻击检测与防御

于俊清¹^,², 李自尊¹, 吴驰¹, 赵贻竹¹()

1.华中科技大学网络空间安全学院,武汉 430074
2.华中科技大学网络与计算中心,武汉 430074

收稿日期:2021-09-13 出版日期:2022-01-10 发布日期:2022-02-16
通讯作者: 赵贻竹 E-mail:missbamboofirst@163.com
作者简介:于俊清（1975—）,男,内蒙古,教授,博士,主要研究方向为智能媒体计算、网络安全、多核计算与流编译|李自尊（1996—）,男,湖南,硕士研究生,主要研究方向为网络安全|吴驰（1976—）,男,湖北,高级工程师,硕士,主要研究方向为教育信息化和网络安全|赵贻竹（1976—）,女,河南,副教授,博士,主要研究方向为软件定义网络与安全
基金资助:
国家重点研发计划(2018YFB1800405)

A Two-stage DDoS Attack Detection and Defense Method in Software Defined Network

YU Junqing¹^,², LI Zizun¹, WU Chi¹, ZHAO Yizhu¹()

1. School of Cyber Science and Engineering, Huazhong University of Science and Technology, Wuhan 430074, China
2. Center of Network and Computation, Huazhong University of Science and Technology, Wuhan 430074, China

Received:2021-09-13 Online:2022-01-10 Published:2022-02-16
Contact: ZHAO Yizhu E-mail:missbamboofirst@163.com

摘要/Abstract

摘要：

分布式拒绝服务（DDoS）攻击一直是互联网的主要威胁之一,在软件定义网络（SDN）中会导致控制器资源耗尽,影响整个网络正常运行。针对SDN网络中的DDoS攻击问题,文章设计并实现了一种两级攻击检测与防御方法。基于控制器北向接口采集交换机流表数据并提取直接特征和派生特征,采用序贯概率比检验（Sequential Probability Ratio Test,SPRT）和轻量级梯度提升机（LightGBM）设计两级攻击检测算法,快速定位攻击端口和对攻击类型进行精准划分,通过下发流表规则对攻击流量进行实时过滤。实验结果表明,攻击检测模块能够快速定位攻击端口并对攻击类型进行精准划分,分类准确率达到98%,攻击防御模块能够在攻击发生后2 s内迅速下发防御规则,对攻击流量进行过滤,有效保护SDN网络的安全。

关键词: 软件定义网络, 分布式拒绝服务攻击, 序贯概率比检验, 轻量级梯度提升机

Abstract:

Distributed denial of service (DDoS) attacks have always been a major threat to Internet. In SDN network, it will lead to the exhaustion of controller resources and affect the normal operation of the entire network. Aiming at mitigating DDoS attacks in SDN network, a two-stage attack detection and defense method is designed and implemented, which firstly collects flow data based on the controller's northbound interface to extract direct and derived features, and uses sequential probability ratio test (SPRT) and light gradient boosting machine (LightGBM) to locate attacks quickly and differentiate attack types accurately, at last filters the attack traffic in real time by installing flow rules. Experimental results show that this attack detection method can quickly locate the attack port and classify the attack traffic which accuracy reaches to 98%, and attack defense method can install defense flow rules in time to filter the attack traffic within 2 s after attack happens to protect the safety of SDN network effectively.

Key words: software defined network, distributed denial of service attack, sequential probability ratio test, light gradient boosting machine

中图分类号:

TP309

于俊清, 李自尊, 吴驰, 赵贻竹. 面向软件定义网络的两级DDoS攻击检测与防御[J]. 信息网络安全, 2022, 22(1): 1-8.

YU Junqing, LI Zizun, WU Chi, ZHAO Yizhu. A Two-stage DDoS Attack Detection and Defense Method in Software Defined Network[J]. Netinfo Security, 2022, 22(1): 1-8.

