SDN架構(gòu)下基于ICMP流量的網(wǎng)絡(luò)異常檢測方法①

史振華,劉外喜,楊家燁(紹興職業(yè)技術(shù)學(xué)院 信息工程學(xué)院,紹興 3000)(廣州大學(xué) 電子信息工程系,廣州 50006)

?

SDN架構(gòu)下基于ICMP流量的網(wǎng)絡(luò)異常檢測方法①

史振華1,劉外喜2,楊家燁2
1(紹興職業(yè)技術(shù)學(xué)院 信息工程學(xué)院,紹興 312000)
2(廣州大學(xué) 電子信息工程系,廣州 510006)

摘 要:互聯(lián)網(wǎng)控制報文協(xié)議(Internet Control Message Protocol,ICMP)實時地反映著網(wǎng)絡(luò)的狀態(tài),當網(wǎng)絡(luò)故障或受到攻擊時,ICMP報文在整個流量中出現(xiàn)的概率,以及ICMP流量中不同類型的報文比例等特征都會發(fā)生變化.本文利用ICMP流量小的特點,并結(jié)合SDN架構(gòu)中控制面可對ICMP流量進行集中觀察的優(yōu)勢,采用SVM分類的方法,提出一種輕量級的異常檢測機制以改善異常檢測的實時性和準確性---AD-ICMP-SDN (Anomaly Detection Method based on ICMP Traffic for SDN).實驗結(jié)果證明,AD-ICMP-SDN在檢測準確率和誤報率等指標上展現(xiàn)了較好的性能.

關(guān)鍵詞:SDN; 異常檢測; 支持向量機; ICMP

1　引言

當前,網(wǎng)絡(luò)攻擊依然經(jīng)常發(fā)生,如蠕蟲、僵尸、分布式拒絕服務(wù)攻擊(DDOS)等.這些攻擊消耗網(wǎng)絡(luò)資源,嚴重時導(dǎo)致網(wǎng)絡(luò)癱瘓,威脅用戶安全.因此,如何準確地檢測網(wǎng)絡(luò)異常成為一個亟待解決的問題.

過去,研究者們提出了各種異常檢測方法,Chandola V等人對此作了詳細的綜述[1].當前的檢測方法主要分為特征模式(feature-based)和值模式(volume-based)兩種.其中,值模式是利用整個網(wǎng)絡(luò)流量的一些參數(shù)值的變化來檢測異常,如流量值、流的數(shù)量值等.但單獨使用這種方法很難檢測到那些對整個網(wǎng)絡(luò)流量大小幾乎沒有影響的低速率攻擊,也很難區(qū)分由正常應(yīng)用導(dǎo)致的大流量還是惡意攻擊導(dǎo)致的大流量[2].因此,作為該方法的一個補充,人們又研究基于流量特征模式的方法,如平均包長度,IP地址特征分布等.在這種方法中,如果要實現(xiàn)高效的檢測,選擇合適的特征以及最小的特征集是一個必要前提,但這很困難[2].并且,上述兩種方法的研究對象都是針對整個網(wǎng)絡(luò)流量的,而互聯(lián)網(wǎng)流量日益變得龐大,所以,當前方法中依然存在著檢測計算量大、檢測實時性差等問題.

在互聯(lián)網(wǎng)中,設(shè)計ICMP(Internet Control Message Protocol)的初衷是為了反饋網(wǎng)絡(luò)使用過程中的故障信息,例如,當報文在傳遞的過程中某子網(wǎng)故障,或中間路由器無法轉(zhuǎn)發(fā)等原因?qū)е履康牡夭豢蛇_,或目的端口不可達等情形都會在故障點發(fā)出ICMP差錯報文給源端,而ICMPv6更是在此基礎(chǔ)上將IPv4中的ARP,DHCP等功能集成于其中,使其更加成為Internet必不可少的部分.簡而言之,互聯(lián)網(wǎng)中的ICMP流量充分地、實時地反映著網(wǎng)絡(luò)的狀態(tài),所以,我們可以通過分析ICMP流量特征的變化來進行異常檢測.更重要的是,ICMP流量很小,例如,在2009年CAIDA數(shù)據(jù)集中,正常情況下的ICMP流量僅占整個流量的0.18%左右.所以,分析ICMP流量的計算量會比當前基于整個流量的方法小得多,檢測效率和檢測實時性都會得到很大的提高.

