云環(huán)境中基于SDN的高效DDoS攻擊檢測(cè)與防御方案

何亨，胡艷，鄭良漢，薛正元

（1. 武漢科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，湖北 武漢 430065；2. 武漢科技大學(xué)智能信息處理與實(shí)時(shí)工業(yè)系統(tǒng)湖北省重點(diǎn)實(shí)驗(yàn)室，湖北 武漢 430065；3. 華中科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，湖北 武漢 430074）

1 引言

由于云計(jì)算具有虛擬化、高可擴(kuò)展性、按需服務(wù)等特點(diǎn)，越來越多的企業(yè)和個(gè)人將應(yīng)用遷移到云計(jì)算環(huán)境中運(yùn)行[1]。但是，云計(jì)算的規(guī)模大、易獲取等特點(diǎn)，使云環(huán)境中的分布式拒絕服務(wù)（DDoS,distributed denial of service）攻擊比傳統(tǒng)網(wǎng)絡(luò)中的攻擊力度和范圍都要大得多。由于傳統(tǒng)網(wǎng)絡(luò)中 DDoS攻擊檢測(cè)算法[2～5]的檢測(cè)結(jié)果受攻擊強(qiáng)度的影響，難以應(yīng)對(duì)云環(huán)境中強(qiáng)度更大的攻擊。文獻(xiàn)[6]提出的PacketScore方案利用貝葉斯公式計(jì)算數(shù)據(jù)分組的分?jǐn)?shù)，分?jǐn)?shù)比閾值低的是攻擊分組，但由于閾值受攻擊強(qiáng)度的影響，因此不適合在云環(huán)境中處理大流量的DDoS攻擊。對(duì)此，研究人員提出一系列針對(duì)云環(huán)境中DDoS攻擊的檢測(cè)與防御方法。胡漢卿[7]提出基于特征檢測(cè)和行為檢測(cè)相結(jié)合的方法來檢測(cè)DDoS攻擊。Dou等[8]提出基于置信度過濾（CBF,confidence-based filtering）的方法，根據(jù)數(shù)據(jù)分組中的相關(guān)特性來判斷分組的合法性。文獻(xiàn)[9]利用數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)技術(shù)訓(xùn)練數(shù)據(jù)分組來檢測(cè)和過濾攻擊分組?，F(xiàn)有的云環(huán)境中檢測(cè)和防御DDoS攻擊的方法主要是針對(duì)大流量的洪泛式DDoS攻擊，文獻(xiàn)[10]通過將數(shù)據(jù)分組分類的方式檢測(cè)洪泛式DDoS攻擊，并建立黑名單存儲(chǔ)攻擊分組源IP進(jìn)行防御。文獻(xiàn)[11]提出了一種欺騙檢測(cè)算法用于檢測(cè)在云環(huán)境中對(duì)服務(wù)器發(fā)起的大流量DDoS攻擊。但近年來云環(huán)境中逐漸流行的低速率式DDoS攻擊[12]能很好地躲避這些針對(duì)洪泛式DDoS攻擊的檢測(cè)方法。文獻(xiàn)[13]將基于熵的系統(tǒng)和異常檢測(cè)系統(tǒng)相結(jié)合，以提供多級(jí)檢測(cè)方法來檢測(cè)云環(huán)境中隱蔽的小流量DDoS攻擊，但是對(duì)云環(huán)境中大流量的DDoS攻擊，這種方法速度較慢。盡管研究人員已經(jīng)分別提出了一些檢測(cè)云環(huán)境中洪泛式DDoS攻擊和低速率式DDoS攻擊的方法，卻很少考慮到實(shí)際系統(tǒng)可能會(huì)遭受到不同攻擊方式的情況。因此，研究在云環(huán)境中既能檢測(cè)傳統(tǒng)洪泛式DDoS攻擊又能檢測(cè)低速率式DDoS攻擊的方法，給云用戶提供安全的網(wǎng)絡(luò)環(huán)境具有重要意義。

軟件定義網(wǎng)絡(luò)（SDN,software defined network）是一種新型的網(wǎng)絡(luò)架構(gòu)，其控制轉(zhuǎn)發(fā)分離的特點(diǎn)簡化了數(shù)據(jù)層面數(shù)據(jù)分組轉(zhuǎn)發(fā)的過程；中心控制器連接了所有交換機(jī)，能實(shí)時(shí)獲取網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及狀態(tài)信息；因此，使用 SDN架構(gòu)有利于在云環(huán)境中快速檢測(cè)DDoS攻擊并做出迅速反應(yīng)。研究人員利用SDN的特性提出了一些云環(huán)境中DDoS攻擊的檢測(cè)與防御方法[1]，結(jié)果表明，使用SDN架構(gòu)的方法比其他未使用的檢測(cè)和防御速度更快。Wang等[14]提出基于SDN架構(gòu)的DaMask系統(tǒng)，通過不斷更新數(shù)據(jù)分組類型庫來檢測(cè)攻擊分組，然后通過 SDN控制器下發(fā)流表攔截攻擊分組，但在新的攻擊分組類型較多時(shí)，DaMask系統(tǒng)需要不斷更新數(shù)據(jù)分組類型庫，會(huì)影響檢測(cè)速度。文獻(xiàn)[15]在SDN架構(gòu)上，結(jié)合正常流量學(xué)習(xí)、外部黑名單和彈性容量調(diào)用來實(shí)現(xiàn)自動(dòng)化地防御洪泛式DDoS攻擊，但卻難以檢測(cè)到小流量的低速率式DDoS攻擊。

因此，本文提出一種云環(huán)境中基于SDN架構(gòu)，并使用改進(jìn)的CBF方法來檢測(cè)與防御DDoS攻擊的方案——SDCC。與文獻(xiàn)[10]解決洪泛式DDoS攻擊和文獻(xiàn)[12,13]解決低速率式 DDoS攻擊這些只能檢測(cè)單一類型DDoS攻擊的方案相比，SDCC綜合使用鏈路帶寬檢測(cè)和數(shù)據(jù)流檢測(cè)這2種方式，能準(zhǔn)確檢測(cè)出不同類型的 DDoS攻擊，其中，基于鏈路帶寬的檢測(cè)方式通過SDN架構(gòu)實(shí)時(shí)獲取交換機(jī)各端口的流量信息，主要用來檢測(cè)洪泛式DDoS攻擊；基于數(shù)據(jù)流的檢測(cè)方式根據(jù)系統(tǒng)的不同狀態(tài)抽取不同比例數(shù)據(jù)分組，分析其中非正常分組比例的方式來實(shí)時(shí)檢測(cè)系統(tǒng)中的數(shù)據(jù)流狀態(tài)，主要用于檢測(cè)低速率式 DDoS攻擊。在文獻(xiàn)[8]提出的 CBF方案中，SDCC不僅簡化了profile表的更新，實(shí)現(xiàn)了實(shí)時(shí)檢測(cè)系統(tǒng)狀態(tài)，還通過增加攻擊流特征庫，大幅降低了控制器的檢測(cè)壓力。在系統(tǒng)遭受DDoS攻擊時(shí)，若不是攻擊流特征庫中的攻擊分組類型，則使用改進(jìn)的CBF方法計(jì)算數(shù)據(jù)分組的CBF分?jǐn)?shù)來判斷攻擊分組，并將已識(shí)別的攻擊分組存入攻擊流特征庫中，再利用SDN控制器下發(fā)流表攔截攻擊分組以保護(hù)系統(tǒng)免受攻擊。無論攻擊源來自云外還是云內(nèi)，SDCC都能在誤判率較低的情況下及時(shí)檢測(cè)出云環(huán)境中不同類型的 DDoS攻擊，且在提高了DDoS攻擊檢測(cè)效率的同時(shí)有效降低了控制器的計(jì)算開銷。

2 相關(guān)工作

本節(jié)首先介紹了云環(huán)境中DDoS攻擊與傳統(tǒng)網(wǎng)絡(luò)環(huán)境中DDoS攻擊的差異以及逐漸流行的低速率式DDoS攻擊；然后介紹了SDN技術(shù)的發(fā)展和特點(diǎn)；最后介紹了CBF方法檢測(cè)DDoS攻擊的流程。