图/表 19

表1

表2

表3

图1

表4

图2

图3

图4

图5

图6

图7

图8

图9

图10

图11

图12

图13

图14

图15

参考文献 15

[1]	TAO Han, SYED R U J, TAN Zhiyuan, et al. A Comprehensive Survey of Security Threats and Their Mitigation Techniques for Next-generation SDN Controllers[J]. Concurrency and Computation: Practice and Experience, 2020, 32(16):1-21. doi: 10.1002/cpe.v32.22 URL
[2]	QIAO Yan, RICHARD F Y, GONG Qingxiang, et al. SDN and Distributed DDoS Attacks in Cloud Computing Environments: A Survey, Some Research Issues, and Challenges[J]. IEEE Communications Surveys & Tutorials, 2016, 18(1):602-622.
[3]	RAMIN F F, ORHAN E, EMIN A. A DDoS Attack Detection and Defense Scheme Using Time-series Analysis for SDN[J]. Journal of Information Security and Applications, 2020, 54(10):1-11.
[4]	OUSSAMA H, MOHAMED C B. Neural Network-based Approach for Detection and Mitigation of DDoS Attacks in SDN Environments[J]. International Journal of Information Security and Privacy (IJISP), 2020, 14(3):50-71.
[5]	MYO M O, SINCHAI K, THOSSAPORN K, et al. Advanced Support Vector Machine Based Detection for Distributed Denial of Service Attack on Software Defined Networking[J]. Journal of Computer Networks and Communications, 2019, 5(4):1-12.
[6]	KÜBRA K, LEVENT A, GÜRKAN G, et al. JESS: Joint Entropy-based DDoS Defense Scheme in SDN[J]. IEEE Journal on Selected Areas in Communications, 2018, 36(10):2358-2372. doi: 10.1109/JSAC.2018.2869997 URL
[7]	YE Jin, CHENG Xiangyang, ZHU Jian, et al. A DDoS Attack Detection Method Based on SVM in Software Defined Network[J]. Security and Communication Networks, 2018, 10(5):1-8.
[8]	RENEILSON S, DANILO S, WALTER S, et al. Machine Learning Algorithms to Detect DDoS Attacks in SDN[J]. Concurrency and Computation: Practice and Experience, 2020, 32(16):1-14. doi: 10.1002/cpe.v32.22 URL
[9]	CHEN Zhou, JIANG Fu, CHENG Yijun, et al. XGBoost Classifier for DDoS Attack Detection and Analysis in SDN-based Cloud[C]// IEEE, 2018 IEEE International Conference on Big Data and Smart Computing (BigComp), January 15-17, 2018, Shanghai, China. New York: IEEE, 2018: 251-256.
[10]	FICHERA S, GALLUCCIO L, GRANCAGNOLO S C, et al. OPERETTA: An OpenFlow-based Remedy to Mitigate TCP SYN FLOOD Attacks against Web Servers[J]. Computer Networks, 2015, 92(9):89-100. doi: 10.1016/j.comnet.2015.08.038 URL
[11]	CUI Jie, WANG Mingjun, LUO Yonglong, et al. DDoS Detection and Defense Mechanism Based on Cognitive-inspired Computing in SDN[J]. Future Generation Computer Systems, 2019, 97(3):275-283. doi: 10.1016/j.future.2019.02.037 URL
[12]	CUI Yunhe, YAN Lianshan, LI Saifei, et al. SD-Anti-DDoS: Fast and Efficient DDoS Defense in Software-defined Networks[J]. Journal of Network and Computer Applications, 2016, 68(4):65-79. doi: 10.1016/j.jnca.2016.04.005 URL
[13]	JUAN P, SANTIAGO Z. Using One Class SVM to Counter Intelligent Attacks against an SPRT Defense Mechanism[J]. Ad Hoc Networks, 2019, 94(11):1-9.
[14]	DONG Ping, DU Xiaojiang, ZHANG Hongke, et al. A Detection Method for a Novel DDoS Attack against SDN Controllers by Vast New Low-traffic Flows[C]// IEEE. International Conference on Communications, July 14, 2016, Kuala Lumpur, Malaysia. New York: IEEE, 2016: 1-6.
[15]	KE Guolin, MENG Qi, FINLEY T, et al. Lightgbm: A Highly Efficient Gradient Boosting Decision Tree[J]. Advances in Neural Information Processing Systems, 2017, 30(4):3146-3154.

流量类型		描述
正常流量	Normal	正常网络通信流量
攻击流量	DDoS	分布式拒绝服务攻击
	Probe	恶意的网络探测活动
	R2L	来自远程的恶意登录

序号	特征	描述
1	eth_src	以太网源地址
2	eth_dst	以太网目的地址
3	eth_type	以太网类型
4	in_port	入端口
5	ip_proto	IP协议
6	ipv4_src	源IP地址
7	ipv4_dst	目的IP地址
8	ovs_tcp_flags	TCP标志位
9	tcp_src	TCP源端口
10	tcp_dst	TCP目的地址
11	udp_src	UDP源端口
12	udp_dst	UDP目的端口
13	priority	优先级
14	byte_count	流匹配字节数
15	packet_count	流匹配数据包数
16	duration	持续时间
17	hard_timeout_s	严格超时时间
18	idle_timeout_s	空闲超时时间