軟件定義網(wǎng)絡(luò)(Software-Defined Networking,SDN)[3]技術(shù)分離了網(wǎng)絡(luò)的數(shù)據(jù)平面和控制平面,為研發(fā)網(wǎng)絡(luò)新應(yīng)用和未來互聯(lián)網(wǎng)技術(shù)提供了一種新的解決方案.目前,SDN 已經(jīng)廣泛應(yīng)用于流量工程(Traffic Engineering),異常檢測(anomaly detection),流量統(tǒng)計(accounting)等網(wǎng)絡(luò)流量管理和優(yōu)化工作.然而,目前將SDN 應(yīng)用于異常檢測方面的研究工作還處于初級階段.

支持向量機(Support Vector Machines,SVM)是在統(tǒng)計學(xué)理論基礎(chǔ)上發(fā)展起來的一種新的機器學(xué)習方法,它通過求取能使兩類樣本以最大間隔分開的最優(yōu)分類面來建立分類模型.

綜上所述,本文利用ICMP流量小的特點,并結(jié)合SDN架構(gòu)中控制面可對ICMP流量進行集中觀察的優(yōu)勢,采用SVM分類的方法,提出一種輕量級的異常檢測機制以提高異常檢測的實時性和準確性—Anomaly Detection Method based on ICMP Traffic for SDN(AD-ICMP-SDN).

2　相關(guān)工作

Tootoonchian.A 等人[4]利用控制器中的路由統(tǒng)計信息,分析了從不同交換機獲取流統(tǒng)計數(shù)據(jù)的網(wǎng)絡(luò)負載問題,從而構(gòu)建整個網(wǎng)絡(luò)的流量矩陣.Jose.L等人[5]在讀取交換機的流統(tǒng)計信息后,采用Trie 的數(shù)據(jù)結(jié)構(gòu)設(shè)計了一種識別分層高負載流的問題(hierarchical heavy hitters,HHH).Braga.R 等人[6]通過提取流統(tǒng)計信息中與DDOS 攻擊相關(guān)的六元組,采用人工神經(jīng)網(wǎng)絡(luò)方法SOM(Self Organizing Maps)進行降維處理,從而識別DDOS 攻擊.Mehdi.S等人[7]重新考慮了幾種傳統(tǒng)的流量異常檢測方法在SDN 中的應(yīng)用,為SDN 中實現(xiàn)異常檢測提供了很好的實際部署經(jīng)驗.然而這些方法采用的流量特征數(shù)據(jù)較單一,僅能針對某種特定的異常.

在SDN架構(gòu)下,K.Giotis等人[8]融合OpenFlow和sFlow提出一種可進行異常檢測并可減輕異常的機制,他們在控制平面設(shè)計了數(shù)據(jù)收集模塊,以及獨立于數(shù)據(jù)平面的sFlow監(jiān)測模塊.為了兼顧監(jiān)測開銷和異常檢測精度,Ying Zhang等人[9]提出一種SDN架構(gòu)下對流量進行自適應(yīng)抽樣的OpenWatch機制,其基本思路是: 基于預(yù)測的方法,抽樣粒度能夠自適應(yīng)地動態(tài)改變時間-空間維度.劉文懋[10]等人提出了一個分布式的軟件定義安全架構(gòu)(software-defined security architecture,SDSA),可將安全功能從SDN控制器解耦到專有的安全控制器和安全APP,提供了全局流和局部數(shù)據(jù)包層面的檢測和防護,以抵御SDN和虛擬化環(huán)境中的各類攻擊.