2.1 云環(huán)境中DDoS攻擊

DDoS攻擊是通過控制分布式的多臺(tái)服務(wù)器和PC機(jī)組成聯(lián)合攻擊平臺(tái)，向一個(gè)或多個(gè)目標(biāo)發(fā)送大量惡意流量，使網(wǎng)絡(luò)帶寬或系統(tǒng)資源被消耗殆盡，造成正常請(qǐng)求遭到拒絕。在傳統(tǒng)網(wǎng)絡(luò)中，短時(shí)間內(nèi)感染足夠數(shù)量的機(jī)器仍然相當(dāng)復(fù)雜，但在按需服務(wù)的云環(huán)境中，卻能快速創(chuàng)建一個(gè)強(qiáng)大的僵尸網(wǎng)絡(luò)[1]，因此云環(huán)境中DDoS攻擊的強(qiáng)度也會(huì)比傳統(tǒng)網(wǎng)絡(luò)中大得多。對(duì)于云環(huán)境中更大流量的DDoS攻擊，傳統(tǒng)的檢測(cè)方法難以做出快速反應(yīng)。所以，在云環(huán)境中檢測(cè)這類大流量的洪泛式DDoS攻擊的關(guān)鍵就是檢測(cè)算法能快速檢測(cè)出攻擊分組，盡量減少攻擊分組對(duì)系統(tǒng)資源的過多消耗。

但近年來黑客們?yōu)榱硕惚苓@些已有的洪泛式DDoS攻擊檢測(cè)防御方法，逐漸轉(zhuǎn)為發(fā)起小流量的低速率式 DDoS[16,17]攻擊。低速率式 DDoS攻擊利用TCP協(xié)議中超時(shí)重傳機(jī)制的弱點(diǎn)，使攻擊者通過控制多臺(tái)傀儡機(jī)向攻擊目標(biāo)周期性發(fā)送小流量的攻擊流，這些小流量的攻擊流能在攻擊目標(biāo)處匯聚成巨大攻擊流，導(dǎo)致攻擊目標(biāo)無法及時(shí)響應(yīng)用戶的正常請(qǐng)求，這種攻擊方式雖然攻擊流量速率低，卻有很高的攻擊效率[18]，且能躲避傳統(tǒng)針對(duì)洪泛式DDoS攻擊的檢測(cè)方法。如文獻(xiàn)[19]中提到的以TCP協(xié)議為目標(biāo)，通過RTO計(jì)時(shí)器，在鏈接中制造運(yùn)行中斷，從而導(dǎo)致TCP控制機(jī)構(gòu)擁塞的低速率式DDoS攻擊。這種低速率式DDoS攻擊相對(duì)于傳統(tǒng)洪泛式DDoS攻擊而言，是一個(gè)小流量逐漸匯聚的攻擊過程，由于使用的攻擊流量較少，其成本更低，同時(shí)難以被傳統(tǒng)DDoS攻擊檢測(cè)方法檢測(cè)到。

2.2 SDN技術(shù)

SDN是一種目前非常受關(guān)注的新型網(wǎng)絡(luò)架構(gòu)，它的出現(xiàn)主要是由于傳統(tǒng)互聯(lián)網(wǎng)控制邏輯和數(shù)據(jù)轉(zhuǎn)發(fā)緊耦合在網(wǎng)絡(luò)設(shè)備上，使網(wǎng)絡(luò)設(shè)備的復(fù)雜性變高，且靈活性和擴(kuò)展性降低，難以適應(yīng)網(wǎng)絡(luò)的飛速發(fā)展[20]。2008年，由美國斯坦福大學(xué)的 Nick McKeown教授最早提出基于邏輯控制和數(shù)據(jù)轉(zhuǎn)發(fā)分離思想的 OpenFlow技術(shù)概念，采用 OpenFlow技術(shù)作為通信協(xié)議的SDN概念，隨之被推廣。

SDN架構(gòu)利用OpenFlow技術(shù)將控制功能從網(wǎng)絡(luò)設(shè)備中分離出來。數(shù)據(jù)分組依照流表進(jìn)行轉(zhuǎn)發(fā)，中央控制器管理流表的生成、維護(hù)和配置。在這種控制轉(zhuǎn)發(fā)分離架構(gòu)下，中央控制器不僅能動(dòng)態(tài)管理網(wǎng)絡(luò)的邏輯控制功能和高層策略，還能獲取全局的網(wǎng)絡(luò)資源信息，并根據(jù)需求進(jìn)行全局調(diào)配和優(yōu)化。同時(shí)，這種轉(zhuǎn)發(fā)控制分離的設(shè)計(jì)使上層的網(wǎng)絡(luò)服務(wù)和應(yīng)用功能程序能將底層的網(wǎng)絡(luò)基礎(chǔ)設(shè)施抽象化，從而能通過開放可編程的軟件模式實(shí)現(xiàn)網(wǎng)絡(luò)自動(dòng)化控制的功能，使 SDN具有可編程能力，便于實(shí)現(xiàn)網(wǎng)絡(luò)創(chuàng)新和進(jìn)化。

2.3 CBF方法

Dou等[8]提出的方案使用 CBF方法來檢測(cè)云環(huán)境中DDoS攻擊分組，該方案能很好地解決云環(huán)境中大流量的DDoS攻擊。由于每個(gè)用戶的喜好不同，網(wǎng)絡(luò)數(shù)據(jù)流中數(shù)據(jù)分組的IP頭部和TCP頭部中一些屬性對(duì)值的分布也不同，DDoS攻擊者不僅很難注意這些相關(guān)特性，也難以在滿足DDoS攻擊條件的同時(shí)在數(shù)據(jù)分組中模擬這些特性。系統(tǒng)在正常情況下，受用戶喜好的影響，流入系統(tǒng)中數(shù)據(jù)分組的一些屬性對(duì)值出現(xiàn)的頻率高；因此，若一個(gè)數(shù)據(jù)分組中的屬性對(duì)值等于這些高頻屬性對(duì)值，則該數(shù)據(jù)分組的置信度高，那么通過置信度計(jì)算出來的數(shù)據(jù)分組的CBF分?jǐn)?shù)也會(huì)高。反之，由于攻擊者難以模擬出系統(tǒng)正常數(shù)據(jù)流中的屬性對(duì)值的分布，因此攻擊分組中很難出現(xiàn)高頻屬性對(duì)值，而導(dǎo)致攻擊分組的置信度低，那么攻擊分組的CBF分?jǐn)?shù)也會(huì)比正常數(shù)據(jù)分組低很多。CBF方案正是基于置信度，通過計(jì)算數(shù)據(jù)分組的CBF分?jǐn)?shù)判斷分組的合法性，來過濾攻擊分組。

CBF方案選取了數(shù)據(jù)分組 IP頭部的Total Length、TTL、Protocol Type、Source IP Address以及TCP頭部的Flag、Destination Port Number這6個(gè)屬性，兩兩共組成了 15個(gè)屬性對(duì)，其實(shí)現(xiàn)過程分為非攻擊階段和攻擊階段。在非攻擊階段，需要計(jì)算數(shù)據(jù)流中正常數(shù)據(jù)分組的單屬性值和屬性對(duì)值的出現(xiàn)頻率，然后更新到profile表中。

Conf表示屬性值的出現(xiàn)頻率，單屬性值的Conf計(jì)算式為

其中，Ai表示數(shù)據(jù)分組中的第i個(gè)屬性，i= 1,2,3,…,n，j= 1,2,3,…,mi，n表示屬性數(shù)，mi表示屬性Ai擁有的值的個(gè)數(shù)，Nn表示數(shù)據(jù)流中數(shù)據(jù)分組總數(shù)。N(Ai=ai,j)表示數(shù)據(jù)流中屬性Ai的值為ai,j的分組個(gè)數(shù)。