序号	特征	描述
1	byte_cnt_min	流匹配字节数最小值
2	byte_cnt_max	流匹配字节数最大值
3	byte_cnt_mean	流匹配字节数平均值
4	byte_cnt_std	流匹配字节数标准差
5	pkt_cnt_min	流匹配数据包数最小值
6	pkt_cnt_max	流匹配数据包数最大值
7	pkt_cnt_mean	流匹配数据包数平均值
8	pkt_cnt_std	流匹配数据包数标准差
9	duration_min	流持续时间最小值
10	durationt_max	流持续时间最大值
11	duration_mean	流持续时间平均值
12	duration_std	流持续时间标准差
13	src_ip_cnt	源IP数量
14	dst_ip_cnt	目的IP数量
15	src_port_cnt	源端口数量
16	dst_port_cnt	目的端口数量
17	URG_flag_cnt	URG标志位数量
18	ACK_flag_cnt	ACK标志位数量
19	PSH_flag_cnt	PSH标志位数量
20	RST_flag_cnt	RST标志位数量
21	SYN_flag_cnt	SYN标志位数量
22	FIN_flag_cnt	FIN标志位数量

参数	描述	参数值
num_iterations	迭代次数,即生成决策树的数量	100
num_leaves	决策树的最大叶子数	30
max_depth	决策树的最大深度	50
learning_rate	学习率	0.1
bagging_fraction	数据采样比例,取值在0~1之间	0.8
feature_fraction	特征采样比例,取值在0~1之间	0.7

面向软件定义网络的两级DDoS攻击检测与防御

A Two-stage DDoS Attack Detection and Defense Method in Software Defined Network

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 19

参考文献 15

相关文章 15

编辑推荐

Metrics

本文评价

[1]	范广宇, 王兴伟, 贾杰, 黄敏. SDN应用平面与控制平面安全交互方法[J]. 信息网络安全, 2021, 21(6): 70-79.
[2]	李朝阳, 谭晶磊, 胡瑞钦, 张红旗. 基于双重地址跳变的移动目标防御方法[J]. 信息网络安全, 2021, 21(2): 24-33.
[3]	王鹃, 杨泓远, 樊成阳. 一种基于多阶段攻击响应的SDN动态蜜罐[J]. 信息网络安全, 2021, 21(1): 27-40.
[4]	冉金鹏, 王翔, 赵尚弘, 高航航. 基于果蝇优化的虚拟SDN网络映射算法[J]. 信息网络安全, 2020, 20(6): 65-74.
[5]	王健, 王语杰, 韩磊. 基于突变模型的SDN环境中DDoS攻击检测方法[J]. 信息网络安全, 2020, 20(5): 11-20.
[6]	徐国天, 沈耀童. 基于XGBoost和LightGBM双层模型的恶意软件检测方法[J]. 信息网络安全, 2020, 20(12): 54-63.
[7]	周亚球, 任勇毛, 李琢, 周旭. 基于SDN的科学DMZ研究与实现[J]. 信息网络安全, 2019, 19(9): 134-138.
[8]	赖成喆, 王文娟. 面向车队的安全且具备隐私保护的移动性管理框架[J]. 信息网络安全, 2018, 18(7): 36-46.
[9]	石悦, 李相龙, 戴方芳. 一种基于属性基加密的增强型软件定义网络安全框架[J]. 信息网络安全, 2018, 18(1): 15-22.
[10]	李剑锋, 刘渊, 张浩, 王晓锋. 面向IaaS云平台的路由转发优化研究与实现[J]. 信息网络安全, 2017, 17(9): 10-15.
[11]	徐洋, 陈燚, 何锐, 谢晓尧. SDN中DDoS检测及多层防御方法研究[J]. 信息网络安全, 2017, 17(12): 22-28.
[12]	齐宇. SDN安全研究[J]. 信息网络安全, 2016, 16(9): 69-72.
[13]	陈颖聪, 陈广清, 陈智明, 万能. 面向智能电网SDN的二进制代码分析漏洞扫描方法研究[J]. 信息网络安全, 2016, 16(7): 35-39.
[14]	蒋宽, 杨鹏. 基于数据包回溯的软件定义网络中的故障排除[J]. 信息网络安全, 2016, 16(3): 71-76.
[15]	武泽慧, 魏强. 基于OwnShip-Proof模型的软件定义网络控制器集群故障安全恢复方法[J]. 信息网络安全, 2016, 16(12): 13-18.