Jun等人[11]提出一種綜合利用值模式和報文頭部字段信息的DDOS檢測方法.他們首先使用流量值做初步檢測,如果流量值超過了閥值,就針對這些可疑流量進一步分析目的IP地址的熵,源端口的熵以及每秒到達的報文個數(shù).Gao and Wang等人[12]提出基于K平均算法的網(wǎng)絡(luò)入侵檢測機制,他們用信息熵選擇K平均算法中初始簇中心以提高檢測效率.

而在此前的工作中,我們已經(jīng)發(fā)現(xiàn)ICMP流量也具有自相似特性,并提出了利用該特性檢測網(wǎng)絡(luò)異常的方法[14].

鄭黎明等人[15]針對訓(xùn)練模型難于獲取以及部署環(huán)境的動態(tài)變化性問題,對SVM分類器的選擇、使用和訓(xùn)練方法進行了研究.Chandola.V 等人[1]對當前各種利用熵(Entropy)值進行異常檢測的方法進行了綜述和性能評估.與上述方法不同的是,本文以ICMP流量中源/目的IP地址、ICMP報文類型等特征的熵作為檢測對象,實現(xiàn)輕量級的檢測.

3　基本原理

網(wǎng)絡(luò)流量異常是指網(wǎng)絡(luò)流量產(chǎn)生不尋常的變化,并且可能涵蓋多條鏈路或者路徑,會導(dǎo)致流量激增,也會導(dǎo)致流量的以下特征發(fā)生變化:

1)ICMP流量中報文的IP 地址的分布;

2)ICMP報文類型的分布;

3)流量中TCP 、UDP、ICMP、GRE四種協(xié)議的分布;

4)ICMP流量占整個流量的比例.

考慮到上述這些特點,本文的AD-ICMP-SDN實現(xiàn)異常檢測的思路如下: 通過熵(Entropy)來描述前三個流量特征的分散程度; 而通過比例來描述第四個特征.然后利用SVM分類的方法將正常和異常的特征區(qū)分,達到發(fā)現(xiàn)異常的目的.

3.1信息熵

在信息論中,熵表示的是不確定性的量度.設(shè)X表示一個有著n個變量的數(shù)據(jù)集,這些變量分別用x1,x2,…… xn表示.它們在數(shù)據(jù)集中出現(xiàn)的概率分別為p1,p2,…… ,pn,那么X的熵就是如(1)式所示:

式中,pi第i個變量的概率.顯然,X中變量的概率分布越均勻,熵值會越大,當某個變量的概率為1的話,熵值會變?yōu)?.

3.2支持向量機SVM

對于給定的入侵檢測審計數(shù)據(jù)(x1,y1),(x2,y2),…,(xn,yn),,x為特征空間的輸入數(shù)據(jù),x∈Rd,y為類標志,y∈{0,1},n為樣本數(shù),d為輸入維數(shù).如果y的值為0,表示對應(yīng)的樣本為正常; 如果y的值為1,表示對應(yīng)的樣本為異常,即有入侵發(fā)生.

根據(jù)SVM理論,對于待分類樣本存在一個超平面,使得兩類樣本完全分開,如圖2 所示.圖中“1”和“0”分別代表兩類樣本,實線為分類超平面(hyper plane).SVM旨在尋找最優(yōu)超平面(optimal hyper plane)以最大間隔分隔兩類樣本.其中,帶圈的“1”和“0”樣本決定類分隔面上,稱為支持向量.

求解最優(yōu)超平面可看成解二次規(guī)劃問題:

式中,θ是松弛變量,C為懲罰因子,是人工指定的常數(shù),起到控制對錯分樣本進行懲罰程度的作用.求解式(2)可轉(zhuǎn)化為求解其對偶問題:

上式中,αi為拉格朗日乘子; 對應(yīng)于αi＞0的向量稱為支持向量; k(xi,xj)=Φ(xi)T,Φ(xi)為核函數(shù).選擇不同核函數(shù),可以生成不同SVM,常用核函數(shù)有以下4種:

(1)線性核函數(shù)Linear: K(x,y)=x·y;

(2)多項式核函數(shù)polynomial: K(x,y)=[(x·y)+1]d;

(3)高斯徑向基核函數(shù)RBF: K(x,y)=exp (-|x-y|^2/d^2)

(4)二次核函數(shù)quadratic: K(||x-xc||)=exp{-||x-xc||^2/(2*σ)^2)}

簡單地說,SVM是升維和線性化的過程.一般情況下這會增加計算的復(fù)雜性.但是核函數(shù)的特性,可以隱式地將非線性的訓(xùn)練數(shù)據(jù)映射到高維空間中,從而減少了計算的難度.