屬性對(duì)值的Conf計(jì)算式為

其中，i1= 1,2,3,…,n，i2= 1,2,3,…,n，j1= 1,2,3,…,m1，j2= 1,2,3,…,m2，(Ai1=ai1,j1,Ai2=ai2,j2)表示屬性Ai1的值為ai1,j1，屬性Ai2的值為ai2,j2時(shí)組成的屬性對(duì)值，N(Ai1=ai1,j1,Ai2=ai2,j2)表示數(shù)據(jù)流中屬性對(duì)值為 (Ai1=ai1,j1,Ai2=ai2,j2)的分組個(gè)數(shù)。

profile表是用來存儲(chǔ)系統(tǒng)正常數(shù)據(jù)流的 15個(gè)屬性對(duì)不同的屬性對(duì)值和對(duì)應(yīng)Conf值的信息表。為了節(jié)省存儲(chǔ)空間，profile表生成過程中會(huì)利用最小Conf（minconf）來篩選正常數(shù)據(jù)流中出現(xiàn)概率很低的屬性對(duì)值，其中，minconf取值根據(jù)profile表中屬性對(duì)值的Conf分布來設(shè)定。因此，需要掃描2遍數(shù)據(jù)流：第一遍選出數(shù)據(jù)流中單屬性值的Conf比minconf大的屬性值，以此產(chǎn)生候選屬性對(duì)值；第二遍選出候選屬性對(duì)值中Conf比minconf大的屬性對(duì)值，然后更新profile表。

在攻擊階段，對(duì)經(jīng)過交換機(jī)的數(shù)據(jù)分組，首先查找profile表得到數(shù)據(jù)分組中屬性對(duì)值的Conf，若表中沒有該屬性對(duì)值信息，則用minconf代替計(jì)算。然后利用加權(quán)平均的方式計(jì)算數(shù)據(jù)分組的 CBF分?jǐn)?shù)。CBF分?jǐn)?shù)計(jì)算式為其中，d表示需要考慮的屬性對(duì)的總數(shù)，W(Ak1,Ak2)表示屬性對(duì) (Ak1,Ak2)的權(quán)值，p(k1) 表示數(shù)據(jù)分組中屬性Ak1的值，Conf(Ak1=p(k1),Ak2=p(k2))表示屬性對(duì)值 (Ak1=p(k1),Ak2=p(k2))的Conf值。數(shù)據(jù)分組的CBF分?jǐn)?shù)計(jì)算過程如圖1所示。

在計(jì)算數(shù)據(jù)分組CBF分?jǐn)?shù)的過程中，由于數(shù)據(jù)分組之間的Source IP Address、Destination Port Number、TTL這些屬性值的差異性較大，攻擊者在攻擊分組中很難模擬正常數(shù)據(jù)分組中這些屬性值的特征，而TCP Flag、Protocol Type、Total Length這些屬性值在數(shù)據(jù)分組之間的差異性較小，因此，若屬性對(duì)由前3種屬性中的兩者組合而成，則權(quán)值最高；若屬性對(duì)中只包含前3種屬性中的一種，則權(quán)值其次；若屬性對(duì)由后3種屬性中的兩者組合而成，則權(quán)值最低。在此基礎(chǔ)上，屬性對(duì)具體權(quán)值可以根據(jù)實(shí)際網(wǎng)絡(luò)情況來設(shè)置。

最后將得到的數(shù)據(jù)分組CBF分?jǐn)?shù)與閾值比較，若比閾值小，則判斷為攻擊分組并將其丟棄；若比閾值大，則判斷為正常分組并使其通過。

3 方案設(shè)計(jì)與實(shí)現(xiàn)

本節(jié)首先介紹了SDCC的工作流程，然后詳細(xì)描述了SDCC中SDCC-D和SDCC-P這2個(gè)主要模塊的具體實(shí)現(xiàn)和關(guān)鍵技術(shù)。

3.1 工作流程

圖1 數(shù)據(jù)分組的CBF分?jǐn)?shù)計(jì)算過程

SDCC具體分為3層：基礎(chǔ)設(shè)施層、控制層和應(yīng)用層。基礎(chǔ)設(shè)施層包含多臺(tái)OpenFlow交換機(jī)，負(fù)責(zé)系統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)；控制層為 SDN控制器，能對(duì)系統(tǒng)進(jìn)行全局邏輯管控；應(yīng)用層由DDoS攻擊檢測(cè)（SDCC-D）和DDoS攻擊防御（SDCC-P）這2個(gè)核心功能模塊構(gòu)成。SDCC工作流程如圖2所示。

當(dāng)數(shù)據(jù)流到達(dá)OpenFlow交換機(jī)時(shí)，首先會(huì)與交換機(jī)中的流表進(jìn)行匹配，若交換機(jī)中沒有流表與之匹配，則根據(jù)數(shù)據(jù)分組在SDN中的處理原理[21]，數(shù)據(jù)流中的數(shù)據(jù)分組會(huì)被轉(zhuǎn)發(fā)至控制器中；SDCC-D模塊中的2種檢測(cè)方式會(huì)分別實(shí)時(shí)檢測(cè)系統(tǒng)的鏈路帶寬和分析數(shù)據(jù)流中非正常分組的比例，來判斷系統(tǒng)是否遭受到DDoS攻擊。若未檢測(cè)出系統(tǒng)中有DDoS攻擊行為，系統(tǒng)進(jìn)入正常狀態(tài)，將這段正常數(shù)據(jù)流中數(shù)據(jù)分組的屬性對(duì)信息存入屬性對(duì)信息庫，并更新profile表；若檢測(cè)出系統(tǒng)中有疑似DDoS攻擊行為，系統(tǒng)進(jìn)入預(yù)警狀態(tài)，并加大數(shù)據(jù)流的檢測(cè)比例；若檢測(cè)出系統(tǒng)中確有DDoS攻擊行為，系統(tǒng)進(jìn)入防御狀態(tài)，此時(shí)SDCC-P模塊會(huì)計(jì)算該攻擊流中的數(shù)據(jù)分組的CBF分?jǐn)?shù)，判斷出攻擊分組，查攻擊流特征庫中是否有相匹配的攻擊分組，有就直接將該攻擊分組轉(zhuǎn)由交換機(jī)通過流表丟棄，沒有就添加到攻擊流特征庫并通知控制器下發(fā)流表至OpenFlow交換機(jī)將其丟棄。

無論攻擊源來自云外還是云內(nèi)，SDCC都能及時(shí)檢測(cè)出云環(huán)境中2類典型的DDoS攻擊。在攻擊云中服務(wù)器時(shí)，云外攻擊者通過云對(duì)外服務(wù)接入點(diǎn)注入攻擊流量，當(dāng)流量經(jīng)過 OpenFlow 交換機(jī)時(shí)，OpenFlow交換機(jī)向 Floodlight控制器請(qǐng)求流表轉(zhuǎn)發(fā)。Floodlight控制器能夠?qū)崟r(shí)監(jiān)控云中數(shù)據(jù)流情況，并分析判定是否是攻擊流量，從而下發(fā)流表進(jìn)行相應(yīng)防御動(dòng)作。而云內(nèi)攻擊者利用云內(nèi)資源通過云內(nèi)部網(wǎng)絡(luò)對(duì)云中服務(wù)器發(fā)動(dòng)攻擊，使用云資源的DDoS 攻擊能夠大幅加強(qiáng)其攻擊強(qiáng)度，也能夠避開云在接入端的流控措施。然而攻擊流量經(jīng)過內(nèi)網(wǎng)的OpenFlow交換機(jī)時(shí)，已被控制器所知，控制器能夠快速下發(fā)流表阻斷來自內(nèi)部攻擊源的流，從而防御來自內(nèi)部的 DDoS 攻擊。

