SDN流表驱动的DDoS攻击检测

发布时间：2020-05-16 22:28

【摘要】：随着网络技术的蓬勃发展,网络规模不断扩大,全球网络接入设备数量已经达到了百亿量级。考虑到物联网设备的普及以及IPv6(Internet Protocol Version 6)的广泛部署,网络规模将迎来更为显著及快速的扩大,同时带来的DDoS(Distributed Denial of Service)拒绝服务攻击也将呈现出愈演愈烈的态势。传统网络中针对DDoS攻击的检测方法往往需要专业的硬件设备,而且由于缺乏全局网络视图,检测效率与准确率有待提高。SDN(Software-Defined Networking)作为一种新的网络架构,采用了控制平面与数据平面分离的技术,旨在为解决传统网络中的问题提供一种新的思路,近年来吸引了工业界和学术界的广泛关注,将来有望大规模部署。本文针对SDN网络架构场景,研究出了一套可以在多种DDoS攻击方式下被用于检测对应交换机上是否遭受攻击的流表特征,设计了一种基于深度学习的DDoS攻击检测算法,提出了基于多OpenFlow交换机信息的协同检测方法。论文的主要研究工作包括:(1)首先分析多种DDoS攻击方式下数据包和数据流层面的特点,研究这些特点对SDN网络中OpenFlow流表造成的影响。随后,提出一套更加全面、有效的流表特征,以及相应的特征提取算法,该流表特征可用于在可能存在多种DDoS攻击的情况下检测对应的OpenFlow交换机是否遭受攻击,并且适用于OpenFlow交换机中存在常驻流表项和控制器下发匹配IP掩码流表项的情况。(2)将DDoS攻击检测建模为有监督的二分类机器学习问题,设计了基于深度学习的DDoS攻击检测算法,该算法以所提流表特征为输入,输出为对应的交换机发生DDoS攻击的概率。由于检测独立使用每台交换机数据,该算法也称为基于单交换机的检测方法。之后详细讨论了激活函数、代价函数的选择以及如何应用正则化、应对过拟合,使算法具有检出率高、误警率低、检测耗时少的优点。(3)充分利用SDN网络全局视图优势,结合网络拓扑信息提炼出交换机关联特征,研究了关联特征的提取方式以及使用方法,进而设计出基于多交换机协同的DDoS检测方法。该方法综合利用单台交换机上的检测结果和多台交换机之间的关联特征,对基于单交换机的DDoS攻击检测方法进行优化,从而得到更加准确的检测结果。之后,本文构建SDN网络环境,对Floodlight控制器进行二次开发,使用theano和keras等工具实现机器学习算法,对所提DDoS检测方案开展实验。实验结果表明,与其他特征方案和检测方法相比,本文提出的检测特征和基于深度学习的检测方法对DDoS攻击检测具有良好的效果,协同检测方案对检测准确度有显著提升。
【图文】：

架构图,架构,功能,交换机

8图 2-1 SDN 功能架构图图 2-1 展示了 SDN 的架构，具有完备的协议和平台介绍。图底部为物理设备，包括交换机和路由器，这些构成了数据平面。中间为控制器，用来管理网络中的流量和路径。控制平面与数据平面通过南向接口连接，控制平面中的控制器间通过东西向接口连接，控制器的应用通过北向接口访问。OpenFlow 协议作为最广泛使用的南向接口协议，已被工业界广泛采用，OpenFlow1.3 版本是受支持最多的一个版本。OpenFlow 可以为不同类型的路由器和交换机提供一个标准，控制器可以通过统一的编程方式操作这些交换机，灵活规划传输路径，使网络更加灵活可扩展。流表项是 OpenFlow 网络设备数据转发功能的一种抽象。在传统网络设备中，交换机和路由器的数据转发需要依赖设备中保存的二层 MAC 地址转发表或者三层 IP 地址路由表

激活函数,输入层

度经过层层反向传播，到达靠近输入层时，，变得非常小，无法为改变权因此靠近输入层的隐层形同虚设。本研究期望使用更深的网络来提升 DD 梯度消失问题。综上，本研究采用ReLU作为网络层的激活函数，该函数中 z 表示神经元的计算结果，如图 4-3 所示。
【学位授予单位】：东南大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【相似文献】