所以,利用SVM分類方法進行異常檢測的基本思路是: 通過訓(xùn)練數(shù)據(jù),SVM獲得一個優(yōu)化參數(shù)的分類器,然后對另一組待檢測數(shù)據(jù)進行分類.若線性可分,則直接分析處理.若線性不可分,則使用非線性映射算法,即核函數(shù).其將低維空間中線性不可分的數(shù)據(jù)映射到高維空間中.在原低維空間中線性不可分的樣本,在高維空間中有了線性可分的可能.

3.3SDN架構(gòu)下的異常檢測

如圖1所示,AD-ICMP-SDN主要包括兩個組件:流表管理和異常檢測.NOX[12]是最早實現(xiàn)控制器功能的網(wǎng)絡(luò)操作系統(tǒng),AD-ICMP-SDN的流表管理和異常檢測也是在NOX上開發(fā)的應(yīng)用.下面分別介紹各個模塊的具體功能.

流表管理組件: OpenFlow交換機在NOX上注冊成功之后,NOX維護網(wǎng)絡(luò)資源的狀態(tài): 鏈路性能狀態(tài)、節(jié)點級的拓撲、包的到達過程、用戶需求趨勢等.根據(jù)到達的數(shù)據(jù)包向OpenFlow交換機安裝流表項.

異常檢測組件: 主要包含以下3個模塊:

1)ICMP流量采集模塊: 采集的數(shù)據(jù)包括: ICMP報文中源/目的IP地址、ICMP報文類型、傳輸層四種協(xié)議TCP/UDP/ICMP/GRE、ICMP報文數(shù)量.流量采集的時間間隔使用固定時長.周期太長,則檢測到異常流量并進行處理的時延也更長; 周期太短,將會增加NOX和OpenFlow交換機的處理開銷.本文中,該時間間隔設(shè)為5秒.

2)數(shù)據(jù)訓(xùn)練: 按照如上所述的SVM原理,需要通過對ICMP已知流量數(shù)據(jù)訓(xùn)練,獲得一個優(yōu)化參數(shù)的分類器,參數(shù)主要包括核函數(shù)和超平面計算方法.

3)SVM分類(檢測): 詳見4.2節(jié)的分析.

圖1　AD-ICMP-SDN的系統(tǒng)流程圖

4　實驗與結(jié)果分析

4.1實驗方案

4.1.1實驗環(huán)境設(shè)置

我們利用NetFPGA開發(fā)板搭建實際的SDN網(wǎng)絡(luò),實驗網(wǎng)絡(luò)的拓撲由105個節(jié)點和386條鏈路組成.其中包括5臺OpenFlow交換機和100臺主機,100臺主機分布于5個子網(wǎng),分別與五臺OpenFlow 交換機進行連接.

4.1.2實驗數(shù)據(jù)集

本文利用人工擬合流量進行測試,流量由3種成分構(gòu)成: 正常流量、高斯噪音流量和異常流量.整個模擬實驗運行190個周期,每個周期流量注入的時間為20秒.

正常流量的產(chǎn)生: 內(nèi)容的請求過程服從泊松過程,亦即,請求的間隔時間是指數(shù)分布; 用戶的訪問模式遵循Zipf分布.就是說,如果用Pr{Ck}表示第k級受歡迎程度的內(nèi)容被請求到的概率,那么它遵循以下規(guī)律: Pr{Ck}∝k^(-α),α就稱為是Zipf 參數(shù)(Zipf parameter (α)),本文中α=0.7.