3.2 攻擊檢測(cè)模塊

SDCC-D模塊功能為實(shí)時(shí)檢測(cè)系統(tǒng)中是否有DDoS攻擊行為，檢測(cè)方式結(jié)合了鏈路帶寬檢測(cè)和數(shù)據(jù)流檢測(cè)這2種，基于鏈路帶寬檢測(cè)通過監(jiān)測(cè)交換機(jī)端口流量異常，能快速檢測(cè)出洪泛式DDoS攻擊行為，但是卻難以檢測(cè)出低速率式DDoS攻擊行為，也難以區(qū)分用戶自身增大訪問量而引起的流量異常?；跀?shù)據(jù)流檢測(cè)方式雖然能通過監(jiān)測(cè)數(shù)據(jù)流中非正常分組的比例來準(zhǔn)確地檢測(cè)出DDoS攻擊，但是它需要對(duì)每個(gè)被抽取的數(shù)據(jù)分組進(jìn)行分析，速度較慢。因此，將2種檢測(cè)方式相結(jié)合，既能準(zhǔn)確、及時(shí)地檢測(cè)出不同的DDoS攻擊，又具有較高的檢測(cè)效率，同時(shí)還能降低由用戶自身增大訪問量和用戶非習(xí)慣性訪問引起的誤判率。

圖2 SDCC的工作流程

當(dāng) 2種檢測(cè)方式都未檢測(cè)到 DDoS攻擊行為時(shí)，系統(tǒng)進(jìn)入正常狀態(tài)，為節(jié)省計(jì)算資源，系統(tǒng)處于正常狀態(tài)時(shí)，抽取窗口內(nèi)20%比例的數(shù)據(jù)分組進(jìn)行數(shù)據(jù)流檢測(cè)，并提取6個(gè)參考屬性，組成屬性對(duì)存入屬性對(duì)信息庫中，更新profile表。若2種檢測(cè)方式的其中一種方式檢測(cè)到可能有 DDoS攻擊行為，系統(tǒng)進(jìn)入預(yù)警狀態(tài)，系統(tǒng)處于預(yù)警狀態(tài)時(shí)，可能遭受到DDoS攻擊，因此，將窗口內(nèi)數(shù)據(jù)分組的抽取比例增加至40%。若系統(tǒng)進(jìn)入預(yù)警狀態(tài)是由于數(shù)據(jù)流檢測(cè)方式檢測(cè)出數(shù)據(jù)流中非正常分組比例超過攻擊比例，增加數(shù)據(jù)分組抽取比例后，依然能檢測(cè)出非正常分組比例超過攻擊比例，則判斷系統(tǒng)遭受到低速率式DDoS攻擊，系統(tǒng)進(jìn)入防御狀態(tài)；或鏈路帶寬檢測(cè)方式檢測(cè)出交換機(jī)端口流量超過攻擊閾值，緊接著，數(shù)據(jù)流檢測(cè)方式檢測(cè)出非正常分組比例超過攻擊比例，則判斷系統(tǒng)遭受到洪泛式DDoS攻擊，系統(tǒng)進(jìn)入防御狀態(tài)。其中，攻擊比例是指數(shù)據(jù)流狀態(tài)轉(zhuǎn)換時(shí)非正常數(shù)據(jù)分組比例需要達(dá)到的指標(biāo)；攻擊閾值是指鏈路帶寬狀態(tài)轉(zhuǎn)換時(shí)交換機(jī)端口流量需要達(dá)到的指標(biāo)。系統(tǒng)處于防御狀態(tài)時(shí)，說明已經(jīng)遭受到DDoS攻擊，再次將窗口內(nèi)數(shù)據(jù)分組的抽取比例提升至80%，逐一分析抽取的數(shù)據(jù)分組，并結(jié)合SDCC-P模塊對(duì)攻擊分組進(jìn)行處理。系統(tǒng)狀態(tài)轉(zhuǎn)換如圖3所示。

圖3 系統(tǒng)狀態(tài)轉(zhuǎn)換

SDCC-D模塊通過結(jié)合系統(tǒng)實(shí)時(shí)的鏈路帶寬狀態(tài)和數(shù)據(jù)流狀態(tài)實(shí)現(xiàn)系統(tǒng)狀態(tài)的動(dòng)態(tài)轉(zhuǎn)換。用戶突然增大訪問量，或用戶的非正常訪問可能造成鏈路帶寬和數(shù)據(jù)流異常，為防止誤判，SDCC增加了預(yù)警狀態(tài)，在預(yù)警狀態(tài)加大檢測(cè)范圍，依然能檢測(cè)出DDoS攻擊行為，系統(tǒng)才進(jìn)入防御狀態(tài)。

3.2.1 基于鏈路帶寬檢測(cè)

鏈路帶寬檢測(cè)利用 SDN控制器能獲取底層OpenFlow交換機(jī)端口的實(shí)時(shí)流量信息的功能。每隔T時(shí)間段檢測(cè)一次當(dāng)前交換機(jī)端口流量信息并與攻擊閾值比較，若某個(gè)端口的流量大于攻擊閾值時(shí)，鏈路帶寬狀態(tài)變?yōu)楣魻顟B(tài)；若所有端口的流量都低于攻擊閾值時(shí)，鏈路帶寬狀態(tài)變?yōu)榉枪魻顟B(tài)?；阪溌穾挋z測(cè)方式能對(duì)洪泛式DDoS攻擊有迅速的反應(yīng)，如SYN/ACK Flood攻擊。

3.2.2 基于數(shù)據(jù)流檢測(cè)

數(shù)據(jù)流檢測(cè)是以數(shù)據(jù)分組的個(gè)數(shù)N為窗口大小，根據(jù)系統(tǒng)的不同狀態(tài)，從每個(gè)窗口中隨機(jī)抽取不同比例的數(shù)據(jù)分組。由于SDN架構(gòu)轉(zhuǎn)發(fā)控制分離的特點(diǎn)，當(dāng)數(shù)據(jù)分組進(jìn)入OpenFlow交換機(jī)后，若交換機(jī)中沒有匹配流表，數(shù)據(jù)分組會(huì)被打包在Packet_in消息中發(fā)送至控制器，因此，能通過控制器提取到Packet_in消息中數(shù)據(jù)分組的屬性信息[22,23]。然后結(jié)合CBF方法，根據(jù)提取到的數(shù)據(jù)分組屬性信息查看profile表，計(jì)算數(shù)據(jù)分組的CBF分?jǐn)?shù)，將CBF分?jǐn)?shù)小于丟棄閾值的數(shù)據(jù)分組判斷為非正常分組，其中，丟棄閾值是指判斷數(shù)據(jù)分組是否為非正常分組時(shí)，其CBF分?jǐn)?shù)需要達(dá)到的指標(biāo)。接著，計(jì)算非正常分組的比例，若數(shù)據(jù)流在非攻擊狀態(tài)下，連續(xù)5個(gè)窗口的非正常分組比例大于攻擊比例，表明該數(shù)據(jù)流中極大可能含有攻擊分組，數(shù)據(jù)流狀態(tài)變?yōu)楣魻顟B(tài)；若數(shù)據(jù)流在攻擊狀態(tài)下，連續(xù) 5個(gè)窗口的非正常分組比例小于攻擊比例，表明該數(shù)據(jù)流含有攻擊分組的可能性較低，數(shù)據(jù)流狀態(tài)變?yōu)榉枪魻顟B(tài)；其中窗口數(shù)目的選取參考文獻(xiàn)[24]，其目的在于降低由于用戶非正常訪問而造成的誤判率?；跀?shù)據(jù)流檢測(cè)根據(jù)系統(tǒng)不同狀態(tài)選取不同比例數(shù)據(jù)分組進(jìn)行分析的方式，既能緩解原CBF方案中檢查所有數(shù)據(jù)分組導(dǎo)致資源消耗較大的問題，又能有效檢測(cè)出隱蔽在數(shù)據(jù)流中的低速率式DDoS攻擊，如TCP協(xié)議攻擊。

3.2.3 更新profile表

在CBF方法中，為節(jié)省profile表的存儲(chǔ)空間，在非攻擊階段需要對(duì)數(shù)據(jù)流進(jìn)行2次掃描，因此難以達(dá)到實(shí)時(shí)檢測(cè)系統(tǒng)中數(shù)據(jù)流的目的。為此，本方案基于 SDN架構(gòu)，結(jié)合屬性對(duì)信息庫存儲(chǔ)數(shù)據(jù)分組的屬性對(duì)值信息和出現(xiàn)次數(shù)，在更新profile表時(shí)，直接從屬性對(duì)信息庫中選取比minconf大的屬性對(duì)值，與profile表中的屬性對(duì)值比較即可。若屬性對(duì)信息庫中的屬性對(duì)值的Conf比profile表中的該屬性對(duì)值的Conf大，則用大的Conf值更新profile表；若 profile表中沒有該屬性對(duì)值信息，則添加到profile表中。通過這種方法只需掃描一遍數(shù)據(jù)流，不需要分階段地掃描數(shù)據(jù)流，便于實(shí)現(xiàn)數(shù)據(jù)流的實(shí)時(shí)檢測(cè)。為確保profile表中存儲(chǔ)的是正常數(shù)據(jù)分組的屬性對(duì)信息，當(dāng)數(shù)據(jù)流進(jìn)入SDCC-D模塊，通過2種DDoS攻擊檢測(cè)方式后，未檢測(cè)到數(shù)據(jù)流中有DDoS攻擊行為，系統(tǒng)進(jìn)入正常狀態(tài)后，才會(huì)將數(shù)據(jù)流中的數(shù)據(jù)分組屬性對(duì)信息存入屬性對(duì)信息庫，然后更新profile表。以TTL、Flag這2個(gè)屬性為例，minconf取值 0.04，改進(jìn)的 profile表更新流程如圖4所示。其中，minconf用于剔除正常數(shù)據(jù)流中出現(xiàn)次數(shù)極少的屬性值以提高profile表的利用效率，其值根據(jù)表中屬性對(duì)值的Conf分布來設(shè)定，對(duì)于不同的minconf取值，profile表的更新流程不變。

3.3 攻擊防御模塊

SDCC-P模塊利用 SDN控制器提供的北向REST API接口向OpenFlow交換機(jī)下發(fā)流表的功能。當(dāng)系統(tǒng)處于防御狀態(tài)時(shí)，SDCC-P模塊首先會(huì)對(duì)抽取的數(shù)據(jù)分組計(jì)算CBF分?jǐn)?shù)，若CBF分?jǐn)?shù)高于丟棄閾值，則判斷該數(shù)據(jù)分組為正常分組，并通知控制器下發(fā)流表至交換機(jī)轉(zhuǎn)發(fā)該數(shù)據(jù)分組；若CBF分?jǐn)?shù)低于丟棄閾值，則判斷該數(shù)據(jù)分組為攻擊分組，控制器會(huì)調(diào)用北向REST API接口下發(fā)流表至OpenFlow交換機(jī)丟棄該數(shù)據(jù)分組，此后該類攻擊分組都會(huì)在交換機(jī)處被攔截，從而達(dá)到在攻擊源OpenFlow交換機(jī)處攔截攻擊分組的目的。由于SDN架構(gòu)轉(zhuǎn)發(fā)控制分離的機(jī)制，當(dāng)有同類攻擊分組到達(dá)OpenFlow交換機(jī)時(shí)，不需要再經(jīng)過控制器判斷，就可以在交換機(jī)處直接通過流表匹配丟棄該分組，加快了系統(tǒng)對(duì)攻擊分組的反應(yīng)速度。

攻擊流特征庫用來存儲(chǔ)已被識(shí)別出且被系統(tǒng)攔截的攻擊分組信息。由于DDoS攻擊，特別是洪泛式DDoS攻擊，會(huì)迅速產(chǎn)生大量的攻擊分組，在攻擊者開始發(fā)起攻擊時(shí)，交換機(jī)中沒有匹配流表，大量的攻擊分組會(huì)同時(shí)涌向控制器，且這些攻擊分組中有很多類型相同，而控制器無法迅速處理突然涌入的大量數(shù)據(jù)分組。為減小控制器壓力，避免控制器對(duì)每個(gè)攻擊分組都下發(fā)流表而導(dǎo)致數(shù)據(jù)處理速度減慢的問題，SDCC-P模塊在每判斷出一個(gè)攻擊分組后，就將該攻擊分組的屬性信息存到攻擊流特征庫中，然后控制器針對(duì)該分組下發(fā)一個(gè)流表至OpenFlow交換機(jī)；對(duì)之后經(jīng)過控制器的攻擊分組，首先，判斷是否已存在于攻擊流特征庫，存在則表明控制器已下發(fā)過匹配流表，不需要再分析該攻擊分組，直接將其發(fā)給交換機(jī)通過流表匹配來丟棄該攻擊分組；不存在則表明這是一個(gè)新的攻擊分組，就先將這個(gè)新攻擊分組屬性信息添加到攻擊流特征庫中，然后控制器下發(fā)一個(gè)新的流表至交換機(jī)來丟棄該新攻擊分組。通過這種方式不僅能加快控制器的數(shù)據(jù)處理速度，也能減少交換機(jī)中功能重復(fù)的流表，降低交換機(jī)的內(nèi)存消耗。

圖4 profile表更新流程

4 方案分析與評(píng)估

本節(jié)首先介紹了實(shí)驗(yàn)環(huán)境以及在實(shí)驗(yàn)中的參數(shù)設(shè)置，然后分別模擬了洪泛式DDoS攻擊和低速率式DDoS攻擊這2組實(shí)驗(yàn)，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行了分析，最后將SDCC與其他相關(guān)方案進(jìn)行性能比較與評(píng)估。

4.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)中使用阿里云作為云環(huán)境，使用網(wǎng)絡(luò)仿真軟件mininet[25]來模擬主機(jī)、服務(wù)器和OpenFlow交換機(jī)，并搭建網(wǎng)絡(luò)拓?fù)?，其中，mininet的運(yùn)行內(nèi)存為 1 GB。使用開源的 SDN控制器 Floodlight與OpenFlow交換機(jī)通信，在阿里云服務(wù)器中內(nèi)存為8 GB，CPU為2.5 GHz的Windows系統(tǒng)上運(yùn)行控制器。實(shí)驗(yàn)中Floodlight控制器（C0）和mininet虛擬機(jī)都運(yùn)行在阿里云服務(wù)器上。其中，mininet模擬了 3臺(tái)網(wǎng)絡(luò)主機(jī)（H1、H2、H3）、2臺(tái) OpenFlow交換機(jī)（SW1、SW2）和一臺(tái)服務(wù)器（S0），實(shí)驗(yàn)拓?fù)淙鐖D5所示，其中實(shí)線表示底層網(wǎng)絡(luò)數(shù)據(jù)通信鏈路，虛線表示Floodlight控制器與OpenFlow交換機(jī)之間傳輸控制信息的專用通道。

圖5 實(shí)驗(yàn)拓?fù)?/p>

本文分別模擬了洪泛式DDoS攻擊和低速率式DDoS攻擊這2組實(shí)驗(yàn)，都是通過云環(huán)境中的主機(jī)向云環(huán)境中的服務(wù)器發(fā)起攻擊。由于SDCC通過數(shù)據(jù)分組的屬性信息檢測(cè)DDoS攻擊，對(duì)于無論是云內(nèi)還是云外的攻擊者，其檢測(cè)和防御方式均相同，因此，可以通過模擬云內(nèi)的主機(jī)向服務(wù)器發(fā)起攻擊的實(shí)驗(yàn)來說明SDCC能有效檢測(cè)和防御云環(huán)境中的DDoS攻擊。

在實(shí)驗(yàn)中，H1、H2、H3通過hping3工具發(fā)送TCP數(shù)據(jù)分組以模擬主機(jī)對(duì)服務(wù)器的正常訪問、低速率式DDoS攻擊和洪泛式DDoS攻擊。其中，攻擊密度是指主機(jī)每秒發(fā)送攻擊分組的個(gè)數(shù)，低速率式DDoS攻擊實(shí)驗(yàn)的攻擊密度分別為100個(gè)/秒和1 000個(gè)/秒，洪泛式DDoS攻擊實(shí)驗(yàn)的攻擊密度分別為 104個(gè)/秒和 106個(gè)/秒。在本實(shí)驗(yàn)中使用主機(jī)H1模擬正常用戶訪問，H2、H3這2臺(tái)主機(jī)模擬攻擊者向S0發(fā)起DDoS攻擊，對(duì)于更復(fù)雜的網(wǎng)絡(luò)情況，可做類似的實(shí)驗(yàn)分析，并得出相似的實(shí)驗(yàn)結(jié)果。