本文的異常檢測目標有兩種: 端口掃描和SYN Flood,其注入正常流量的過程為: 從第140到160個周期,每隔2個周期注入一次端口掃描攻擊,持續(xù)時間5秒; 第170到190周期,每隔3個周期注入SYN flood攻擊,持續(xù)時間8秒.

端口掃描是一種重要的攻擊,通常具有如下特征:

1)流的數(shù)量劇增,其中大部分有相同的源地址.

2)大量失敗響應(yīng),多數(shù)掃描請求會失敗,導(dǎo)致大量的如TCP RST、ICMP目的地不可達等響應(yīng).

上述特征分別在4.2.1、4.2.2和4.2.4節(jié)的實驗結(jié)果中得到驗證.

SYN Flood導(dǎo)致目的路由器為那些偽造源主機建立了大量的連接隊列,并且由于沒有收到ACK需要一直維護著它們,造成了資源的大量消耗而不能向正常請求提供服務(wù),最后甚至導(dǎo)致路由器崩潰.服務(wù)器要等待超時(Time Out)才能回收已分配的資源.

上述特征分別在4.2.2、4.2.3節(jié)的實驗結(jié)果中得到驗證.

4.1.3實驗設(shè)計

本文分別利用ICMP流量中的源/目的IP地址的熵; ICMP報文類型的熵; 傳輸層四種協(xié)議TCP/UDP/ICMP/GRE的熵; ICMP流量的比例等來進行異常檢測.

同時,在SVM參數(shù)設(shè)置方面,一次實驗中只改變核函數(shù)和超平面計算方法兩個參數(shù)中一個,另一個保持默認設(shè)置.其中核函數(shù)包括: 線性核函數(shù)Linear,二次核函數(shù)quadratic,多項式核函數(shù)polynomial,高斯徑向基核函數(shù)RBF.超平面計算方法包括: 二次規(guī)劃方法QP,序列最小優(yōu)化算法SMO,最小二乘法LS.

本文采用如下性能指標評估實驗結(jié)果:

1)準確率: 異常被檢測為異常的概率;

2)誤報率: 正常被檢測為異常的概率.

4.2實驗結(jié)果

4.2.1ICMP流量中源/目的IP地址的熵

在流量中,基于IP地址可以將主機之間的連接關(guān)系分為以下四種:

CC: Concentrated origin and concentrated destination (1對1);

CD: Concentrated origin and dispersed destination(1對多);

DC: Dispersed origin and concentrated destination(多對1);

DD: Dispersed origin and dispersed destination (多對多).

在正常流量下,四種情況的比例會保持相對穩(wěn)定: 1)如果是CD突然增加,表示服務(wù)器已經(jīng)被攻陷,其需要向各個請求服務(wù)的主機發(fā)布無法服務(wù)的ICMP報文,如,端口不可達、目的地址不可達等.2)如果是DC突然增加,表示服務(wù)器正在被攻擊.如在DDoS攻擊模式下,攻擊者雇傭很多主機假裝向服務(wù)器發(fā)出了服務(wù)請求,服務(wù)器向這些主機發(fā)出了響應(yīng).但這些主機可能會向服務(wù)器報告ICMP差錯報文,如,端口不可達、目的地址不可達等.

所以,利用ICMP流量中源/目的IP地址的熵檢測異常的思路如下:

1)由于攻擊的存在,IP地址池的規(guī)模會變大,也更加分散一些,導(dǎo)致熵的變化.

2)IP地址空間中源地址和目的地址的映射關(guān)系會發(fā)生變化.

下面,本節(jié)分別從源IP地址、目的IP地址兩個方面進行分析.

①ICMP流量報文源IP地址的熵

對于不同SVM核函數(shù)和超平面計算方法,基于ICMP流量報文源IP地址熵的SVM分類結(jié)果如圖 2所示.我們看到,利用核函數(shù)的映射作用,對異常和正常樣本實現(xiàn)了非線性可分.