實(shí)驗(yàn)參數(shù)取值如表1所示。Interval用于系統(tǒng)鏈路帶寬監(jiān)測(cè)，每隔1 s系統(tǒng)檢測(cè)一次鏈路當(dāng)前帶寬，并判斷當(dāng)前鏈路狀態(tài)。AttackThreshold用于鏈路狀態(tài)判斷，若鏈路帶寬大于AttackThreshold，則表示系統(tǒng)可能遭受了DDoS攻擊，鏈路狀態(tài)變?yōu)楣魻顟B(tài)。WindowSize用于系統(tǒng)數(shù)據(jù)流監(jiān)測(cè)，在控制器每獲取 50個(gè)數(shù)據(jù)分組時(shí)分析一次數(shù)據(jù)流狀態(tài)。DiscardThreshold用于數(shù)據(jù)分組判斷，若數(shù)據(jù)分組的CBF分?jǐn)?shù)低于DiscardThreshold，則表示該數(shù)據(jù)分組為非正常分組。AttackRatio用于數(shù)據(jù)流狀態(tài)判斷，在非攻擊狀態(tài)下，數(shù)據(jù)流中非正常分組比例高于AttackRatio時(shí)，表示數(shù)據(jù)流可能遭受到DDoS攻擊，數(shù)據(jù)流狀態(tài)變?yōu)楣魻顟B(tài)；在攻擊狀態(tài)下，數(shù)據(jù)流中非正常分組比例低于AttackRatio時(shí)，表示數(shù)據(jù)流已是正常數(shù)據(jù)流，數(shù)據(jù)流狀態(tài)變?yōu)榉枪魻顟B(tài)。表1給出了SDCC中采取的一組典型參數(shù)設(shè)定，在實(shí)際環(huán)境中，可以以這組參數(shù)值作為標(biāo)準(zhǔn)，然后根據(jù)網(wǎng)絡(luò)運(yùn)行情況對(duì)參數(shù)取值進(jìn)行適當(dāng)調(diào)整。

表1 實(shí)驗(yàn)參數(shù)取值

4.2 實(shí)驗(yàn)結(jié)果與分析

在洪泛式DDoS攻擊和低速率式DDoS攻擊這2組實(shí)驗(yàn)中，通過結(jié)合SW1的端口1、端口2、端口3和SW2的端口1的實(shí)時(shí)流量以及系統(tǒng)的鏈路狀態(tài)和數(shù)據(jù)流狀態(tài)來分析SDCC的DDoS攻擊防御效果。

在攻擊密度為104個(gè)/秒的洪泛式DDoS攻擊模擬實(shí)驗(yàn)中，從第4 s開始，H2向S0發(fā)送大量攻擊分組，如圖6所示。在第4 s時(shí)SW1的端口2吞吐量超過AttackThreshold，此時(shí)，系統(tǒng)的鏈路帶寬狀態(tài)變?yōu)楣魻顟B(tài)，如圖7所示，系統(tǒng)進(jìn)入預(yù)警狀態(tài)，緊接著，數(shù)據(jù)流狀態(tài)也變?yōu)楣魻顟B(tài)，由于該攻擊密度下，一個(gè)窗口內(nèi)數(shù)據(jù)流的檢測(cè)時(shí)間低于100 ms，時(shí)間間隔很短，因此，在圖7中第4 s時(shí)，數(shù)據(jù)流的狀態(tài)也是攻擊狀態(tài)，由此系統(tǒng)進(jìn)入防御狀態(tài)，會(huì)對(duì)H2發(fā)送的攻擊分組進(jìn)行攔截。由圖6可知，從第7 s開始H3也對(duì)S0發(fā)送大量的攻擊分組，此時(shí)，已處于防御狀態(tài)下的系統(tǒng)會(huì)直接對(duì)H3發(fā)送的攻擊分組進(jìn)行攔截，因此，從第4 s開始，SW2的端口1和SW1的端口1的實(shí)時(shí)吞吐量一致，表示S0只接收到了H1發(fā)送的正常數(shù)據(jù)分組，而H2、H3發(fā)送的攻擊分組被SDCC-P模塊成功攔截。此時(shí)，交換機(jī)中已存在攔截H2、H3發(fā)送的攻擊分組的流表，無論系統(tǒng)處于什么狀態(tài)，都會(huì)對(duì)這些攻擊分組進(jìn)行攔截，由圖7可知，從第23 s開始，系統(tǒng)已處于正常狀態(tài)，在圖6中SW2的端口1吞吐量始終與SW1的端口1保持一致。實(shí)驗(yàn)表明SDCC能高效檢測(cè)并防御洪泛式DDoS攻擊。

在攻擊密度為106個(gè)/秒的洪泛式DDoS攻擊模擬實(shí)驗(yàn)中，從第4 s開始，H2、H3同時(shí)向S0發(fā)送大量攻擊分組，如圖8所示。在第4 s時(shí)SW1的端口2、端口3吞吐量都超過AttackThreshold，此時(shí)，系統(tǒng)進(jìn)入預(yù)警狀態(tài)，由于該攻擊密度下，一個(gè)窗口內(nèi)數(shù)據(jù)流的檢測(cè)時(shí)間在100 ms左右，時(shí)間間隔很短，因此，在第4 s，數(shù)據(jù)流狀態(tài)也變?yōu)楣魻顟B(tài)，如圖9所示，系統(tǒng)進(jìn)入防御狀態(tài)，對(duì)H2、H3發(fā)送的攻擊分組進(jìn)行攔截。因此，從第4 s開始，SW2的端口1處的吞吐量始終與SW1的端口1保持一致。實(shí)驗(yàn)表明SDCC能有效防御不同攻擊密度的洪泛式DDoS攻擊。

圖6 洪泛式DDoS攻擊下交換機(jī)端口實(shí)時(shí)吞吐量變化（攻擊密度為104個(gè)/秒）

圖7 洪泛式DDoS攻擊下鏈路狀態(tài)和數(shù)據(jù)流狀態(tài)變化（攻擊密度為104個(gè)/秒）

圖8 洪泛式DDoS攻擊下交換機(jī)端口實(shí)時(shí)吞吐量變化（攻擊密度為106個(gè)/秒）

圖9 洪泛式DDoS攻擊下鏈路狀態(tài)和數(shù)據(jù)流狀態(tài)變化（攻擊密度為106個(gè)/秒）

在攻擊密度為100個(gè)/秒的低速率式DDoS攻擊模擬實(shí)驗(yàn)中，H1向S0發(fā)送的一直都是正常分組，從第4 s開始，H2向S0不間斷地發(fā)送小流量的攻擊分組，如圖10所示，從第4 s到第5 s，SW2的端口1實(shí)時(shí)吞吐量高于SW1的端口1，表示S0能接收到H2發(fā)送的少量攻擊分組，但是由于此時(shí)攻擊流量非常小，對(duì)系統(tǒng)造成的影響很小。在第 6 s時(shí)，非正常分組的比例超過AttackRatio，SDCC-D模塊會(huì)檢測(cè)出數(shù)據(jù)流異常，系統(tǒng)進(jìn)入預(yù)警狀態(tài)，之后，依然檢測(cè)出數(shù)據(jù)流異常，系統(tǒng)進(jìn)入防御狀態(tài)，對(duì)H2發(fā)送的攻擊分組進(jìn)行攔截，如圖11所示，在第6 s時(shí)，鏈路帶寬為正常狀態(tài)，數(shù)據(jù)流為攻擊狀態(tài)，此時(shí)，圖10中SW2的端口1與SW1的端口1的實(shí)時(shí)吞吐量一致。從第7 s開始，H3開始向S0發(fā)送攻擊分組，此時(shí)，系統(tǒng)已處于防御狀態(tài)，能直接對(duì)H3發(fā)送的攻擊分組進(jìn)行攔截，如圖10所示，從第6 s開始，SW2的端口1始終與SW1的端口1吞吐量一致，表示SDCC-P模塊成功地?cái)r截了H2、H3發(fā)出的攻擊分組。實(shí)驗(yàn)表明SDCC能高效檢測(cè)并防御低速率式DDoS攻擊。

圖10 低速率式DDoS攻擊下交換機(jī)端口實(shí)時(shí)吞吐量變化（攻擊密度為100個(gè)/秒）

在攻擊密度為1 000個(gè)/秒的低速率式DDoS攻擊模擬實(shí)驗(yàn)中，從第4 s開始，H2、H3同時(shí)向S0不間斷地發(fā)送小流量的攻擊分組，如圖 12所示，雖然 H2、H3發(fā)出的攻擊流的鏈路帶寬都小于AttackThreshold，但由于在SW1處匯聚后，使SW1處的鏈路帶寬大于AttackThreshold，鏈路帶寬變?yōu)楣魻顟B(tài)，緊接著，數(shù)據(jù)流狀態(tài)也變?yōu)楣魻顟B(tài)，系統(tǒng)進(jìn)入防御狀態(tài)，如圖13所示，在第4 s時(shí)，鏈路帶寬和數(shù)據(jù)流都為攻擊狀態(tài)。從圖12可以看出，從第4 s開始，S0只接收到了H1發(fā)送的正常數(shù)據(jù)分組，表示SDCC-P模塊成功地?cái)r截了H2、H3發(fā)出的攻擊分組。實(shí)驗(yàn)表明SDCC能有效防御不同攻擊密度的低速率式DDoS攻擊。

圖11 低速率式DDoS攻擊下鏈路狀態(tài)和數(shù)據(jù)流狀態(tài)變化（攻擊密度為100個(gè)/秒）

圖12 低速率式DDoS攻擊下交換機(jī)端口實(shí)時(shí)吞吐量變化（攻擊密度為1 000個(gè)/秒）

圖13 低速率式DDoS攻擊下鏈路狀態(tài)和數(shù)據(jù)流狀態(tài)變化（攻擊密度為1 000個(gè)/秒）

4.3 性能評(píng)估

圖 14顯示了在攻擊時(shí)期、不同攻擊密度下，PacketScore[6]、CBF[8]、SDCC 這 3種方案對(duì)一個(gè)窗口內(nèi)數(shù)據(jù)分組的處理時(shí)間的對(duì)比情況。為了便于比較，在3種方案中，統(tǒng)一設(shè)置為一個(gè)窗口內(nèi)包含50個(gè)數(shù)據(jù)分組，攻擊密度范圍為103～104個(gè)/秒。從圖14中可以看出，相對(duì)于PacketScore方案，CBF方案對(duì)每個(gè)窗口內(nèi)的數(shù)據(jù)處理速度更快，這是由于PacketScore方案采取的是動(dòng)態(tài)閾值的方法，在攻擊檢測(cè)時(shí)既需要逐一計(jì)算數(shù)據(jù)分組是攻擊分組的可能性，又需要計(jì)算近期的閾值，因此，對(duì)一個(gè)窗口的數(shù)據(jù)處理時(shí)間花費(fèi)最多。CBF方法在這一方面做了改進(jìn)，為加快攻擊時(shí)期數(shù)據(jù)處理速度，使用的是靜態(tài)閾值的方法，而且計(jì)算數(shù)據(jù)分組的CBF分?jǐn)?shù)時(shí)只需要查看profile表，其算法復(fù)雜度為O(1)。SDCC在一個(gè)窗口內(nèi)的數(shù)據(jù)處理時(shí)間最少，這是由于SDCC在CBF方案的基礎(chǔ)上做了進(jìn)一步的優(yōu)化，在攻擊數(shù)據(jù)流中，有很多相同的攻擊分組，而SDCC并沒有像前 2種方案一樣對(duì)數(shù)據(jù)分組進(jìn)行逐一處理，而是隨機(jī)抽取窗口內(nèi)一定比例的數(shù)據(jù)分組逐一計(jì)算CBF分?jǐn)?shù)再進(jìn)行判斷；另外，通過攻擊流特征庫存儲(chǔ)已識(shí)別的攻擊分組，當(dāng)再出現(xiàn)庫中已有的攻擊分組需要判斷時(shí)，不做處理并直接轉(zhuǎn)發(fā)至交換機(jī)，通過流表攔截該攻擊分組。這種方法有效提升了對(duì)一個(gè)窗口內(nèi)數(shù)據(jù)分組的處理速度，相比于 CBF方法，其數(shù)據(jù)處理速率提升了約19.4%；此外，對(duì)于CBF方法，當(dāng)發(fā)送分組密度越大時(shí)，對(duì)于攻擊流中相同的攻擊分組，控制器下發(fā)相同的流表數(shù)量越多，其窗口數(shù)據(jù)處理時(shí)間越長，而SDCC的攻擊流特征庫能有效緩解重復(fù)流表的問題，因此，由圖14可以看出，隨著攻擊密度增大，CBF和PacketScore方法的數(shù)據(jù)處理時(shí)間上升的趨勢(shì)比SDCC更明顯。

系統(tǒng)在正常狀態(tài)下，相對(duì)于CBF方案，SDCC簡化了profile表的更新，因此CPU的占用率更低。由表2可以看出，當(dāng)進(jìn)入系統(tǒng)的是正常數(shù)據(jù)流時(shí)，SDCC的CPU占用率比CBF低2.6%；在系統(tǒng)遭受DDoS攻擊狀態(tài)下，由于SDCC采取的是比例抽取數(shù)據(jù)分組進(jìn)行檢測(cè)，且使用了攻擊流特征庫避免了對(duì)相同攻擊分組的重復(fù)檢測(cè)，相對(duì)于CBF方案的逐一檢測(cè)數(shù)據(jù)分組而言，對(duì)CPU的使用率要低得多，特別是在洪泛式這種大流量的DDoS攻擊下，CBF方法需要迅速對(duì)大量數(shù)據(jù)分組計(jì)算分?jǐn)?shù)并產(chǎn)生流表，SDCC由于比例抽取和攻擊流特征庫有效緩解了控制器的壓力。由表2可知，當(dāng)進(jìn)入系統(tǒng)的是低速率式DDoS攻擊數(shù)據(jù)流時(shí)，SDCC的CPU占用率比CBF的低11.1%；而當(dāng)進(jìn)入系統(tǒng)的是洪泛式DDoS攻擊數(shù)據(jù)流時(shí)，SDCC的CPU占用率比CBF的低19.7%。

圖14 對(duì)一個(gè)窗口大小的數(shù)據(jù)分組處理時(shí)間比較

表2 不同類型數(shù)據(jù)流下CPU占用率比較

圖15顯示了在不同發(fā)送分組密度下SDCC和CBF方案的誤判率比較，發(fā)送分組密度的范圍是10～106個(gè)/秒。誤判率是指將正常數(shù)據(jù)分組判斷成攻擊分組的概率。

圖15 誤判率比較

由圖15可以看出，隨著攻擊密度增大，2種方案的誤判率波動(dòng)不大，表明這2種方案的誤判率不受攻擊強(qiáng)度影響，都適用于云環(huán)境。與CBF方案中只要檢測(cè)到 CBF分?jǐn)?shù)比閾值低就判斷為攻擊分組所不同的是，SDCC通過檢測(cè)數(shù)據(jù)流中CBF分?jǐn)?shù)小于丟棄閾值的數(shù)據(jù)分組比例來判斷系統(tǒng)中是否有DDoS攻擊行為，只有確定系統(tǒng)遭受到DDoS攻擊，進(jìn)入防御狀態(tài)，才會(huì)對(duì)CBF分?jǐn)?shù)比丟棄閾值低的數(shù)據(jù)分組進(jìn)行攔截，這種檢測(cè)方式能降低由于用戶自身非習(xí)慣性訪問引起的誤判率。通過圖 15可以看出，SDCC的誤判率比CBF方案低至少4.63%。