圖2　不同SVM核函數(shù)和超平面計算方法下的分類結(jié)果

對于不同的SVM核函數(shù)和超平面計算方法,利用ICMP流量報文源IP地址的熵進行異常檢測結(jié)果如圖3所示.我們可以看到,在超平面計算方法都為QP的情況下,多項式核函數(shù)polynomial展現(xiàn)了更好的性能,檢測的準確率達到了95%,而誤報率只有1.7%.而對于使用相同核函數(shù)Linear來說,兩種超平面計算方法的準確率幾乎一樣,而SMO的誤報率稍微低一些.

圖3　ICMP流量中源IP地址的熵

②ICMP流量報文目的IP地址的熵

對于不同的SVM核函數(shù)和超平面計算方法,利用ICMP流量報文目的IP地址的熵進行異常檢測的結(jié)果如圖 4所示.我們可以看到,在超平面計算方法都為QP的情況下,多項式核函數(shù)polynomial展現(xiàn)了更好的性能,檢測的準確率達到了98.5%,而誤報率只有1.9%.

對于使用相同的核函數(shù)Linear來說,超平面計算方法LS的準確率稍微高一點點,達到78%,而兩種超平面計算方法的誤報率幾乎一樣.

圖4　ICMP流量中目的IP地址的熵

4.2.2ICMP報文類型的熵

ICMP報文的主要類型有兩種,即ICMP差錯報告報文和ICMP詢問報文.

ICMP差錯報告報主要分為5種類型: 目的地不可達(Destination unreachable),源點抑制(Source quench),更改路由(Redirect),超過生存時間(TTL exceeded),參數(shù)問題(Parameter problem).

ICMP詢問報文主要分為4種類型: 回送響應(yīng)(Echo Reply),回送請求(Echo Request),時間戳請求(Timestamp Request),時間戳應(yīng)答(Timestamp Reply).

所以,利用ICMP報文類型的熵進行異常檢測的基本思路如下: 正常的情況下,ICMP流量中各個類型報文的比例相對穩(wěn)定.如果網(wǎng)絡(luò)發(fā)生了故障或者受到攻擊,某些類型報文的數(shù)量將會增加,這樣就會引起該比例的變化,其熵值從而也會發(fā)生變化.我們可從ICMP各類型報文比例的熵值來檢測網(wǎng)絡(luò)是否出現(xiàn)異常.

圖5　ICMP報文類型的熵的異常變化

上述分析可從如圖 5所示的實驗結(jié)果得到驗證: 在2800秒之前,ICMP報文類型的熵值一直維持在2.25～2.38之間,而當從140周期(2800秒)開始注入端口掃描攻擊開始的,其熵值明顯地減小.其原因正是由端口掃描引起的目的地不可達ICMP報文在整體中的比例增加,使得熵值減小,從170周期開始的SYN Flood會導(dǎo)致服務(wù)器無法為正常用戶提供TCP連接服務(wù),端口不可達ICMP報文數(shù)量則會激增,也會使得熵值減小.因此,我們以ICMP報文類型的熵值是否在2.25～2.38區(qū)間來判斷網(wǎng)絡(luò)是否發(fā)生異常.

不同SVM參數(shù)下的實驗結(jié)果如圖 6所示,我們可以看到,在超平面計算方法都為QP的情況下,多項式核函數(shù)的檢測準確率為76%,而線性核函數(shù)為60%.對于使用相同核函數(shù)Linear來說,將超平面算法修改為SMO和LS,它們的檢測準確率分別為76%和68%.

圖6　ICMP報文類型的熵

4.2.3傳輸層協(xié)議的熵

傳輸層主要包括TCP 、UDP、ICMP、GRE等四種協(xié)議.在正常的網(wǎng)絡(luò)中,TCP協(xié)議數(shù)量最大,一般都會占到80%以上,而ICMP一般維持在0.18%左右[13].而當網(wǎng)絡(luò)中發(fā)生故障時,或者受到攻擊,ICMP報文的數(shù)量將會增加.UDP協(xié)議是一種面向非連接的數(shù)據(jù)報,發(fā)生UDP風暴攻擊時,該協(xié)議的出現(xiàn)概率也會提高.在正常的情況下,這四種協(xié)議的比例都是比較穩(wěn)定的,但由于TCP占比很大,所以他們的熵值比較穩(wěn)定也比較小.當出現(xiàn)網(wǎng)絡(luò)異?；蚬魰r,四種協(xié)議出現(xiàn)的概率會表現(xiàn)出異常,我們可以通過熵值的變化發(fā)現(xiàn)異常.

圖7　傳輸層協(xié)議的熵的異常變化

上述分析可從如圖 7所示實驗結(jié)果得到驗證: 與圖 5相對應(yīng)的是,在2800秒之前,傳輸層協(xié)議的熵值一直維持在0.55～0.6的正常區(qū)間,而從2800秒開始注入端口掃描以及SYN Flood攻擊后,由于攻擊導(dǎo)致的ICMP報文數(shù)量的快速增加,其比例從0.18上升到1.5%以上,那么整體熵值也就快速地增加.因此,我們以傳輸層協(xié)議的熵值是否在0.55～0.6區(qū)間來判斷網(wǎng)絡(luò)是否發(fā)生異常.

不同SVM參數(shù)下的實驗結(jié)果如圖 8所示,通過觀察,我們可以得到如下結(jié)論:

1)默認設(shè)置下的結(jié)果(Linear,QP),檢測準確率是61%,誤報率是5.1%.

2)使用二次核函數(shù)(quadratic,QP),檢測準確率大大上升,達到96%,誤報率只有2.7%.

3)使用多項式核函數(shù)(polynomial,QP),檢測準確率是78%,誤報率是4.9%.

4)使用高斯徑向基核函數(shù)(RBF,QP),檢測準確率是84%,誤報率4%.

5)使用序列最小優(yōu)化超平面算法(Linear,SMO),準確率是71%,誤報率是3.9%.

6)使用最小二乘算法(Linear,LS),使用LS算法后,準確率是65%,誤報率是3.7%.

圖8　傳輸層協(xié)議的熵

4.2.4ICMP流量的比例

熵值只是描述變量的平均消息量,是一個衡量各成分相對比例的參數(shù).如果出現(xiàn)以下情況: ICMP協(xié)議出現(xiàn)的概率增加至接近正常TCP出現(xiàn)的概率,而TCP的概率下降到對應(yīng)正常情況的ICMP協(xié)議概率,那么整體熵值將不會發(fā)生變化,仍然是正常的熵值.但是實際上,網(wǎng)絡(luò)已經(jīng)受到了攻擊.如前所述,ICMP流量正常情況下的比例一直維持在0.18%左右,當異常時,其比例會激增.所以,我們通過分析ICMP報文在整個流量中比例變化,來發(fā)現(xiàn)網(wǎng)絡(luò)異常.不同SVM參數(shù)下的實驗結(jié)果如圖 9所示.

圖9　ICMP流量的比例

5　結(jié)論

本文使用SVM的分類方法,通過分析ICMP報文的地址空間的熵特征,ICMP中各類型報文比例的熵,TCP/ICMP/UDP/GRE四種協(xié)議的出現(xiàn)比例的熵,ICMP在整個流量中的比例變化等四個指標的變化,進行網(wǎng)絡(luò)異常檢測.實驗結(jié)果表明,利用上述指標分析來判斷網(wǎng)絡(luò)異常的表現(xiàn)較好.

SDN是未來互聯(lián)網(wǎng)架構(gòu)演進的主要方向,其控制與數(shù)據(jù)相分離的思想極大地方便了網(wǎng)絡(luò)管理.在此架構(gòu)下,還有很多有意義的工作可以做,如流量控制、流量平衡、防火墻設(shè)計等.同時,我們未來將對不同的網(wǎng)絡(luò)異常數(shù)據(jù)采用不同的核函數(shù)和超平面計算方法,以進一步提高網(wǎng)絡(luò)異常檢測機制的精確性.

參考文獻

1Chandola V,Banerjee A,Kumar V.Anomaly detection: A survey.ACM Computing Surveys (CSUR),2009,41(3): 15.