5 結(jié)束語

DDoS攻擊已成為云環(huán)境中主要的安全威脅之一。本文針對(duì)云環(huán)境中的2類典型的DDoS攻擊問題，即洪泛式DDoS攻擊與低速率式DDoS攻擊，提出SDCC，它使用SDN架構(gòu)，簡化了數(shù)據(jù)分組轉(zhuǎn)發(fā)過程，控制器能實(shí)時(shí)獲取全局的網(wǎng)絡(luò)狀態(tài)；綜合使用鏈路帶寬檢測(cè)和數(shù)據(jù)流檢測(cè)這2種方式，能準(zhǔn)確地檢測(cè)出2種類型的DDoS攻擊；通過改進(jìn)CBF方案的profile更新過程，有利于實(shí)時(shí)檢測(cè)，而且根據(jù)系統(tǒng)的不同狀態(tài)按比例抽取數(shù)據(jù)分組檢測(cè)，并使用攻擊流特征庫存儲(chǔ)已識(shí)別的攻擊分組，降低了控制器的壓力，加快了檢測(cè)速度。與其他相關(guān)方案相比，SDCC處理數(shù)據(jù)的速度更快，消耗的計(jì)算資源更少，且誤判率更低，從而有效地保護(hù)云系統(tǒng)免受DDoS攻擊。

與傳統(tǒng)網(wǎng)絡(luò)相比，SDN架構(gòu)轉(zhuǎn)發(fā)控制分離的特點(diǎn)簡化了數(shù)據(jù)轉(zhuǎn)發(fā)過程，提高了數(shù)據(jù)分組的檢測(cè)效率，更有利于實(shí)時(shí)檢測(cè)系統(tǒng)狀態(tài)。但隨著云計(jì)算被更廣泛的應(yīng)用，業(yè)務(wù)流量規(guī)模變得更大，使單控制器的 SDN架構(gòu)中控制器的壓力越來越大；同時(shí)，由于網(wǎng)絡(luò)管理都集中于控制器一點(diǎn)，一旦控制器發(fā)生故障，將存在整個(gè)網(wǎng)絡(luò)不可用的風(fēng)險(xiǎn)。因此，為適應(yīng)流量規(guī)模更大的網(wǎng)絡(luò)環(huán)境，克服 SDN架構(gòu)管理過于集中帶來的弱點(diǎn)，在未來工作中將研究使用多控制器分區(qū)管理的策略，既能緩解大規(guī)模流量環(huán)境中控制器的壓力，且在部分控制器發(fā)生故障時(shí)，網(wǎng)絡(luò)的安全服務(wù)仍然能夠正常運(yùn)行。

參考文獻(xiàn)：

[1]YAN Q,YU F R,GONG Q,et al. Software-defined networking (SDN)and distributed denial of service (DDoS) attacks in cloud computing environments: a survey,some research issues,and challenges[J]. IEEE Communications Surveys & Tutorials,2016,18(1): 602-622.

[2]CHEN L C,LONGSTAFF T A,CARLEY K M. Characterization of defense mechanisms against distributed denial of service attacks[J].Computers & Security,2004,23(8): 665-678.

[3]PENG T,LECKIE C,RAMAMOHANARAO K. Survey of network-based defense mechanisms countering the DoS and DDoS problems[J]. ACM Computing Surveys,2007,39(1): 3.

[4]TARIQ U,HONG M P,LHEE K. A comprehensive categorization of DDoS attack and DDoS defense techniques[C]//International Conference on Advanced Data Mining and Applications. 2006: 1025-1036.

[5]SPECHT S M,LEE R B. Distributed denial of service: taxonomies of attacks,tools,and countermeasures[C]// The 17th International Conference on Parallel and Distributed Computing Systems. 2004:543-550.

[6]KIM Y,LAU W C,CHUAH M C,et al. PacketScore: a statistics-based packet filtering scheme against distributed denial-of-service attacks[J].IEEE Transactions on Dependable & Secure Computing,2006,3(2):141-155.

[7]胡漢卿. 基于云計(jì)算DDoS攻擊防御研究[D]. 南京: 南京郵電大學(xué),2015.HU H Q. Research on DDoS attack defense based on cloud computing[D]. Nanjing: Nanjing University of Posts and Telecommunications,2015.

[8]DOU W,CHEN Q,CHEN J. A confidence-based filtering method for DDoS attack defense in cloud environment[J]. Future Generation Computer Systems,2013,29(7): 1838-1850.

[9]SHAMSOLMOALI P,ALAM M A,BISWAS R. C2DF: high rate DDOS filtering method in cloud computing[J]. International Journal of Computer Network & Information Security,2014,6(9): 43-50.

[10]SAHI A,LAI D,LI Y,et al. An efficient DDoS TCP flood attack detection and prevention system in a cloud environment[J]. IEEE Access,2017,5: 6036-6048.

[11]JEYANTHI N,BARDE U,SRAVANI M,et al. Detection of distributed denial of service attacks in cloud computing by identifying spoofed IP[J]. International Journal of Communication Networks & Distributed Systems,2013,11(3): 262-279.

[12]吳志軍,張東. 低速率DDoS攻擊的仿真和特征提取[J]. 通信學(xué)報(bào),2008,29(1): 71-76.WU Z J,ZHANG D. Simulation and feature extraction of low rate DDoS attacks[J]. Journal on Communications,2008,29(1): 71-76.

[13]NAVAZ A S S,SANGEETHA V,PRABHADEVI C. Entropy based anomaly detection system to prevent DDoS attacks in cloud[J]. International Journal of Computer Applications,2013,62(15): 42-47.

[14]WANG B,ZHENG Y,LOU W,et al. DDoS attack protection in the era of cloud computing and software-defined networking[J]. Computer Networks,2015,81(C): 308-319.

[15]KALLIOLA A,LEE K,LEE H,et al. Flooding DDoS mitigation and traffic management with software defined networking[C]//International Conference on Cloud Networking. 2015: 248-254.

[16]ZHANG C,CAI Z,CHEN W,et al. Flow level detection and filtering of low-rate DDoS[J]. Computer Networks the International Journal of Computer & Telecommunications Networking,2012,56(15): 3417-3431.

[17]HOQUE N,BHATTACHARYYA D K,KALITA J K. A novel measure for low-rate and high-rate DDoS attack detection using multivariate data analysis[C]//International Conference on Communication Systems and Networks. 2016: 1-2.

[18]孫義明,楊麗萍. 信息化戰(zhàn)爭中的戰(zhàn)術(shù)數(shù)據(jù)鏈[M]. 北京: 北京郵電大學(xué)出版社,2005.SUN Y M,YANG L P. Tactical data chain in information warfare[M]. Beijing: Beijing University of Posts and Telecommunications Press,2005.

[19]田開琳,李明. 一種可靠檢測(cè)低速率DDoS攻擊的異常檢測(cè)系統(tǒng)[J].現(xiàn)代電子技術(shù),2009,32(7): 68-71.TIAN K L,LI M. An anomaly detection system for reliable detection of low rate DDoS attacks[J]. Modern Electronic Technology,2009,32(7): 68-71.

[20]左青云,陳鳴,趙廣松,等. 基于 OpenFlow 的 SDN 技術(shù)研究[J].軟件學(xué)報(bào),2013(5): 1078-1097.ZUO Q Y,CHEN M,ZHAO G S,et al. Research of SDN technology based on OpenFlow[J]. Journal of Software,2013(5): 1078-1097.

[21]LIU T C,YANG B H,ZHANG Y,et al. Data packet processing in SDN[P]. US20150281127,2015.

[22]FOUNDATION O N. Software-defined networking: the new norm for networks[R]. ONF White Paper,2012.

[23]NADEAU T D,GRAY K. 軟件定義網(wǎng)絡(luò): SDN與OpenFlow解析[M].畢軍,單業(yè),張紹宇,等譯. 北京: 人民郵電出版社,2014.NADEAU T D,GRAY K. Software defined network: SDN and OpenFlow parsing[M]. Translated by BI J,SHAN Y,ZHANG S Y,et al. Beijing: Posts & Telecom Press,2014.

[24]MOUSAVI S M,STHILAIRE M. Early detection of DDoS attacks against SDN controllers[C]//International Conference on Computing,NETWORKING and Communications. 2015:77-81.

[25]LANTZ B,HELLER B,MCKEOWN N. A network in a laptop:rapid prototyping for software-defined networks[C]//ACM Workshop on Hot Topics in Networks. 2010:1-6.