2?z?elik ?,Brooks R R.Deceiving entropy based DoS detection.Computers & Security,2014,9091(6): 1–7.

3Open Networking Fundation.SDN.https://www.opennetworking.org [2013-8-3].

4Tootoonchian A,Ghobadi M,Ganjali Y.OpenTM: Traffic matrix estimator for OpenFlow networks.Passive and Active Measurement.Springer Berlin Heidelberg,2010: 201–210.

5Jose L,Yu M,Rexford J.Online measurement of large traffic aggregates on commodity switches.Proc.of the USENIX HotICE workshop.2011.

6Braga R,Mota E,Passito A.Lightweight DDoS flooding attack detection using NOX/OpenFlow.2010 IEEE 35th Conference on Local Computer Networks (LCN).IEEE,2010.408–415.

7Mehdi SA,Khalid J,Khayam SA.Revisiting traffic anomaly detection using software defined networking.Recent Advances in Intrusion Detection.Springer Berlin Heidelberg,2011: 161–180.

8Giotis K,Argyropoulos C,Androulidakis G.Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments.Computer Networks,2014,62: 122–136.

9Zhang Y.An adaptive flow counting method for anomaly detection in SDN.Proc.of the Ninth ACM Conference on Emerging Networking Experiments and Technologies.ACM.2013.25–30.

10劉文懋,裘曉峰,陳鵬程,等.面向SDN環(huán)境的軟件定義安全架構(gòu).計算機科學(xué)與探索,2015,9(1): 63–70.Liu WM,Qiu XF,Chen PC,et al.SDN oriented softwaredefined security architecture.Journal of Frontiers of Computer Science & Technology,2015,9(1): 63–70.

11Jun JH,Ahn CW,Kim SH.DDos attack detection by using packet sampling and flow features.Proc.of the 29th Annual ACM Symposium on Applied Computing.New York,USA.2014.

12Gao M,Wang N.A network intrusion detection method based on improved k-means algorithm.Advanced Science and Technology Letters,2014,53(3): 429–433.

13Nox Repository Website.http://www.noxrepo.org/.

14Liu WX,Yan YE.Self-similarity and heavy-tail of ICMP traffic.Journal of Computers,2012,7(12): 2948–2954.

15鄭黎明,鄒鵬,賈焰,等.網(wǎng)絡(luò)流量異常檢測中分類器的提取與訓(xùn)練方法研究.計算機學(xué)報,2012,35(4):719–730.Zhang LM,Zhou P,Jia Y,et al.How to extract and train the classifier in traffic anomaly detection system.Chinese Journal of Computers,2012,35(4): 719–730.

16Calvert KI,Doar MB,Zegura EW.Modeling internet topology.Communications Magazine,IEEE,1997,35(6): 160–163.

Anomaly Detection Method Based on ICMP Traffic for SDN

SHI Zhen-Hua1,LIU Wai-Xi2,Yang Jia-Ye2
1(Information Engineering Institute,Shaoxing Vocational & Technical College,Shaoxing 312000,China)
2(Department of Electronic and Information Engineering,Guangzhou University,Guangzhou 510006,China)

Abstract:ICMP (Internet Control Message Protocol)provides a good way to observe the status of network in real time.When the network is in fault or is attacked,the percent of ICMP traffic and the percent of packet type in ICMP characteristics will change.Since the control plane in Software-Defined Networking (SDN)can observe ICMP traffic,and the value of ICMP traffic is also small,this paper proposes a lightweight anomaly detection system based on SVM classification method to improve the accuracy and real-time performance of anomaly detection system.We name it as AD-ICMP-SDN (Anomaly Detection Method based on ICMP Traffic for SDN).The experiment results have shown that AD-ICMP-SDN can effectively improve the accuracy rate and false rate.

Key words:SDN; anomaly detection; support vector machine; ICMP

基金項目:①浙江省教育廳科研項目(Y201534903);廣東省自然科學(xué)基金(2014A030310349,2014A030313637);2014年大學(xué)生創(chuàng)新訓(xùn)練項目

收稿時間:2015-08-30;收到修改稿時間:2015-10-14